2. 配置访问权限

添加 LDAP 客户端后,您需要配置相应客户端的访问权限。访问权限 页面(系统会在添加 LDAP 客户端后自动显示该页面)包含三个部分,可供您执行以下操作:

  • 指定 LDAP 客户端验证用户 凭据时的访问权限级别—当用户尝试登录应用时,此设置 会指定 LDAP 客户端可以访问哪些单位部门以验证用户 的凭据。不在所选单位部门中的用户无法登录该应用。
  • 指定 LDAP 客户端的访问权限级别以读取用户信息—此 设置指定 LDAP 客户端可以 访问哪些单位部门和群组以检索其他用户信息。
  • 指定 LDAP 客户端是否可以读取群组信息—此设置指定 LDAP 客户端是否可以读取群组详细信息并查看用户的群组成员资格,以实现授予用户在应用中的角色等目的。

之后,您可以返回访问权限 页面更改这些设置。有关详细信息和操作说明,请参阅以下各部分中的内容。

重要提示: 部分 LDAP 客户端(如 Atlassian Jira 和 SSSD)会在用户身份验证过程中执行用户查询,以便获取更多用户信息。为确保此类 LDAP 客户端的用户身份验证能正常完成,您必须为已开启验证用户凭据 的所有组织部门开启读取用户信息

指定 LDAP 客户端验证用户凭据时的访问权限级别

如果 LDAP 客户端需要针对 Cloud Directory 对用户进行身份验证,请使用此选项。

当用户尝试登录相应应用时,验证用户凭据 设置会指定 LDAP 客户端可以访问所选单位部门和群组中的哪些用户帐号以验证用户的凭据。不在所选单位部门或群组中的用户或“排除群组”中的用户无法登录该应用。 (您可以配置访问权限来包含或排除群组。)

默认情况下,系统会为单位部门或群组将此设置设为无访问权限 。如果整个公司都使用此 LDAP 客户端,您可以将此设置更改为整个网域 ,以便向整个网域中的用户授予访问权限。您也可以选择特定单位部门或群组。

注意: 对此设置所做的更改可能需要 24 小时才能生效。

要选择 LDAP 客户端可以访问的单位部门以验证用户凭据,请按以下步骤操作

  1. “验证用户凭据”下方,点击 所选单位部门、 群组和已排除的群组
  2. “包含的单位部门”下方,点击 添加修改
  3. “包含的单位部门”窗口中,选择您要添加的特定单位部门。
  4. 点击保存

要包含 LDAP 客户端可以访问的群组以验证用户凭据,请按以下步骤操作

  1. “验证用户凭据”下方,点击 所选单位部门、 群组和已排除的群组
  2. “包含的群组”下方,点击 添加修改
  3. “查找并选择群组”窗口中,选择您要添加的特定群组。
  4. 点击完成

要在验证用户凭据时排除群组,请按以下步骤操作

  1. “验证用户凭据”下方,点击 所选单位部门、 群组和已排除的群组
  2. “已排除的群组”下方,点击 添加修改
  3. “查找并选择群组”窗口中,选择您要排除的特定群组。
  4. 点击完成

注意: 要快速查看包含的单位部门列表,或查看包含或排除的群组列表,请将鼠标悬停在上述设置上。

指定 LDAP 客户端的访问权限级别以读取用户信息

如果 LDAP 客户端需要只读访问权限以执行用户查询,请使用此选项。

读取用户信息 设置会指定 LDAP 客户端可以访问哪些组织部门以检索其他用户信息。默认情况下,此设置设为 “无访问权限”。您可以将此设置更改为 “整个网域”,或 选择 “所选单位部门”

要选择 LDAP 客户端可以访问的单位部门以检索其他用户信息,请按以下步骤操作

  1. “读取用户信息”下方,点击 所选组织部门

  2. 执行下列其中一项操作:

    点击 Add (添加)。在 “包含的单位部门”窗口中,选中特定单位部门对应的复选框。您还可以使用窗口顶部的搜索字段来搜索单位部门。

    --或者--

    点击从“验证用户凭据”面板复制

  3. (可选)指定此客户端可以通过访问哪些属性来读取用户的信息。您可以在 系统属性公开的自定义属性不公开的自定义属性间选择。有关详情,请参阅指定允许 LDAP 客户端访问哪些 属性

  4. 点击保存

指定允许 LDAP 客户端访问哪些属性

属性有以下 3 种类型:

  • 系统属性 \- 适用于所有用户 账号的默认用户属性,例如姓名、电子邮件地址和电话号码。

    注意: 您无法停用此选项。

  • 公开的自定义属性—标记为 整个单位可见的自定义用户属性。

  • 不公开的自定义属性—标记为 仅用户本人和管理员可见的自定义用户属性。请谨慎选择不公开的自定义属性,因为这会将不公开的信息提供给 LDAP 客户端。

自定义属性命名要求和准则

  • 自定义属性的名称只能包含字母数字字符和连字符。
  • 所有自定义架构中都不能有重复的属性名称。
  • 如果自定义属性名称与现有系统属性匹配,我们将返回系统属性值。

重要提示: 如果属性名称不符合上述准则,相关属性值将从 LDAP 响应中排除。

有关设置自定义属性的更多详情和说明,请参阅 为用户 个人资料创建自定义属性

指定 LDAP 客户端是否可以读取群组信息

如果 LDAP 客户端需要只读访问权限以执行群组查询,请使用此选项。

读取群组信息 设置指定 LDAP 客户端是否可以读取用户的群组成员资格信息,以实现授予用户在应用中的角色等目的。

重要提示: 部分 LDAP 客户端(如 Atlassian Jira 和 SSSD)会在用户身份验证/授权过程中执行群组查询,以便获取更多关于用户的群组成员资格的信息。为确保此类 LDAP 客户端的用户身份验证正常运作,您必须开启读取群组信息

后续步骤

完成访问权限配置后,请点击添加 LDAP 客户端

接下来,您必须下载已生成的证书,将 LDAP 客户端连接到安全 LDAP 服务,然后为 LDAP 客户端将服务状态切换为开启

如需了解后续步骤,请参阅 3. 下载已生成的 证书