2. הגדרת הרשאות גישה

אחרי שמוסיפים את לקוח ה-LDAP, צריך להגדיר את הרשאות הגישה של הלקוח. בדף Access permissions שמוצג אוטומטית אחרי הוספת לקוח LDAP, יש שלושה קטעים שבהם אפשר לבצע את הפעולות הבאות:

  • ציון רמת הגישה של לקוח ה-LDAP לאימות פרטי כניסה של משתמשים – כשמשתמש מנסה להיכנס לאפליקציה, ההגדרה הזו מציינת לאילו יחידות ארגוניות יש ללקוח ה-LDAP גישה כדי לאמת את פרטי הכניסה של המשתמש. משתמשים שלא שייכים ליחידה ארגונית שנבחרה לא יכולים להיכנס לאפליקציה.
  • ציון רמת הגישה של לקוח ה-LDAP לקריאת פרטי משתמשים – בהגדרה הזו מצוינות היחידות הארגוניות והקבוצות שאליהן לקוח ה-LDAP יכול לגשת כדי לאחזר מידע נוסף על משתמשים.
  • הגדרה של האפשרות של לקוח ה-LDAP לקרוא מידע על קבוצות – בהגדרה הזו מציינים אם לקוח ה-LDAP יכול לקרוא פרטים על קבוצות ולבדוק את החברות של משתמש בקבוצות, למשל, כדי לראות את התפקיד של משתמש באפליקציה.

בהמשך תוכלו לחזור לדף הרשאות גישה כדי לשנות את ההגדרות האלה. בסעיפים הבאים יש הוראות ופרטים נוספים.

חשוב: לקוחות LDAP מסוימים, כמו Atlassian Jira ו-SSSD, מבצעים חיפוש משתמש כדי לקבל מידע נוסף על משתמש במהלך אימות המשתמש. כדי לוודא שאימות המשתמשים פועל בצורה תקינה בלקוחות LDAP כאלה, צריך להפעיל את האפשרות קריאת פרטי המשתמש בכל היחידות הארגוניות שבהן מופעלת האפשרות אימות פרטי הכניסה של המשתמש.

מציינים את רמת הגישה של לקוח ה-LDAP לאימות פרטי כניסה של משתמשים

משתמשים באפשרות הזו אם לקוח ה-LDAP צריך לאמת משתמשים מול Cloud Directory.

כשמשתמש מנסה להיכנס לאפליקציה, ההגדרה Verify user credentials מציינת את חשבונות המשתמשים בתוך היחידות הארגוניות והקבוצות שנבחרו שאליהם לקוח ה-LDAP יכול לגשת כדי לאמת את פרטי הכניסה של המשתמש. משתמשים שלא שייכים ליחידה ארגונית או לקבוצה שנבחרו – או משתמשים בקטגוריה קבוצות להחרגה – לא יכולים להיכנס לאפליקציה. (אפשר להגדיר הרשאות גישה לכלול או להחריג קבוצות).

כברירת מחדל, ההגדרה הזו היא ללא גישה ליחידות ארגוניות ולקבוצות. אם כל החברה משתמשת בלקוח LDAP הזה, אפשר לשנות את ההגדרה לכל הדומיין כדי לאפשר גישה למשתמשים בכל הדומיין, או לבחור יחידות ארגוניות או קבוצות ספציפיות.

הערה: יכול להיות שיחלפו עד 24 שעות לפני שהשינויים בהגדרה הזו ייכנסו לתוקף.

כדי לבחור יחידות ארגוניות שאליהן לקוח ה-LDAP יכול לגשת כדי לאמת את פרטי הכניסה של המשתמש:

  1. בקטע אימות פרטי הכניסה של המשתמש, לוחצים על יחידות ארגוניות נבחרות, קבוצות וקבוצות שהוחרגו.
  2. בקטע יחידות ארגוניות שכלולות, לוחצים על הוספה או על עריכה.
  3. בחלון יחידות ארגוניות כלולות, בוחרים יחידות ארגוניות ספציפיות שרוצים לכלול.
  4. לוחצים על שמירה.

כדי לכלול קבוצות שלקוח LDAP יכול לגשת אליהן כדי לאמת את פרטי הכניסה של המשתמש:

  1. בקטע אימות פרטי הכניסה של המשתמש, לוחצים על יחידות ארגוניות נבחרות, קבוצות וקבוצות שהוחרגו.
  2. בקטע קבוצות שכלולות, לוחצים על הוספה או על עריכה.
  3. בחלון Find and select groups (חיפוש ובחירה של קבוצות), בוחרים קבוצות ספציפיות שרוצים לכלול.
  4. לוחצים על סיום.

כדי להחריג קבוצות מאימות פרטי הכניסה של המשתמשים:

  1. בקטע אימות פרטי הכניסה של המשתמש, לוחצים על יחידות ארגוניות נבחרות, קבוצות וקבוצות שהוחרגו.
  2. בקטע קבוצות מוחרגות, לוחצים על הוספה או על עריכה.
  3. בחלון Find and select groups (חיפוש ובחירה של קבוצות), בוחרים את הקבוצות הספציפיות שרוצים להחריג.
  4. לוחצים על סיום.

הערה: כדי לראות במהירות את רשימת היחידות הארגוניות שנכללות, או את רשימת הקבוצות שנכללות או מוחרגות, מעבירים את העכבר מעל ההגדרות שלמעלה.

מציינים את רמת הגישה של לקוח LDAP לקריאת פרטי המשתמשים

משתמשים באפשרות הזו אם לקוח ה-LDAP דורש גישת קריאה בלבד כדי לבצע חיפושים של משתמשים.

ההגדרה קריאת פרטי משתמש מציינת לאילו יחידות ארגוניות לקוח ה-LDAP יכול לגשת כדי לאחזר מידע נוסף על משתמשים. כברירת מחדל, ההגדרה הזו היא ללא גישה. אפשר לשנות את ההגדרה לכל הדומיין, או לבחור באפשרות יחידות ארגוניות נבחרות.

כדי לבחור יחידות ארגוניות שלקוח ה-LDAP יכול לגשת אליהן כדי לאחזר מידע נוסף על משתמשים:

  1. בקטע קריאת פרטי משתמש, לוחצים על יחידות ארגוניות נבחרות.

  2. מבצעים אחת מהפעולות האלה:

    לוחצים על הוספה. בחלון יחידות ארגוניות כלולות, מסמנים את התיבות של היחידות הארגוניות הספציפיות. אפשר גם להשתמש בשדה החיפוש בחלק העליון של החלון כדי לחפש יחידות ארגוניות.

    --OR--

    לוחצים על העתקה מתוך 'אימות של אישורי משתמשים'.

  3. (אופציונלי) מציינים לאילו מאפיינים יש ללקוח הזה גישה כדי לקרוא פרטי משתמש. בוחרים מתוך מאפייני מערכת, מאפיינים ציבוריים מותאמים אישית ומאפיינים פרטיים מותאמים אישית. פרטים נוספים זמינים במאמר ציון המאפיינים שרוצים להפוך לזמינים ללקוח LDAP.

  4. לוחצים על שמירה.

מציינים אילו מאפיינים רוצים להפוך לזמינים ללקוח LDAP.

יש 3 סוגים של מאפיינים:

  • מאפייני מערכת – ברירת המחדל של מאפייני המשתמש זמינה בכל חשבונות המשתמשים – לדוגמה, שם, אימייל וטלפון.

    הערה: אי אפשר להשבית את האפשרות הזו.

  • מאפיינים מותאמים אישית גלויים לכולם – מאפייני משתמש מותאמים אישית שמסומנים כגלויים לארגון.

  • מאפיינים מותאמים אישית פרטיים – מאפייני משתמש מותאמים אישית שמסומנים כמאפיינים שרק המשתמשים והאדמינים יכולים לראות. צריך להיזהר כשמשתמשים במאפיינים מותאמים אישית פרטיים, כי הם חושפים מידע פרטי ללקוח LDAP.

דרישות והנחיות בנושא שמות של מאפיינים מותאמים אישית:

  • שמות של מאפיינים מותאמים אישית יכולים להכיל רק טקסט אלפאנומרי ומקפים.
  • לא יכולים להיות שמות מאפיינים כפולים בכל הסכימות המותאמות אישית.
  • אם שם המאפיין המותאם אישית זהה לשם של מאפיין מערכת קיים, המערכת תחזיר את הערך של מאפיין המערכת.

חשוב: אם שמות המאפיינים לא עומדים בהנחיות שלמעלה, ערכי המאפיינים הרלוונטיים לא נכללים בתשובת ה-LDAP.

פרטים נוספים והוראות להגדרת מאפיינים מותאמים אישית מופיעים במאמר בנושא יצירת מאפיינים מותאמים אישית לפרופילי משתמשים.

מציינים אם לקוח ה-LDAP יכול לקרוא פרטי קבוצה

משתמשים באפשרות הזו אם לקוח ה-LDAP דורש גישת קריאה בלבד כדי לבצע חיפושים של קבוצות.

ההגדרה קריאת פרטי קבוצה מציינת אם לקוח ה-LDAP יכול לבדוק את החברות של משתמש בקבוצות, למשל, כדי לאשר את התפקיד של משתמש באפליקציה.

חשוב: לקוחות LDAP מסוימים, כמו Atlassian Jira ו-SSSD, מבצעים חיפוש קבוצות כדי לקבל מידע נוסף על החברות של משתמש בקבוצה במהלך אימות או הרשאה של משתמש. כדי לוודא שאימות המשתמשים פועל בצורה תקינה בלקוחות LDAP כאלה, צריך להפעיל את האפשרות קריאת פרטי הקבוצה.

השלבים הבאים

כשמסיימים להגדיר את הרשאות הגישה, לוחצים על הוספת לקוח LDAP.

לאחר מכן, צריך להוריד את האישור שנוצר, לחבר את לקוח ה-LDAP לשירות LDAP מאובטח ואז להעביר את סטטוס השירות למופעל עבור לקוח ה-LDAP.

לשלבים הבאים, אפשר לעבור אל 3. מורידים את האישור שנוצר.