Befehlszeilenschnittstelle zum Erstellen eines organisationsspezifischen LDAP-Benutzerregistry verwenden

Sie können die Developer Portal-Befehlszeilenschnittstelle verwenden, um eine organisationsspezifische LDAP-Benutzerregistrierung für die Benutzerauthentifizierung für das Developer Portal zu konfigurieren. APIs können auch mit einer LDAP-Benutzerregistry gesichert werden.

Vorbereitende Schritte

Um eine LDAP-Benutzerregistry als Ressource in API Managerzu konfigurieren, muss das LDAP-Verzeichnis erstellt und für die Verwendung mit Ihrem API Connect -Ökosystem verfügbar sein.

LDAP-Registrierungen können zur Sicherung von APIs oder zur Sicherung eines Katalogs zur Authentifizierung von Benutzern des Entwicklerportals verwendet werden.

Wichtig: Wenn Sie eine LDAP-Registrierung zur Sicherung von APIs verwenden, wird das STARTTLS-Protokoll, das ein unsicheres Protokoll durch Anwendung von TLS-Sicherheit zu einem sicheren Protokoll aufwertet, nicht unterstützt.

Hinweis: Wenn Sie ein Active Directory verwenden, müssen Sie dies in der LDAP-Konfiguration mit der Eigenschaft "directory_type": "ad" angeben.

Für die Konfiguration einer LDAP-Benutzerregistry ist eine der folgenden Rollen erforderlich:

Administrator
Eigner
Topologieadministrator
Angepasste Rolle mit demSettings: ManageBerechtigungen

Informationen zu dieser Task

Sie können eine LDAP-Benutzerregistry erstellen, die für eine Provider-Organisation spezifisch ist, oder eine, die gemeinsam genutzt werden kann und für alle Provider-Organisationen in Ihrer API Connect -Umgebung verfügbar ist. Eine organisationsspezifische LDAP-Benutzerregistrierung kann für das Onboarding und die Authentifizierung von Developer Portal-Benutzern in einer bestimmten Anbieterorganisation verwendet werden. Während eine gemeinsame LDAP-Benutzerregistrierung für die Authentifizierung von Cloud Manager-, API Manager- und Developer Portal-Benutzern verwendet werden kann.

In diesem Abschnitt wird beschrieben, wie Sie eine organisationsspezifische LDAP-Benutzerregistry konfigurieren. Weitere Informationen zum Erstellen einer gemeinsamen Registrierung finden Sie unter Verwenden der Befehlszeilenschnittstelle zum Konfigurieren einer gemeinsamen LDAP-Benutzerregistrierung für weitere Informationen.

Hinweis:

Sie können auch organisationsspezifische LDAP-Benutzerregistrierungen mithilfe der API Manager-Benutzeroberfläche erstellen. Weitere Informationen finden Sie unter Erstellen einer LDAP-Benutzerregistrierung in API Manager.
Darüber hinaus können Sie LDAP-Benutzerregistrys mit den REST-APIs von API Connect erstellen und verwalten. Weitere Informationen finden Sie in der Dokumentation zur API Connect -REST-API.
Wenn Sie DataPower® API Gatewayverwenden, wird die LDAP-Gruppenauthentifizierung nicht unterstützt.
Sie können externe LDAP-Gruppen API Connect -Benutzerrollen zuordnen, damit die Benutzerberechtigung mithilfe der Befehlszeilenschnittstelle des Entwicklertoolkits besser gesteuert werden kann. In den folgenden Anweisungen wird erläutert, wie Sie die Konfiguration external_group_mapping_enabled in Ihrer LDAP-Benutzerregistryressource festlegen können. Informationen zum Festlegen der externen Rollenzuordnung für Ihre API Connect -Benutzerrollen finden Sie unter LDAP-Gruppenzuordnung für Cloud Manager-Benutzerrollen konfigurieren.

Sie erstellen eine LDAP-Benutzerregistry, indem Sie zuerst die Registrydetails in einer Konfigurationsdatei definieren. Anschließend verwenden Sie einen CLI-Befehl developer toolkit , um die Registry zu erstellen und die Konfigurationsdatei als Parameter zu übergeben. Um die Registry für das Developer Portal verfügbar zu machen, müssen Sie die Registry im zugehörigen Katalog aktivieren. Um APIs mit einer LDAP-Registry zu sichern, müssen Sie Sicherheitsdefinitionen konfigurieren. Sie können die folgenden Anweisungen verwenden, um eine beschreibbare oder eine schreibgeschützte LDAP-Benutzerregistry zu erstellen.

Weitere Informationen zur Authentifizierung mit LDAP finden Sie unter LDAP-Authentifizierung.

An der Befehlszeilenschnittstelle für den Management-Server anmelden

Bevor Sie die Konfiguration der LDAP-Benutzerregistry definieren können, müssen Sie sich über die Befehlszeilenschnittstelle des Developer Toolkit als Mitglied einer Providerorganisation bei Ihrem Management-Server anmelden. Verwenden Sie den folgenden Befehl:

apic login --server mgmt_endpoint_url --username user_id --password password --realm provider/identity_provider

Sie können bestimmen, welche Identitätsprovider im Parameter --realm verwendet werden sollen, indem Sie den folgenden Befehl eingeben, um eine Liste aller verfügbaren Identitätsprovider anzuzeigen (Sie müssen nicht angemeldet sein, um diesen Befehl zu verwenden):

apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm

Beispiel:

apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm 
total_results: 2
results:
  - title: API Manager User Registry
    realm: provider/default-idp-2
  - title: Corporate LDAP user registry
    realm: provider/corporate-ldap

Anhand des title-Werts können Sie bestimmen, welchen Identitätsprovider Sie verwenden müssen. Sie können dann den entsprechenden --realm-Parameter direkt aus dem angezeigten realm-Wert kopieren. Für alle Identitätsanbieter, die Ihr Administrator nach der Installation von API Connect erstellt hat, werden die Namen zum Zeitpunkt der Erstellung festgelegt. Die standardmäßige lokale Benutzerregistry für API Manager für die Anmeldung als Mitglied einer Providerorganisation ist default-idp-2.

Ausführliche Informationen zum Befehl "login" finden Sie unter An einem Management-Server anmelden.

Weitere Informationen zur Verwendung der Befehlszeilenschnittstelle finden Sie unter Toolkit installierenund Übersicht über das Befehlszeilentool.

LDAP-Konfiguration definieren

Sie definieren die Konfiguration Ihrer LDAP-Benutzerregistry in einer ldap_config_file.yaml-Datei, wie im folgenden Beispiel dargestellt. Der tatsächliche Inhalt Ihrer YAML-Datei variiert je nach Authentifizierungsmethode Ihres LDAP-Servers und wird in den folgenden Tabellen erläutert.

Wichtig! Geben Sie keine Benutzerregistrierungen zwischen API-Manager und Entwicklerportal oder zwischen Entwicklerportal-Sites frei, wenn Self-Service-Onboarding aktiviert ist oder Kontolöschungen auf einer der Sites erwartet werden. Sie sollten separate Benutzerregistrys für sie erstellen, auch wenn die separaten Registrys auf denselben Back-End-Authentifizierungsprovider (z. B. einen LDAP-Server) verweisen. Diese Trennung ermöglicht es dem Entwicklerportal, eindeutige E-Mail-Adressen für den gesamten Katalog zu verwalten, ohne dass der API-Manager die gleiche Anforderung erfüllen muss. Außerdem werden Probleme vermieden, wenn Benutzer ihre Konten aus dem Entwicklerportal löschen, was sich auf ihren API Manager-Zugang auswirkt.

name: registry_name
title: "display_title"
integration_url: LDAP_integration_url
user_managed: true_or_false
user_registry_managed: false
directory_type: ad
external_group_mapping_enabled: true_or_false
case_sensitive: true_or_false
email_required: true_or_false
email_unique_if_exist: true_or_false
identity_providers:
 - name: provider_name
   title: provider_title
endpoint:
  endpoint: "ldap_server_url_and_port"
configuration:
  authentication_method: authentication_method
  authenticated_bind: "true_or_false"
  admin_dn: "admin_dn"
  admin_password: admin_password
  search_dn_base: "search_dn_base"
  search_dn_scope: search_dn_scope  
  search_dn_filter_prefix: prefix
  search_dn_filter_suffix: suffix
  attribute_mapping:
    dn: "distinguished_name"
    cn: "common_name"
    sn: "last_name"
    mail: "email_address"
    userPassword: "password"

Die gemeinsamen Registry-Eigenschaften der einzelnen Authentifizierungsverfahren werden in der folgenden Tabelle beschrieben:

Eigenschaft	Beschreibung
`name`	Der Name der Registry. Dieser Name wird in CLI-Befehlen verwendet.
`title`	Ein beschreibender Name, der in einer grafischen Benutzerschnittstelle angezeigt werden soll.
`integration_url`	Die URL in Ihrer API Connect Konfiguration. Sie können die LDAP-Integrations-URL mithilfe des folgenden CLI-Befehls bestimmen: `apic integrations:list --server mgmt_endpoint_url --subcollection user-registry`
`user_managed`	Legt fest, ob Ihre Benutzerregistry beschreibbar ist. Muss auf `true` gesetzt werden, damit eine LDAP-Registry beschreibbar ist. Sie können diese Einstellung in `false` ändern, wenn Sie nicht möchten, dass in die Registry geschrieben werden kann. Weitere Informationen hierzu finden Sie im Abschnitt Wechseln zwischen beschreibbarer und schreibgeschützter LDAP-Registry am Ende dieses Abschnitts. Beachten Sie, dass keine beschreibbare LDAP-Benutzerregistry für die Authentifizierung von Cloud Manager -und API Manager -Benutzern verwendet werden kann.
`user_registry_managed`	Muss für LDAP auf `false` gesetzt sein. Legt fest, ob API Connect Ihre Benutzerregistry verwaltet. Nur LUR-Registrys werden von API Connectverwaltet.
`directory`	Einen der folgenden Werte für den Verzeichnistyp angeben: `ad` -Gibt an, dass es sich bei LDAP um Microsoft Active Directory handelt. `standard` -(Standardwert) Gibt jedes andere LDAP an.
`external_group_mapping_enabled`	Legt fest, ob Ihre Benutzerregistry LDAP-Gruppenzuordnungen unterstützt. Gültige Werte: `true` `false` Der Standardwert ist `false`.
`case_sensitive`	Legt fest, ob für die Benutzerregistry die Groß-/Kleinschreibung beachtet werden muss. Gültige Werte: `true` `false` Um eine ordnungsgemäße Handhabung der Großschreibung von Benutzernamen zu gewährleisten, müssen Sie sicherstellen, dass die Einstellung für die Groß-/Kleinschreibung hier mit der Einstellung auf Ihrem Back-End-LDAP-Server übereinstimmt: Setzen Sie nur dann `case_sensitive` auf `true`, wenn Ihr LDAP-Back-End-Server die Unterscheidung von Groß-/Kleinschreibung unterstützt. Setzen Sie `case_sensitive` auf `false`, wenn Ihr LDAP-Back-End-Server die Unterscheidung von Groß-/Kleinschreibung nicht unterstützt. Hinweis: Nachdem mindestens ein Benutzer in die Registry integriert wurde, können Sie diese Einstellung nicht ändern.
`email_required`	Bestimmt, ob eine E-Mail-Adresse im Rahmen des Onboarding-Prozesses für Benutzer erforderlich ist Gültige Werte: `true` `false` Wenn `true`festgelegt ist, muss der Quellenidentitätsprovider die E-Mail-Adresse als Teil des Authentifizierungsprozesses während des Onboardings angeben. Hinweis: Für das Onboarding zum Cloud Manager oder zum API Manager ist eine E-Mail-Adresse nicht standardmäßig erforderlich, für das Onboarding zum Entwicklerportal jedoch schon.
`email_unique_if_exist`	Legt fest, ob E-Mail-Adressen innerhalb der Benutzerregistry eindeutig sein müssen Gültige Werte: `true` `false` Hinweis: Jedes Konto im Entwicklerportal, auch über verschiedene Benutzerregistrierungen für dieselbe Site hinweg, muss eine eindeutige E-Mail-Adresse haben, auch das Site-Admin-Konto.
`identity_providers`	Ein Array mit den Details Ihres LDAP-Servers, wobei Folgendes gilt: `name` - ist der Name des LDAP-Servers und der Name, der in CLI-Befehlen verwendet wird. `title` - ist der Anzeigename des LDAP-Servers.
`endpoint`	Der Endpunkt Ihres LDAP-Servers, der sich aus der URL und dem Port zusammensetzt, wie zum Beispiel: `"ldap://server.com:389"`
`tls_profile`	Legen Sie optional das TLS-Clientprofil fest, das für den LDAP-Server erforderlich ist.
`protocol_version`	Legen Sie optional die Versionsnummer für das LDAP-Protokoll fest, das Sie verwenden. Gültige Werte: `2` `3` Nimmt standardmäßig den Wert `3` an, wenn nichts explizit festgelegt wird.

Die Eigenschaften im Konfigurationsabschnitt variieren abhängig von der ausgewählten Authentifizierungsmethode. Die drei Authentifizierungsmethoden sind:

compose_dn - Legen Sie dieses Format fest, wenn Sie den LDAP-DN des Benutzers aus dem Benutzernamen erstellen können. Beispiel: uid=<username>,ou=People,dc=company,dc=com ist ein DN-Format, das aus dem Benutzernamen zusammengesetzt werden kann. Wenn Sie nicht sicher sind, ob "DN erstellen" die richtige Option ist, wenden Sie sich an den LDAP-Administrator. Wenn Sie eine LDAP-Registry zum Sichern von APIs verwenden, wird compose_dn mit dem DataPower API Gateway nicht unterstützt.
compose_upn - Legen Sie dieses Format fest, wenn Ihr LDAP-Verzeichnis die Bindung mit Benutzerhauptnamen wie john@acme.com unterstützt. Das Microsoft Active Directory ist ein Beispiel für ein LDAP-Verzeichnis, das die Authentifizierung "Erstellen (UPN)" unterstützt. Wenn Sie sich unsicher sind, welches der LDAP-Verzeichnisse die Bindung mit UPNs unterstützt, wenden Sie sich an den LDAP-Administrator.
Hinweis: Der DN für Administratorbindung und das Kennwort für Administratorbindung werden bei dieser Authentifizierungsmethode nicht verwendet.
search_dn - Wählen Sie dieses Format aus, wenn Sie den LDAP-DN (Distinguished Name) des Benutzers nicht aus dem Benutzernamen erstellen können, wenn sich z. B. die Basis-DNs der Benutzer unterscheiden. Dieses Format erfordert möglicherweise einen Administrator-DN und ein Kennwort für die Suche nach Benutzern im LDAP-Verzeichnis. Wenn Ihr LDAP-Verzeichnis anonymes Binden erlaubt, können Sie den Admin-DN und das Kennwort übergehen. Wenn Sie nicht sicher sind, ob Ihr LDAP-Verzeichnis anonymes Binden erlaubt, wenden Sie sich an den LDAP-Administrator.

Legen Sie für die Authentifizierungsmethode compose_dn die folgenden Konfigurationseigenschaften fest:

Eigenschaften	Beschreibung
`authentication_method`	`compose_dn`
`authenticated_bind`	Die Bindungsmethode. Gültige Werte: `"true"` - authentifizierte Bindung `"false"` - anonyme Bindung Wenn keine bestimmten Berechtigungen zum Durchsuchen der Registry benötigt werden, wählen Sie `"false"` aus. Wenn bestimmte Berechtigungen erforderlich sind, wählen Sie `"true"`aus.
`admin_dn`	Wenn `authenticated_bind` auf `"true"` gesetzt ist, geben Sie den definierten Namen (DN) eines Benutzers ein, der für die Durchführung von Suchvorgängen im LDAP-Verzeichnis berechtigt ist. Zum Beispiel: `"cn=admin,dc=company,dc=com"`
`admin_password`	Wenn `authenticated_bind` auf `"true"`gesetzt ist, geben Sie das Benutzerkennwort für `admin_dn` ein.
`search_dn_base`	Geben Sie optional einen Basis-DN an, z. B.: `"dc=company,dc=com"`
`bind_prefix`	Legen Sie das Präfix für den DN fest, z. B.: `(uid=`
`bind_suffix`	Legen Sie das Suffix für den DN fest, z. B.: `)`
`attribute_mapping`	Wenn `user_managed` auf `true`gesetzt ist, geben Sie die Zuordnung Ihrer LDAP-Quellenattributnamen zu den API Connect -Zielwerten an. Diese Zuordnung wird als Name-Wert-Paar konfiguriert und wie folgt angegeben: `ldap_registry_attribute_name: "apic_ldap_attribute_value"` Dabei gilt: `ldap_registry_attribute_name` - ist der Name des LDAP-Quellenattributs. `apic_ldap_attribute_value` - ist eine Zeichenkette, die den Wert darstellt, mit dem API Connect das LDAP-Attribut auffüllt, indem der in `[ ]` enthaltene Inhalt durch den Wert ersetzt wird, den der Benutzer bei der Anmeldung angibt. Die Benutzerprofileigenschaften, die API Connect während der Benutzerregistrierung erfordert, sind `username`, `first_name`, `last_name`, `email`und `password`. Der folgende Auszug zeigt ein Beispiel für eine Attributzuordnung: `attribute_mapping: dn: "uid=[username],ou=users,dc=company,dc=com" cn: "[first_name] [last_name]" sn: "[last_name]" mail: "[email]" userPassword: "[password]"`

Legen Sie für die Authentifizierungsmethode compose_upn die folgenden Konfigurationseigenschaften fest:

Eigenschaften	Beschreibung
`authentication_method`	`compose_upn`
`authenticated_bind`	Die Bindungsmethode. Gültige Werte: `"true"` - authentifizierte Bindung `"false"` - anonyme Bindung Wenn keine bestimmten Berechtigungen zum Durchsuchen der Registry benötigt werden, wählen Sie `"false"` aus. Wenn bestimmte Berechtigungen erforderlich sind, wählen Sie `"true"`aus.
`admin_dn`	Wenn `authenticated_bind` auf `"true"` gesetzt ist, geben Sie den definierten Namen (DN) eines Benutzers ein, der für die Durchführung von Suchvorgängen im LDAP-Verzeichnis berechtigt ist. Beispiel: `"cn=admin,dc=company,dc=com"`
`admin_password`	Wenn `authenticated_bind` auf `"true"`gesetzt ist, geben Sie das Benutzerkennwort für `admin_dn` ein.
`bind_suffix`	Geben Sie die Domänenkomponente des Benutzernamens des Principals ein. Zum Beispiel: `@acme.com`
`attribute_mapping`	Wenn `user_managed` auf `true`gesetzt ist, geben Sie die Zuordnung Ihrer LDAP-Quellenattributnamen zu den API Connect -Zielwerten an. Diese Zuordnung wird als Name-Wert-Paar konfiguriert und wie folgt angegeben: `ldap_registry_attribute_name: "apic_ldap_attribute_value"` Dabei gilt: `ldap_registry_attribute_name` - ist der Name des LDAP-Quellenattributs. `apic_ldap_attribute_value` - ist eine Zeichenkette, die den Wert darstellt, mit dem API Connect das LDAP-Attribut auffüllt, indem der in `[ ]` enthaltene Inhalt durch den Wert ersetzt wird, den der Benutzer bei der Anmeldung angibt. Die Benutzerprofileigenschaften, die API Connect während der Benutzerregistrierung erfordert, sind `username`, `first_name`, `last_name`, `email`und `password`. Der folgende Auszug zeigt ein Beispiel für eine Attributzuordnung: `attribute_mapping: dn: "uid=[username],ou=users,dc=company,dc=com" cn: "[first_name] [last_name]" sn: "[last_name]" mail: "[email]" userPassword: "[password]"`

Legen Sie für die Authentifizierungsmethode search_dn die folgenden Konfigurationseigenschaften fest:

Eigenschaft	Beschreibung
`authentication_method`	`search_dn`
`authenticated_bind`	Die Bindungsmethode. Gültige Werte: `"true"` - authentifizierte Bindung `"false"` - anonyme Bindung Wenn keine bestimmten Berechtigungen zum Durchsuchen der Registry benötigt werden, wählen Sie `"false"` aus. Wenn bestimmte Berechtigungen erforderlich sind, wählen Sie `"true"`aus.
`admin_dn`	Wenn `authenticated_bind` auf `"true"` gesetzt ist, geben Sie den definierten Namen (DN) eines Benutzers ein, der für die Durchführung von Suchvorgängen im LDAP-Verzeichnis berechtigt ist. Beispiel: `"cn=admin,dc=company,dc=com"`
`admin_password`	Wenn `authenticated_bind` auf `"true"`gesetzt ist, geben Sie das Benutzerkennwort für `admin_dn` ein.
`search_dn_base`	Geben Sie optional einen Basis-DN an, z. B.: `"dc=company,dc=com"`
`search_dn_scope`	Definieren Sie optional den Bereich für den Such-DN. Der Bereich bestimmt, welcher Teil der Verzeichnisinformationsbaumstruktur untersucht wird. Mögliche Werte: `base` `one` `sub` (Standardwert)
`search_dn_filter_prefix`	Legen Sie das Präfix für den DN fest, z. B.: `(uid=`
`search_dn_filter_suffix`	Legen Sie das Suffix für den DN fest, z. B.: `)`
`attribute_mapping`	Wenn `user_managed` auf `true`gesetzt ist, geben Sie die Zuordnung Ihrer LDAP-Quellenattributnamen zu den API Connect -Zielwerten an. Diese Zuordnung wird als Name-Wert-Paar konfiguriert und wie folgt angegeben: `ldap_registry_attribute_name: "apic_ldap_attribute_value"` Dabei gilt: `ldap_registry_attribute_name` - ist der Name des LDAP-Quellenattributs. `apic_ldap_attribute_value` - ist eine Zeichenkette, die den Wert darstellt, mit dem API Connect das LDAP-Attribut auffüllt, indem der in `[ ]` enthaltene Inhalt durch den Wert ersetzt wird, den der Benutzer bei der Anmeldung angibt. Die Benutzerprofileigenschaften, die API Connect während der Benutzerregistrierung erfordert, sind `username`, `first_name`, `last_name`, `email`und `password`. Der folgende Auszug zeigt ein Beispiel für eine Attributzuordnung: `attribute_mapping: dn: "uid=[username],ou=users,dc=company,dc=com" cn: "[first_name] [last_name]" sn: "[last_name]" mail: "[email]" userPassword: "[password]"`

Speichern Sie Ihre ldap_config_file.yaml , um über den Befehl user-registries:create im folgenden Abschnitt darauf zugreifen zu können. Im Abschnitt Beispiel finden Sie eine Beispielkonfigurationsdatei.

LDAP-Benutzerregistry erstellen

Um Ihre gemeinsam genutzte LDAP-Benutzerregistry zu erstellen, führen Sie den folgenden CLI-Befehl aus:

apic user-registries:create --server mgmt_endpoint_url --org organization_name ldap_config_file.yaml

Dabei gilt:

mgmt_endpoint_url ist die Endpunkt-URL der Plattform-API.
organization_name ist der Wert der Eigenschaft name Ihrer Providerorganisation.
LDAP-Konfigurationsdatei ist der Name der YAML-Datei, die die Konfiguration Ihrer LDAP-Benutzerregistry definiert.

Nach Abschluss der Registry-Erstellung zeigt der Befehl die folgenden Details zur Zusammenfassung an:

registry_name registry_url

Der Registry-Name wird von der Eigenschaft name in der Konfigurations-YAML-Datei abgeleitet. Die registry_url ist die URL, mit der auf die Registry-Ressource zugegriffen werden kann.

Ihre LDAP-Benutzerregistrierung ist nun erstellt. Im folgenden Abschnitt finden Sie Anweisungen, wie Sie die Registrierung im Entwicklerportal verfügbar machen können.

LDAP-Registry in einem Katalog konfigurieren

Wenn Sie Ihre LDAP-Registrierung für die Authentifizierung von Entwicklerportal-Benutzern zur Verfügung stellen möchten, müssen Sie sie in dem Katalog aktivieren, der mit diesem Entwicklerportal verknüpft ist. Führen Sie die folgenden Schritte aus:

Ermitteln Sie die URL Ihrer LDAP-Benutzerregistry mit dem folgenden Befehl (Sie können auch die Zusammenfassung der Registry-Erstellung kopieren und einfügen):
```
apic user-registries:list --server mgmt_endpoint_url --org organization_name
```
Melden Sie sich als Mitglied einer Provider-Organisation beim Management-Server an. Geben Sie dazu den folgenden Befehl ein:
```
apic login --server mgmt_endpoint_url --username user_id --password password --realm provider/identity_provider
```
Sie können bestimmen, welche Identitätsprovider im Parameter --realm verwendet werden sollen, indem Sie den folgenden Befehl eingeben, um eine Liste aller verfügbaren Identitätsprovider anzuzeigen (Sie müssen nicht angemeldet sein, um diesen Befehl zu verwenden):
```
apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm
```
Beispiel:
```
apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm 
total_results: 2
results:
  - title: API Manager User Registry
    realm: provider/default-idp-2
  - title: Corporate LDAP user registry
    realm: provider/corporate-ldap
```
Anhand des title-Werts können Sie bestimmen, welchen Identitätsprovider Sie verwenden müssen. Sie können dann den entsprechenden --realm-Parameter direkt aus dem angezeigten realm-Wert kopieren. Für alle Identitätsanbieter, die Ihr Administrator nach der Installation von API Connect erstellt hat, werden die Namen zum Zeitpunkt der Erstellung festgelegt. Die standardmäßige lokale Benutzerregistry für API Manager für die Anmeldung als Mitglied einer Providerorganisation ist default-idp-2.
Weitere Informationen über den Befehl apic login finden Sie unter Anmeldung bei einem Management-Server.
Geben Sie den folgenden Befehl ein (der Bindestrich am Ende bedeutet, dass der Befehl Eingaben aus der Befehlszeile entgegennimmt):
```
apic configured-catalog-user-registries:create --server mgmt_endpoint_url --org organization_name --catalog catalog_name -
```
Dabei ist catalog_name der Wert desnameEigenschaft des erforderlichen Katalogs. Der Befehl gibt Folgendes zurück:
```
Reading CONFIGURED_CATALOG_USER_REGISTRY_FILE arg from stdin
```
Geben Sie die folgenden Daten gefolgt von einer neuen Zeile ein:
```
user_registry_url: ldap_registry_url
```
wobei ldap_registry_url die URL Ihrer LDAP-Registrierung ist, die Sie in Schritt 1 erhalten haben.
Drücken Sie CTRL D , um die Eingabe zu beenden.

LDAP-Registry zwischen beschreibbar und schreibgeschützt umschalten

Nachdem eine LDAP-Benutzerregistry erstellt wurde, kann sie zwischen beschreibbar und schreibgeschützt umgeschaltet werden, indem die Eigenschaft user_managed in der Registry-Konfiguration aktualisiert wird. Führen Sie die folgenden Schritte aus.

Ermitteln Sie den Namen oder die ID der LDAP-Benutzerregistry, die Sie aktualisieren möchten, indem Sie den folgenden Befehl ausführen (Sie können auch die Zusammenfassung aus der Registry-Erstellung verwenden):
```
apic user-registries:list --server mgmt_endpoint_url --org organization_name
```
Der Befehl gibt eine Liste aller Benutzerregistrys für diese Organisation zurück, die nach Name gefolgt von der Registry-URL angezeigt werden. Die Registry-ID befindet sich am Ende der URL, zum Beispiel https://company.com/api/user-registries/x-x-x-x-x/registry_id.
Geben Sie den folgenden Befehl ein (der Bindestrich am Ende bedeutet, dass der Befehl Eingaben aus der Befehlszeile entgegennimmt):
```
apic user-registries:update --server mgmt_endpoint_url --org organization_name registry_name_or_id -
```
Dabei steht registry_name_or_id für den Namen oder die ID der LDAP-Benutzerregistry, die Sie aktualisieren möchten (wie im vorherigen Schritt festgelegt). Der Befehl gibt Folgendes zurück:
```
Reading USER_REGISTRY_FILE arg from stdin
```
Geben Sie die folgenden Daten gefolgt von einer neuen Zeile ein:
```
user_managed: true_or_false
```
wobei true die Registrierung beschreibbar macht und false die Registrierung schreibgeschützt macht.
Drücken Sie CTRL D , um die Eingabe zu beenden.

Wenn Sie Ihre Registrierung von schreibgeschützt auf beschreibbar umstellen, müssen Sie auch die Konfiguration attribute_mapping einstellen, wie in den vorherigen Tabellen der Registrierungseigenschaften beschrieben.

LDAP-Benutzerregistry zum Sichern von APIs verwenden

Wenn Sie die LDAP-Benutzerregistry für sichere APIs verwenden möchten, lesen Sie die folgenden Informationen:

Informationen zur Verwendung für die Basisauthentifizierung in der Sicherheitsdefinition für eine API finden Sie unter Sicherheitsdefinition für Basisauthentifizierung erstellen.
Informationen zur Authentifizierung in der Benutzersicherheitskonfiguration für einen nativen OAuth-Provider finden Sie unter Benutzersicherheit für einen nativen OAuth-Provider konfigurieren.

Weitere Informationen zu den Befehlen apic user-registries und apic configured-catalog-user-registries finden Sie in der Toolkit-CLI-Referenzdokumentation.

Beispiel

Das folgende Beispiel zeigt eine Konfigurationsdatei, die die Authentifizierungsmethode DN suchen zum Konfigurieren einer beschreibbaren LDAP-Registry verwenden:

name: sdn-ldap
title: "SDN LDAP User Registry"
integration_url: https://mycompany.com/api/cloud/integrations/user-registry/xxx-xxx-xxx
user_managed: true
user_registry_managed: false
directory_type: standard
case_sensitive: false
identity_providers:
  - name: ldap
    title: "SDN LDAP Identity Provider"
endpoint:
  endpoint: "ldap://mycompany.com:389"
configuration:
  authentication_method: search_dn
  authenticated_bind: "true"
  admin_dn: "cn=admin,dc=company,dc=com"
  admin_password: xxxx
  search_dn_base: "dc=company,dc=com"
  search_dn_scope: sub
  search_dn_filter_prefix: (uid=
  search_dn_filter_suffix: )
  attribute_mapping:
    dn: "uid=[username],ou=users,dc=company,dc=com"
    cn: "[first_name] [last_name]"
    sn: "[last_name]"
    mail: "[email]"
    userPassword: "[password]"