Befehlszeilenschnittstelle zum Erstellen eines organisationsspezifischen LDAP-Benutzerregistry verwenden

Online bearbeiten

Sie können die Consumer Catalog -Befehlszeilenschnittstelle verwenden, um eine organisationsspezifische Benutzerregistrierung für „ LDAP “ zu konfigurieren, die die Benutzerauthentifizierung für den Consumer Catalog ermöglicht. APIs können auch mit einer LDAP-Benutzerregistry gesichert werden.

Vorbereitende Schritte

Um eine Benutzerdatenbank von „ LDAP “ als Ressource im API Manager zu konfigurieren, muss das Verzeichnis „ LDAP “ erstellt und für Ihr API Connect Ökosystem verfügbar sein.

LDAP Registries können zur Absicherung von APIs oder zur Absicherung eines Katalogs zur Authentifizierung von Benutzern des Consumer-Katalogs verwendet werden.

Wichtig: Wenn Sie zur Sicherung von APIs eine „ LDAP “-Registrierung verwenden, wird das STARTTLS-Protokoll nicht unterstützt, das durch die Anwendung von „ TLS “-Sicherheit ein unsicheres Protokoll in ein sicheres umwandelt.

Hinweis: Wenn Sie ein verwenden Active Directory, müssen Sie dies über die Eigenschaft "directory_type": "ad" in der Konfiguration von „ LDAP “ angeben.

Für die Konfiguration einer LDAP-Benutzerregistry ist eine der folgenden Rollen erforderlich:

Administrator
Eigner
Topologieadministrator
Angepasste Rolle mit demSettings: ManageBerechtigungen

Informationen zu dieser Task

Hinweis:

Sie können über die Benutzeroberfläche des API-Managers auch unternehmensspezifische Benutzerverzeichnisse für „ LDAP “ erstellen. Weitere Informationen finden Sie unter „Erstellen einer Benutzerregistrierung für den „ LDAP “ im API Manager “.
Darüber hinaus können Sie mithilfe der API Connect REST-APIs Benutzerregister erstellen LDAP und verwalten; siehe dazu die API Connect REST-API-Dokumentation.
Wenn Sie die Gruppe „ LDAPDataPower® API Gateway“ verwenden, wird die Gruppenauthentifizierung nicht unterstützt.
Sie können externe Gruppen aus LDAPAPI Connect Benutzerrollen zuordnen, um mithilfe der CLI des Entwickler-Toolkits eine bessere Kontrolle über die Benutzerberechtigungen zu erlangen. In den folgenden Anweisungen wird erläutert, wie Sie die Konfiguration external_group_mapping_enabled in Ihrer LDAP-Benutzerregistryressource festlegen können. Informationen dazu, wie Sie die Zuordnung externer Rollen zu Ihren API Connect Benutzerrollen einrichten, finden Sie unter „Konfigurieren der Zuordnung von Gruppen in der „ LDAP “ zu Benutzerrollen in Cloud Manager “.

Sie erstellen eine LDAP-Benutzerregistry, indem Sie zuerst die Registrydetails in einer Konfigurationsdatei definieren. Anschließend verwenden Sie einen CLI-Befehl developer toolkit , um die Registry zu erstellen und die Konfigurationsdatei als Parameter zu übergeben. Um die Registrierung für den Verbraucherkatalog verfügbar zu machen, müssen Sie die Registrierung im zugehörigen Katalog aktivieren. Um APIs mit einer LDAP-Registry zu sichern, müssen Sie Sicherheitsdefinitionen konfigurieren. Sie können die folgenden Anweisungen verwenden, um eine beschreibbare oder eine schreibgeschützte LDAP-Benutzerregistry zu erstellen.

Weitere Informationen zur Authentifizierung bei LDAP finden Sie unter LDAP authentication.

An der Befehlszeilenschnittstelle für den Management-Server anmelden

Bevor Sie die Konfiguration der Benutzerregistrierung für „ LDAP “ festlegen können, müssen Sie sich über die CLI des Developer Toolkits als Mitglied einer Anbieterorganisation bei Ihrem Verwaltungsserver anmelden. Verwenden Sie den folgenden Befehl:

apic login --server mgmt_endpoint_url --username user_id --password password --realm provider/identity_provider

Sie können bestimmen, welche Identitätsprovider im Parameter --realm verwendet werden sollen, indem Sie den folgenden Befehl eingeben, um eine Liste aller verfügbaren Identitätsprovider anzuzeigen (Sie müssen nicht angemeldet sein, um diesen Befehl zu verwenden):

apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm

Beispiel:

apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm 
total_results: 2
results:
  - title: API Manager User Registry
    realm: provider/default-idp-2
  - title: Corporate LDAP user registry
    realm: provider/corporate-ldap

Anhand des title-Werts können Sie bestimmen, welchen Identitätsprovider Sie verwenden müssen. Sie können dann den entsprechenden --realm-Parameter direkt aus dem angezeigten realm-Wert kopieren. Für alle Identitätsanbieter, die Ihr Administrator nach API Connect der Installation angelegt hat, werden die Namen bei der Erstellung festgelegt. Die standardmäßige lokale Benutzerregistry für API Manager für die Anmeldung als Mitglied einer Providerorganisation ist default-idp-2.

Ausführliche Informationen zum Befehl "login" finden Sie unter An einem Management-Server anmelden.

Weitere Informationen zur Verwendung der Befehlszeilenschnittstelle finden Sie unter Toolkit installierenund Übersicht über das Befehlszeilentool.

LDAP-Konfiguration definieren

Sie definieren die Konfiguration Ihrer LDAP-Benutzerregistry in einer ldap_config_file.yaml-Datei, wie im folgenden Beispiel dargestellt. Der tatsächliche Inhalt Ihrer YAML-Datei hängt von der Authentifizierungsmethode Ihres „ LDAP “-Servers ab; dies wird in den folgenden Tabellen erläutert.

Wichtig: Verwenden Sie keine gemeinsamen Benutzerregister zwischen dem API-Manager und dem Consumer-Katalog oder zwischen Standorten des Consumer-Katalogs, wenn die Selbstbedienungs-Onboarding-Funktion aktiviert ist oder wenn an einem der Standorte die Löschung von Konten zu erwarten ist. Sie sollten für sie separate Benutzerregister anlegen, auch wenn diese separaten Register auf denselben Backend-Authentifizierungsanbieter verweisen (zum Beispiel einen LDAP -Server). Durch diese Trennung kann der Consumer-Katalog im gesamten Katalog eindeutige E-Mail-Adressen gewährleisten, ohne dass der API-Manager dieselbe Anforderung erfüllen muss. Außerdem werden dadurch Probleme vermieden, die entstehen, wenn Benutzer ihre Konten aus dem Consumer Catalog löschen und dies sich anschließend auf ihren Zugriff auf den API Manager auswirkt.

name: registry_name
title: "display_title"
integration_url: LDAP_integration_url
user_managed: true_or_false
user_registry_managed: false
directory_type: ad
external_group_mapping_enabled: true_or_false
case_sensitive: true_or_false
email_required: true_or_false
email_unique_if_exist: true_or_false
identity_providers:
 - name: provider_name
   title: provider_title
endpoint:
  endpoint: "ldap_server_url_and_port"
configuration:
  authentication_method: authentication_method
  authenticated_bind: "true_or_false"
  admin_dn: "admin_dn"
  admin_password: admin_password
  search_dn_base: "search_dn_base"
  search_dn_scope: search_dn_scope  
  search_dn_filter_prefix: prefix
  search_dn_filter_suffix: suffix
  attribute_mapping:
    dn: "distinguished_name"
    cn: "common_name"
    sn: "last_name"
    mail: "email_address"
    userPassword: "password"

Die gemeinsamen Registry-Eigenschaften der einzelnen Authentifizierungsverfahren werden in der folgenden Tabelle beschrieben:

Eigenschaft	Beschreibung
`name`	Der Name der Registry. Dieser Name wird in CLI-Befehlen verwendet.
`title`	Ein beschreibender Name, der in einer grafischen Benutzerschnittstelle angezeigt werden soll.
`integration_url`	Die Integration von „ LDAP “ URL in Ihrer API Connect Konfiguration. Sie können die LDAP-Integrations-URL mithilfe des folgenden CLI-Befehls bestimmen: `apic integrations:list --server mgmt_endpoint_url --subcollection user-registry`
`user_managed`	Legt fest, ob Ihre Benutzerregistry beschreibbar ist. Muss auf `true` gesetzt werden, damit eine LDAP-Registry beschreibbar ist. Sie können diese Einstellung ändern, `false` wenn Sie nicht möchten, dass die Registrierung beschreibbar ist; weitere Informationen finden Sie im Abschnitt „Umschalten der Registrierung von LDAP zwischen beschreibbar und schreibgeschützt“ am Ende dieses Themas. Beachten Sie, dass eine beschreibbare Benutzerregistrierung vom Typ „ LDAP “ nicht zur Authentifizierung von Cloud Manager- und API Manager -Benutzern verwendet werden kann.
`user_registry_managed`	Muss für LDAP auf `false` gesetzt sein. Legt fest, ob API Connect Ihre Benutzerregistry verwaltet. Nur LUR-Registrys werden von API Connectverwaltet.
`directory`	Einen der folgenden Werte für den Verzeichnistyp angeben: `ad` - Gibt an, dass die „ LDAP “ die Microsoft- Active Directory ist `standard` - (Standardwert) Bezeichnet alle anderen LDAP
`external_group_mapping_enabled`	Legt fest, ob Ihre Benutzerregistry LDAP-Gruppenzuordnungen unterstützt. Gültige Werte: `true` `false` Der Standardwert ist `false`.
`case_sensitive`	Legt fest, ob für die Benutzerregistry die Groß-/Kleinschreibung beachtet werden muss. Gültige Werte: `true` `false` Um eine ordnungsgemäße Handhabung der Großschreibung von Benutzernamen zu gewährleisten, müssen Sie sicherstellen, dass die Einstellung für die Groß-/Kleinschreibung hier mit der Einstellung auf Ihrem Back-End-LDAP-Server übereinstimmt: Setzen Sie nur dann `case_sensitive` auf `true`, wenn Ihr LDAP-Back-End-Server die Unterscheidung von Groß-/Kleinschreibung unterstützt. Setzen Sie `case_sensitive` auf `false`, wenn Ihr LDAP-Back-End-Server die Unterscheidung von Groß-/Kleinschreibung nicht unterstützt. Hinweis: Nachdem mindestens ein Benutzer in die Registry integriert wurde, können Sie diese Einstellung nicht ändern.
`email_required`	Bestimmt, ob eine E-Mail-Adresse im Rahmen des Onboarding-Prozesses für Benutzer erforderlich ist Gültige Werte: `true` `false` Wenn `true`festgelegt ist, muss der Quellenidentitätsprovider die E-Mail-Adresse als Teil des Authentifizierungsprozesses während des Onboardings angeben. Hinweis: Für die Registrierung beim Cloud Manager oder beim API Manager ist standardmäßig keine E-Mail-Adresse erforderlich, für die Registrierung beim Consumer Catalog ist sie jedoch erforderlich.
`email_unique_if_exist`	Legt fest, ob E-Mail-Adressen innerhalb der Benutzerregistry eindeutig sein müssen Gültige Werte: `true` `false` Hinweis: Jedes Konto im Consumer-Katalog, auch über verschiedene Benutzerregister derselben Website hinweg, muss über eine eindeutige E-Mail-Adresse verfügen, einschließlich des Website-Administratorkontos.
`identity_providers`	Ein Array mit den Details Ihres LDAP-Servers, wobei Folgendes gilt: `name` - ist der Name des LDAP-Servers und der Name, der in CLI-Befehlen verwendet wird. `title` - ist der Anzeigename des LDAP-Servers.
`endpoint`	Der Endpunkt Ihres LDAP-Servers, der sich aus der URL und dem Port zusammensetzt, wie zum Beispiel: `"ldap://server.com:389"`
`tls_profile`	Legen Sie optional das TLS-Clientprofil fest, das für den LDAP-Server erforderlich ist.
`protocol_version`	Legen Sie optional die Versionsnummer für das LDAP-Protokoll fest, das Sie verwenden. Gültige Werte: `2` `3` Nimmt standardmäßig den Wert `3` an, wenn nichts explizit festgelegt wird.

Die Eigenschaften im Konfigurationsabschnitt variieren abhängig von der ausgewählten Authentifizierungsmethode. Die drei Authentifizierungsmethoden sind:

compose_dn - Legen Sie dieses Format fest, wenn Sie den LDAP-DN des Benutzers aus dem Benutzernamen erstellen können. Beispielsweise ist ein uid=<username>,ou=People,dc=company,dc=com DN-Format, das aus dem Benutzernamen gebildet werden kann. Wenn Sie nicht sicher sind, ob "DN erstellen" die richtige Option ist, wenden Sie sich an den LDAP-Administrator. Wenn Sie eine LDAP-Registry zum Sichern von APIs verwenden, wird compose_dn mit dem DataPower API Gateway nicht unterstützt.
compose_upn - Legen Sie dieses Format fest, wenn Ihr LDAP-Verzeichnis die Bindung mit Benutzerhauptnamen wie john@acme.com unterstützt. Das Microsoft Active Directory ist ein Beispiel für ein LDAP-Verzeichnis, das die Authentifizierung "Erstellen (UPN)" unterstützt. Wenn Sie sich unsicher sind, welches der LDAP-Verzeichnisse die Bindung mit UPNs unterstützt, wenden Sie sich an den LDAP-Administrator.
Hinweis: Der DN für Administratorbindung und das Kennwort für Administratorbindung werden bei dieser Authentifizierungsmethode nicht verwendet.
search_dn - Wählen Sie dieses Format aus, wenn Sie den LDAP-DN (Distinguished Name) des Benutzers nicht aus dem Benutzernamen erstellen können, wenn sich z. B. die Basis-DNs der Benutzer unterscheiden. Dieses Format erfordert möglicherweise einen Administrator-DN und ein Kennwort für die Suche nach Benutzern im LDAP-Verzeichnis. Wenn Ihr LDAP-Verzeichnis anonymes Binden erlaubt, können Sie den Admin-DN und das Kennwort übergehen. Wenn Sie nicht sicher sind, ob Ihr LDAP-Verzeichnis anonymes Binden erlaubt, wenden Sie sich an den LDAP-Administrator.

Legen Sie für die Authentifizierungsmethode compose_dn die folgenden Konfigurationseigenschaften fest:

Eigenschaften	Beschreibung
`authentication_method`	`compose_dn`
`authenticated_bind`	Die Bindungsmethode. Gültige Werte: `"true"` - authentifizierte Bindung `"false"` - anonyme Bindung Wenn keine bestimmten Berechtigungen zum Durchsuchen der Registry benötigt werden, wählen Sie `"false"` aus. Wenn bestimmte Berechtigungen erforderlich sind, wählen Sie `"true"`aus.
`admin_dn`	Wenn `authenticated_bind` auf `"true"` gesetzt ist, geben Sie den definierten Namen (DN) eines Benutzers ein, der für die Durchführung von Suchvorgängen im LDAP-Verzeichnis berechtigt ist. Zum Beispiel: `"cn=admin,dc=company,dc=com"`
`admin_password`	Wenn `authenticated_bind` auf `"true"`gesetzt ist, geben Sie das Benutzerkennwort für `admin_dn` ein.
`search_dn_base`	Geben Sie optional einen Basis-DN an, z. B.: `"dc=company,dc=com"`
`bind_prefix`	Legen Sie das Präfix für den DN fest, z. B.: `(uid=`
`bind_suffix`	Legen Sie das Suffix für den DN fest, z. B.: `)`
`attribute_mapping`	Wenn auf `true`gesetzt `user_managed` ist, geben Sie die Zuordnung der Attributnamen Ihrer Quell LDAP -Datei zu den Zielwerten API Connect an. Diese Zuordnung ist als Name-Wert-Paar konfiguriert und wird wie folgt angegeben: `ldap_registry_attribute_name: "apic_ldap_attribute_value"` Dabei gilt: `ldap_registry_attribute_name` - ist der Name des LDAP-Quellenattributs. `apic_ldap_attribute_value` – ist eine Zeichenfolge, die den Wert angibt, mit dem das Attribut „ LDAPAPI Connect “ gefüllt wird, indem der darin `[ ]` enthaltene Inhalt durch den Wert ersetzt wird, den der Benutzer bei der Registrierung angibt. Die Benutzerprofileigenschaften, die API Connect während der Benutzerregistrierung erfordert, sind `username`, `first_name`, `last_name`, `email`und `password`. Der folgende Auszug zeigt ein Beispiel für eine Attributzuordnung: `attribute_mapping: dn: "uid=[username],ou=users,dc=company,dc=com" cn: "[first_name] [last_name]" sn: "[last_name]" mail: "[email]" userPassword: "[password]"`

Legen Sie für die Authentifizierungsmethode compose_upn die folgenden Konfigurationseigenschaften fest:

Eigenschaften	Beschreibung
`authentication_method`	`compose_upn`
`authenticated_bind`	Die Bindungsmethode. Gültige Werte: `"true"` - authentifizierte Bindung `"false"` - anonyme Bindung Wenn keine bestimmten Berechtigungen zum Durchsuchen der Registry benötigt werden, wählen Sie `"false"` aus. Wenn bestimmte Berechtigungen erforderlich sind, wählen Sie `"true"`aus.
`admin_dn`	Wenn `authenticated_bind` auf `"true"` gesetzt ist, geben Sie den definierten Namen (DN) eines Benutzers ein, der für die Durchführung von Suchvorgängen im LDAP-Verzeichnis berechtigt ist. Beispiel: `"cn=admin,dc=company,dc=com"`
`admin_password`	Wenn `authenticated_bind` auf `"true"`gesetzt ist, geben Sie das Benutzerkennwort für `admin_dn` ein.
`bind_suffix`	Geben Sie die Domänenkomponente des Benutzernamens des Principals ein. Zum Beispiel: `@acme.com`
`attribute_mapping`	Wenn auf `true`gesetzt `user_managed` ist, geben Sie die Zuordnung der Attributnamen Ihrer Quell LDAP -Datei zu den Zielwerten API Connect an. Diese Zuordnung ist als Name-Wert-Paar konfiguriert und wird wie folgt angegeben: `ldap_registry_attribute_name: "apic_ldap_attribute_value"` Dabei gilt: `ldap_registry_attribute_name` - ist der Name des LDAP-Quellenattributs. `apic_ldap_attribute_value` – ist eine Zeichenfolge, die den Wert angibt, mit dem das Attribut „ LDAPAPI Connect “ gefüllt wird, indem der darin `[ ]` enthaltene Inhalt durch den Wert ersetzt wird, den der Benutzer bei der Registrierung angibt. Die Benutzerprofileigenschaften, die API Connect während der Benutzerregistrierung erfordert, sind `username`, `first_name`, `last_name`, `email`und `password`. Der folgende Auszug zeigt ein Beispiel für eine Attributzuordnung: `attribute_mapping: dn: "uid=[username],ou=users,dc=company,dc=com" cn: "[first_name] [last_name]" sn: "[last_name]" mail: "[email]" userPassword: "[password]"`

Legen Sie für die Authentifizierungsmethode search_dn die folgenden Konfigurationseigenschaften fest:

Eigenschaft	Beschreibung
`authentication_method`	`search_dn`
`authenticated_bind`	Die Bindungsmethode. Gültige Werte: `"true"` - authentifizierte Bindung `"false"` - anonyme Bindung Wenn keine bestimmten Berechtigungen zum Durchsuchen der Registry benötigt werden, wählen Sie `"false"` aus. Wenn bestimmte Berechtigungen erforderlich sind, wählen Sie `"true"`aus.
`admin_dn`	Wenn `authenticated_bind` auf `"true"` gesetzt ist, geben Sie den definierten Namen (DN) eines Benutzers ein, der für die Durchführung von Suchvorgängen im LDAP-Verzeichnis berechtigt ist. Beispiel: `"cn=admin,dc=company,dc=com"`
`admin_password`	Wenn `authenticated_bind` auf `"true"`gesetzt ist, geben Sie das Benutzerkennwort für `admin_dn` ein.
`search_dn_base`	Geben Sie optional einen Basis-DN an, z. B.: `"dc=company,dc=com"`
`search_dn_scope`	Definieren Sie optional den Bereich für den Such-DN. Der Bereich bestimmt, welcher Teil der Verzeichnisinformationsbaumstruktur untersucht wird. Gültige Werte: `base` `one` `sub` (Standardwert)
`search_dn_filter_prefix`	Legen Sie das Präfix für den DN fest, z. B.: `(uid=`
`search_dn_filter_suffix`	Legen Sie das Suffix für den DN fest, z. B.: `)`
`attribute_mapping`	Wenn auf `true`gesetzt `user_managed` ist, geben Sie die Zuordnung der Attributnamen Ihrer Quell LDAP -Datei zu den Zielwerten API Connect an. Diese Zuordnung ist als Name-Wert-Paar konfiguriert und wird wie folgt angegeben: `ldap_registry_attribute_name: "apic_ldap_attribute_value"` Dabei gilt: `ldap_registry_attribute_name` - ist der Name des LDAP-Quellenattributs. `apic_ldap_attribute_value` – ist eine Zeichenfolge, die den Wert angibt, mit dem das Attribut „ LDAPAPI Connect “ gefüllt wird, indem der darin `[ ]` enthaltene Inhalt durch den Wert ersetzt wird, den der Benutzer bei der Registrierung angibt. Die Benutzerprofileigenschaften, die API Connect während der Benutzerregistrierung erfordert, sind `username`, `first_name`, `last_name`, `email`und `password`. Der folgende Auszug zeigt ein Beispiel für eine Attributzuordnung: `attribute_mapping: dn: "uid=[username],ou=users,dc=company,dc=com" cn: "[first_name] [last_name]" sn: "[last_name]" mail: "[email]" userPassword: "[password]"`

Speichern Sie Ihre Datei, ldap_config_file.yaml damit Sie im folgenden Abschnitt über den user-registries:create Befehl darauf zugreifen können. Im Abschnitt Beispiel finden Sie eine Beispielkonfigurationsdatei.

LDAP-Benutzerregistry erstellen

Um Ihre gemeinsam genutzte LDAP-Benutzerregistry zu erstellen, führen Sie den folgenden CLI-Befehl aus:

apic user-registries:create --server mgmt_endpoint_url --org organization_name ldap_config_file.yaml

Dabei gilt:

mgmt_endpoint_url ist die Endpunkt-URL der Plattform-API.
organization_name ist der Wert der Eigenschaft name Ihrer Providerorganisation.
LDAP-Konfigurationsdatei ist der Name der YAML-Datei, die die Konfiguration Ihrer LDAP-Benutzerregistry definiert.

Nach Abschluss der Registry-Erstellung zeigt der Befehl die folgenden Details zur Zusammenfassung an:

registry_name registry_url

Der Registry-Name wird von der Eigenschaft name in der Konfigurations-YAML-Datei abgeleitet. Die registry_url ist die URL, mit der auf die Registry-Ressource zugegriffen werden kann.

Ihre „ LDAP “-Benutzerregistrierung wurde nun erstellt. Im folgenden Abschnitt finden Sie Anweisungen dazu, wie Sie die Registrierung im Consumer-Katalog verfügbar machen können.

LDAP-Registry in einem Katalog konfigurieren

Wenn Sie Ihre „ LDAP “-Registrierung für die Authentifizierung von Benutzern des Consumer-Katalogs verfügbar machen möchten, müssen Sie sie in dem Katalog aktivieren, der diesem Consumer-Katalog zugeordnet ist. Führen Sie die folgenden Schritte aus:

Ermitteln Sie die URL Ihrer LDAP-Benutzerregistry mit dem folgenden Befehl (Sie können auch die Zusammenfassung der Registry-Erstellung kopieren und einfügen):
```
apic user-registries:list --server mgmt_endpoint_url --org organization_name
```
Melden Sie sich als Mitglied einer Provider-Organisation beim Management-Server an. Geben Sie dazu den folgenden Befehl ein:
```
apic login --server mgmt_endpoint_url --username user_id --password password --realm provider/identity_provider
```
Sie können bestimmen, welche Identitätsprovider im Parameter --realm verwendet werden sollen, indem Sie den folgenden Befehl eingeben, um eine Liste aller verfügbaren Identitätsprovider anzuzeigen (Sie müssen nicht angemeldet sein, um diesen Befehl zu verwenden):
```
apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm
```
Beispiel:
```
apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm 
total_results: 2
results:
  - title: API Manager User Registry
    realm: provider/default-idp-2
  - title: Corporate LDAP user registry
    realm: provider/corporate-ldap
```
Anhand des title-Werts können Sie bestimmen, welchen Identitätsprovider Sie verwenden müssen. Sie können dann den entsprechenden --realm-Parameter direkt aus dem angezeigten realm-Wert kopieren. Für alle Identitätsanbieter, die Ihr Administrator nach API Connect der Installation angelegt hat, werden die Namen bei der Erstellung festgelegt. Die standardmäßige lokale Benutzerregistry für API Manager für die Anmeldung als Mitglied einer Providerorganisation ist default-idp-2.
Weitere Informationen zu diesem apic login Befehl finden Sie unter „Anmelden bei einem Verwaltungsserver “.
Geben Sie den folgenden Befehl ein (der Bindestrich am Ende bedeutet, dass der Befehl Eingaben über die Befehlszeile entgegennimmt):
```
apic configured-catalog-user-registries:create --server mgmt_endpoint_url --org organization_name --catalog catalog_name -
```
Dabei ist catalog_name der Wert desnameEigenschaft des erforderlichen Katalogs. Der Befehl gibt Folgendes zurück:
```
Reading CONFIGURED_CATALOG_USER_REGISTRY_FILE arg from stdin
```
Geben Sie die folgenden Daten gefolgt von einer neuen Zeile ein:
```
user_registry_url: ldap_registry_url
```
wobei „ldap_registry_url“ die URL „ URL “ Ihrer „ LDAP “-Registrierung ist, die Sie in Schritt 1 ermittelt haben.
Drücken CTRL D Sie, um die Eingabe zu beenden.

LDAP-Registry zwischen beschreibbar und schreibgeschützt umschalten

Nachdem eine LDAP-Benutzerregistry erstellt wurde, kann sie zwischen beschreibbar und schreibgeschützt umgeschaltet werden, indem die Eigenschaft user_managed in der Registry-Konfiguration aktualisiert wird. Führen Sie die folgenden Schritte aus.

Ermitteln Sie den Namen oder die ID der LDAP-Benutzerregistry, die Sie aktualisieren möchten, indem Sie den folgenden Befehl ausführen (Sie können auch die Zusammenfassung aus der Registry-Erstellung verwenden):
```
apic user-registries:list --server mgmt_endpoint_url --org organization_name
```
Der Befehl gibt eine Liste aller Benutzerregistrys für diese Organisation zurück, die nach Name gefolgt von der Registry-URL angezeigt werden. Die Registry-ID befindet sich am Ende der URL, zum Beispiel https://company.com/api/user-registries/x-x-x-x-x/registry_id.
Geben Sie den folgenden Befehl ein (der Bindestrich am Ende bedeutet, dass der Befehl Eingaben über die Befehlszeile entgegennimmt):
```
apic user-registries:update --server mgmt_endpoint_url --org organization_name registry_name_or_id -
```
Dabei steht registry_name_or_id für den Namen oder die ID der LDAP-Benutzerregistry, die Sie aktualisieren möchten (wie im vorherigen Schritt festgelegt). Der Befehl gibt Folgendes zurück:
```
Reading USER_REGISTRY_FILE arg from stdin
```
Geben Sie die folgenden Daten gefolgt von einer neuen Zeile ein:
```
user_managed: true_or_false
```
wobei die true Registrierung beschreibbar macht und die false Registrierung schreibgeschützt macht.
Drücken CTRL D Sie, um die Eingabe zu beenden.

Wenn Sie Ihre Registrierung von schreibgeschützt auf beschreibbar umstellen, müssen Sie auch die attribute_mapping Konfiguration entsprechend anpassen, wie in den vorangegangenen Tabellen zu den Registrierungseigenschaften beschrieben.

LDAP-Benutzerregistry zum Sichern von APIs verwenden

Wenn Sie die LDAP-Benutzerregistry für sichere APIs verwenden möchten, lesen Sie die folgenden Informationen:

Informationen zur Verwendung für die Basisauthentifizierung in der Sicherheitsdefinition für eine API finden Sie unter Sicherheitsdefinition für Basisauthentifizierung erstellen.
Informationen zur Verwendung für die Authentifizierung in der Ben utzersicherheitskonfiguration für einen nativen „ OAuth “-Anbieter finden Sie unter „Konfigurieren der Benutzersicherheit für einen nativen „ OAuth “-Anbieter “.

Weitere Informationen zu den Befehlen apic user-registriesapic configured-catalog-user-registries und finden Sie in der Referenzdokumentation zur Toolkit-Befehlszeilenschnittstelle.

Beispiel

Das folgende Beispiel zeigt eine Konfigurationsdatei, die die Authentifizierungsmethode DN suchen zum Konfigurieren einer beschreibbaren LDAP-Registry verwenden:

name: sdn-ldap
title: "SDN LDAP User Registry"
integration_url: https://mycompany.com/api/cloud/integrations/user-registry/xxx-xxx-xxx
user_managed: true
user_registry_managed: false
directory_type: standard
case_sensitive: false
identity_providers:
  - name: ldap
    title: "SDN LDAP Identity Provider"
endpoint:
  endpoint: "ldap://mycompany.com:389"
configuration:
  authentication_method: search_dn
  authenticated_bind: "true"
  admin_dn: "cn=admin,dc=company,dc=com"
  admin_password: xxxx
  search_dn_base: "dc=company,dc=com"
  search_dn_scope: sub
  search_dn_filter_prefix: (uid=
  search_dn_filter_suffix: )
  attribute_mapping:
    dn: "uid=[username],ou=users,dc=company,dc=com"
    cn: "[first_name] [last_name]"
    sn: "[last_name]"
    mail: "[email]"
    userPassword: "[password]"