Création d'un registre d'utilisateurs d' LDAP s dans API Manager

Modifier en ligne

Vous pouvez utiliser l'interface utilisateur de l'API Manager pour configurer un registre d'utilisateurs LDAP spécifique à votre organisation afin de permettre l'authentification et l'intégration des utilisateurs pour le catalogue grand public. Les API peuvent également être sécurisées avec un registre d'utilisateurs LDAP.

Avant de commencer

Pour configurer un registre d'utilisateurs d' LDAP en tant que ressource dans API Manager, le répertoire « LDAP » doit être créé et renseigné afin de pouvoir être utilisé avec votre API Connect écosystème.

LDAP Les registres peuvent être utilisés pour sécuriser des API ou pour sécuriser un catalogue afin d'authentifier les utilisateurs du catalogue client.

Important : si vous utilisez un registre « LDAP » pour sécuriser vos API, le protocole STARTTLS, qui permet de passer d'un protocole non sécurisé à un protocole sécurisé en appliquant la sécurité « TLS », n'est pas pris en charge.

L'un des rôles suivants est requis pour configurer un registre d'utilisateurs LDAP :

  • Administrateur d'organisation
  • Propriétaire
  • Administrateur de topologie
  • Rôle personnalisé avec leSettings: Managedroits

A propos de cette tâche

Remarque :

Vous créez un registre d'utilisateurs d' LDAP s en configurant un ensemble de propriétés dans l'interface utilisateur d'API Manager. Si vous souhaitez activer l'écriture dans les attributs ( LDAP ), vous devez remplir la section « Attribute Mapping » (Mappage des attributs) en cochant la case « User Managed » (Géré par l'utilisateur) et en indiquant le mappage entre les noms d'attributs de l' LDAP source et les API Connect valeurs cibles. Vous pouvez également modifier un registre pour qu'il soit à nouveau en lecture seule en décochant la case Géré par l'utilisateur. Pour que le registre soit accessible au catalogue des consommateurs, vous devez définir ce registre pour l'intégration des consommateurs dans le catalogue correspondant. Pour sécuriser les API avec un registre LDAP, vous devez configurer des définitions de sécurité.

Pour obtenir des informations générales sur l'authentification avec LDAP, consultez la page LDAP authentication.

Procédure

Suivez ces étapes pour configurer un nouveau registre d'utilisateurs d' LDAP en tant que ressource dans l'interface utilisateur d'API Manager.
Remarque : si vous utilisez un Active Directory, vous devez l'indiquer en utilisant la propriété "directory_type": "ad" dans la configuration de LDAP.
  1. Dans le Gestionnaire d'API, cliquez sur Ressources Ressources.
  2. Draft comment: felbin.james@ibm.com
    As part of the iPass documentation update, we're adding the audience tag. Once the portal becomes available in iPass, we can delete the Consumer Catalog and remove the audience filter from the Developer Portal. https://jsw.ibm.com/browse/APICON-10493
    Cliquez sur « Créer » dans la section « Registres des utilisateurs ».
    Important : ne partagez pas les registres d'utilisateurs entre l 'API Manager et le Consumer Catalog, ni entre les sites du Consumer Catalog lorsque l'intégration en libre-service est activée ou que des suppressions de comptes sont prévues sur l'un de ces sites. Vous devez créer des registres d'utilisateurs distincts pour chacun d'entre eux, même si ces registres pointent vers le même fournisseur d'authentification en arrière-plan (par exemple, un serveur LDAP ). Cette distinction permet au Catalogue grand public de conserver des adresses e-mail uniques dans l'ensemble du catalogue, sans que l'API Manager ne soit soumis à la même exigence. Cela permet également d'éviter les problèmes liés à la suppression de comptes par les utilisateurs dans le catalogue grand public, qui affecte ensuite leur accès à API Manager.
  3. Sélectionnez « Registre des utilisateurs d' LDAP » comme type de registre des utilisateurs, puis saisissez les informations suivantes :
    Zone Descriptif
    Titre Entrez un nom descriptif à afficher à l'écran.
    Nom Nom utilisé dans des commandes CLI. Le nom est généré automatiquement. Pour plus d'informations sur les commandes CLI permettant de gérer les registres d'utilisateurs, consultez la documentation de référence sur l'interface CLI de la boîte à outils.
    Nom d'affichage (requis) Nom affiché pour être sélectionné par l'utilisateur lors de la connexion à une interface utilisateur ou de l'activation de son compte API Manager .
    Remarque : le catalogue des consommateurs utilise le Title des registres d'utilisateurs lors de leur affichage sur la page de connexion, plutôt que le Display Name.
    Récapitulatif (facultatif) Entrez une courte description.
    Adresse Entrez l'adresse IP ou le nom d'hôte du serveur LDAP.
    Port Saisissez le numéro de port à API Connect utiliser pour communiquer avec le registre LDAP. Par exemple, 389.
    Profil de client TLS (facultatif) Sélectionnez le profil client « TLS » requis par le serveur « LDAP ».
    Version de protocole Sélectionnez le numéro de version du protocole LDAP que vous utilisez.
    Le répertoire distant est Microsoft Active Directory Sélectionnez cette option si vous utilisez Active Directory.
    Sensible à la casse Pour garantir un traitement correct de la mise en majuscules des noms d'utilisateur, vous devez vous assurer que votre paramètre de sensibilité à la casse correspond au paramètre sur votre serveur LDAP de back end :
    • Ne cochez la case « Distinguer majuscules et minuscules » que si votre serveur d' LDAP s backend prend en charge la distinction entre majuscules et minuscules.
    • Ne sélectionnez pas select Sensible à la casse si votre serveur LDAP de back end ne prend pas en charge la sensibilité à la casse.
    Remarque : le catalogue des consommateurs ne prend pas en charge les noms d'utilisateur sensibles à la casse.
    Remarque: Une fois qu'au moins un utilisateur a été intégré au registre, vous ne pouvez pas modifier ce paramètre.
    Courrier électronique requis Cochez cette case si une adresse électronique est requise dans le cadre du processus d'intégration des utilisateurs. Si cette option est sélectionnée, le fournisseur d'identité source doit fournir l'adresse électronique dans le cadre du processus d'authentification lors de l'intégration.
    Remarque : une adresse e-mail n'est pas requise par défaut pour l'intégration à Cloud Manager ou à API Manager, mais elle est obligatoire pour l'intégration au Consumer Catalog.
    Adresse email unique Cochez cette case si les adresses électroniques doivent être uniques dans le registre d'utilisateurs.
    Remarque : chaque compte du catalogue des utilisateurs, y compris ceux figurant dans différents registres d'utilisateurs pour un même site, doit disposer d'une adresse e-mail unique, y compris le compte administrateur du site.
  4. Cliquez sur Suivant et entrez les informations d'authentification qui varient en fonction de la méthode d'authentification sélectionnée. Les choix sont les suivants :
    • Compose DN - Sélectionnez ce format si vous souhaitez que les utilisateurs se connectent avec un nom d'utilisateur qui fait également partie de leur nom distinctif (DN) LDAP. Par exemple, en utilisant `uid` pour la connexion de l'utilisateur, lorsque le DN de l' LDAP de l'utilisateur est : uid=<username>,ou=People,dc=company,dc=com. Si vous n'êtes pas sûr que Composer (DN) est la bonne option, contactez votre administrateur LDAP. Si vous utilisez un registre LDAP pour sécuriser des API, Compose DN n'est pas pris en charge avec la passerelle API DataPower Gateway.
    • Composer un nom principal d'utilisateur - Sélectionnez ce format si votre annuaire LDAP prend en charge la liaison avec des noms principaux d'utilisateur (UPN) comme john@acme.com. L'annuaire Microsoft Active Directory est un exemple d'annuaire LDAP qui prend en charge l'authentification Composer (UPN). Si vous n'êtes pas sûr que votre annuaire LDAP prend en charge les liaisons avec des noms principaux d'utilisateur, contactez votre administrateur LDAP.
      Remarque: le nom distinctif de liaison d'administrateur et le mot de passe de liaison d'administrateur ne sont pas utilisés avec cette méthode d'authentification.
    • Recherche DN - Sélectionnez ce format si vous souhaitez que les utilisateurs se connectent avec un nom d'utilisateur qui ne fait pas partie de leur DN LDAP. Par exemple, si le DN LDAP de l'utilisateur était : {{uid=<username>,ou=People,dc=company,dc=com but }} Vous souhaitez qu'ils se connectent avec leur adresse e-mail. Ce format peut nécessiter un nom distinctif et un mot de passe administrateur pour les utilisateurs dans l'annuaire LDAP. Si votre annuaire LDAP autorise les liaisons anonymes, vous pouvez omettre le nom DN et le mot de passe administrateur. Si vous n'êtes pas sûr que votre annuaire LDAP autorise les liaisons anonymes, contactez votre administrateur LDAP.
      Vous pouvez éventuellement sélectionner une portée pour spécifier la partie de l'arborescence des informations d'annuaire qui est examinée:
      • Sous-arborescence complète (par défaut)
      • Objet de base
      • Niveau unique

    Pour toutes les méthodes d'authentification :

    Si vous créez un registre LDAP pour authentifier les utilisateurs d'une API, vous pouvez spécifier un groupe d'autorisation LDAP pour restreindre l'accès à cette API. Pour pouvoir appeler une API sécurisée par le registre LDAP, un utilisateur doit être correctement authentifié avec son ID utilisateur et son mot de passe LDAP et il doit être membre du groupe d'autorisation spécifié. Le groupe d'autorisation peuvent être statique ou dynamique. Un groupe statique est un groupe dans lequel les membres du groupe sont explicitement répertoriés. Un groupe dynamique est un groupe défini en fonction de l'ensemble d'attributs que les membres du groupe partagent.

  5. Pour la méthode d'authentification Compose DN, entrez ce qui suit:
    Zone Descriptif
    Méthode de liaison Anonyme ou Authentifié. Si aucun droit spécifique n'est requis pour effectuer des recherches dans le registre, sélectionnez Liaison anonyme. Si des droits spécifiques sont requis, sélectionnez Liaison authentifiée.
    Nom distinctif d'administrateur Dans Liaison authentifiée, entrez le nom distinctif d'un utilisateur autorisé à effectuer des recherches dans le répertoire LDAP. Par exemple,cn=admin,dc=company,dc=com.
    Mot de passe d'administrateur Dans Liaison authentifiée, entrez le mot de passe de l'utilisateur pour le nom distinctif d'administrateur.
    Préfixe Partie du DN qui précède le nom d'utilisateur pour la liaison ou l'authentification. Par exemple, bind_prefix: 'uid='.
    Suffixe

    Partie du DN qui suit le nom d'utilisateur et qui précise la position de l'utilisateur dans l'arborescence LDAP. Par exemple, bind_suffix: ',ou=users,dc=apic,dc=com'.

    uid=<username>,ou=People,dc=company,dc=com.
    Nom distinctif de base (facultatif)

    Entrez un nom distinctif de base dans la zone Nom distinctif de base ou cliquez sur Extraire le nom distinctif de bas pour alimenter la zone avec un nom distinctif de base extrait. Le DN de base à partir duquel le serveur d' LDAP s commence sa recherche d'entrées utilisateur. Exemple :

    search_dn_base:'dc=apic,dc=com'.
    Utiliser l'authentification de groupe (facultatif) Statique ou Dynamique. Dans Groupe statique, entrez le nom distinctif de groupe, le préfixe et le suffixe. Dans Groupe dynamique, entrez la condition de filtre du groupe.
  6. Pour la méthode d'authentification Compose UPN, entrez ce qui suit:
    Zone Descriptif
    Méthode de liaison Anonyme ou Authentifié. Si aucun droit spécifique n'est requis pour effectuer des recherches dans le registre, sélectionnez Liaison anonyme. Si des droits spécifiques sont requis, sélectionnez Liaison authentifiée.
    Nom distinctif d'administrateur Dans Liaison authentifiée, entrez le nom distinctif d'un utilisateur autorisé à effectuer des recherches dans le répertoire LDAP. Par exemple,cn=admin,dc=company,dc=com.
    Mot de passe d'administrateur Dans Liaison authentifiée, entrez le mot de passe de l'utilisateur pour le nom distinctif d'administrateur.
    Suffixe Partie du DN qui suit le nom d'utilisateur pour construire l'UPN. Par exemple, @domain.com.
    Utiliser l'authentification de groupe (facultatif) Entrez la condition de filtre du groupe.
  7. Pour la méthode d'authentification Rechercher le nom distinctif, entrez ce qui suit:
    Zone Descriptif
    Méthode de liaison Anonyme ou Authentifié. Si aucun droit spécifique n'est requis pour effectuer des recherches dans le registre, sélectionnez Liaison anonyme. Si des droits spécifiques sont requis, sélectionnez Liaison authentifiée.
    Nom distinctif d'administrateur Dans Liaison authentifiée, entrez le nom distinctif d'un utilisateur autorisé à effectuer des recherches dans le répertoire LDAP. Par exemple,cn=admin,dc=company,dc=com.
    Mot de passe d'administrateur Dans Liaison authentifiée, entrez le mot de passe de l'utilisateur pour le nom distinctif d'administrateur.
    Préfixe Partie du filtre de recherche qui précède le nom d'utilisateur. Le dernier attribut doit être celui que vous avez choisi d'utiliser pour la connexion. Par exemple, '(&(uid='.
    Suffixe Partie du filtre de recherche qui suit le nom d'utilisateur. Par exemple, ')(objectClass=organizationalPerson)'. Remarquez comment il commence toujours par un « ')' » qui est censé fermer le filtre d'attribut pour le dernier attribut spécifié dans « search_dn_filter_prefix ».
    Nom distinctif de base (facultatif)

    Entrez un nom distinctif de base dans la zone Nom distinctif de base ou cliquez sur Extraire le nom distinctif de bas pour alimenter la zone avec un nom distinctif de base extrait. Le DN de base à partir duquel le serveur d' LDAP s commence sa recherche d'entrées utilisateur. Exemple :

    search_dn_base:'dc=apic,dc=com'.
    Utiliser l'authentification de groupe (facultatif) Statique ou Dynamique. Dans Groupe statique, entrez le nom distinctif de groupe, le préfixe et le suffixe. Dans Groupe dynamique, entrez la condition de filtre du groupe.
  8. Facultatif : cliquez sur « Tester la configuration » pour vérifier les paramètres de votre registre d'utilisateurs d' LDAP. Entrez des données d'identification valides pour vous assurer que vous pouvez accéder à la base de données LDAP.
  9. Facultatif : si vous souhaitez rendre votre registre d'utilisateurs d' LDAP. accessible en écriture, cochez la case « Géré par l'utilisateur » dans la section « Mappage des attributs », puis indiquez le mappage entre les noms d'attributs de votre source LDAP et les valeurs API Connect cibles. Cliquez sur Ajouter pour ajouter chaque paire nom/valeur, spécifiée comme suit :
    • NOM D'ATTRIBUT LDAP - nom de l'attribut LDAP source.
    • API CONNECT VALUE - est une chaîne de caractères qui représente la valeur qui API Connect sera attribuée à l'attribut ` LDAP `, en remplaçant le contenu de ce dernier [ ] par la valeur fournie par l'utilisateur lors de son inscription.
    Les propriétés de profil utilisateur par défaut requises par API Connect lors de l'enregistrement d'utilisateur sont username, first_name, last_name, emailet password, comme dans l'exemple suivant:
    NOM D'ATTRIBUT LDAP Valeur API Connect
    dn uid=[username],ou=users,dc=company,dc=com
    cn [first_name] [last_name]
    sn [last_name]
    mail [email]
    userPassword [password]
    Vous devez vous assurer de saisir les valeurs de mappage d'attributs correctes pour votre configuration d' LDAP, afin de permettre API Connect l'accès à la base de données LDAP. Veuillez noter qu'un registre d'utilisateurs accessible en écriture dans l' LDAP e ne peut pas être utilisé pour authentifier les utilisateurs de Cloud Manager et d'API Manager.
  10. Cliquez sur Créer.
    Votre nouveau registre LDAP apparaît dans la liste des registres d'utilisateurs sur la page Ressources.

Etape suivante

Si vous utilisez DataPower® API Gateway, votre administrateur cloud peut, s'il le souhaite, mettre à jour le service et activer la mise en pool des connexions LDAP afin d'améliorer les performances, comme expliqué dans la section « Enregistrement d'un service de passerelle ».

Si vous souhaitez rendre le registre des utilisateurs de l' LDAP e disponible pour l'authentification des utilisateurs du catalogue de consommateurs, vous devez l'activer dans le catalogue associé à ce catalogue de consommateurs. Cliquez sur le catalogue concerné, puis sur Paramètres > Intégration. Dans la section « Registres des utilisateurs du catalogue », cliquez sur « Modifier », sélectionnez le registre des utilisateurs, puis cliquez sur « Enregistrer ». Pour plus d'informations, consultez la section Création et configuration des catalogues.

Si vous souhaitez utiliser le registre d'utilisateurs LDAP pour sécuriser des API, voir les informations suivantes :