2. กำหนดค่าสิทธิ์การเข้าถึง

หลังจากที่เพิ่มไคลเอ็นต์ LDAP แล้ว คุณจะต้องกำหนดสิทธิ์การเข้าถึงสำหรับไคลเอ็นต์ หน้าสิทธิ์การเข้าถึง จะแสดงขึ้นมาโดยอัตโนมัติหลังจากที่มีการเพิ่มไคลเอ็นต์ LDAP โดยจะประกอบด้วยสามส่วนที่คุณจะดำเนินการได้ดังต่อไปนี้

• ระบุระดับการเข้าถึงของไคลเอ็นต์ LDAP สำหรับการยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ —เมื่อผู้ใช้พยายามลงชื่อเข้าใช้แอปพลิเคชัน การตั้งค่านี้ จะระบุว่าหน่วยขององค์กรใดที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อยืนยัน ข้อมูลเข้าสู่ระบบของผู้ใช้ได้ โดยผู้ใช้ที่ไม่ได้อยู่ในหน่วยขององค์กรที่เลือกจะลงชื่อเข้าใช้แอปพลิเคชันไม่ได้
• ระบุระดับการเข้าถึงของไคลเอ็นต์ LDAP สำหรับการอ่านข้อมูลผู้ใช้—การตั้งค่านี้จะระบุว่าหน่วยขององค์กรและกลุ่มใดที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อเรียกข้อมูลผู้ใช้เพิ่มเติมได้
• ระบุว่าไคลเอ็นต์ LDAP จะอ่านข้อมูลของกลุ่มได้หรือไม่ การตั้งค่านี้จะระบุว่าไคลเอ็นต์ LDAP จะอ่านรายละเอียดของกลุ่มและตรวจสอบการเป็นสมาชิกกลุ่มของผู้ใช้เพื่อวัตถุประสงค์ต่างๆ เช่น บทบาทของผู้ใช้ในแอปพลิเคชัน ได้หรือไม่

คุณจะกลับไปที่หน้าสิทธิ์การเข้าถึง เพื่อทำการเปลี่ยนแปลงการตั้งค่าเหล่านี้ในภายหลังได้ โปรดดูวิธีการและรายละเอียดเพิ่มเติมในหัวข้อด้านล่าง

ข้อมูลสำคัญ: ไคลเอ็นต์ LDAP บางประเภท เช่น Atlassian Jira และ SSSD จะดำเนินการค้นหาข้อมูลเกี่ยวกับผู้ใช้เพิ่มเติมในระหว่างการตรวจสอบสิทธิ์ผู้ใช้ คุณจะต้องเปิดใช้การอ่านข้อมูลผู้ใช้ สำหรับหน่วยขององค์กรทั้งหมดที่เปิดใช้การยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ เพื่อให้การตรวจสอบสิทธิ์ผู้ใช้ทำงานอย่างถูกต้องกับไคลเอ็นต์ LDAP นี้

ระบุระดับการเข้าถึงของไคลเอ็นต์ LDAP สำหรับการยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้

โปรดใช้ตัวเลือกนี้หากไคลเอ็นต์ LDAP ต้องการตรวจสอบสิทธิ์ผู้ใช้กับ Cloud Directory

เมื่อผู้ใช้พยายามลงชื่อเข้าใช้แอปพลิเคชัน การตั้งค่ายืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ จะระบุว่าหน่วยขององค์กรและกลุ่มที่เลือกใดที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ได้ ผู้ใช้ที่ไม่ได้อยู่ในหน่วยขององค์กรหรือกลุ่มที่เลือก หรือผู้ใช้ในหมวดหมู่ ยกเว้นกลุ่ม จะลงชื่อเข้าใช้แอปพลิเคชันไม่ได้ (คุณจะกำหนดค่าสิทธิ์การเข้าถึง เพื่อรวม หรือยกเว้น กลุ่มได้)

การตั้งค่านี้จะมีค่าเริ่มต้นเป็นเข้าถึงไม่ได้ สำหรับหน่วยขององค์กรและกลุ่ม ในกรณีที่ทั้งบริษัทใช้ไคลเอ็นต์ LDAP นี้ คุณจะเปลี่ยนการตั้งค่าเป็นทั้งโดเมน เพื่ออนุญาตการเข้าถึงให้กับผู้ใช้ทุกคนในโดเมน หรือจะเลือกเฉพาะหน่วยขององค์กรหรือกลุ่มที่ต้องการก็ได้

หมายเหตุ: การเปลี่ยนแปลงการตั้งค่านี้อาจใช้เวลาถึง 24 ชั่วโมงจึงจะมีผล

หากต้องการเลือกหน่วยขององค์กรที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ได้ โปรดทำดังนี้

1. คลิกหน่วยขององค์กร กลุ่ม และกลุ่มที่ยกเว้นที่เลือก ในส่วน ยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้
2. คลิกเพิ่ม หรือแก้ไข ในส่วน หน่วยขององค์กรที่รวมไว้
3. เลือกหน่วยขององค์กรที่ต้องการรวมในหน้าต่าง หน่วยขององค์กรที่รวมไว้
4. คลิกบันทึก

หากต้องการรวมกลุ่มที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ได้ โปรดทำดังนี้

1. คลิกหน่วยขององค์กร กลุ่ม และกลุ่มที่ยกเว้นที่เลือก ในส่วน ยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้
2. คลิกเพิ่ม หรือแก้ไข ในส่วน กลุ่มที่รวมไว้
3. เลือกกลุ่มที่ต้องการรวมในหน้าต่าง ค้นหาและเลือกกลุ่ม
4. คลิกเสร็จสิ้น

หากต้องการยกเว้นกลุ่มเพื่อไม่ให้ยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ โปรดทำดังนี้

1. คลิกหน่วยขององค์กร กลุ่ม และกลุ่มที่ยกเว้นที่เลือก ในส่วน ยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้
2. คลิกเพิ่ม หรือแก้ไข ในส่วน กลุ่มที่ยกเว้น
3. เลือกกลุ่มที่ต้องการยกเว้นในหน้าต่าง ค้นหาและเลือกกลุ่ม
4. คลิกเสร็จสิ้น

หมายเหตุ: หากต้องการดูรายการหน่วยขององค์กรที่รวมไว้ หรือดูรายการกลุ่มที่รวมหรือยกเว้นไว้อย่างรวดเร็ว ให้วางเมาส์เหนือการตั้งค่าข้างต้น

ระบุระดับการเข้าถึงของไคลเอ็นต์ LDAP สำหรับการอ่านข้อมูลผู้ใช้

โปรดใช้ตัวเลือกนี้หากไคลเอ็นต์ LDAP ต้องการสิทธิ์การเข้าถึงระดับอ่านอย่างเดียวเพื่อดำเนินการค้นหาผู้ใช้

การตั้งค่าอ่านข้อมูลผู้ใช้ จะระบุว่าหน่วยขององค์กรใดที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อเรียกข้อมูลผู้ใช้เพิ่มเติมได้ การตั้งค่านี้จะมีค่าเริ่มต้นเป็น เข้าถึงไม่ได้ คุณจะเปลี่ยนการตั้งค่าเป็น ทั้งโดเมน หรือ เลือก หน่วยขององค์กรที่เลือก ก็ได้

หากต้องการเลือกหน่วยขององค์กรที่ไคลเอ็นต์ LDAP สามารถเข้าถึงเพื่อเรียกข้อมูลผู้ใช้เพิ่มเติม โปรดทำดังนี้

1. คลิกหน่วยขององค์กรที่เลือก ในส่วน อ่านข้อมูลผู้ใช้

2. ดำเนินการอย่างใดอย่างหนึ่งต่อไปนี้

   คลิกเพิ่ม เลือกช่องเฉพาะหน่วยขององค์กรที่ต้องการในหน้าต่าง หน่วยขององค์กรที่รวมไว้ นอกจากนี้คุณยังใช้ช่องค้นหาด้านบนของหน้าต่างเพื่อค้นหาหน่วยขององค์กรได้

   หรือ

   คลิกคัดลอกจาก "ยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้"

3. (ไม่บังคับ) ระบุแอตทริบิวต์ที่ไคลเอ็นต์นี้เข้าถึงเพื่ออ่านข้อมูลของผู้ใช้ได้ เลือกจาก แอตทริบิวต์ระบบ แอตทริบิวต์แบบสาธารณะที่กำหนดเอง และ แอตทริบิวต์แบบส่วนตัวที่กำหนดเอง โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อระบุแอตทริบิวต์ที่ต้องการให้ไคลเอ็นต์ LDAP ใช้งานได้

4. คลิกบันทึก

ระบุแอตทริบิวต์ที่ต้องการให้ไคลเอ็นต์ LDAP ใช้งานได้

แอตทริบิวต์มี 3 ประเภทคือ

• แอตทริบิวต์ระบบ—บัญชีผู้ใช้ทั้งหมดจะใช้งานแอตทริบิวต์เริ่มต้นของผู้ใช้ได้ เช่น ชื่อ อีเมล และโทรศัพท์

  หมายเหตุ: โปรดทราบว่าคุณไม่สามารถปิดตัวเลือกนี้ได้

• แอตทริบิวต์แบบสาธารณะที่กำหนดเอง—แอตทริบิวต์ที่กำหนดเองของผู้ใช้ซึ่งทำเครื่องหมายให้ มองเห็นได้ในองค์กร

• แอตทริบิวต์แบบส่วนตัวที่กำหนดเอง—แอตทริบิวต์ที่กำหนดเองของผู้ใช้ซึ่งทำเครื่องหมายให้ มองเห็นได้เฉพาะผู้ใช้และผู้ดูแลระบบ โปรดใช้แอตทริบิวต์แบบส่วนตัวที่กำหนดเองด้วยความระมัดระวัง เนื่องจากคุณกำลังเปิดเผยข้อมูลส่วนตัวกับไคลเอ็นต์ LDAP

ข้อกำหนดและหลักเกณฑ์การตั้งชื่อแอตทริบิวต์ที่กำหนดเอง

• ชื่อแอตทริบิวต์ที่กำหนดเองต้องมีเฉพาะข้อความที่เป็นตัวอักษรและตัวเลข รวมถึงขีดกลางเท่านั้น
• ชื่อแอตทริบิวต์ต้องไม่ซ้ำกันในทุกสคีมาที่กำหนดเอง
• หากชื่อแอตทริบิวต์ที่กำหนดเองตรงกับแอตทริบิวต์ระบบที่มีอยู่ ระบบจะแสดงค่าแอตทริบิวต์ระบบ

สำคัญ: หากชื่อแอตทริบิวต์ไม่เป็นไปตามหลักเกณฑ์ข้างต้น ระบบจะยกเว้นค่าแอตทริบิวต์ที่เป็นปัญหาออกจากคำตอบ LDAP

โปรดดูรายละเอียดและวิธีการตั้งค่าแอตทริบิวต์ที่กำหนดเองที่หัวข้อ สร้างแอตทริบิวต์ที่กำหนดเองสำหรับโปรไฟล์ผู้ใช้

ระบุว่าไคลเอ็นต์ LDAP จะอ่านข้อมูลของกลุ่มได้หรือไม่

โปรดใช้ตัวเลือกนี้หากไคลเอ็นต์ LDAP ต้องการสิทธิ์การเข้าถึงระดับอ่านอย่างเดียวเพื่อดำเนินการค้นหากลุ่ม

การตั้งค่าอ่านข้อมูลของกลุ่ม เป็นการระบุว่าไคลเอ็นต์ LDAP จะตรวจสอบการเป็นสมาชิกกลุ่มของผู้ใช้เพื่อวัตถุประสงค์ต่างๆ เช่น การให้สิทธิ์บทบาทของผู้ใช้ในแอปพลิเคชันได้หรือไม่

ข้อมูลสำคัญ: ไคลเอ็นต์ LDAP บางประเภท เช่น Atlassian Jira และ SSSD จะดำเนินการค้นหาข้อมูลเกี่ยวกับการเป็นสมาชิกกลุ่มของผู้ใช้เพิ่มเติมในระหว่างการตรวจสอบสิทธิ์หรือให้สิทธิ์ผู้ใช้ โดยคุณจะต้องเปิดอ่านข้อมูลของกลุ่ม เพื่อให้การตรวจสอบสิทธิ์ผู้ใช้ทำงานกับไคลเอ็นต์ LDAP ดังกล่าวได้อย่างถูกต้อง

ขั้นตอนถัดไป

หลังจากที่กำหนดสิทธิ์การเข้าถึงแล้ว ให้คลิกเพิ่มไคลเอ็นต์ LDAP

จากนั้นให้ดาวน์โหลดใบรับรองที่สร้างไว้ แล้วเชื่อมต่อไคลเอ็นต์ LDAP กับบริการ LDAP ที่ปลอดภัย และเปลี่ยนสถานะบริการสำหรับไคลเอ็นต์ LDAP ให้เป็นเปิด

ดูขั้นตอนถัดไปได้ที่หัวข้อ 3. ดาวน์โหลดใบรับรองที่สร้างไว้

บทความที่เกี่ยวข้อง

• เกี่ยวกับบริการ LDAP ที่ปลอดภัย
• สคีมา LDAP ที่ปลอดภัย
• จัดการไคลเอ็นต์ LDAP
• บันทึกการตรวจสอบสำหรับบริการ LDAP ที่ปลอดภัย
• บริการ LDAP ที่ปลอดภัย: คำอธิบายรหัสข้อผิดพลาด
• คำถามที่พบบ่อยเกี่ยวกับบริการ LDAP ที่ปลอดภัย