2. Configura los permisos de acceso

Después de agregar el cliente de LDAP, deberás configurar los permisos de acceso para el cliente. La página Permisos de acceso, que se muestra automáticamente después de agregar el cliente de LDAP, incluye tres secciones en las que puedes hacer lo siguiente:

• Especificar el nivel de acceso del cliente de LDAP para verificar las credenciales del usuario : Cuando un usuario intenta acceder a la aplicación, este parámetro de configuración especifica a qué unidades organizativas puede acceder el cliente de LDAP para verificar las credenciales del usuario. Los usuarios que no forman parte de una unidad organizativa seleccionada no pueden acceder a la aplicación.
• Especificar el nivel de acceso del cliente de LDAP para leer la información del usuario : Este parámetro de configuración especifica a qué unidades organizativas y grupos puede acceder el cliente de LDAP para recuperar información adicional del usuario.
• Especificar si el cliente de LDAP puede leer información de grupo: Este parámetro de configuración especifica si el cliente de LDAP puede leer los detalles del grupo y comprueba la pertenencia a un grupo del usuario para conocer el rol de un usuario en la aplicación.

Luego, puedes volver a la página Permisos de acceso para realizar cambios en estos parámetros de configuración. Para obtener más detalles y las instrucciones, consulta las siguientes secciones.

Importante: Ciertos clientes de LDAP, como Atlassian Jira y SSSD, realizan una búsqueda de usuarios para obtener más información sobre un usuario durante la autenticación. Para asegurarte de que la autenticación de usuarios funcione correctamente para esos clientes de LDAP, deberás activar la opción Leer información del usuario para todas las unidades organizativas en las que esté activada la opción Verificar las credenciales del usuario.

Especifica el nivel de acceso del cliente de LDAP para verificar las credenciales del usuario

Usa esta opción si el cliente de LDAP necesita autenticar a los usuarios en Cloud Directory.

Cuando un usuario intenta acceder a la aplicación, el parámetro de configuración Verificar las credenciales del usuario especifica las cuentas de usuario dentro de las unidades organizativas y los grupos seleccionados a los que puede acceder el cliente de LDAP para verificar las credenciales del usuario. Los usuarios que no forman parte de una unidad organizativa o un grupo seleccionados, O BIEN los usuarios de la categoría excluir grupos , no pueden acceder a la aplicación. (Puedes configurar los permisos de acceso para incluir o excluir grupos).

De forma predeterminada, este parámetro de configuración se establece en Sin acceso para las unidades organizativas y los grupos. Si toda tu empresa usa este cliente de LDAP, puedes cambiar el parámetro de configuración a Dominio completo para permitir el acceso a los usuarios en todo el dominio o puedes elegir unidades organizativas o grupos específicos.

Nota: Los cambios realizados en este parámetro de configuración pueden tardar hasta 24 horas en aplicarse.

Para elegir las unidades organizativas a las que puede acceder un cliente de LDAP para verificar las credenciales del usuario, haz lo siguiente:

1. En Verificar las credenciales del usuario, haz clic en Unidades organizativas, grupos y grupos excluidos seleccionados.
2. En Unidades organizativas incluidas, haz clic en Agregar o Editar.
3. En la ventana Unidades organizativas incluidas, elige las unidades organizativas específicas que deseas incluir.
4. Haz clic en GUARDAR.

Para incluir grupos a los que puede acceder un cliente de LDAP para verificar las credenciales del usuario, haz lo siguiente:

1. En Verificar las credenciales del usuario, haz clic en Unidades organizativas, grupos y grupos excluidos seleccionados.
2. En Grupos incluidos, haz clic en Agregar o Editar.
3. En la ventana Buscar y seleccionar grupos, elige los grupos específicos que deseas incluir.
4. Haz clic en LISTO.

Para excluir grupos de la verificación de las credenciales del usuario, haz lo siguiente:

1. En Verificar las credenciales del usuario, haz clic en Unidades organizativas, grupos y grupos excluidos seleccionados.
2. En Grupos excluidos, haz clic en Agregar o Editar.
3. En la ventana Buscar y seleccionar grupos, elige los grupos específicos que deseas excluir.
4. Haz clic en LISTO.

Nota: Para ver rápidamente la lista de unidades organizativas incluidas o la lista de grupos incluidos o excluidos, coloca el cursor sobre la configuración anterior.

Especifica el nivel de acceso del cliente de LDAP para leer la información del usuario

Usa esta opción si el cliente de LDAP requiere acceso de solo lectura para realizar búsquedas de usuarios.

El parámetro de configuración Leer información del usuario especifica a qué unidades organizativas puede acceder el cliente de LDAP para recuperar información adicional del usuario. De forma predeterminada, este parámetro de configuración se establece en Sin acceso. Puedes cambiar el parámetro de configuración a Dominio completo o elegir Unidades organizativas seleccionadas.

Para elegir las unidades organizativas a las que puede acceder el cliente de LDAP para recuperar información adicional del usuario, haz lo siguiente:

1. En Leer información del usuario, haz clic en Unidades organizativas seleccionadas.

2. Lleva a cabo unas de las siguientes acciones:

   Haz clic en Agregar. En la ventana Unidades organizativas incluidas, marca las casillas de las unidades organizativas específicas. También puedes usar el campo de búsqueda en la parte superior de la ventana para buscar unidades organizativas.

   --O BIEN--

   Haz clic en Copiar de "Verificar las credenciales del usuario".

3. (Opcional) Especifica los atributos a los que puede acceder este cliente para leer la información de un usuario. Elige entre atributos del sistema, atributos públicos personalizados, y atributos privados personalizados. Para obtener más detalles, consulta Especifica los atributos que deseas poner a disposición para el cliente de LDAP .

4. Haz clic en GUARDAR.

Especifica los atributos que deseas poner a disposición para el cliente de LDAP

Existen 3 tipos de atributos:

• Atributos del sistema: Se refiere a los atributos de usuario predeterminados disponibles para todas las cuentas de usuario ; por ejemplo, nombre, correo electrónico y teléfono.

  Nota: No puedes inhabilitar esta opción.

• Atributos públicos personalizados : Se refiere a los atributos de usuario personalizados marcados como visibles para la organización.

• Atributos privados personalizados: Se refiere a los atributos de usuario personalizados marcados como visibles solo para el usuario y los administradores. Ten cuidado al usar los atributos privados personalizados, ya que expondrás información privada al cliente de LDAP.

Requisitos y lineamientos para la asignación de nombres de atributos personalizados:

• Los nombres de los atributos personalizados solo pueden contener caracteres alfanuméricos y guiones.
• No debe haber ningún nombre duplicado en todos los esquemas personalizados.
• Si el nombre coincide con el de un atributo existente del sistema, se mostrará el valor del atributo del sistema.

Importante: Si algún nombre no cumple con los lineamientos que aquí se detallan, los valores de los atributos en cuestión quedarán excluidos de la respuesta de LDAP.

Para obtener más detalles y las instrucciones sobre la configuración de atributos personalizados, consulta Crea atributos personalizados para perfiles de usuario.

Especifica si el cliente LDAP puede leer información de grupo

Usa esta opción si el cliente de LDAP requiere acceso de solo lectura para realizar búsquedas de grupos.

El parámetro de configuración Leer información de grupo especifica si el cliente de LDAP puede comprobar la pertenencia a un grupo del usuario para conocer el rol de un usuario en la aplicación.

Importante: Ciertos clientes de LDAP, como Atlassian Jira y SSSD, realizan una búsqueda de grupos para obtener más información sobre la pertenencia a un grupo de un usuario durante la autenticación o autorización del usuario. Para asegurarte de que la autenticación de usuarios funcione correctamente para esos clientes de LDAP, deberás activar la opción Leer información de grupo.

Próximos pasos

Una vez que termines de configurar los permisos de acceso, haz clic en AGREGAR CLIENTE DE LDAP.

A continuación, deberás descargar el certificado generado, conectar el cliente de LDAP al servicio de LDAP seguro y, luego, cambiar el estado del servicio a Activado para el cliente de LDAP.

Para conocer los próximos pasos, consulta 3. Descarga el certificado generado certificado.

Artículos relacionados

• Acerca del servicio de LDAP seguro
• Esquema de LDAP seguro
• Administra clientes de LDAP
• Registros de auditoría del servicio de LDAP seguro
• Servicio de LDAP seguro: Descripciones de los códigos de error
• Preguntas frecuentes: Servicio de LDAP seguro