Prepare-se para a configuração LDAP
Opcionalmente, é possível integrar o Astra Control Center a um servidor LDAP (Lightweight Directory Access Protocol) para executar a autenticação para usuários selecionados do Astra. O LDAP é um protocolo padrão do setor para acessar informações de diretórios distribuídos e uma escolha popular para autenticação empresarial.
Visão geral do processo de implementação
Em um alto nível, há várias etapas que você precisa executar para configurar um servidor LDAP para fornecer autenticação para usuários Astra.
Enquanto as etapas apresentadas abaixo estão em uma sequência, em alguns casos você pode executá-las em uma ordem diferente. Por exemplo, você pode definir os usuários e grupos Astra antes de configurar o servidor LDAP. |
-
Revise "Requisitos e limitações" para entender as opções, os requisitos e as limitações.
-
Selecione um servidor LDAP e as opções de configuração desejadas (incluindo segurança).
-
Execute o fluxo de trabalho "Configure o Astra para usar um servidor LDAP" para integrar o Astra ao servidor LDAP.
-
Reveja os utilizadores e grupos no servidor LDAP para se certificar de que estão definidos corretamente.
-
Execute o fluxo de trabalho apropriado em "Adicionar entradas LDAP ao Astra" para identificar os usuários a serem autenticados usando LDAP.
Requisitos e limitações
Antes de configurar o Astra para usar LDAP para autenticação, você deve consultar os fundamentos de configuração do Astra apresentados abaixo, incluindo limitações e opções de configuração.
A plataforma Astra Control oferece dois modelos de implantação. A autenticação LDAP só é compatível com implantações do Astra Control Center.
A versão atual do Astra Control Center só dá suporte à configuração de autenticação LDAP usando a API REST Astra Control. Um aspeto importante dessa limitação é que os usuários LDAP não são exibidos na guia usuários da interface Web Astra. Eles estão disponíveis através da API REST no endpoint ../core/v1/users
.
É necessário ter um servidor LDAP para aceitar e processar as solicitações de autenticação Astra. O ative Directory da Microsoft é compatível com a versão atual do Astra Control Center.
Ao configurar o servidor LDAP no Astra, você pode definir opcionalmente uma conexão segura. Neste caso, é necessário um certificado para o protocolo LDAPS.
Você precisa selecionar os usuários a serem autenticados usando LDAP. Você pode fazer isso identificando os usuários individuais ou um grupo de usuários. As contas devem ser definidas no servidor LDAP. Eles também precisam ser identificados no Astra (tipo LDAP), o que permite que as solicitações de autenticação sejam encaminhadas para LDAP.
Com a versão atual do Astra Control Center, o único valor suportado para roleConstraint
é "*". Isso indica que o usuário não está restrito a um conjunto limitado de namespaces e pode acessar todos eles. Consulte "Adicionar entradas LDAP ao Astra" para obter mais informações.
As credenciais usadas pelo LDAP incluem o nome de usuário (endereço de e-mail) e a senha associada.
Todos os endereços de e-mail atuando como nomes de usuário em uma implantação do Astra Control Center devem ser exclusivos. Não é possível adicionar um usuário LDAP com um endereço de e-mail que já esteja definido para Astra. Se houver um e-mail duplicado, você precisará primeiro excluí-lo do Astra. Consulte "Remover usuários" o site de documentação do Astra Control Center para obter mais informações.
Você pode adicionar os usuários e grupos LDAP ao Astra Control Center mesmo que eles ainda não existam no LDAP ou se o servidor LDAP não estiver configurado. Isto permite pré-configurar os utilizadores e grupos antes de configurar o servidor LDAP.
Se um usuário LDAP pertencer a vários grupos LDAP e os grupos tiverem sido atribuídos diferentes funções no Astra, a função efetiva do usuário ao autenticar será a mais privilegiada. Por exemplo, se um usuário for atribuído a viewer
função com group1, mas tiver a member
função em group2, a função do usuário será member
. Isso é baseado na hierarquia usada pelo Astra (mais alto a mais baixo):
-
Proprietário
-
Administrador
-
Membro
-
Visualizador
O Astra sincroniza os usuários e grupos de TI com o servidor LDAP aproximadamente a cada 60 segundo. Portanto, se um usuário ou grupo for adicionado ou removido do LDAP, pode levar até um minuto antes de estar disponível no Astra.
Antes de tentar repor a configuração LDAP, tem de desativar primeiro a autenticação LDAP. Além disso, para alterar o servidor LDAP (connectionHost
), é necessário executar ambas as operações. Consulte "Desativar e repor LDAP" para obter mais informações.
Os fluxos de trabalho de configuração LDAP fazem chamadas de API REST para realizar as tarefas específicas. Cada chamada de API pode incluir parâmetros de entrada como mostrado nas amostras fornecidas. Consulte "Referência da API" para obter informações sobre como localizar a documentação de referência.