API Manager での LDAP ユーザー・レジストリーの作成

API Manager UI を使用して、 開発者ポータルのユーザー認証とオンボーディングを提供するように組織固有の LDAP ユーザー・レジストリーを構成できます。 API も LDAP ユーザー・レジストリーによって保護できます。

開始前に

API ManagerでリソースとしてLDAPユーザーレジストリを構成するには、API Connectエコシステムで使用するためにLDAPディレクトリを作成し、入力する必要があります。

LDAP レジストリーを使用して、API を保護したり、カタログを保護して 開発者ポータル ・ユーザーを認証したりすることができます。

重要: LDAP レジストリーを使用して API を保護する場合、STARTTLS プロトコルはサポートされません。このプロトコルは、TLS セキュリティーを適用することで非セキュア・プロトコルをセキュア・プロトコルにアップグレードします。

LDAP ユーザー・レジストリーを構成するには、以下のいずれかのロールが必要です。

  • 組織管理者
  • 所有者
  • トポロジー管理者
  • 次の役割を持つカスタム役割:Settings: Manage権限

このタスクについて

このトピックでは、組織固有の LDAP ユーザー・レジストリーを構成する方法について説明します。 共有レジストリーを作成する場合は、詳細について クラウド・マネージャー での LDAP ユーザー・レジストリーの構成 を参照してください。
注:

LDAP ユーザー・レジストリーを作成するには、 API Manager UI で一連のプロパティーを構成します。 書き込み可能な LDAP を有効にしたい場合は、Attribute Mapping セクションで User Managed チェックボックスを選択し、ソース LDAP 属性名とターゲット API Connect 値のマッピングを指定します。 「ユーザー管理」チェック・ボックスをクリアして、レジストリーを再び読み取り専用に変更することもできます。 レジストリを Developer Portal で利用できるようにするには、関連する Catalog でコンシューマ・オンボーディング用のレジストリを定義する必要があります。 LDAP レジストリーを使用して API を保護するには、セキュリティー定義を構成する必要があります。

LDAP での認証に関する一般情報については、 LDAP 認証を参照してください。

手順

API Manager UI で新規 LDAP ユーザー・レジストリーをリソースとして構成するには、以下の手順を実行します。

注: Active Directoryを使用している場合は、LDAP 構成でプロパティー "directory_type": "ad" を使用してこれを示す必要があります。

  1. API Managerで、 リソース 「リソース」をクリックします。
  2. 「ユーザー・レジストリー」 セクションで 「作成」 をクリックします。
    重要: セルフサービス・オンボーディングが有効になっている場合、またはいずれかのサイトでアカウントの削除が予期される場合は、 API Manager開発者ポータルの間、または 開発者ポータル ・サイト間でユーザー・レジストリーを共有しないでください。 別々のレジストリーが同じバックエンド認証プロバイダー (例えば、LDAP サーバー) を指している場合でも、それらに対して別々のユーザー・レジストリーを作成する必要があります。 この分離により、 開発者ポータル は、同じ要件を必要とせずに、カタログ全体で固有の E メール・アドレスを維持することができます。 API Manager また、ユーザーが 開発者ポータル から自分のアカウントを削除すると API Manager のアクセス権限に影響するという問題も回避されます。
  3. ユーザー・レジストリー・タイプとして 「LDAP ユーザー・レジストリー」 を選択し、以下の情報を入力します。
    フィールド 説明
    役職 画面に表示する説明的な名前を入力します。
    名前 CLI コマンドで使用される名前です。 名前は自動生成されます。 ユーザー・レジストリーを管理するための CLI コマンドについて詳しくは、 ツールキット CLI リファレンス資料を参照してください。
    表示名 (必須) ユーザー・インターフェースへのログイン時または API Manager アカウントのアクティブ化時にユーザーが選択するために表示される名前。
    注: 開発者ポータル は、 Display Nameではなく、ログイン・ページでユーザー・レジストリーをレンダリングする際に、ユーザー・レジストリーの Title を使用します。
    要約 (オプション) 簡単な説明を入力します。
    アドレス LDAP サーバーの IP アドレスまたはホスト名を入力します。
    ポート API Connect が LDAP レジストリーとの通信に使用できるポート番号を入力します。 例えば、389です。
    TLS クライアント・プロファイルの選択 (オプション) LDAP サーバーが必要とする TLS クライアント・プロファイルを選択します。
    プロトコル・バージョンの選択 使用する LDAP プロトコルのバージョン番号を選択します。
    リモート・ディレクトリーは Microsoft Active Directory です。 Active Directoryを使用する場合は、このオプションを選択します。
    大/小文字を区別する ユーザー名の大/小文字を適切に処理するために、ここでの大/小文字の区別の設定がバックエンドの LDAP サーバーでの設定と一致していることを確認する必要があります
    • バックエンド LDAP サーバーが大/小文字の区別をサポートする場合にのみ「大/小文字の区別」を選択してください。
    • バックエンド LDAP サーバーで大/小文字の区別がサポートされていない場合は、 「大/小文字の区別」 を選択 しないでください
    注: 開発者ポータル では、大/小文字を区別するユーザー名はサポートされていません。
    注: 少なくとも 1 人のユーザーがレジストリーにオンボードされた後は、この設定を変更することはできません。
    E メールは必須です ユーザーのオンボーディング・プロセスの一部として E メール・アドレスが必要な場合は、このチェック・ボックスを選択します。 これを選択した場合、ソース ID プロバイダーは、オンボーディング時に認証プロセスの一部として E メール・アドレスを提供する必要があります。
    注: Cloud Manager または API Managerへのオンボーディングにはデフォルトで E メール・アドレスは必要ありませんが、 開発者ポータルへのオンボーディングには E メール・アドレスが必要です。
    固有の E メール・アドレス E メール・アドレスがユーザー・レジストリー内で固有でなければならない場合は、このチェック・ボックスを選択します。
    注: 開発者ポータル内のすべてのアカウント (同じサイトの異なるユーザー・レジストリー全体を含む) には、固有の E メール・アドレス (サイト管理者アカウントを含む) が必要です。
  4. 「次へ」 をクリックし、認証情報を入力します。認証情報は、選択した認証方式によって異なります。 次の項目から選択します。
    • Compose DN - ユーザーにLDAP識別名(DN)の一部でもあるユーザー名でログインさせたい場合は、この形式を選択します。 例えば、ユーザーのLDAP DNが uid=<username>,ou=People,dc=company,dc=com の場合、ユーザーログインに `uid` を使用します。 「作成 (DN)」が適切なオプションであるかどうかが不明な場合は、LDAP 管理者に問い合わせてください。 LDAP レジストリーを使用して API を保護する場合、DataPower API Gateway では「DN の作成」はサポートされません。
    • 作成 (UPN): LDAP ディレクトリーが、john@acme.com などのユーザー・プリンシパル名とのバインディングをサポートしている場合は、この形式を選択します。 Microsoft Active Directory は、「作成 (UPN)」認証をサポートする LDAP ディレクトリーの一例です。 LDAP ディレクトリーが UPN とのバインディングをサポートしているかどうかが不明な場合は、LDAP 管理者に問い合わせてください。
      注: 管理バインド DN および管理バインド・パスワードは、この認証方式では使用されません。
    • 検索 DN - ユーザーにLDAP DNに属さないユーザー名でログインさせたい場合は、この形式を選択します。 例えば、ユーザーのLDAP DNが {{uid=<username>,ou=People,dc=company,dc=com but }} だった場合、そのユーザーには電子メールでログインしてほしい。 このフォーマットを選択すると、LDAP ディレクトリー内でユーザーを検索するために、管理者の DN とパスワードが必要になる場合があります。 LDAP ディレクトリーで匿名バインドが許可されている場合は、管理者の DN とパスワードを省略することができます。 LDAP ディレクトリーで匿名バインドが許可されているかどうかが不明な場合は、LDAP 管理者に問い合わせてください。
      オプションで、ディレクトリー情報ツリーのどの部分を調べるかを指定するスコープを選択します。
      • 「サブツリー全体」 (デフォルト)
      • 基本オブジェクト
      • 単一レベル

    すべての認証方式について以下を行います。

    API のユーザーを認証するための LDAP レジストリーを作成する場合は、LDAP 許可グループを指定して API アクセスを制限します。 LDAP レジストリーで保護されている API を呼び出すには、ユーザーが自分の LDAP ユーザー ID およびパスワードを使用して正しく認証されていること、かつユーザーが指定された許可グループのメンバーであることが必要です。 許可グループは、静的グループまたは動的グループにすることができます。 静的グループとは、グループの個々のメンバーが明示的にリストされるグループのことです。 動的グループとは、グループ・メンバーが共通して共有する属性のセットによって定義されるグループのことです。

  5. 認証方式が 「DN の作成」の場合は、以下を入力します。
    フィールド 説明
    バインド方式 (Bind Method) 「匿名」または「認証済み」です。 レジストリーを検索するのに特定の許可を必要としない場合は、「匿名バインド」を選択します。 または、特定の許可が必要な場合は、「認証済みバインド」を選択します。
    管理 DN 認証済みバインドの場合、LDAP ディレクトリーで検索を実行する権限を持つユーザーの識別名を入力します。 例えば、cn=admin,dc=company,dc=comなどです。
    管理パスワード 認証済みバインドの場合、管理 DN のユーザー・パスワードを入力します。
    接頭部 バインドまたは認証用のユーザー名の前に来るDNの一部。 例えば、bind_prefix: 'uid=' などです。
    接尾部

    ユーザー名の後に続くDNの一部で、LDAPツリーにおけるユーザーの場所を指定する。 例えば、bind_suffix: ',ou=users,dc=apic,dc=com' などです。

    uid=<username>,ou=People,dc=company,dc=com.
    基本 DN (オプション)

    「基本 DN」フィールドに基本 DN を入力するか、または「基本 DN の取得」をクリックして取得された基本 DN をフィールドに取り込みます。 LDAPサーバーがユーザーエントリーの検索を開始するベースDN。 例:

    search_dn_base:'dc=apic,dc=com'.
    グループ認証を使用 (オプション) 静的または動的。 「静的グループ」の場合、グループ基本 DN、接頭部、および接尾部を入力します。 動的グループの場合、グループのフィルター条件を入力します。
  6. 認証方式 「UPN の作成 (Compose UPN)」で、以下を入力します。
    フィールド 説明
    バインド方式 (Bind Method) 「匿名」または「認証済み」です。 レジストリーを検索するのに特定の許可を必要としない場合は、「匿名バインド」を選択します。 または、特定の許可が必要な場合は、「認証済みバインド」を選択します。
    管理 DN 認証済みバインドの場合、LDAP ディレクトリーで検索を実行する権限を持つユーザーの識別名を入力します。 例えば、cn=admin,dc=company,dc=comなどです。
    管理パスワード 認証済みバインドの場合、管理 DN のユーザー・パスワードを入力します。
    接尾部 UPNを構築するためのユーザー名の後に続くDNの一部。 例えば、@domain.com などです。
    グループ認証を使用 (オプション) グループのフィルター条件を入力します。
  7. 認証方式が 「DN の検索」の場合は、以下を入力します。
    フィールド 説明
    バインド方式 (Bind Method) 「匿名」または「認証済み」です。 レジストリーを検索するのに特定の許可を必要としない場合は、「匿名バインド」を選択します。 または、特定の許可が必要な場合は、「認証済みバインド」を選択します。
    管理 DN 認証済みバインドの場合、LDAP ディレクトリーで検索を実行する権限を持つユーザーの識別名を入力します。 例えば、cn=admin,dc=company,dc=comなどです。
    管理パスワード 認証済みバインドの場合、管理 DN のユーザー・パスワードを入力します。
    接頭部 ユーザー名の前に表示される検索フィルタの一部。 最後の属性は、ログインに使用するものと同じでなければなりません。 例えば、'(&(uid=' などです。
    接尾部 ユーザー名の後に続く検索フィルタの一部。 例えば、 ')(objectClass=organizationalPerson)'です。 search_dn_filter_prefix で指定された最後の属性の属性フィルタを閉じることを目的とした ')' で常に始まることに注目してください。
    基本 DN (オプション)

    「基本 DN」フィールドに基本 DN を入力するか、または「基本 DN の取得」をクリックして取得された基本 DN をフィールドに取り込みます。 LDAPサーバーがユーザーエントリーの検索を開始するベースDN。 例:

    search_dn_base:'dc=apic,dc=com'.
    グループ認証を使用 (オプション) 静的または動的。 「静的グループ」の場合、グループ基本 DN、接頭部、および接尾部を入力します。 動的グループの場合、グループのフィルター条件を入力します。
  8. オプション: 「構成のテスト」 をクリックして、LDAP ユーザー・レジストリーの設定をテストします。 有効な資格情報を入力して、LDAP データベースにアクセスできることを確認します。
  9. オプションです:LDAP ユーザレジストリを書き込み可能にしたい場合は、Attribute Mapping セクションで User Managed チェックボックスを選択し、ソース LDAP 属性名とターゲット API Connect 値のマッピングを指定します。 「追加」をクリックして、以下に指定されているように、それぞれの名前/値のペアを追加します。
    • LDAP 属性名 - ソース LDAP 属性の名前です。
    • API CONNECT VALUE - [ ] に含まれている内容を、ユーザーがサインアップ時に指定した値に置き換えることによって、 API Connect が LDAP 属性に取り込む値を表すストリング。
    以下の例に示すように、 API Connect がユーザー登録時に必要とするデフォルトのユーザー・プロファイル・プロパティーは、 usernamefirst_namelast_nameemail、および passwordです。
    LDAP 属性名 API Connect
    dn uid=[username],ou=users,dc=company,dc=com
    cn [first_name] [last_name]
    sn [last_name]
    mail [email]
    userPassword [password]
    API Connect が LDAP データベースにアクセスできるように、LDAP 構成の正しい属性マッピング値を入力する必要があります。 書き込み可能な LDAP ユーザー・レジストリーを使用して Cloud Manager および API Manager のユーザーを認証することはできないことに注意してください。
  10. 「作成」をクリックします。
    新規 LDAP レジストリーが、「リソース」ページのユーザー・レジストリーのリストに表示されます。

次のタスク

DataPower® API Gatewayを使用する場合、クラウド管理者は、 ゲートウェイ・サービスの登録で説明されているように、オプションでサービスを更新し、LDAP 接続プールを有効にしてパフォーマンスを向上させることができます。

LDAP ユーザー・レジストリーを 開発者ポータル ・ユーザーの認証に使用できるようにするには、その 開発者ポータルに関連付けられているカタログで LDAP ユーザー・レジストリーを有効にする必要があります。 該当するカタログをクリックし、次に 「設定」 > 「オンボーディング」 をクリックします。 「カタログ・ユーザー・レジストリー」 セクションで、 「編集」をクリックし、ユーザー・レジストリーを選択して、 「保存」をクリックします。 詳細は 、「カタログの作成と設定 」を参照してください。

LDAP ユーザー・レジストリーを使用して API を保護するには、以下の情報を参照してください。