LDAP

O conetor LDAP permite-lhe configurar um servidor LDAP genérico.

Versões suportadas

Este conector suporta as versões 2 e 3 do LDAP.

Antes de começar

Antes de usar o conector LDAP, conclua as seguintes tarefas:

  • No seu projeto do Google Cloud:
    • Certifique-se de que a conetividade de rede está configurada. Para obter informações sobre padrões de rede, consulte o artigo Conetividade de rede.
    • Conceda a função IAM roles/connectors.admin ao utilizador que está a configurar o conetor.
    • Conceda as seguintes funções de IAM à conta de serviço que quer usar para o conector:
      • roles/secretmanager.viewer
      • roles/secretmanager.secretAccessor

      Uma conta de serviço é um tipo especial de Conta Google destinada a representar um utilizador não humano que precisa de autenticação e autorização para aceder a dados nas APIs Google. Se não tiver uma conta de serviço, tem de criar uma. O conector e a conta de serviço têm de pertencer ao mesmo projeto. Para mais informações, consulte Criar uma conta de serviço.

    • Ative os seguintes serviços:
      • secretmanager.googleapis.com (Secret Manager API)
      • connectors.googleapis.com (API Connectors)

      Para saber como ativar serviços, consulte o artigo Ativar serviços.

    Se estes serviços ou autorizações não tiverem sido ativados anteriormente para o seu projeto, é-lhe pedido que os ative quando configurar o conector.

Configure o conetor

Uma associação é específica de uma origem de dados. Isto significa que, se tiver muitas origens de dados, tem de criar uma associação separada para cada origem de dados. Para criar uma associação, faça o seguinte:

  1. Na Cloud Console, aceda à página Integration Connectors > Ligações e, de seguida, selecione ou crie um projeto do Google Cloud.

    Aceda à página Ligações

  2. Clique em + CRIAR NOVO para abrir a página Criar associação.
  3. Na secção Localização, escolha a localização para a ligação.
    1. Região: selecione uma localização na lista pendente.

      Para ver a lista de todas as regiões suportadas, consulte o artigo Localizações.

    2. Clique em SEGUINTE.
  4. Na secção Detalhes da associação, conclua o seguinte:
    1. Conector: selecione LDAP na lista pendente de conectores disponíveis.
    2. Versão do conetor: selecione a versão do conetor na lista pendente de versões disponíveis.
    3. No campo Nome da ligação, introduza um nome para a instância de ligação.

      Os nomes das associações têm de cumprir os seguintes critérios:

      • Os nomes das associações podem usar letras, números ou hífenes.
      • As letras têm de ser minúsculas.
      • Os nomes das associações têm de começar com uma letra e terminar com uma letra ou um número.
      • Os nomes das associações não podem exceder 49 carateres.
    4. Opcionalmente, introduza uma Descrição para a instância de associação.
    5. Opcionalmente, ative o Registo na nuvem e, em seguida, selecione um nível de registo. Por predefinição, o nível do registo está definido como Error.
    6. Conta de serviço: selecione uma conta de serviço que tenha as funções necessárias.
    7. Opcionalmente, configure as definições do nó de associação:

      • Número mínimo de nós: introduza o número mínimo de nós de ligação.
      • Número máximo de nós: introduza o número máximo de nós de ligação.

      Um nó é uma unidade (ou uma réplica) de uma ligação que processa transações. São necessários mais nós para processar mais transações para uma ligação e, inversamente, são necessários menos nós para processar menos transações. Para compreender como os nós afetam os preços dos conectores, consulte o artigo Preços dos nós de ligação. Se não introduzir valores, por predefinição, os nós mínimos são definidos como 2 (para uma melhor disponibilidade) e os nós máximos são definidos como 50.

    8. DN base: a parte base do nome distinto, usada para limitar os resultados a subárvores específicas.
    9. Mecanismo de autenticação: o mecanismo de autenticação a usar ao estabelecer ligação ao servidor LDAP.
    10. Seguir referências: se deve ou não seguir as referências LDAP devolvidas pelo servidor LDAP.
    11. GUID amigável: se deve devolver valores de atributos GUID num formato legível.
    12. Friendly SID: se os valores dos atributos SID devem ser devolvidos num formato legível.
    13. Versão do LDAP: a versão do LDAP usada para estabelecer ligação e comunicar com o servidor.
    14. Âmbito: se deve limitar o âmbito da pesquisa a toda a subárvore (BaseDN e todos os seus descendentes), a um único nível (BaseDN e os seus descendentes diretos) ou ao objeto base (apenas BaseDN).
    15. Opcionalmente, clique em + ADICIONAR ETIQUETA para adicionar uma etiqueta à associação sob a forma de um par chave/valor.
    16. Clique em SEGUINTE.
  5. Na secção Destinos, introduza os detalhes do anfitrião remoto (sistema de back-end) ao qual quer estabelecer ligação.
    1. Tipo de destino: selecione um Tipo de destino.
      • Para especificar o nome de anfitrião ou o endereço IP de destino, selecione Endereço do anfitrião e introduza o endereço no campo Anfitrião 1.
      • Para estabelecer uma ligação privada, selecione Anexo do ponto final e escolha o anexo necessário na lista Anexo do ponto final.

      Se quiser estabelecer uma ligação pública aos seus sistemas de back-end com segurança adicional, pode considerar configurar endereços IP estáticos de saída para as suas ligações e, em seguida, configurar as regras da firewall para permitir apenas os endereços IP estáticos específicos.

      Para introduzir destinos adicionais, clique em +ADICIONAR DESTINO.

    2. Clique em SEGUINTE.
  6. Na secção Autenticação, introduza os detalhes de autenticação.
    1. Selecione um Tipo de autenticação e introduza os detalhes relevantes.

      Os seguintes tipos de autenticação são suportados pela ligação LDAP:

      • Nome de utilizador e palavra-passe

      2. Para saber como configurar estes tipos de autenticação, consulte o artigo Configurar autenticação.

    2. Clique em SEGUINTE.
  7. Rever: reveja os detalhes da ligação e da autenticação.
  8. Clique em Criar.

Configure a autenticação

O conetor LDAP suporta o tipo de autenticação básica. Se o seu destino ou instância LDAP estiver alojado numa VM ou numa rede privada, crie uma associação de ponto final. Para ver informações sobre como instalar e configurar o LDAP, consulte o artigo Instalação do LDAP.

  • Nome de utilizador e palavra-passe
    • Nome de utilizador: nome de utilizador do conetor
    • Palavra-passe: Secret do Secret Manager que contém a palavra-passe associada ao conector.

Tipo de ligação de autenticação básica

A tabela seguinte apresenta os valores de configuração de exemplo para o tipo de ligação de autenticação básica.
Nome do campo Detalhes
Região us-central1
Conetor LDAP
Versão do conetor 1
Nome da ligação google-ldap-basicauth-conn
Conta de serviço SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com
DN de base CN=Users,DC=NAME,DC=com
Mecanismo de autenticação SIMPLE
Versão LDAP 3
Âmbito WHOLESUBTREE
Nível de verbosidade 5
Número mínimo de nós 2
Número máximo de nós 50
Nome de utilizador USER_NAME
Palavra-passe PASSWORD
Versão do secret 1

Entidades, operações e ações

Todos os conetores de integração oferecem uma camada de abstração para os objetos da aplicação ligada. Só pode aceder aos objetos de uma aplicação através desta abstração. A abstração é exposta como entidades, operações e ações.

  • Entidade: pode considerar uma entidade como um objeto ou uma coleção de propriedades na aplicação ou no serviço associado. A definição de uma entidade difere de um conetor para um conetor. Por exemplo, num conetor de base de dados, as tabelas são as entidades. Num conetor de servidor de ficheiros, as pastas são as entidades. Num conetor de sistema de mensagens, as filas são as entidades.

    No entanto, é possível que um conector não suporte ou não tenha entidades, caso em que a lista Entities estará vazia.

  • Operação: uma operação é a atividade que pode realizar numa entidade. Pode realizar qualquer uma das seguintes operações numa entidade:

    Selecionar uma entidade na lista disponível gera uma lista de operações disponíveis para a entidade. Para uma descrição detalhada das operações, consulte as operações de entidades da tarefa de conectores. No entanto, se um conector não suportar nenhuma das operações de entidades, essas operações não suportadas não são apresentadas na lista Operations.

  • Ação: uma ação é uma função de primeira classe que é disponibilizada à integração através da interface do conetor. Uma ação permite-lhe fazer alterações a uma ou mais entidades e varia de conetor para conetor. Normalmente, uma ação tem alguns parâmetros de entrada e um parâmetro de saída. No entanto, é possível que um conector não suporte nenhuma ação, caso em que a lista Actions está vazia.

Ações

Esta secção apresenta todas as ações suportadas pelo conetor LDAP.

Ação MoveToDN

Esta ação move objetos de um DN (nome distinto) para outro DN.

Introduza os parâmetros da ação MoveToDN

Nome do parâmetro Tipo de dados Obrigatória Descrição
DN String Sim O DN atual do objeto a mover no servidor LDAP. Por exemplo, CN=Google Cloud,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com.
NewParentDN String Sim O DN principal do objeto. Por exemplo, OU=Mysore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com.

Parâmetros de saída da ação DownloadFile

Esta ação devolve o estado 200 (OK) com um corpo de resposta que indica os resultados.

Para compreender como configurar a ação MoveToDN, consulte os exemplos de ações.

Ação GetAttributes

Esta ação obtém todos os nomes e valores de atributos de um DN.

Parâmetros de entrada da ação GetAttributes

Nome do parâmetro Tipo de dados Obrigatória Descrição
DN String Sim Nome distinto do objeto LDAP pretendido. Se não for especificado, é usado o BaseDN da cadeia de caracteres da ligação.

Parâmetros de saída da ação GetAttributes

Esta ação devolve o estado 200 (OK) com um corpo de resposta que indica os resultados.

Para compreender como configurar a ação GetAttributes, consulte os exemplos de ações.

Ação AddMembersToGroup

Esta ação adiciona utilizadores a um grupo.

Parâmetros de entrada da ação GetAttributes

Nome do parâmetro Tipo de dados Obrigatória Descrição
GroupId String Sim ID do grupo ao qual quer adicionar os utilizadores.
UserDNs String Sim O UserDNs agrega ou é uma tabela temporária que contém o DN dos utilizadores a adicionar ao grupo. O valor deve ser o DN do registo do utilizador.

Parâmetros de saída da ação AddMembersToGroup

Esta ação devolve o estado 200 (OK) com um corpo de resposta que indica os resultados.

Para compreender como configurar a ação AddMembersToGroup, consulte os exemplos de ações.

Exemplos de ações

Esta secção descreve como realizar algumas das ações neste conector.

Exemplo: mover um objeto de um DN para outro DN

  1. Na caixa de diálogo Configure connector task, clique em Actions.
  2. Selecione a ação MoveToDN e, de seguida, clique em Concluído.
  3. Na secção Entrada da tarefa da tarefa Conetores, clique em connectorInputPayload e, de seguida, introduza um valor semelhante ao seguinte no campo Default Value: 
    {
"DN": "CN=Google Cloud,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com",
"NewParentDN": "OU=Mysore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
}

    4. Este exemplo move um objeto de um DN para outro DN. Se a ação for bem-sucedida, o parâmetro de resposta da tarefa do conector tem um valor semelhante ao seguinte:connectorOutputPayload

    [{
"Success": null,
"result": "[ok]",
"modified": "true",
"rss:title": "The movement was successful.",
"resultcode": "0"
}]

Exemplo: obter atributos de um DN

  1. Na caixa de diálogo Configure connector task, clique em Actions.
  2. Selecione a ação GetAttributes e, de seguida, clique em Concluído.
  3. Na secção Entrada da tarefa da tarefa Conetores, clique em connectorInputPayload e, de seguida, introduza um valor semelhante ao seguinte no campo Default Value: 
    {
"DN": "CN=Bangalore user,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
}

    4. Este exemplo obtém o atributo do DN especificado. Se a ação for bem-sucedida, o parâmetro de resposta da tarefa do conector tem um valor semelhante ao seguinte:connectorOutputPayload

    [{
    "AttributeName": "_op",
    "AttributeValue": "ldapadoGetAttributes"
  }, {
    "AttributeName": "usncreated",
    "AttributeValue": "36006"
  }, {
    "AttributeName": "countrycode",
    "AttributeValue": "0"
  }, {
    "AttributeName": "badpwdcount",
    "AttributeValue": "0"
  }, {
    "AttributeName": "dn",
    "AttributeValue": ""
  }, {
    "AttributeName": "dn",
    "AttributeValue": "CN=Bangalore user,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
  }, {
    "AttributeName": "whenchanged",
    "AttributeValue": "20230913125155.0Z"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "top"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "person"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "organizationalPerson"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "user"
  }, {
    "AttributeName": "primarygroupid",
    "AttributeValue": "513"
  }, {
    "AttributeName": "givenname",
    "AttributeValue": "Bangalore"
  }, {
    "AttributeName": "dscorepropagationdata",
    "AttributeValue": "16010101000001.0Z"
  }, {
    "AttributeName": "sn",
    "AttributeValue": "user"
  }, {
    "AttributeName": "useraccountcontrol",
    "AttributeValue": "512"
  }, {
    "AttributeName": "cn",
    "AttributeValue": "Bangalore user"
  }, {
    "AttributeName": "codepage",
    "AttributeValue": "0"
  }, {
    "AttributeName": "accountexpires",
    "AttributeValue": "9223372036854775807"
  }, {
    "AttributeName": "userprincipalname",
    "AttributeValue": "user-1@test-l
  }]

Exemplo: adicione utilizadores a um grupo

  1. Na caixa de diálogo Configure connector task, clique em Actions.
  2. Selecione a ação AddMembersToGroup e, de seguida, clique em Concluído.
  3. Na secção Entrada da tarefa da tarefa Conectores, clique em connectorInputPayload e, de seguida, introduza um valor semelhante ao seguinte no campo Default Value: 
    {
"GroupId": "1|CN=Cert Publishers,CN=Users,DC=test-ldap,DC=com",
"UserDNs": "[{\"DN\":\"CN=Google AI,CN=Users,DC=test-ldap,DC=com;CN=Guest,CN=Users,DC=test-ldap,DC=com\"}]"
}

    4. Este exemplo adiciona um DN de utilizador ao grupo com o ID 1|CN=Cert Publishers,CN=Users,DC=test-ldap,DC=com. Se a ação for bem-sucedida, o parâmetro de resposta da tarefa do conector terá um valor semelhante ao seguinte:connectorOutputPayload

    [{
  "Success": "True"
  }]

Exemplos de operações de entidades

Exemplo: listar utilizadores

Este exemplo apresenta todos os utilizadores na entidade User.

  1. Na caixa de diálogo Configure connector task, clique em Entities.
  2. Selecione User na lista Entity.
  3. Selecione a operação LIST e, de seguida, clique em Concluído.
  4. Opcionalmente, pode filtrar o conjunto de resultados. Para filtrar o conjunto de resultados, na secção Entrada da tarefa da tarefa Conetores, defina filterClause de acordo com o seu requisito.

    Por exemplo, definir a cláusula de filtro como Id='1|CN=admin,CN=Users,DC=test-ldap,DC=com', lista apenas os registos cujo ID corresponde a estes critérios.

Exemplo: obtenha um registo de utilizador

Este exemplo obtém um detalhe do utilizador da entidade User.

  1. Na caixa de diálogo Configure connector task, clique em Entities.
  2. Selecione User na lista Entity.
  3. Selecione a operação GET e, de seguida, clique em Concluído.
  4. Na secção Entrada de tarefas da tarefa Conetores, clique em EntityId e, de seguida, introduza 1|CN=admin,CN=Users,DC=test-ldap,DC=com no campo Valor predefinido.

    Aqui, 1|CN=admin,CN=Users,DC=test-ldap,DC=com é um dos valores da chave principal da entidade User.

Exemplo: crie um registo de utilizador

Este exemplo cria um registo de utilizador na entidade User.

  1. Na caixa de diálogo Configure connector task, clique em Entities.
  2. Selecione User na lista Entity.
  3. Selecione a operação Create e, de seguida, clique em Concluído.
  4. Na secção Entrada da tarefa da tarefa Conectores, clique em connectorInputPayload e, de seguida, introduza um valor semelhante ao seguinte no campo Default Value: 
    {
"RDN": "CN=MPATAI",
"ObjectClass": "top;person;organizationalPerson;user"
}

    Se a integração for bem-sucedida, o campo connectorOutputPayload da tarefa do conector tem um valor semelhante ao seguinte:

     {
"Id": "1|CN=MPATAI,CN=Users,DC=test-ldap,DC=com"
}

Exemplo: atualize um pedido

Este exemplo atualiza o registo do utilizador especificado na entidade User.

  1. Na caixa de diálogo Configure connector task, clique em Entities.
  2. Selecione User na lista Entity.
  3. Selecione a operação Update e, de seguida, clique em Concluído.
  4. Na secção Entrada da tarefa da tarefa Conetores, clique em connectorInputPayload e, de seguida, introduza um valor semelhante ao seguinte no campo Default Value: 
    {
        "PostalCode": "560040"
      }
  5. Clique em entityId e, de seguida, introduza 1|CN=admin,CN=Users,DC=test-ldap,DC=com no campo Valor predefinido.

    Em alternativa, em vez de especificar o entityId, também pode definir a filterClause como 1|CN=admin,CN=Users,DC=test-ldap,DC=com.

    Se a integração for bem-sucedida, o campo connectorOutputPayload da tarefa do conector tem um valor semelhante ao seguinte:

    {
"Id": "1|CN=admin,CN=Users,DC=test-ldap,DC=com"
}

Exemplo: elimine um registo de utilizador

Este exemplo elimina um registo de utilizador da entidade User.

  1. Na caixa de diálogo Configure connector task, clique em Entities.
  2. Selecione User na lista Entity.
  3. Selecione a operação Delete e, de seguida, clique em Concluído.
  4. Na secção Entrada de tarefas da tarefa Conetores, clique em entityId e, de seguida, introduza 1|CN=admin,CN=Users,DC=test-ldap,DC=com no campo Valor predefinido.
  5. Em alternativa, se a entidade User tiver chaves primárias compostas, em vez de especificar o entityId, pode definir o filterClause. Por exemplo, Id='1|CN=admin,CN=Users,DC=test-ldap,DC=com' and DN='CN=admin,CN=Users,DC=test-ldap,DC=com'.

Crie ligações com o Terraform

Pode usar o recurso do Terraform para criar uma nova associação.

Para saber como aplicar ou remover uma configuração do Terraform, consulte os comandos básicos do Terraform.

Para ver um modelo do Terraform de exemplo para a criação de ligações, consulte o modelo de exemplo.

Quando criar esta associação através do Terraform, tem de definir as seguintes variáveis no ficheiro de configuração do Terraform:

Nome do parâmetro Tipo de dados Obrigatória Descrição
base_dn STRING True A parte base do nome distinto, usada para limitar os resultados a subárvores específicas.
auth_mechanism ENUM True O mecanismo de autenticação a usar quando se liga ao servidor LDAP. Os valores suportados são: SIMPLE, DIGESTMD5, NEGOTIATE
follow_referrals BOOLEAN Falso Se deve ou não seguir as referências LDAP devolvidas pelo servidor LDAP.
friendly_guid BOOLEAN Falso Se os valores dos atributos GUID devem ser devolvidos num formato legível.
friendly_sid BOOLEAN Falso Se os valores dos atributos SID devem ser devolvidos num formato legível por humanos.
ldapversion ENUM True A versão do LDAP usada para estabelecer ligação e comunicar com o servidor. Os valores suportados são: 2, 3
âmbito ENUM True Se deve limitar o âmbito da pesquisa a toda a subárvore (BaseDN e todos os seus descendentes), a um único nível (BaseDN e os seus descendentes diretos) ou ao objeto base (apenas BaseDN). Os valores suportados são: WHOLESUBTREE, SINGLELEVEL, BASEOBJECT

Use a ligação LDAP numa integração

Depois de criar a ligação, esta fica disponível no Apigee Integration e no Application Integration. Pode usar a ligação numa integração através da tarefa Conectores.

  • Para compreender como criar e usar a tarefa Connectors no Apigee Integration, consulte o artigo Tarefa Connectors.
  • Para compreender como criar e usar a tarefa Connectors na integração de aplicações, consulte o artigo Tarefa Connectors.

Obtenha ajuda da comunidade do Google Cloud

Pode publicar as suas perguntas e discutir este conector na comunidade do Google Cloud nos Fóruns do Cloud.

O que se segue?