2. Configura los permisos de acceso

Después de agregar el cliente de LDAP, deberás configurar los permisos de acceso para el cliente. La página Permisos de acceso, que se muestra automáticamente después de agregar el cliente LDAP, incluye tres secciones en las que puedes hacer lo siguiente:

• Especifica el nivel de acceso del cliente de LDAP para verificar las credenciales del usuario: Cuando un usuario intenta acceder a la aplicación, este parámetro de configuración especifica a qué unidades organizativas puede acceder el cliente de LDAP para verificar las credenciales del usuario. Los usuarios que no pertenecen a una unidad organizativa seleccionada no pueden acceder a la aplicación.
• Especifica el nivel de acceso del cliente de LDAP para leer la información del usuario: Este parámetro de configuración especifica a qué unidades organizativas y grupos puede acceder el cliente de LDAP para recuperar información adicional del usuario.
• Especifica si el cliente de LDAP puede leer información de grupo: Este parámetro de configuración especifica si el cliente de LDAP puede leer los detalles del grupo y comprobar la pertenencia a un grupo del usuario para conocer el rol de un usuario en la aplicación.

Más adelante, puedes volver a la página Permisos de acceso para cambiar estos parámetros de configuración. Para obtener más detalles e instrucciones, consulta las siguientes secciones.

Importante: Algunos clientes de LDAP, como Atlassian Jira y SSSD, realizan una búsqueda de usuarios para obtener más información sobre un usuario durante la autenticación. Para asegurarte de que la autenticación de usuarios funcione correctamente para esos clientes de LDAP, deberás activar Leer información del usuario para todas las unidades organizativas en las que esté activada la opción Verificar credenciales del usuario.

Especifica el nivel de acceso del cliente de LDAP para verificar las credenciales del usuario

Usa esta opción si el cliente de LDAP necesita autenticar a los usuarios en Cloud Directory.

Cuando un usuario intenta acceder a la aplicación, el parámetro de configuración Verificar credenciales del usuario especifica las cuentas de usuario dentro de las unidades organizativas y los grupos seleccionados a los que puede acceder el cliente de LDAP para verificar las credenciales del usuario. Los usuarios que no forman parte de un grupo o de una unidad organizativa seleccionada (O los usuarios de la categoría exclude groups) no pueden acceder a la aplicación. (Puedes configurar los permisos de acceso para incluir o excluir grupos).

De forma predeterminada, este parámetro está establecido en Sin acceso para las unidades organizativas y los grupos. Si toda tu empresa usa este cliente de LDAP, puedes cambiar el parámetro de configuración a Todo el dominio para permitir el acceso a los usuarios de todo el dominio, o bien puedes elegir unidades organizativas o grupos específicos.

Nota: Los cambios realizados en este parámetro de configuración pueden tardar hasta 24 horas en aplicarse.

Para elegir las unidades organizativas a las que puede acceder un cliente de LDAP para verificar las credenciales del usuario, haz lo siguiente:

1. En Verificar las credenciales del usuario, haz clic en Unidades organizativas, grupos y grupos excluidos seleccionados.
2. En Unidades organizativas incluidas, haz clic en Agregar o Editar.
3. En la ventana Unidades organizativas incluidas, elige las unidades organizativas específicas que deseas incluir.
4. Haz clic en GUARDAR.

Para incluir los grupos a los que puede acceder un cliente de LDAP para verificar las credenciales del usuario, haz lo siguiente:

1. En Verificar las credenciales del usuario, haz clic en Unidades organizativas, grupos y grupos excluidos seleccionados.
2. En Included Groups, haz clic en Agregar o Editar.
3. En la ventana Buscar y seleccionar grupos, elige los grupos específicos que deseas incluir.
4. Haz clic en LISTO.

Para excluir grupos de la verificación de las credenciales del usuario, haz lo siguiente:

1. En Verificar las credenciales del usuario, haz clic en Unidades organizativas, grupos y grupos excluidos seleccionados.
2. En Excluded Groups, haz clic en Agregar o Editar.
3. En la ventana Buscar y seleccionar grupos, elige los grupos específicos que deseas excluir.
4. Haz clic en LISTO.

Nota: Para ver rápidamente la lista de unidades organizativas incluidas o la lista de grupos incluidos o excluidos, coloca el cursor sobre la configuración anterior.

Especifica el nivel de acceso del cliente LDAP para leer la información del usuario

Usa esta opción si el cliente LDAP requiere acceso de solo lectura para realizar búsquedas de usuarios.

El parámetro de configuración Leer información del usuario especifica a qué unidades organizativas puede acceder el cliente de LDAP para recuperar información adicional del usuario. De forma predeterminada, este parámetro de configuración se establece en Sin acceso. Puedes cambiar el parámetro de configuración a Todo el dominio o elegir Unidades organizativas seleccionadas.

Para elegir las unidades organizativas a las que puede acceder el cliente LDAP para recuperar información adicional del usuario, haz lo siguiente:

1. En Leer información del usuario, haz clic en Unidades organizativas seleccionadas.

2. Realiza una de las siguientes acciones:

   Haz clic en Agregar. En la ventana Unidades organizativas incluidas, marca las casillas de las unidades organizativas específicas. También puedes usar el campo de búsqueda en la parte superior de la ventana para buscar unidades organizativas.

   --OR--

   Haz clic en Copiar de "Verificar credenciales del usuario".

3. (Opcional) Especifica los atributos a los que puede acceder este cliente para leer la información de un usuario. Puedes elegir entre atributos del sistema, atributos personalizados públicos y atributos personalizados privados. Para obtener más detalles, consulta Especifica los atributos que deseas poner a disposición para el cliente de LDAP.

4. Haz clic en GUARDAR.

Especifica los atributos que deseas poner a disposición para el cliente de LDAP

Existen 3 tipos de atributos:

• Atributos del sistema: Son atributos de usuario predeterminados disponibles para todas las cuentas de usuario, por ejemplo, nombre, correo electrónico y teléfono.

  Nota: No puedes inhabilitar esta opción.

• Atributos públicos personalizados: Son atributos de usuario personalizados que se marcan como visibles para la organización.

• Atributos privados personalizados: Son atributos de usuario personalizados que se marcan como visibles solo para el usuario y los administradores. Ten cuidado al usar los atributos privados personalizados, ya que expondrás información privada al cliente de LDAP.

Requisitos y lineamientos para la asignación de nombres a los atributos personalizados:

• Los nombres de los atributos personalizados solo pueden contener caracteres alfanuméricos y guiones.
• No debe haber ningún nombre duplicado en todos los esquemas personalizados.
• Si el nombre coincide con el de un atributo existente del sistema, se mostrará el valor del atributo del sistema.

Importante: Si algún nombre no cumple con los lineamientos que aquí se detallan, los valores de los atributos en cuestión quedarán excluidos de la respuesta de LDAP.

Para obtener más detalles e instrucciones sobre cómo configurar atributos personalizados, consulta Crea atributos personalizados para los perfiles de usuario.

Especifica si el cliente de LDAP puede leer información de grupo

Usa esta opción si el cliente de LDAP requiere acceso de solo lectura para realizar búsquedas de grupos.

El parámetro de configuración Read group information especifica si el cliente LDAP puede verificar la pertenencia a un grupo de un usuario para fines como autorizar el rol de un usuario en la aplicación.

Importante: Algunos clientes de LDAP, como Atlassian Jira y SSSD, realizan una búsqueda de grupos para obtener más información sobre la pertenencia a un grupo de un usuario durante la autenticación o autorización del usuario. Para asegurarte de que la autenticación de usuarios funcione correctamente para esos clientes de LDAP, deberás activar la opción Leer información del grupo.

Próximos pasos

Después de terminar de configurar los permisos de acceso, haz clic en AGREGAR CLIENTE DE LDAP.

A continuación, deberás descargar el certificado generado, conectar el cliente LDAP al servicio LDAP seguro y, luego, cambiar el estado del servicio a Activado para el cliente LDAP.

Para conocer los próximos pasos, consulta 3. Descarga el certificado generado.

Artículos relacionados

• Información sobre el servicio de LDAP seguro
• Esquema de LDAP seguro
• Administra clientes de LDAP
• Registros de auditoría para el servicio de LDAP seguro
• Servicio de LDAP seguro: Descripciones de los códigos de error
• Preguntas frecuentes: Servicio de LDAP seguro