Identity Providers

 
gateway83
 
Policy Manager では、以下のタイプのアイデンティティ プロバイダを使用できます。
  • 内部アイデンティティ プロバイダ
    1 つの内部アイデンティティ プロバイダ(IIP)が、
    Layer7 API Gateway
    の内部の認証データベースとしてあらかじめ設定されています。Policy Manager では、IIP 内のユーザおよびグループを変更できます。ユーザおよびグループの IIP への追加の詳細については、「内部アイデンティティ プロバイダのユーザおよびグループ」を参照してください。
  • LDAP アイデンティティ プロバイダ
    Policy Manager では、1 つ以上の LDAP アイデンティティ プロバイダを設定して管理できます。LDAP アイデンティティ プロバイダは認証用に使用される LDAP コネクタです。
    また、バインディングのみによる認証を実行する場合は、LDAP アイデンティティ プロバイダの簡易版を使用できます。
    詳細については、「LDAP アイデンティティ プロバイダ」を参照してください。
  • フェデレーション アイデンティティ プロバイダ
    。フェデレーション アイデンティティ プロバイダ(FIP)は、アイデンティティ連携設定でのみ使用されます。実質的に、FIP は、セキュリティ ドメインで別のセキュリティ ドメインの認証情報が含まれたリクエストを許可することを可能にします。詳細については、「フェデレーション アイデンティティ プロバイダ」を参照してください。
  • ポリシー駆動型アイデンティティ プロバイダ
    ポリシー駆動型アイデンティティ プロバイダは、基本となるポリシー フラグメントを使用して、コンテキスト変数を介して渡されるユーザ名およびパスワードに基づいてユーザを認証します。詳細については、「ポリシー駆動型アイデンティティ プロバイダ」を参照してください。
「アイデンティティ」という用語には、ユーザおよびグループの両方が含まれます。「ユーザ」は個々の人またはマシンを表し、「サービス」には Web サービスおよび XML アプリケーションの両方が含まれます。
フェデレーション アイデンティティ プロバイダに対するセキュリティ ゾーンの影響
フェデレーション アイデンティティ プロバイダおよび LDAP アイデンティティ プロバイダは、セキュリティ ゾーン内に配置できます。ゾーン内に配置されると、対応する「Manage <zone>」または「View <zone>」ロールを持つユーザ のみがこれらのプロバイダを表示できます。ただし、「Manage <zone>」ユーザがサービスを公開する場合、そのユーザは「Manage <service>」ロールに自動的に割り当てられます。このロールによって付与される権限の中には、セキュリティ ゾーンにかかわらず、すべてのアイデンティティ プロバイダにアクセスする権限があります。Policy Manager では、アイデンティティ プロバイダのセキュリティ ゾーンをユーザのゾーンとして表示することで、このことが示されます。
例: Bob は「Zone A」、Sue は「Zone B」にいます。2 人ともサービスを公開しているため、すべてのアイデンティティ プロバイダを表示できます。FIP 「Alpha」は「Zone C」、LDAP アイデンティティ プロバイダ「Beta」は「Zone D」に配置されています。ただし、Bob が「Alpha」および「Beta」を表示すると、それらは両方とも「Zone A」に存在しているかのように表示されます。同様に、Sue が表示した場合、それらは「Zone B」に存在しているかのように表示されます。