Configuration des mappages de groupes d' LDAP s pour les rôles utilisateur dans API Manager

Modifier en ligne

En tant qu'administrateur d'API Manager, vous pouvez configurer le mappage des groupes d' LDAP s aux API Connect rôles au sein d'une organisation de fournisseurs à l'aide de l'interface de ligne de commande (CLI) de la boîte à outils pour développeurs.

Avant de commencer

Vous devez disposer d'une ressource de registre utilisateur « LDAP » dans l 'API Manager dont la external_group_mapping_enabled configuration est définie sur true. Pour plus d'informations, consultez la section « Utilisation de l'interface de ligne de commande (CLI) pour créer un registre d'utilisateurs LDAP spécifique à une organisation ».

L'un des rôles suivants est requis pour éditer des rôles :

  • Administrateur
  • Propriétaire
  • Rôle personnalisé avec leSettings: managedroits
Remarque: Les rôles d'organisation de type fournisseur s'appliquent uniquement aux utilisateurs d' API Manager . Si vous souhaitez appliquer le mappage de groupe LDAP aux utilisateurs de Cloud Manager, consultez la section Configuration du mappage de groupe LDAP sur les rôles d'utilisateur de Cloud Manager. LDAP La mise en correspondance de groupes ne peut pas être appliquée aux utilisateurs du catalogue des consommateurs.

A propos de cette tâche

Vous pouvez associer des groupes d' LDAP s externes aux rôles d'utilisateur API Connect préconfigurés (à l'exception des rôles « Propriétaire » et « Membre »), ainsi qu'à tout rôle d'utilisateur personnalisé, afin de répondre aux besoins de votre entreprise.

Remarques :
  • Une fois que le mappage de groupes LDAP est activé pour un rôle, l'intégration de l'utilisateur respecte toujours les mappages de groupes.
  • Une fois l'inscription effectuée, l'adhésion de l'utilisateur à API Connect reste valable pendant toute la durée de la session (access_token_ttl), indépendamment de toute modification apportée au registre externe LDAP. L'appartenance n'est mise à jour que lors de la prochaine connexion, lorsque les informations LDAP sont extraites et actualisées.
  • Un ou plusieurs API Connect rôles peuvent être associés à un ou plusieurs groupes « LDAP », et un ou plusieurs groupes « LDAP » peuvent être associés à un rôle.
  • Lorsque plusieurs groupes LDAP s sont associés à un seul rôle, cela signifie qu'un utilisateur appartenant à n'importe lequel de ces groupes LDAP s peut se connecter à API Connect.
  • Si un utilisateur est supprimé du registre des utilisateurs d' LDAP, pour garantir sa suppression rapide de [ API Connect ...], vous devez également supprimer son affiliation dans [... API Connect].
  • Dans API Manager , vous pouvez mapper des rôles au niveau de l'organisation de type fournisseur, du catalogue et, le cas échéant, de l'espace. Toutefois, vous pouvez uniquement mapper des rôles au niveau enfant du catalogue, puis au niveau enfant de l'espace du catalogue, si le niveau parent possède également un mappage de groupe défini. Le mappage au niveau enfant remplace le mappage pour le même rôle au niveau parent. Par exemple :

    Si le rôle d'administrateur au niveau de l'organisation de type fournisseur est mappé au groupe LDAP cn=APIC-Administrators,ou=ibmgroups,o=ibm.com et que le rôle d'administrateur au niveau d'un catalogue est mappé au groupe LDAP cn=APIC-Developers,ou=ibmgroups,o=ibm.com, tout utilisateur ajouté en tant que membre de catalogue doit appartenir au groupe cn=APIC-Developers,ou=ibmgroups,o=ibm.com. Notez que les membres au niveau de l'organisation de type fournisseur qui font partie du groupe cn=APIC-Administrators,ou=ibmgroups,o=ibm.com peuvent toujours accéder au catalogue en raison de l'héritage.

Vous pouvez configurer les mappages de groupes d' LDAP s à l'aide de l'une des méthodes suivantes :

Utilisation de l'interface utilisateur pour configurer les mappages de groupes d' LDAP

Modifier en ligne

Utilisez l'interface utilisateur de l'API Manager pour configurer les mappages de groupes d' LDAP.

Procédure

  1. Connectez-vous à API Manager en tant qu'utilisateur disposant des droits appropriés.
  2. Cliquez sur Paramètres > Rôles > Ajouter un nouveau rôle ou éditer un rôle existant .
  3. Sélectionnez les paramètres suivants:
    • Activer le mappage de groupe externe -sélectionnez cette option pour activer le mappage de groupe externe pour ce rôle.
    • LDAP Registre des utilisateurs - LDAP : liste du registre des utilisateurs pour laquelle le mappage des groupes externes est activé. L'utilisateur doit sélectionner l'un des registres d'utilisateurs de l' LDAP s figurant dans cette liste.
    • LDAP noms de groupes - ajoutez un ou plusieurs noms de groupes LDAP que vous souhaitez associer au rôle utilisateur.
    • Préfixe du groupe d'utilisateurs : ajoutez le préfixe du groupe d'utilisateurs « LDAP ».
    • Suffixe du groupe d'utilisateurs : ajoutez le suffixe du groupe d'utilisateurs « LDAP ».
  4. Sauvegardez vos modifications.

Résultats

Le rôle est mis à jour avec les informations de mappage de groupes LDAP. Les utilisateurs peuvent désormais se connecter à API Manageret se voir affecter automatiquement les droits d'accès appropriés pour leur rôle.

Utilisation de l'interface de ligne de commande pour configurer les mappages de groupes d' LDAP

Modifier en ligne

Utilisez l'interface de ligne de commande (CLI) de la boîte à outils pour configurer les mappages de groupes d' LDAP.

A propos de cette tâche

Pour plus d'informations sur l'utilisation de l'interface de ligne de commande, voir Installation du kit d'outilset Présentation de l'outil de ligne de commande.

Procédure

Procédez comme suit pour associer des groupes d' LDAP s externes à des rôles d'utilisateur dans API Manager.
  1. Connectez-vous à l'interface de ligne de commande du serveur de gestion.
    Avant de pouvoir mettre à jour la configuration de rôle, vous devez vous connecter à votre serveur de gestion à partir de l'interface de ligne de commande du kit d'outils de développement en tant que membre d'une organisation de type fournisseur. Utilisez la commande suivante :
    apic login --server mgmt_endpoint_url --username user_id --password password --realm provider/identity_provider
    mgmt_endpoint_url est l'URL de noeud final de l'API de la plateforme.
    Vous pouvez choisir le fournisseur d'identité à utiliser avec le paramètre --realm en entrant la commande suivante qui permet d'afficher la liste de tous les fournisseurs d'identité disponibles (vous n'avez pas besoin d'être connecté pour utiliser cette commande) :
    apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm
    Exemple :
    apic identity-providers:list --scope provider --server platform_api_endpoint_url --fields title,realm 
total_results: 2
results:
  - title: API Manager User Registry
    realm: provider/default-idp-2
  - title: Corporate LDAP user registry
    realm: provider/corporate-ldap
    La valeur title devrait vous aider à déterminer le fournisseur d'identité à utiliser. Vous pouvez copier le paramètre --realm correspondant directement à partir de la valeur realm affichée. Pour tous les fournisseurs d'identité créés par votre administrateur après API Connect l'installation de [nom du logiciel], les noms sont déterminés au moment de la création. Le registre d'utilisateurs local d'API Manager par défaut pour la connexion en tant que membre d'une organisation de type fournisseur est default-idp-2.

    Pour plus de détails sur la commande de connexion, voir Connexion à un serveur de gestion.

  2. Exécutez la commande suivante pour obtenir l' URL s de la ressource de registre « LDAP » dans l 'API Manager à laquelle vous souhaitez associer les rôles utilisateur :
    apic user-registries:get  ldap_user_registry --org organization_name --server mgmt_endpoint_url --output -
    où :
    • ldap_user_registry est le nom ou l'ID de votre ressource de registre d'utilisateurs LDAP.
    • organization_name est la valeur de la propriété name de votre organisation de type fournisseur.
    • mgmt_endpoint_url est l'URL du noeud final de l'API de plateforme.
    Cette commande génère les détails de configuration de votre registre d'utilisateurs LDAP et l'url: est affichée à la fin de la liste, par exemple :
    type: user_registry
api_version: 2.0.0
id: 35e75bad-1d89-4a65-a70f-xxxxxx
name: ldap
title: LDAP
integration_url: >-
  https://server.com/api/cloud/integrations/user-registry/147b5fb1-e88e-41e3-90e9-xxxxxx
registry_type: ldap
user_managed: false
user_registry_managed: false
external_group_mapping_enabled: true
...
url: >-
  https://server.com/api/user-registries/3d58ce7e-16a8-493b-9684-xxxxxx/35e75bad-1d89-4a65-a70f-xxxxxx
  3. Créez un fichier de rôle yaml contenant les propriétés de configuration de mappage de groupes LDAP ci-dessous :
    external_group_mapping:
  user_registry_url: https://server.com/api/user-registries/3d58ce7e-16a8-493b-9684-xxxxxx/35e75bad-1d89-4a65-a70f-xxxxxx
  ldap_groups:
    - 'cn=apic-administrators,ou=ibmgroups,o=ibm.com'
    - 'cn=apic-developers,ou=ibmgroups,o=ibm.com'
  user_group_filter_prefix: (&(uniquemember=
  user_group_filter_suffix: )(objectClass=groupOfUniqueNames))
    Où :
    • user_registry_url Il s'agit de l' URL ation de votre ressource de registre d'utilisateurs LDAP, telle que définie à l'étape #task_apim_role_mapping__ldap_url.
    • ldap_groups est une liste de noms de groupe LDAP que vous souhaitez mapper au rôle utilisateur.
    • user_group_filter_prefix est le préfixe du groupe d'utilisateurs LDAP.
    • user_group_filter_suffix est le suffixe du groupe d'utilisateurs LDAP.
  4. Exécutez la commande suivante pour mettre à jour le rôle utilisateur avec les propriétés de configuration external_group_mapping :
    apic roles:update role_name --scope org --org organization_name --server mgmt_endpoint_url mapping_properties_file
    Où :
    • role_name est le nom du rôle utilisateur auquel vous souhaitez ajouter le mappage de groupes LDAP.
    • --scope est le niveau d'organisation auquel vous souhaitez appliquer la mise à jour. Les valeurs valides sont :
      • org permet d'appliquer le mappage au niveau de l'organisation de type fournisseur.
      • catalog permet d'appliquer le mappage au niveau du catalogue.
      • space permet d'appliquer le mappage au niveau de l'espace.
    • organization_name est la valeur de la propriété name de votre organisation de type fournisseur.
    • mgmt_endpoint_url est l'URL du noeud final de l'API de plateforme.
    • mapping_properties_file est le nom de votre fichier de propriétés de mappage provenant de l'étape #task_apim_role_mapping__role_file, par exemple role_mapping_file.yaml.
    Si vous préférez entrer les propriétés de configuration de manière interactive sur la ligne de commande, vous pouvez remplacer le mapping_properties_file par un trait d'union de fin -et entrer les informations manuellement, puis appuyer sur CTRL D pour terminer l'entrée.

    Si vous souhaitez créer un rôle personnalisé incluant un mappage de groupes d' LDAP, vous pouvez ajouter la section external_group_mapping de configuration dans le fichier role_file, puis créer le nouveau rôle à l'aide de la apic roles:create commande.

Pour plus d'informations sur les apic roles commandes, consultez la documentation de référence de l'interface CLI de la boîte à outils.

Résultats

Le rôle est mis à jour avec les informations de mappage de groupes LDAP. Les utilisateurs peuvent désormais se connecter à API Manageret se voir affecter automatiquement les droits d'accès appropriés pour leur rôle.