Skip to main content
本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

准备LDAP配置

贡献者

您可以选择将Astra控制中心与轻型目录访问协议(Lightweight Directory Access Protocol、LDAP)服务器集成、以便为选定的Astra用户执行身份验证。LDAP是一种用于访问分布式目录信息的行业标准协议、也是企业身份验证的常见选择。

实施过程概述

总体而言、要配置LDAP服务器以为Astra用户提供身份验证、需要执行几个步骤。

备注 尽管下面介绍的步骤是按顺序执行的、但在某些情况下、您可以按不同顺序执行这些步骤。例如、您可以在配置LDAP服务器之前定义Astra用户和组。
  1. 请查看 "要求和限制" 了解选项、要求和限制。

  2. 选择LDAP服务器和所需的配置选项(包括安全性)。

  3. 执行工作流 "将Astra配置为使用LDAP服务器" 将Astra与LDAP服务器集成。

  4. 查看LDAP服务器上的用户和组、确保它们定义正确。

  5. 在中执行相应的工作流 "将LDAP条目添加到Astra" 确定要使用LDAP进行身份验证的用户。

要求和限制

在将Astra配置为使用LDAP进行身份验证之前、您应查看下面介绍的Astra配置要点、包括限制和配置选项。

仅支持Astra控制中心

Astra Control平台提供了两种部署模式。只有Astra控制中心部署才支持LDAP身份验证。

仅限REST API配置

当前版本的Astra控制中心仅支持使用Astra Control REST API配置LDAP身份验证。此限制的一个重要方面是、LDAP用户不会显示在Astra Web界面的"Users"选项卡中。它们可通过端点的REST API来访问 ../core/v1/users

需要LDAP服务器

要接受和处理Astra身份验证请求、您必须具有LDAP服务器。当前版本的Astra控制中心支持Microsoft的Active Directory。

与LDAP服务器的安全连接

在Astra中配置LDAP服务器时、您可以选择定义安全连接。在这种情况下、LDAPS协议需要证书。

配置用户或组

您需要选择要使用LDAP进行身份验证的用户。为此、您可以确定各个用户或一组用户。必须在LDAP服务器上定义这些帐户。它们还需要在Astra (类型为LDAP)中进行标识、这样可以将身份验证请求转发到LDAP。

绑定用户或组时的角色限制

在当前版本的Astra控制中心中、是唯一支持的值 roleConstraint 为"*"。这表示用户不受限于一组有限的命名空间、并且可以访问所有命名空间。请参见 "将LDAP条目添加到Astra" 有关详细信息 …​

LDAP凭据

LDAP使用的凭据包括用户名(电子邮件地址)和关联的密码。

唯一电子邮件地址

在Astra控制中心部署中用作用户名的所有电子邮件地址都必须是唯一的。您不能添加电子邮件地址已定义为Astra的LDAP用户。如果存在重复的电子邮件、您需要先从Astra中将其删除。请参见 "删除用户" 有关详细信息、请访问Astra控制中心文档站点。

也可以先定义LDAP用户和组

您可以将LDAP用户和组添加到Astra控制中心、即使它们尚未位于LDAP中或未配置LDAP服务器也是如此。这样、您可以在配置LDAP服务器之前预先配置用户和组。

在多个LDAP组中定义的用户

如果某个LDAP用户属于多个LDAP组、并且在Astra中为这些组分配了不同的角色、则用户在进行身份验证时的有效角色将获得最大的特权。例如、如果为用户分配了 viewer 角色与group1具有、但具有 member 用户在group2中的角色 member。这基于Astra使用的层次结构(从高到低):

  • 所有者

  • 管理员

  • 成员

  • 查看器

定期同步帐户

Astra大约每60秒就会将其用户和组与LDAP服务器同步一次。因此、如果将用户或组添加到LDAP或从LDAP中删除、则可能需要长达一分钟的时间、才能在Astra中使用该用户或组。

禁用并重置LDAP配置

在尝试重置LDAP配置之前、必须先禁用LDAP身份验证。此外、还可以更改LDAP服务器 (connectionHost)、则需要同时执行这两个操作。请参见 "禁用并重置LDAP" 有关详细信息 …​

REST API参数

LDAP配置工作流会调用REST API来完成特定任务。每个API调用都可以包括输入参数、如提供的示例所示。请参见 "API 参考" 有关如何查找参考文档的信息。