总体而言、要配置LDAP服务器以为Astra用户提供身份验证、需要执行几个步骤。

在将Astra配置为使用LDAP进行身份验证之前、您应查看下面介绍的Astra配置要点、包括限制和配置选项。

Astra Control平台提供了两种部署模式。只有Astra控制中心部署才支持LDAP身份验证。

当前版本的Astra控制中心支持使用Astra Control REST API以及Astra Web用户界面配置LDAP身份验证。

要接受和处理Astra身份验证请求、您必须具有LDAP服务器。当前版本的Astra控制中心支持Microsoft的Active Directory。

在Astra中配置LDAP服务器时、您可以选择定义安全连接。在这种情况下、LDAPS协议需要证书。

您需要选择要使用LDAP进行身份验证的用户。为此、您可以确定各个用户或一组用户。必须在LDAP服务器上定义这些帐户。它们还需要在Astra (类型为LDAP)中进行标识、这样可以将身份验证请求转发到LDAP。

在当前版本的Astra控制中心中、是唯一支持的值 roleConstraint 为"*"。这表示用户不受限于一组有限的命名空间、并且可以访问所有命名空间。请参见 "将LDAP条目添加到Astra" 有关详细信息 …​

LDAP使用的凭据包括用户名(电子邮件地址)和关联的密码。

在Astra控制中心部署中用作用户名的所有电子邮件地址都必须是唯一的。您不能添加电子邮件地址已定义为Astra的LDAP用户。如果存在重复的电子邮件、您需要先从Astra中将其删除。请参见 "删除用户" 有关详细信息、请访问Astra控制中心文档站点。

您可以将LDAP用户和组添加到Astra控制中心、即使它们尚未位于LDAP中或未配置LDAP服务器也是如此。这样、您可以在配置LDAP服务器之前预先配置用户和组。

如果某个LDAP用户属于多个LDAP组、并且在Astra中为这些组分配了不同的角色、则用户在进行身份验证时的有效角色将获得最大的特权。例如、如果为用户分配了 viewer 角色与group1具有、但具有 member 用户在group2中的角色 member。这基于Astra使用的层次结构(从高到低)：

Astra大约每60秒就会将其用户和组与LDAP服务器同步一次。因此、如果将用户或组添加到LDAP或从LDAP中删除、则可能需要长达一分钟的时间、才能在Astra中使用该用户或组。

在尝试重置LDAP配置之前、必须先禁用LDAP身份验证。此外、还可以更改LDAP服务器 (connectionHost)、则需要同时执行这两个操作。请参见 "禁用并重置LDAP" 有关详细信息 …​

LDAP配置工作流会调用REST API来完成特定任务。每个API调用都可以包括输入参数、如提供的示例所示。请参见 "联机API参考" 有关如何查找参考文档的信息。