2. הגדרת הרשאות גישה

אחרי שמוסיפים את לקוח ה-LDAP, צריך להגדיר את הרשאות הגישה של הלקוח. בדף הרשאות גישה, שמוצג אוטומטית אחרי הוספת לקוח LDAP, יש שלושה קטעים שבהם אפשר לבצע את הפעולות הבאות:

  • ציון רמת הגישה של לקוח ה-LDAP לאימות פרטי כניסה של משתמשים – כשמשתמש מנסה להיכנס לאפליקציה, ההגדרה הזו קובעת לאילו יחידות ארגוניות יכול לקוח ה-LDAP לגשת כדי לאמת את פרטי הכניסה של המשתמש. משתמשים שלא שייכים ליחידה ארגונית שנבחרה לא יכולים להיכנס לאפליקציה.
  • ציון רמת הגישה של לקוח ה-LDAP לקריאת פרטי משתמשים – בהגדרה הזו מצוינות היחידות הארגוניות והקבוצות שאליהן לקוח ה-LDAP יכול לגשת כדי לאחזר מידע נוסף על משתמשים.
  • האם לקוח ה-LDAP יכול לקרוא מידע על קבוצות – בהגדרה הזו מציינים אם לקוח ה-LDAP יכול לקרוא פרטים על קבוצות ולבדוק את החברות של משתמש בקבוצות, למשל, כדי לראות את התפקיד של משתמש באפליקציה.

בהמשך תוכלו לחזור לדף הרשאות גישה כדי לשנות את ההגדרות האלה. בסעיפים הבאים יש הוראות ופרטים נוספים.

חשוב: לקוחות LDAP מסוימים, כמו Atlassian Jira ו-SSSD, מבצעים חיפוש משתמש כדי לקבל מידע נוסף על משתמש במהלך אימות המשתמש. כדי לוודא שאימות המשתמשים פועל בצורה תקינה בלקוחות LDAP כאלה, צריך להפעיל את האפשרות קריאת פרטי המשתמש בכל היחידות הארגוניות שבהן מופעלת האפשרות אימות פרטי הכניסה של המשתמש.

מציינים את רמת הגישה של לקוח ה-LDAP לאימות פרטי כניסה של משתמשים

משתמשים באפשרות הזו אם לקוח ה-LDAP צריך לאמת משתמשים מול Cloud Directory.

כשמשתמש מנסה להיכנס לאפליקציה, ההגדרה אימות פרטי הכניסה של המשתמש מציינת את חשבונות המשתמשים בתוך היחידות הארגוניות והקבוצות שנבחרו, שאליהם לקוח ה-LDAP יכול לגשת כדי לאמת את פרטי הכניסה של המשתמש. משתמשים שלא שייכים ליחידה ארגונית או לקבוצה שנבחרו – או משתמשים בקטגוריה קבוצות להחרגה – לא יכולים להיכנס לאפליקציה. (אפשר להגדיר הרשאות גישה לכלול או להחריג קבוצות).

כברירת מחדל, ההגדרה הזו היא ללא גישה ליחידות ארגוניות ולקבוצות. אם כל החברה משתמשת בלקוח LDAP הזה, אפשר לשנות את ההגדרה לכל הדומיין כדי לאפשר גישה למשתמשים בכל הדומיין, או לבחור יחידות ארגוניות או קבוצות ספציפיות.

הערה: יכול להיות שיחלפו עד 24 שעות לפני שהשינויים בהגדרה הזו ייכנסו לתוקף.

כדי לבחור יחידות ארגוניות שלקוח LDAP יכול לגשת אליהן כדי לאמת את פרטי הכניסה של המשתמש:

  1. בקטע אימות פרטי הכניסה של המשתמש, לוחצים על יחידות ארגוניות, קבוצות וקבוצות מוחרגות שנבחרו.
  2. בקטע יחידות ארגוניות שכלולות, לוחצים על הוספה או על עריכה.
  3. בחלון יחידות ארגוניות כלולות, בוחרים יחידות ארגוניות ספציפיות שרוצים לכלול.
  4. לוחצים על שמירה.

כדי לכלול קבוצות שלקוח LDAP יכול לגשת אליהן כדי לאמת את פרטי הכניסה של המשתמש:

  1. בקטע אימות פרטי הכניסה של המשתמש, לוחצים על יחידות ארגוניות, קבוצות וקבוצות מוחרגות שנבחרו.
  2. בקטע קבוצות שכלולות, לוחצים על הוספה או על עריכה.
  3. בחלון חיפוש ובחירה של קבוצות, בוחרים את הקבוצות הספציפיות שרוצים לכלול.
  4. ללחוץ על סיום.

כדי להחריג קבוצות מאימות פרטי הכניסה של המשתמשים:

  1. בקטע אימות פרטי הכניסה של המשתמש, לוחצים על יחידות ארגוניות, קבוצות וקבוצות מוחרגות שנבחרו.
  2. בקטע קבוצות מוחרגות, לוחצים על הוספה או על עריכה.
  3. בחלון Find and select groups (חיפוש ובחירה של קבוצות), בוחרים את הקבוצות הספציפיות שרוצים להחריג.
  4. ללחוץ על סיום.

הערה: כדי לראות במהירות את רשימת היחידות הארגוניות שנכללות, או את רשימת הקבוצות שנכללות או מוחרגות, מעבירים את העכבר מעל ההגדרות שלמעלה.

מציינים את רמת הגישה של לקוח LDAP לקריאת פרטי המשתמשים

משתמשים באפשרות הזו אם לקוח ה-LDAP דורש גישת קריאה בלבד כדי לבצע חיפושים של משתמשים.

ההגדרה קריאת פרטי משתמש מציינת לאילו יחידות ארגוניות לקוח ה-LDAP יכול לגשת כדי לאחזר מידע נוסף על משתמשים. כברירת מחדל, ההגדרה הזו היא ללא גישה. אפשר לשנות את ההגדרה לכל הדומיין, או לבחור באפשרות יחידות ארגוניות נבחרות.

כדי לבחור יחידות ארגוניות שלקוח ה-LDAP יכול לגשת אליהן כדי לאחזר מידע נוסף על משתמשים:

  1. בקטע קריאת פרטי משתמש, לוחצים על יחידות ארגוניות נבחרות.

  2. בצע אחת מהפעולות הבאות:

    לוחצים על הוספה. בחלון יחידות ארגוניות כלולות, מסמנים את התיבות של היחידות הארגוניות הספציפיות. אפשר גם להשתמש בשדה החיפוש בחלק העליון של החלון כדי לחפש יחידות ארגוניות.

    --או--

    לוחצים על העתקה מתוך 'אימות של אישורי משתמשים'.

  3. (אופציונלי) מציינים לאילו מאפיינים יש ללקוח הזה גישה כדי לקרוא פרטי משתמש. בוחרים מתוך מאפייני מערכת, מאפיינים ציבוריים מותאמים אישית ומאפיינים פרטיים מותאמים אישית. פרטים נוספים זמינים במאמר ציון המאפיינים שרוצים להפוך לזמינים ללקוח LDAP.

  4. לוחצים על שמירה.

מציינים אילו מאפיינים רוצים להפוך לזמינים ללקוח LDAP.

יש 3 סוגים של מאפיינים:

  • מאפייני מערכת – ברירת המחדל של מאפייני המשתמש זמינה בכל חשבונות המשתמשים – לדוגמה, שם, אימייל וטלפון.

    הערה: אי אפשר להשבית את האפשרות הזו.

  • מאפיינים מותאמים אישית גלויים לכולם – מאפיינים מותאמים אישית של משתמש המסומנים כבעלי הרשאות גישה לארגון.

  • מאפיינים מותאמים אישית פרטיים – מאפיינים מותאמים אישית של משתמש המסומנים כבעלי הרשאות גישה למשתמש ולמנהלי המערכת בלבד. צריך להיזהר כשמשתמשים במאפיינים מותאמים אישית פרטיים, כי הם חושפים מידע פרטי ללקוח LDAP.

דרישות והנחיות לגבי שמות של מאפיינים מותאמים אישית:

  • שמות של מאפיינים מותאמים אישית יכולים להכיל רק טקסט אלפאנומרי ומקפים.
  • לא יכולים להיות שמות מאפיינים כפולים בכל הסכימות המותאמות אישית.
  • אם שם המאפיין המותאם אישית זהה לשם של מאפיין מערכת קיים, המערכת תחזיר את ערך המאפיין של המערכת.

חשוב: אם שמות המאפיינים לא עומדים בהנחיות שלמעלה, ערכי המאפיינים הרלוונטיים לא נכללים בתשובת ה-LDAP.

פרטים נוספים והוראות להגדרת מאפיינים מותאמים אישית מופיעים במאמר בנושא יצירת מאפיינים מותאמים אישית לפרופילי משתמשים.

מציינים אם לקוח ה-LDAP יכול לקרוא פרטי קבוצה

משתמשים באפשרות הזו אם לקוח ה-LDAP דורש גישת קריאה בלבד כדי לבצע חיפושים של קבוצות.

ההגדרה קריאת פרטי קבוצה מציינת אם לקוח ה-LDAP יכול לבדוק את החברות של משתמש בקבוצות, למשל, כדי לאשר את התפקיד של משתמש באפליקציה.

חשוב: לקוחות LDAP מסוימים, כמו Atlassian Jira ו-SSSD, מבצעים חיפוש קבוצות כדי לקבל מידע נוסף על החברות של משתמש בקבוצה במהלך אימות או הרשאה של משתמש. כדי לוודא שאימות המשתמשים פועל בצורה תקינה בלקוחות LDAP כאלה, צריך להפעיל את האפשרות קריאת פרטי הקבוצה.

השלבים הבאים

כשמסיימים להגדיר את הרשאות הגישה, לוחצים על הוספת לקוח LDAP.

לאחר מכן, צריך להוריד את האישור שנוצר, לחבר את לקוח ה-LDAP לשירות LDAP מאובטח ואז להעביר את סטטוס השירות למופעל עבור לקוח ה-LDAP.

לשלבים הבאים, אפשר לעבור אל 3. מורידים את האישור שנוצר.