Ad alto livello, è necessario eseguire diversi passaggi per configurare un server LDAP in modo da fornire l'autenticazione agli utenti Astra.

Prima di configurare Astra per l'utilizzo di LDAP per l'autenticazione, è necessario esaminare gli elementi essenziali della configurazione di Astra presentati di seguito, incluse le limitazioni e le opzioni di configurazione.

La piattaforma Astra Control offre due modelli di implementazione. L'autenticazione LDAP è supportata solo con le implementazioni di Astra Control Center.

L'attuale release di Astra Control Center supporta la configurazione dell'autenticazione LDAP utilizzando sia l'API REST di Astra Control che l'interfaccia utente web Astra.

Per accettare ed elaborare le richieste di autenticazione Astra, è necessario disporre di un server LDAP. Active Directory di Microsoft è supportata con la release corrente di Astra Control Center.

Quando si configura il server LDAP in Astra, è possibile definire una connessione sicura. In questo caso è necessario un certificato per il protocollo LDAPS.

Selezionare gli utenti da autenticare utilizzando LDAP. È possibile eseguire questa operazione identificando i singoli utenti o un gruppo di utenti. Gli account devono essere definiti sul server LDAP. Inoltre, devono essere identificati in Astra (tipo LDAP), che consente di inoltrare le richieste di autenticazione a LDAP.

Con l'attuale release di Astra Control Center, l'unico valore supportato per roleConstraint è "*". Questo indica che l'utente non è limitato a un set limitato di spazi dei nomi e può accedervi tutti. Vedere "Aggiungere voci LDAP ad Astra" per ulteriori informazioni.

Le credenziali utilizzate da LDAP includono il nome utente (indirizzo e-mail) e la password associata.

Tutti gli indirizzi e-mail che fungono da nomi utente in un'implementazione di Astra Control Center devono essere univoci. Non è possibile aggiungere un utente LDAP con un indirizzo e-mail già definito in Astra. Se esiste un'email duplicata, devi prima eliminarla da Astra. Vedere "Rimuovere gli utenti" Per ulteriori informazioni, visitare il sito di documentazione di Astra Control Center.

È possibile aggiungere utenti e gruppi LDAP a Astra Control Center anche se non esistono ancora in LDAP o se il server LDAP non è configurato. Ciò consente di preconfigurare gli utenti e i gruppi prima di configurare il server LDAP.

Se un utente LDAP appartiene a più gruppi LDAP e ai gruppi sono stati assegnati ruoli diversi in Astra, il ruolo effettivo dell'utente al momento dell'autenticazione sarà il più privilegiato. Ad esempio, se a un utente è assegnato il viewer con il group1, ma ha il member ruolo nel group2, il ruolo dell'utente sarebbe member. Si basa sulla gerarchia utilizzata da Astra (dal più alto al più basso):

Astra sincronizza gli utenti e i gruppi IT con il server LDAP circa ogni 60 secondi. Quindi, se un utente o un gruppo viene aggiunto o rimosso da LDAP, può essere necessario fino a un minuto prima che sia disponibile in Astra.

Prima di tentare di ripristinare la configurazione LDAP, è necessario disattivare l'autenticazione LDAP. Inoltre, per modificare il server LDAP (connectionHost), è necessario eseguire entrambe le operazioni. Vedere "Disattivare e ripristinare LDAP" per ulteriori informazioni.

I flussi di lavoro di configurazione LDAP effettuano chiamate API REST per eseguire le attività specifiche. Ogni chiamata API può includere parametri di input come mostrato negli esempi forniti. Vedere "Riferimento API online" per informazioni su come individuare la documentazione di riferimento.