LDAP

O conector LDAP permite configurar um servidor LDAP genérico.

Versões compatíveis

Este conector é compatível com as versões 2 e 3 do LDAP.

Antes de começar

Antes de usar o conector LDAP, execute as seguintes tarefas:

  • No seu projeto do Google Cloud, faça o seguinte:
    • Conceda o papel do IAM roles/connectors.admin ao usuário que estiver configurando o conector.
    • Conceda os seguintes papéis de IAM à conta de serviço que você quer usar para o conector:
      • roles/secretmanager.viewer
      • roles/secretmanager.secretAccessor

      Uma conta de serviço é um tipo especial de Conta do Google destinada a representar um usuário não humano que precisa ser autenticado e autorizado a acessar dados nas APIs do Google. Se você não tiver uma conta de serviço, será necessário criar uma. Para mais informações, consulte Como criar uma conta de serviço.

    • Ative os seguintes serviços:
      • secretmanager.googleapis.com (API Secret Manager)
      • connectors.googleapis.com (API Connectors)

      Para entender como ativar os serviços, consulte Como ativar serviços.

    Se esses serviços ou permissões não tiverem sido ativados no seu projeto, você precisará ativá-los ao configurar o conector.

Configurar o conector

Para configurar o conector, crie uma conexão com a fonte de dados (sistema de back-end). Uma conexão é específica a uma fonte de dados. Isso significa que, se você tiver muitas fontes de dados, precisará criar uma conexão separada para cada uma. Para criar uma conexão, siga estas etapas:

  1. No console do Cloud, acesse a página Integration Connectors > Conexões e selecione ou crie um projeto do Google Cloud.

    Acesse a página "Conexões"

  2. Clique em + CRIAR NOVO para abrir a página Criar conexão.
  3. Na seção Local, escolha o local da conexão.
    1. Região: selecione um local na lista suspensa.

      Para acessar a lista de todas as regiões com suporte, consulte Locais.

    2. Clique em PRÓXIMA.
  4. Na seção Detalhes da conexão, faça o seguinte:
    1. Conector: selecione LDAP na lista suspensa de conectores disponíveis.
    2. Versão do conector: selecione a versão do conector na lista suspensa de versões disponíveis.
    3. No campo Nome da conexão, insira um nome para a instância de conexão

      Os nomes de conexão precisam atender aos seguintes critérios:

      • Os nomes de conexões podem usar letras, números ou hifens.
      • As letras precisam ser minúsculas.
      • Os nomes das conexões precisam começar com uma letra e terminar com uma letra ou um número.
      • Os nomes das conexões não podem exceder 63 caracteres.
    4. Como opção, insira uma Descrição para a instância de conexão.
    5. Conta de serviço: selecione uma conta de serviço que tenha os papéis necessários.
    6. Opcionalmente, defina as Configurações do nó de conexão:

      • Número mínimo de nós: digite o número mínimo de nós de conexão.
      • Número máximo de nós: digite o número máximo de nós de conexão.

      Um nó é uma unidade (ou réplica) de uma conexão que processa transações. Mais nós são necessários para processar mais transações para uma conexão e, por outro lado, menos nós são necessários para processar menos transações. Para entender como os nós afetam os preços do conector, consulte Preços dos nós de conexão. Se você não inserir qualquer valor, por padrão, os nós mínimos serão definidos como 2 (para melhor disponibilidade) e os nós máximos serão definidos como 50.

    7. DN de base: a parte base do nome distinto, usada para limitar os resultados a subárvores específicas.
    8. Mecanismo de autenticação: o mecanismo de autenticação a ser usado na conexão com o servidor LDAP.
    9. Seguir indicações: segue ou não as referências LDAP retornadas pelo servidor LDAP.
    10. GUID compatível: se você quer retornar valores de atributo GUID em um formato legível.
    11. SID compatível: se serão retornados os valores do atributo SID em um formato legível.
    12. Versão do LDAP: a versão do LDAP usada para se conectar e se comunicar com o servidor.
    13. Escopo: se você quer limitar o escopo da pesquisa à subárvore inteira (BaseDN e todos os descendentes), um único nível (BaseDN e seus descendentes diretos) ou o objeto base (apenas BaseDN).
    14. Outra opção é clicar em + ADICIONAR MARCADOR para adicionar um rótulo à conexão na forma de um par de chave-valor.
    15. Clique em PRÓXIMA.
  5. Na seção Destinos, insira os detalhes do host remoto (sistema de back-end) ao qual você quer se conectar.
    1. Tipo de destino: selecione um Tipo de destino.
      1. No campo Endereço do host, especifique o nome do host ou o endereço IP do destino.
        1. Se você quiser estabelecer uma conexão privada com seus sistemas de back-end, siga estas etapas:
          1. Crie um anexo do serviço PSC.
          2. Crie um anexo de endpoint e insira os detalhes dele no campo Endereço do host.
        2. Para estabelecer uma conexão pública com os sistemas de back-end com mais segurança, considere configurar endereços IP de saída estáticos para suas conexões e configure as regras de firewall para autorizar apenas os endereços IP estáticos específicos.

      Para inserir outros destinos, clique em +ADICIONAR DESTINO.

    2. Clique em PRÓXIMA.
  6. Na seção Autenticação, insira os detalhes da autenticação.
    1. Selecione um Tipo de autenticação e insira os detalhes relevantes.

      Os seguintes tipos de autenticação são compatíveis com a conexão do LDAP:

      • Nome de usuário e senha
    2. Para entender como configurar esses tipos de autenticação, consulte Configurar autenticação.

    3. Clique em PRÓXIMA.
  7. Revisão: revise os detalhes de conexão e autenticação.
  8. Clique em Criar.

Configurar a autenticação

Digite os detalhes com base na autenticação que você quer usar.

  • Nome de usuário e senha
    • Nome de usuário: nome de usuário para o conector
    • Senha: a senha do Secret Manager que contém a senha associada ao conector.

Entidades, operações e ações

Todos os Integration Connectors fornecem uma camada de abstração para os objetos do aplicativo conectado. Só é possível acessar os objetos de um aplicativo por esta abstração. A abstração é exposta a você como entidades, operações e ações.

  • Entidade: uma entidade pode ser considerada um objeto ou um conjunto de propriedades no aplicativo ou serviço conectado. A definição de uma entidade difere de um conector para outro. Por exemplo, em um conector de banco de dados, as tabelas são as entidades, em um conector de servidor de arquivos, as pastas são as entidades e, em um conector de sistema de mensagens, as filas são as entidades.

    No entanto, é possível que um conector não aceite ou não tenha entidades. Nesse caso, a lista Entities estará vazia.

  • Operação: uma operação é a atividade que pode ser realizada em uma entidade. É possível executar qualquer uma das seguintes operações em uma entidade:

    Selecionar uma entidade na lista disponível gera uma lista de operações disponíveis para ela. Para uma descrição detalhada das operações, consulte as operações de entidades da tarefa "Conectores". No entanto, se um conector não oferecer suporte a nenhuma das operações da entidade, essas operações não serão listadas na lista Operations.

  • Ação: uma ação é uma função de primeira classe disponibilizada para a integração por meio da interface do conector. Uma ação permite fazer alterações em uma ou mais entidades e varia de um conector para outro. No entanto, é possível que o conector não ofereça suporte a nenhuma ação. Nesse caso, a lista Actions estará vazia.

Ações

Esta seção lista todas as ações compatíveis com o conector LDAP.

Ação MoveToDN

Essa ação move objetos de um DN (nome distinto) para outro.

Parâmetros de entrada da ação MoveToDN

Nome do parâmetro Tipo de dados Obrigatório Descrição
DN String Sim O DN atual do objeto a ser movido no servidor LDAP. Por exemplo, CN=Google Cloud,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com.
NewParentDN String Sim O novo DN pai do objeto. Por exemplo, OU=Mysore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com.

Parâmetros de saída da ação DownloadFile

Esta ação retorna o status 200 (OK) com um corpo de resposta indicando os resultados.

Para entender como configurar a ação MoveToDN, consulte Exemplos de ação.

Ação GetAttributes

Esta ação obtém todos os nomes e valores de atributos de um DN.

Parâmetros de entrada da ação GetAttributes

Nome do parâmetro Tipo de dados Obrigatório Descrição
DN String Sim Nome distinto do objeto LDAP desejado. Se não for especificado, será usado o BaseDN da string de conexão.

Parâmetros de saída da ação GetAttributes

Esta ação retorna o status 200 (OK) com um corpo de resposta indicando os resultados.

Para entender como configurar a ação GetAttributes, consulte Exemplos de ação.

Ação AddMembersToGroup

Esta ação adiciona usuários a um grupo.

Parâmetros de entrada da ação GetAttributes

Nome do parâmetro Tipo de dados Obrigatório Descrição
GroupId String Sim ID do grupo ao qual você quer adicionar os usuários.
UserDNs String Sim Os UserDNs agregados ou uma tabela temporária que contém o DN dos usuários a serem adicionados ao grupo. O valor deve ser o DN do registro do usuário.

Parâmetros de saída da ação AddMembersToGroup

Esta ação retorna o status 200 (OK) com um corpo de resposta indicando os resultados.

Para entender como configurar a ação AddMembersToGroup, consulte Exemplos de ação.

Exemplos de ação

Nesta seção, descrevemos como executar algumas das ações nesse conector.

Exemplo: mover um objeto de um DN para outro

  1. Na caixa de diálogo Configure connector task, clique em Actions.
  2. Selecione a ação MoveToDN e clique em Concluído.
  3. Na seção Task Input da tarefa Connectors, clique em connectorInputPayload e insira um valor semelhante ao seguinte no campo Default Value:
    {
    "DN": "CN=Google Cloud,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com",
    "NewParentDN": "OU=Mysore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
    }
      
  4. Este exemplo move um objeto de um DN para outro. Se a ação for bem-sucedida, o parâmetro de resposta connectorOutputPayload da tarefa do conector terá um valor semelhante a este:

    [{
    "Success": null,
    "result": "[ok]",
    "modified": "true",
    "rss:title": "The movement was successful.",
    "resultcode": "0"
    }]

Exemplo: obter atributos de um DN

  1. Na caixa de diálogo Configure connector task, clique em Actions.
  2. Selecione a ação GetAttributes e clique em Concluído.
  3. Na seção Task Input da tarefa Connectors, clique em connectorInputPayload e insira um valor semelhante ao seguinte no campo Default Value:
    {
    "DN": "CN=Bangalore user,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
    }
  4. Este exemplo recebe o atributo do DN especificado. Se a ação for bem-sucedida, o parâmetro de resposta connectorOutputPayload da tarefa do conector terá um valor semelhante a este:

    [{
        "AttributeName": "_op",
        "AttributeValue": "ldapadoGetAttributes"
      }, {
        "AttributeName": "usncreated",
        "AttributeValue": "36006"
      }, {
        "AttributeName": "countrycode",
        "AttributeValue": "0"
      }, {
        "AttributeName": "badpwdcount",
        "AttributeValue": "0"
      }, {
        "AttributeName": "dn",
        "AttributeValue": ""
      }, {
        "AttributeName": "dn",
        "AttributeValue": "CN=Bangalore user,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
      }, {
        "AttributeName": "whenchanged",
        "AttributeValue": "20230913125155.0Z"
      }, {
        "AttributeName": "objectclass",
        "AttributeValue": "top"
      }, {
        "AttributeName": "objectclass",
        "AttributeValue": "person"
      }, {
        "AttributeName": "objectclass",
        "AttributeValue": "organizationalPerson"
      }, {
        "AttributeName": "objectclass",
        "AttributeValue": "user"
      }, {
        "AttributeName": "primarygroupid",
        "AttributeValue": "513"
      }, {
        "AttributeName": "givenname",
        "AttributeValue": "Bangalore"
      }, {
        "AttributeName": "dscorepropagationdata",
        "AttributeValue": "16010101000001.0Z"
      }, {
        "AttributeName": "sn",
        "AttributeValue": "user"
      }, {
        "AttributeName": "useraccountcontrol",
        "AttributeValue": "512"
      }, {
        "AttributeName": "cn",
        "AttributeValue": "Bangalore user"
      }, {
        "AttributeName": "codepage",
        "AttributeValue": "0"
      }, {
        "AttributeName": "accountexpires",
        "AttributeValue": "9223372036854775807"
      }, {
        "AttributeName": "userprincipalname",
        "AttributeValue": "user-1@test-l
      }]
      

Exemplo: adicionar usuários a um grupo

  1. Na caixa de diálogo Configure connector task, clique em Actions.
  2. Selecione a ação AddMembersToGroup e clique em Concluído.
  3. Na seção Task Input da tarefa Connectors, clique em connectorInputPayload e insira um valor semelhante ao seguinte no campo Default Value:
    {
    "GroupId": "1|CN=Cert Publishers,CN=Users,DC=test-ldap,DC=com",
    "UserDNs": "[{\"DN\":\"CN=Google AI,CN=Users,DC=test-ldap,DC=com;CN=Guest,CN=Users,DC=test-ldap,DC=com\"}]"
    }
  4. Este exemplo adiciona um DN de usuário ao grupo com o ID 1|CN=Cert Publishers,CN=Users,DC=test-ldap,DC=com. Se a ação for bem-sucedida, o parâmetro de resposta connectorOutputPayload da tarefa do conector terá um valor semelhante a este:

    [{
      "Success": "True"
      }]

Exemplos de operação de entidade

Exemplo: listar usuários

Neste exemplo, listamos todos os usuários na entidade User.

  1. Na caixa de diálogo Configure connector task, clique em Entities.
  2. Selecione User na lista de Entity.
  3. Selecione a operação LIST e clique em Concluído.
  4. Também é possível filtrar o conjunto de resultados. Para filtrar o conjunto de resultados, na seção Task Input da tarefa Connectors, defina filterLesson de acordo com seu requisito.

    Por exemplo, definir a cláusula de filtro como Id='1|CN=admin,CN=Users,DC=test-ldap,DC=com' lista apenas os registros com IDs correspondentes a esses critérios.

Exemplo: acessar um registro do usuário

Este exemplo recebe um detalhe de usuário da entidade User.

  1. Na caixa de diálogo Configure connector task, clique em Entities.
  2. Selecione User na lista de Entity.
  3. Selecione a operação GET e clique em Concluído.
  4. Na seção Task Input da tarefa Connectors, clique em EntityId e insira 1|CN=admin,CN=Users,DC=test-ldap,DC=com no campo Valor padrão.

    Aqui, 1|CN=admin,CN=Users,DC=test-ldap,DC=com é um dos valores de chave primária da entidade User.

Exemplo: criar um registro de usuário

Este exemplo cria um registro de usuário na entidade User.

  1. Na caixa de diálogo Configure connector task, clique em Entities.
  2. Selecione User na lista de Entity.
  3. Selecione a operação Create e clique em Concluído.
  4. Na seção Task Input da tarefa Connectors, clique em connectorInputPayload e insira um valor semelhante ao seguinte no campo Default Value:
    {
    "RDN": "CN=MPATAI",
    "ObjectClass": "top;person;organizationalPerson;user"
    }

    Se a integração for bem-sucedida, o campo connectorOutputPayload da tarefa do conector terá um valor semelhante a este:

     {
    "Id": "1|CN=MPATAI,CN=Users,DC=test-ldap,DC=com"
    }

Exemplo: atualizar um tíquete

Este exemplo atualiza o registro de usuário especificado na entidade User.

  1. Na caixa de diálogo Configure connector task, clique em Entities.
  2. Selecione User na lista de Entity.
  3. Selecione a operação Update e clique em Concluído.
  4. Na seção Task Input da tarefa Connectors, clique em connectorInputPayload e insira um valor semelhante ao seguinte no campo Default Value:
    {
            "PostalCode": "560040"
          }
          
  5. Clique em entityId e, em seguida, insira 1|CN=admin,CN=Users,DC=test-ldap,DC=com no campo Valor padrão.

    Como alternativa, em vez de especificar o entityId, você também pode definir o filterLesson como 1|CN=admin,CN=Users,DC=test-ldap,DC=com.

    Se a integração for bem-sucedida, o campo connectorOutputPayload da tarefa do conector terá um valor semelhante a este:

    {
    "Id": "1|CN=admin,CN=Users,DC=test-ldap,DC=com"
    }
          

Exemplo: excluir um registro de usuário

Este exemplo exclui um registro de usuário da entidade User.

  1. Na caixa de diálogo Configure connector task, clique em Entities.
  2. Selecione User na lista de Entity.
  3. Selecione a operação Delete e clique em Concluído.
  4. Na seção Entrada da tarefa da tarefa Conectores, clique em entityId e insira 1|CN=admin,CN=Users,DC=test-ldap,DC=com no campo Valor padrão.
  5. Como alternativa, se a entidade User tiver chaves primárias compostas, em vez de especificar o entityId, você poderá definir filterLesson. Por exemplo, Id='1|CN=admin,CN=Users,DC=test-ldap,DC=com' and DN='CN=admin,CN=Users,DC=test-ldap,DC=com'.

Usar o Terraform para criar conexões

Use o recurso do Terraform (em inglês) para criar uma nova conexão.

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Confira um exemplo de modelo do Terraform para criar uma conexão em exemplo.

Ao criar essa conexão usando o Terraform, você precisa definir as seguintes variáveis no arquivo de configuração do Terraform:

Nome do parâmetro Tipo de dados Obrigatório Descrição
base_dn STRING Verdadeiro A parte de base do nome distinto, usada para limitar os resultados a subárvores específicas.
auth_mechanism ENUM Verdadeiro O mecanismo de autenticação a ser usado na conexão com o servidor LDAP. Valores aceitos: SIMPLE, DIGESTMD5, NEGOTIATE
follow_referrals BOOLEAN Falso Se as referências LDAP retornadas pelo servidor LDAP serão ou não seguidas.
friendly_guid BOOLEAN Falso Define se os valores do atributo GUID precisam ser retornados em um formato legível.
friendly_sid BOOLEAN Falso Define se os valores do atributo SID precisam ser retornados em um formato legível.
versão do ldapversion ENUM Verdadeiro A versão LDAP usada para se conectar e se comunicar com o servidor. Os valores aceitos são: 2, 3
escopo ENUM Verdadeiro Define se o escopo da pesquisa deve ser limitado a toda a subárvore (BaseDN e todos os seus descendentes), um único nível (BaseDN e seus descendentes diretos) ou ao objeto base (somente BaseDN). Os valores aceitos são: WHOLESUBTREE, SINGLELEVEL, BASEOBJECT

Usar a conexão LDAP em uma integração

Depois de criar a conexão, ela ficará disponível tanto na Apigee Integration quanto na Application Integration. Use a conexão em uma integração por meio da tarefa Conectores.

  • Para entender como criar e usar a tarefa Conectores na integração da Apigee, consulte Tarefa Conectores.
  • Para entender como criar e usar a tarefa de conectores na Application Integration, consulte Tarefa "Conectores".

Receber ajuda da comunidade do Google Cloud

Poste suas dúvidas e converse sobre esse conector na comunidade do Google Cloud em Fóruns do Cloud.

A seguir