在高層級上、您需要執行幾個步驟來設定LDAP伺服器、以便為Astra使用者提供驗證。

您應該先檢閱下列Astra組態基本要點、包括限制和組態選項、再將Astra設定為使用LDAP進行驗證。

Astra Control平台提供兩種部署模式。LDAP驗證僅支援Astra Control Center部署。

Astra Control Center目前版本僅支援使用Astra Control REST API組態LDAP驗證。這項限制的重要一點是、LDAP使用者不會顯示在Astra網路介面的「使用者」索引標籤中。端點的REST API可提供這些應用程式 ../core/v1/users。

您必須擁有LDAP伺服器、才能接受及處理Astra驗證要求。Microsoft的Active Directory受目前Astra Control Center版本支援。

在Astra中設定LDAP伺服器時、您可以選擇性地定義安全連線。在此情況下、LDAPS傳輸協定需要憑證。

您需要選取要使用LDAP驗證的使用者。您可以透過識別個別使用者或使用者群組來執行此作業。帳戶必須在LDAP伺服器上定義。也需要在Astra（類型LDAP）中識別這些驗證要求、以便將驗證要求轉送到LDAP。

目前推出的Astra Control Center是唯一支援的值 roleConstraint 為「*」。這表示使用者不受限於一組有限的命名空間、而且可以存取所有命名空間。請參閱 "將LDAP項目新增至Astra" 以取得更多資訊。

LDAP使用的認證資料包括使用者名稱（電子郵件地址）和相關密碼。

Astra Control Center部署中所有以使用者名稱身分使用的電子郵件地址都必須是唯一的。您無法使用已定義為Astra的電子郵件地址新增LDAP使用者。如果存在重複的電子郵件、您必須先從Astra刪除。請參閱 "移除使用者" 如需詳細資訊、請參閱Astra Control Center文件網站。

您可以將LDAP使用者和群組新增至Astra Control Center、即使LDAP中尚未存在或LDAP伺服器尚未設定亦然。這可讓您在設定LDAP伺服器之前預先設定使用者和群組。

如果LDAP使用者屬於多個LDAP群組、且已在Astra中指派不同的角色、則使用者在驗證時的有效角色將是最具權限的角色。例如、如果指派給使用者 viewer 角色與群組1、但具有 member 角色在群組2中、使用者的角色是 member。這是根據Astra（最高至最低）所使用的階層架構而定：

Astra大約每60秒將IT的使用者和群組與LDAP伺服器同步一次。因此、如果將使用者或群組新增至LDAP或從LDAP移除、可能需要一分鐘的時間才能在Astra中使用。

在嘗試重設LDAP組態之前、您必須先停用LDAP驗證。此外、也可變更LDAP伺服器 (connectionHost）、您必須同時執行這兩項作業。請參閱 "停用並重設LDAP" 以取得更多資訊。

LDAP組態工作流程會呼叫REST API來完成特定工作。每個API呼叫都可以包含輸入參數、如所提供的範例所示。請參閱 "API 參考" 以取得如何找到參考文件的相關資訊。