Prepare la configuración de LDAP
Opcionalmente, puede integrar Astra Control Center con un servidor Lightweight Directory Access Protocol (LDAP) para realizar la autenticación de determinados usuarios de Astra. LDAP es un protocolo estándar del sector para acceder a información de directorio distribuida y una opción muy popular para la autenticación empresarial.
Descripción general del proceso de implementación
En un nivel superior, hay varios pasos que debe realizar para configurar un servidor LDAP con el fin de proporcionar autenticación a los usuarios de Astra.
Aunque los pasos que se muestran a continuación están en una secuencia, en algunos casos puede realizarlos en un orden diferente. Por ejemplo, puede definir los usuarios y grupos de Astra antes de configurar el servidor LDAP. |
-
Revisar "Requisitos y limitaciones" para comprender las opciones, requisitos y limitaciones.
-
Seleccione un servidor LDAP y las opciones de configuración deseadas (incluida la seguridad).
-
Realice el flujo de trabajo "Configure Astra para que utilice un servidor LDAP" Integrar Astra con el servidor LDAP.
-
Revise los usuarios y grupos del servidor LDAP para asegurarse de que están definidos correctamente.
-
Ejecute el flujo de trabajo adecuado en "Agregue entradas LDAP a Astra" Identificar los usuarios que se autenticarán mediante LDAP.
Requisitos y limitaciones
Antes de configurar Astra para utilizar LDAP para la autenticación, debe revisar los aspectos básicos de configuración de Astra que se presentan a continuación, incluidas las limitaciones y las opciones de configuración.
La plataforma Astra Control proporciona dos modelos de puesta en marcha. La autenticación LDAP solo es compatible con las implementaciones de Astra Control Center.
La versión actual de Astra Control Center sólo admite la configuración de la autenticación LDAP mediante la API REST de Astra Control. Un aspecto importante de esta limitación es que los usuarios de LDAP no se muestran en la ficha usuarios de la interfaz web de Astra. Están disponibles a través de la API DE REST en el extremo ../core/v1/users
.
Debe tener un servidor LDAP para aceptar y procesar las solicitudes de autenticación Astra. Active Directory de Microsoft es compatible con la versión actual de Astra Control Center.
Al configurar el servidor LDAP en Astra, puede definir opcionalmente una conexión segura. En este caso, se necesita un certificado para el protocolo LDAPS.
Debe seleccionar los usuarios para autenticarse con el LDAP. Puede hacerlo identificando los usuarios individuales o un grupo de usuarios. Las cuentas se deben definir en el servidor LDAP. También deben identificarse en Astra (tipo LDAP) que permite que las solicitudes de autenticación se reenvíen a LDAP.
Con la versión actual de Astra Control Center, el único valor admitido para roleConstraint
es "*". Esto indica que el usuario no está restringido a un conjunto limitado de espacios de nombres y que puede acceder a todos ellos. Consulte "Agregue entradas LDAP a Astra" si quiere más información.
Entre las credenciales que utiliza LDAP, se incluyen el nombre de usuario (dirección de correo electrónico) y la contraseña asociada.
Todas las direcciones de correo electrónico que actúen como nombres de usuario en una implementación de Astra Control Center deben ser únicas. No puede agregar un usuario LDAP con una dirección de correo electrónico que ya esté definida en Astra. Si existe un correo electrónico duplicado, primero debe eliminarlo de Astra. Consulte "Quitar usuarios" En el sitio de documentación de Astra Control Center para obtener más información.
Puede agregar los usuarios y grupos LDAP a Astra Control Center aunque aún no existan en LDAP o si no se ha configurado el servidor LDAP. Esto permite preconfigurar los usuarios y grupos antes de configurar el servidor LDAP.
Si un usuario LDAP pertenece a varios grupos LDAP y se han asignado roles diferentes en Astra a los grupos, el rol efectivo del usuario al autenticarse será el más privilegiado. Por ejemplo, si se asigna un usuario el viewer
rol con group1 pero tiene la member
función en grupo2, el rol del usuario sería member
. Esto se basa en la jerarquía utilizada por Astra (de la más alta a la más baja):
-
Propietario
-
Admin
-
Miembro
-
Visionador
Astra sincroniza los usuarios y grupos de TI con el servidor LDAP aproximadamente cada 60 segundos. Por lo tanto, si se agrega o elimina un usuario o grupo de LDAP, puede tardar hasta un minuto en estar disponible en Astra.
Antes de intentar restablecer la configuración de LDAP, primero debe deshabilitar la autenticación LDAP. Además, para cambiar el servidor LDAP (connectionHost
), debe realizar ambas operaciones. Consulte "Deshabilite y restablezca LDAP" si quiere más información.
Los flujos de trabajo de configuración LDAP realizan llamadas a la API DE REST para realizar las tareas específicas. Cada llamada API puede incluir parámetros de entrada, como se muestra en las muestras proporcionadas. Consulte "Referencia de API" para obtener información sobre cómo localizar la documentación de referencia.