LDAP

Mit dem LDAP-Connector können Sie einen generischen LDAP-Server konfigurieren.

Unterstützte Versionen

Dieser Connector unterstützt die LDAP-Versionen 2 und 3.

Hinweise

Führen Sie vor der Verwendung des LDAP-Connectors die folgenden Aufgaben aus:

  • In Ihrem Google Cloud-Projekt:
    • Weisen Sie dem Nutzer, der den Connector konfiguriert, die IAM-Rolle roles/connectors.admin zu.
    • Weisen Sie dem Dienstkonto, das Sie für den Connector verwenden möchten, die folgenden IAM-Rollen zu:
      • roles/secretmanager.viewer
      • roles/secretmanager.secretAccessor

      Ein Dienstkonto ist eine spezielle Art von Google-Konto, das einen nicht menschlichen Nutzer repräsentiert. Es muss authentifiziert und autorisiert werden, um Zugriff auf Daten in Google APIs zu erhalten. Wenn Sie kein Dienstkonto haben, müssen Sie eins erstellen. Weitere Informationen finden Sie unter Dienstkonto erstellen.

    • Aktivieren Sie die folgenden Dienste:
      • secretmanager.googleapis.com (Secret Manager API)
      • connectors.googleapis.com (Connectors API)

      Informationen zum Aktivieren von Diensten finden Sie unter Dienste aktivieren.

    Wenn diese Dienste oder Berechtigungen für Ihr Projekt zuvor nicht aktiviert wurden, werden Sie aufgefordert, sie beim Konfigurieren des Connectors zu aktivieren.

Connector konfigurieren

Für die Konfiguration des Connectors müssen Sie eine Verbindung zu Ihrer Datenquelle (Backend-System) erstellen. Eine Verbindung ist für eine Datenquelle spezifisch. Wenn Sie also viele Datenquellen haben, müssen Sie für jede Datenquelle eine separate Verbindung erstellen. So erstellen Sie eine Verbindung:

  1. Rufen Sie in der Cloud Console die Seite Integration Connectors > Verbindungen auf und wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Seite „Verbindungen“

  2. Klicken Sie auf + NEU ERSTELLEN, um die Seite Verbindung erstellen zu öffnen.
  3. Wählen Sie im Abschnitt Standort den Standort für die Verbindung aus.
    1. Region: Wählen Sie einen Standort aus der Drop-down-Liste aus.

      Eine Liste aller unterstützten Regionen finden Sie unter Standorte.

    2. Tippen Sie auf Weiter.
  4. Führen Sie im Abschnitt Verbindungsdetails folgende Schritte aus:
    1. Connector: Wählen Sie LDAP aus der Drop-down-Liste der verfügbaren Connectors aus.
    2. Connector-Version: Wählen Sie die Connector-Version aus der Drop-down-Liste der verfügbaren Versionen aus.
    3. Geben Sie im Feld Verbindungsname einen Namen für die Verbindungsinstanz ein.

      Verbindungsnamen müssen die folgenden Kriterien erfüllen:

      • Verbindungsnamen können Buchstaben, Ziffern oder Bindestriche enthalten.
      • Buchstaben müssen Kleinbuchstaben sein.
      • Verbindungsnamen müssen mit einem Buchstaben beginnen und mit einem Buchstaben oder einer Ziffer enden.
      • Verbindungsnamen dürfen maximal 63 Zeichen haben.
    4. Geben Sie optional unter Beschreibung eine Beschreibung für die Verbindungsinstanz ein.
    5. Dienstkonto: Wählen Sie ein Dienstkonto, das über die erforderlichen Rollen verfügt.
    6. Konfigurieren Sie optional die Einstellungen für Verbindungsknoten:

      • Mindestanzahl von Knoten: Geben Sie die Mindestanzahl von Verbindungsknoten ein.
      • Maximale Anzahl von Knoten: Geben Sie die maximale Anzahl von Verbindungsknoten ein.

      Ein Knoten ist eine Einheit (oder ein Replikat) einer Verbindung, die Transaktionen verarbeitet. Zur Verarbeitung von mehr Transaktionen für eine Verbindung sind mehr Knoten erforderlich. Umgekehrt sind weniger Knoten erforderlich, um weniger Transaktionen zu verarbeiten. Informationen zu den Auswirkungen der Knoten auf Ihre Connector-Preise finden Sie unter Preise für Verbindungsknoten. Wenn Sie keine Werte eingeben, wird die Mindestanzahl von Knoten standardmäßig auf 2 (für eine bessere Verfügbarkeit) und die maximale Anzahl von Knoten auf 50 festgelegt.

    7. Base DN: Der Basisteil des Distinguished Name, der zum Beschränken der Ergebnisse auf bestimmte Unterstrukturen verwendet wird.
    8. Auth-Mechanismus: Der Authentifizierungsmechanismus, der beim Herstellen einer Verbindung zum LDAP-Server verwendet werden soll.
    9. Verweise befolgen: Gibt an, ob LDAP-Verweise befolgt werden sollen, die vom LDAP-Server zurückgegeben werden.
    10. Friendly GUID: Gibt an, ob GUID-Attributwerte in einem für Menschen lesbaren Format zurückgegeben werden sollen.
    11. Friendly SID: Gibt an, ob SID-Attributwerte in einem für Menschen lesbaren Format zurückgegeben werden sollen.
    12. LDAP-Version: Die LDAP-Version, die für die Verbindung mit dem Server und für die Kommunikation mit ihm verwendet wird.
    13. Bereich: Gibt an, ob der Umfang der Suche auf die gesamte Unterstruktur (BaseDN und alle untergeordneten Elemente), eine einzelne Ebene (BaseDN und deren direkte Nachfolger) oder das Basisobjekt (nur BaseDN) beschränkt werden soll.
    14. Klicken Sie optional auf + LABEL HINZUFÜGEN, um der Verbindung ein Label in Form eines Schlüssel/Wert-Paars hinzuzufügen.
    15. Tippen Sie auf Weiter.
  5. Geben Sie im Abschnitt Ziele die Details zum Remote-Host (Backend-System) ein, zu dem Sie eine Verbindung herstellen möchten.
    1. Zieltyp: Wählen Sie einen Zieltyp aus.
      1. Geben Sie im Feld Hostadresse den Hostnamen oder die IP-Adresse des Ziels ein.
        1. Wenn Sie eine private Verbindung zu Ihren Back-End-Systemen herstellen möchten, gehen Sie so vor:
          1. Erstellen Sie einen PSC-Dienstanhang.
          2. Erstellen Sie einen Endpunktanhang und geben Sie dann die Details des Endpunktanhangs in das Feld Hostadresse ein.
        2. Wenn Sie eine öffentliche Verbindung zu Ihren Back-End-Systemen mit zusätzlicher Sicherheit herstellen möchten, können Sie statische ausgehende IP-Adressen für Ihre Verbindungen konfigurieren und dann Ihre Firewallregeln konfigurieren, um nur bestimmte statische IP-Adressen zuzulassen.

      Wenn Sie weitere Ziele eingeben möchten, klicken Sie auf + ZIEL HINZUFÜGEN.

    2. Tippen Sie auf Weiter.
  6. Geben Sie im Abschnitt Authentifizierung die Authentifizierungsdetails ein.
    1. Wählen Sie einen Authentifizierungstyp aus und geben Sie die relevanten Details ein.

      Die folgenden Authentifizierungstypen werden von der LDAP-Verbindung unterstützt:

      • Nutzername und Passwort

      2. Informationen zum Konfigurieren dieser Authentifizierungstypen finden Sie unter Authentifizierung konfigurieren.

    2. Tippen Sie auf Weiter.
  7. Überprüfen: Prüfen Sie Ihre Verbindungs- und Authentifizierungsdetails.
  8. Klicken Sie auf Erstellen.

Authentifizierung konfigurieren

Geben Sie die Details basierend auf der zu verwendenden Authentifizierung ein.

  • Nutzername und Passwort
    • Nutzername: Nutzername für den Connector
    • Passwort: Secret Manager-Secret mit dem Passwort, das mit dem Connector verknüpft ist.

Entitäten, Vorgänge und Aktionen

Alle Integration Connectors bieten eine Abstraktionsebene für die Objekte der verbundenen Anwendung. Sie können nur über diese Abstraktion auf die Objekte einer Anwendung zugreifen. Die Abstraktion wird Ihnen als Entitäten, Vorgänge und Aktionen zur Verfügung gestellt.

  • Entität: Eine Entität kann als Objekt oder Sammlung von Attributen in der verbundenen Anwendung oder im verbundenen Dienst verstanden werden. Die Definition einer Entität unterscheidet sich von Connector zu Connector. Beispiel: In einem Datenbank-Connector sind Tabellen die Entitäten, in einem Dateiserver-Connector sind Ordner die Entitäten und in einem Nachrichtensystem-Connector sind Warteschlangen die Entitäten.

    Es ist jedoch möglich, dass ein Connector keine Entitäten unterstützt oder keine Entitäten enthält. In diesem Fall ist die Liste Entities leer.

  • Vorgang: Ein Vorgang ist die Aktivität, die Sie für eine Entität ausführen können. Sie können einen der folgenden Vorgänge für eine Entität ausführen:

    Durch Auswahl einer Entität aus der verfügbaren Liste wird eine Liste der Vorgänge generiert, die für die Entität verfügbar sind. Eine detaillierte Beschreibung der Vorgänge finden Sie in den Entitätsvorgängen der Connectors-Aufgabe. Wenn ein Connector jedoch keinen der Entitätsvorgänge unterstützt, werden solche nicht unterstützten Vorgänge nicht in der Liste Operations aufgeführt.

  • Aktion: Eine Aktion ist eine Funktion erster Klasse, die über die Connector-Benutzeroberfläche für die Integration verfügbar gemacht wird. Mit einer Aktion können Sie Änderungen an einer oder mehreren Entitäten vornehmen, die von Connector zu Connector unterschiedlich sind. Es ist jedoch möglich, dass ein Connector keine Aktionen unterstützt. In diesem Fall ist die Actions-Liste leer.

Aktionen

In diesem Abschnitt werden alle Aktionen aufgeführt, die vom LDAP-Connector unterstützt werden.

Aktion „MoveToDN“

Durch diese Aktion werden Objekte von einem DN (Distinguished Name) in einen anderen DN verschoben.

Eingabeparameter der Aktion „MoveToDN“

Parametername Datentyp Erforderlich Beschreibung
DN String Ja Der aktuelle DN des Objekts, das auf dem LDAP-Server verschoben werden soll. Beispiel: CN=Google Cloud,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com.
NewParentDN String Ja Der neue übergeordnete DN des Objekts. Beispiel: OU=Mysore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com.

Ausgabeparameter der Aktion „DownloadFile“

Diese Aktion gibt den Status 200 (OK) mit einem Antworttext zurück, der die Ergebnisse angibt.

Informationen zum Konfigurieren der Aktion MoveToDN finden Sie unter Aktionsbeispiele.

GetAttributes-Aktion

Diese Aktion ruft alle Attributnamen und -werte eines DN ab.

Eingabeparameter der GetAttributes-Aktion

Parametername Datentyp Erforderlich Beschreibung
DN String Ja Distinguished Name des gewünschten LDAP-Objekts. Wenn keine Angabe gemacht wird, wird der BaseDN des Verbindungsstrings verwendet.

Ausgabeparameter der GetAttributes-Aktion

Diese Aktion gibt den Status 200 (OK) mit einem Antworttext zurück, der die Ergebnisse angibt.

Informationen zum Konfigurieren der Aktion GetAttributes finden Sie unter Aktionsbeispiele.

Aktion „AddMembersToGroup“

Dadurch werden Nutzer einer Gruppe hinzugefügt.

Eingabeparameter der GetAttributes-Aktion

Parametername Datentyp Erforderlich Beschreibung
GroupId String Ja Die ID der Gruppe, der Sie die Nutzer hinzufügen möchten.
UserDNs String Ja Aggregierte UserDNs oder eine temporäre Tabelle, die den DN der Nutzer enthält, die der Gruppe hinzugefügt werden sollen. Der Wert sollte der DN des Nutzerdatensatzes sein.

Ausgabeparameter der Aktion „AddMembersToGroup“

Diese Aktion gibt den Status 200 (OK) mit einem Antworttext zurück, der die Ergebnisse angibt.

Informationen zum Konfigurieren der Aktion AddMembersToGroup finden Sie unter Aktionsbeispiele.

Aktionsbeispiele

In diesem Abschnitt wird beschrieben, wie Sie einige Aktionen in diesem Connector ausführen können.

Beispiel – Objekt von einem DN in einen anderen verschieben

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion MoveToDN aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann in das Feld Default Value einen Wert ähnlich dem folgenden ein: 
    {
"DN": "CN=Google Cloud,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com",
"NewParentDN": "OU=Mysore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
}

    4. In diesem Beispiel wird ein Objekt von einem DN in einen anderen verschoben. Wenn die Aktion erfolgreich ist, hat der Antwortparameter connectorOutputPayload der Connector-Aufgabe den folgenden Wert:

    [{
"Success": null,
"result": "[ok]",
"modified": "true",
"rss:title": "The movement was successful.",
"resultcode": "0"
}]

Beispiel – Attribute eines DN abrufen

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion GetAttributes aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann in das Feld Default Value einen Wert ähnlich dem folgenden ein: 
    {
"DN": "CN=Bangalore user,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
}

    4. In diesem Beispiel wird das Attribut des angegebenen DN abgerufen. Wenn die Aktion erfolgreich ist, hat der Antwortparameter connectorOutputPayload der Connector-Aufgabe den folgenden Wert:

    [{
    "AttributeName": "_op",
    "AttributeValue": "ldapadoGetAttributes"
  }, {
    "AttributeName": "usncreated",
    "AttributeValue": "36006"
  }, {
    "AttributeName": "countrycode",
    "AttributeValue": "0"
  }, {
    "AttributeName": "badpwdcount",
    "AttributeValue": "0"
  }, {
    "AttributeName": "dn",
    "AttributeValue": ""
  }, {
    "AttributeName": "dn",
    "AttributeValue": "CN=Bangalore user,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
  }, {
    "AttributeName": "whenchanged",
    "AttributeValue": "20230913125155.0Z"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "top"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "person"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "organizationalPerson"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "user"
  }, {
    "AttributeName": "primarygroupid",
    "AttributeValue": "513"
  }, {
    "AttributeName": "givenname",
    "AttributeValue": "Bangalore"
  }, {
    "AttributeName": "dscorepropagationdata",
    "AttributeValue": "16010101000001.0Z"
  }, {
    "AttributeName": "sn",
    "AttributeValue": "user"
  }, {
    "AttributeName": "useraccountcontrol",
    "AttributeValue": "512"
  }, {
    "AttributeName": "cn",
    "AttributeValue": "Bangalore user"
  }, {
    "AttributeName": "codepage",
    "AttributeValue": "0"
  }, {
    "AttributeName": "accountexpires",
    "AttributeValue": "9223372036854775807"
  }, {
    "AttributeName": "userprincipalname",
    "AttributeValue": "user-1@test-l
  }]

Beispiel – Nutzer zu einer Gruppe hinzufügen

  1. Klicken Sie im Dialogfeld Configure connector task auf Actions.
  2. Wählen Sie die Aktion AddMembersToGroup aus und klicken Sie auf Fertig.
  3. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann in das Feld Default Value einen Wert ähnlich dem folgenden ein: 
    {
"GroupId": "1|CN=Cert Publishers,CN=Users,DC=test-ldap,DC=com",
"UserDNs": "[{\"DN\":\"CN=Google AI,CN=Users,DC=test-ldap,DC=com;CN=Guest,CN=Users,DC=test-ldap,DC=com\"}]"
}

    4. In diesem Beispiel wird der Gruppe mit der ID 1|CN=Cert Publishers,CN=Users,DC=test-ldap,DC=com ein Nutzer-DN hinzugefügt. Wenn die Aktion erfolgreich ist, hat der Antwortparameter connectorOutputPayload der Connector-Aufgabe einen Wert wie diesen:

    [{
  "Success": "True"
  }]

Beispiele für Entitätsvorgang

Beispiel – Nutzer auflisten

In diesem Beispiel werden alle Nutzer in der User-Entität aufgelistet.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie User aus der Liste Entity aus.
  3. Wählen Sie den Vorgang LIST aus und klicken Sie auf Fertig.
  4. Optional können Sie die Ergebnisse filtern. Legen Sie zum Filtern der Ergebnisse im Bereich Aufgabeneingabe der Aufgabe Connectors die filterClause entsprechend Ihren Anforderungen fest.

    Wird die Filterklausel beispielsweise auf Id='1|CN=admin,CN=Users,DC=test-ldap,DC=com' gesetzt, werden nur die Datensätze aufgelistet, deren ID diesem Kriterium entspricht.

Beispiel – Nutzerdatensatz abrufen

In diesem Beispiel wird ein Nutzerdetail aus der User-Entität abgerufen.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie User aus der Liste Entity aus.
  3. Wählen Sie den Vorgang GET aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf Entitäts-ID und geben Sie 1|CN=admin,CN=Users,DC=test-ldap,DC=com in das Feld Standardwert ein.

    Hier ist 1|CN=admin,CN=Users,DC=test-ldap,DC=com einer der Primärschlüsselwerte der User-Entität.

Beispiel – Nutzerdatensatz erstellen

In diesem Beispiel wird ein Nutzerdatensatz in der Entität User erstellt.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie User aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Create aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann in das Feld Default Value einen Wert ähnlich dem folgenden ein: 
    {
"RDN": "CN=MPATAI",
"ObjectClass": "top;person;organizationalPerson;user"
}

    Wenn die Integration erfolgreich ist, enthält das Feld connectorOutputPayload der Connector-Aufgabe einen Wert wie diesen:

     {
"Id": "1|CN=MPATAI,CN=Users,DC=test-ldap,DC=com"
}

Beispiel – Ticket aktualisieren

In diesem Beispiel wird der angegebene Nutzerdatensatz in der Entität User aktualisiert.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie User aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Update aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf connectorInputPayload und geben Sie dann in das Feld Default Value einen Wert ähnlich dem folgenden ein: 
    {
        "PostalCode": "560040"
      }
  5. Klicken Sie auf entityId und geben Sie 1|CN=admin,CN=Users,DC=test-ldap,DC=com in das Feld Standardwert ein.

    Statt die entityId anzugeben, können Sie auch die filterClause auf 1|CN=admin,CN=Users,DC=test-ldap,DC=com setzen.

    Wenn die Integration erfolgreich ist, enthält das Feld connectorOutputPayload der Connector-Aufgabe einen Wert wie diesen:

    {
"Id": "1|CN=admin,CN=Users,DC=test-ldap,DC=com"
}

Beispiel – Nutzerdatensatz löschen

In diesem Beispiel wird ein Nutzerdatensatz aus der Entität User gelöscht.

  1. Klicken Sie im Dialogfeld Configure connector task auf Entities.
  2. Wählen Sie User aus der Liste Entity aus.
  3. Wählen Sie den Vorgang Delete aus und klicken Sie auf Fertig.
  4. Klicken Sie im Bereich Aufgabeneingabe der Aufgabe Connectors auf entityId und geben Sie 1|CN=admin,CN=Users,DC=test-ldap,DC=com in das Feld Standardwert ein.
  5. Wenn die User-Entität zusammengesetzte Primärschlüssel hat, können Sie alternativ die filterClause festlegen, anstatt die entityId anzugeben. Beispiel: Id='1|CN=admin,CN=Users,DC=test-ldap,DC=com' and DN='CN=admin,CN=Users,DC=test-ldap,DC=com'

Mit Terraform Verbindungen erstellen

Mit der Terraform-Ressource können Sie eine neue Verbindung erstellen.

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle.

Ein Beispiel für eine Terraform-Vorlage zum Erstellen von Verbindungen finden Sie unter Beispielvorlage.

Wenn Sie diese Verbindung mit Terraform erstellen, müssen Sie die folgenden Variablen in der Terraform-Konfigurationsdatei festlegen:

Parametername Datentyp Erforderlich Beschreibung
base_dn STRING Wahr Der Basisteil des Distinguished Name, mit dem die Ergebnisse auf bestimmte Unterstrukturen beschränkt werden.
auth_mechanism ENUM Wahr Der Authentifizierungsmechanismus, der beim Herstellen einer Verbindung zum LDAP-Server verwendet werden soll. Unterstützte Werte sind: SIMPLE, DIGESTMD5, NEGOTIATE
follow_referrals BOOLEAN Falsch Gibt an, ob den vom LDAP-Server zurückgegebenen LDAP-Verweisen gefolgt werden soll.
friendly_guid BOOLEAN Falsch Gibt an, ob GUID-Attributwerte in einem für Menschen lesbaren Format zurückgegeben werden sollen.
friendly_sid BOOLEAN Falsch Gibt an, ob SID-Attributwerte in einem menschenlesbaren Format zurückgegeben werden sollen.
LDAPVersion ENUM Wahr Die LDAP-Version, die für die Verbindung zum Server und die Kommunikation mit dem Server verwendet wird. Unterstützte Werte: 2, 3
Bereich ENUM Wahr Gibt an, ob der Suchbereich auf die gesamte Unterstruktur (BaseDN und alle untergeordneten Elemente), eine einzelne Ebene (BaseDN und direkt untergeordnete Elemente) oder das Basisobjekt (nur BaseDN) beschränkt werden soll. Unterstützte Werte: WHOLESUBTREE, SINGLELEVEL, BASEobject

LDAP-Verbindung in einer Integration verwenden

Nachdem Sie die Verbindung erstellt haben, ist sie sowohl in Apigee Integration als auch in Application Integration verfügbar. Sie können die Verbindung über die Connector-Aufgabe in einer Integration verwenden.

  • Informationen zum Erstellen und Verwenden der Connectors-Aufgabe in der Apigee-Integration finden Sie unter Connectors-Task.
  • Informationen zum Erstellen und Verwenden der Aufgabe „Connectors“ in Application Integration finden Sie unter Connectors-Aufgabe.

Hilfe von der Google Cloud-Community erhalten

Sie können Ihre Fragen und Anregungen zu diesem Connector in der Google Cloud-Community unter Cloud-Foren posten.

Nächste Schritte