۲. مجوزهای دسترسی را پیکربندی کنید

پس از افزودن کلاینت LDAP، باید مجوزهای دسترسی را برای کلاینت پیکربندی کنید. صفحه مجوزهای دسترسی که پس از افزودن کلاینت LDAP به طور خودکار نمایش داده می‌شود، شامل سه بخش است که می‌توانید موارد زیر را در آنها انجام دهید:

• سطح دسترسی کلاینت LDAP را برای تأیید اعتبار کاربر مشخص کنید — وقتی کاربری سعی می‌کند وارد برنامه شود، این تنظیم مشخص می‌کند که کلاینت LDAP می‌تواند برای تأیید اعتبار کاربر به کدام واحدهای سازمانی دسترسی داشته باشد. کاربرانی که در یک واحد سازمانی انتخاب شده نیستند، نمی‌توانند وارد برنامه شوند.
• سطح دسترسی کلاینت LDAP را برای خواندن اطلاعات کاربر مشخص کنید — این تنظیم مشخص می‌کند که کلاینت LDAP به کدام واحدها و گروه‌های سازمانی می‌تواند برای بازیابی اطلاعات بیشتر کاربر دسترسی داشته باشد.
• مشخص کنید که آیا کلاینت LDAP می‌تواند اطلاعات گروه را بخواند یا خیر — این تنظیم مشخص می‌کند که آیا کلاینت LDAP می‌تواند جزئیات گروه را بخواند و عضویت‌های گروهی کاربر را برای اهدافی مانند نقش کاربر در برنامه بررسی کند یا خیر.

بعداً می‌توانید برای ایجاد تغییرات در این تنظیمات به صفحه مجوزهای دسترسی بازگردید. برای جزئیات و دستورالعمل‌های بیشتر، به بخش‌های زیر مراجعه کنید.

مهم: برخی از کلاینت‌های LDAP مانند Atlassian Jira و SSSD برای دریافت اطلاعات بیشتر در مورد کاربر، هنگام احراز هویت کاربر، جستجوی کاربر را انجام می‌دهند. برای اطمینان از اینکه احراز هویت کاربر برای چنین کلاینت‌های LDAP به درستی کار می‌کند، باید برای همه واحدهای سازمانی که گزینه «تأیید اعتبارنامه کاربر» در آنها فعال است، «خواندن اطلاعات کاربر» را فعال کنید.

سطح دسترسی کلاینت LDAP را برای تأیید اعتبارنامه‌های کاربر مشخص کنید

اگر کلاینت LDAP نیاز به احراز هویت کاربران در برابر Cloud Directory دارد، از این گزینه استفاده کنید.

وقتی کاربری سعی می‌کند وارد برنامه شود، تنظیمات «تأیید اعتبارنامه‌های کاربر» حساب‌های کاربری موجود در واحدها و گروه‌های سازمانی انتخاب‌شده را مشخص می‌کند که کلاینت LDAP می‌تواند برای تأیید اعتبارنامه‌های کاربر به آنها دسترسی داشته باشد. کاربرانی که در یک واحد یا گروه سازمانی انتخاب‌شده نیستند - یا کاربرانی که در دسته گروه‌های مستثنی قرار دارند - نمی‌توانند وارد برنامه شوند. (می‌توانید مجوزهای دسترسی را برای شامل کردن یا مستثنی کردن گروه‌ها پیکربندی کنید.)

به طور پیش‌فرض، این تنظیم روی « بدون دسترسی برای واحدها و گروه‌های سازمانی» تنظیم شده است. اگر این کلاینت LDAP توسط کل شرکت شما استفاده می‌شود، می‌توانید تنظیمات را به «تمام دامنه» تغییر دهید تا دسترسی برای کاربران در سراسر دامنه فراهم شود، یا می‌توانید واحدها یا گروه‌های سازمانی خاصی را انتخاب کنید.

توجه: اعمال تغییرات در این تنظیمات ممکن است تا ۲۴ ساعت طول بکشد.

برای انتخاب واحدهای سازمانی که یک کلاینت LDAP می‌تواند برای تأیید اعتبارنامه‌های کاربر به آنها دسترسی داشته باشد:

1. در قسمت «تأیید اعتبارنامه‌های کاربر» ، روی «واحدهای سازمانی انتخاب‌شده، گروه‌ها» و «گروه‌های مستثنی‌شده» کلیک کنید.
2. در زیر واحدهای سازمانی گنجانده شده ، روی افزودن یا ویرایش کلیک کنید.
3. در پنجره واحدهای سازمانی گنجانده شده ، واحدهای سازمانی خاصی را که می‌خواهید لحاظ کنید، انتخاب کنید.
4. روی ذخیره کلیک کنید.

برای اضافه کردن گروه‌هایی که یک کلاینت LDAP می‌تواند برای تأیید اعتبارنامه‌های کاربر به آنها دسترسی داشته باشد:

1. در قسمت «تأیید اعتبارنامه‌های کاربر» ، روی «واحدهای سازمانی انتخاب‌شده، گروه‌ها» و «گروه‌های مستثنی‌شده» کلیک کنید.
2. در زیر گروه‌های شامل‌شده ، روی افزودن یا ویرایش کلیک کنید.
3. در پنجره «یافتن و انتخاب گروه‌ها» ، گروه‌های خاصی را که می‌خواهید اضافه کنید، انتخاب کنید.
4. روی انجام شد کلیک کنید.

برای جلوگیری از تأیید اعتبارنامه‌های کاربر توسط گروه‌ها:

1. در قسمت «تأیید اعتبارنامه‌های کاربر» ، روی «واحدهای سازمانی انتخاب‌شده، گروه‌ها» و «گروه‌های مستثنی‌شده» کلیک کنید.
2. در زیر گروه‌های مستثنی‌شده ، روی افزودن یا ویرایش کلیک کنید.
3. در پنجره «یافتن و انتخاب گروه‌ها» ، گروه‌های خاصی را که می‌خواهید حذف کنید، انتخاب کنید.
4. روی انجام شد کلیک کنید.

توجه: برای مشاهده سریع فهرست واحدهای سازمانی که شامل می‌شوند، یا برای مشاهده فهرست گروه‌هایی که شامل می‌شوند یا نمی‌شوند، نشانگر ماوس را روی تنظیمات بالا نگه دارید.

سطح دسترسی کلاینت LDAP را برای خواندن اطلاعات کاربر مشخص کنید

اگر کلاینت LDAP برای انجام جستجوی کاربر به دسترسی فقط خواندنی نیاز دارد، از این گزینه استفاده کنید.

تنظیم «خواندن اطلاعات کاربر» مشخص می‌کند که کلاینت LDAP می‌تواند برای بازیابی اطلاعات اضافی کاربر به کدام واحدهای سازمانی دسترسی داشته باشد. به طور پیش‌فرض، این تنظیم روی «بدون دسترسی» تنظیم شده است. می‌توانید تنظیمات را به «تمام دامنه» تغییر دهید، یا می‌توانید واحدهای سازمانی انتخاب‌شده را انتخاب کنید.

برای انتخاب واحدهای سازمانی که کلاینت LDAP می‌تواند برای بازیابی اطلاعات بیشتر کاربر به آنها دسترسی داشته باشد:

1. در بخش «خواندن اطلاعات کاربر» ، روی «واحدهای سازمانی انتخاب‌شده» کلیک کنید.

2. یکی از موارد زیر را انجام دهید:

   روی افزودن کلیک کنید. در پنجره واحدهای سازمانی گنجانده شده ، کادرهای مربوط به واحدهای سازمانی خاص را علامت بزنید. همچنین می‌توانید از فیلد جستجو در بالای پنجره برای جستجوی واحدهای سازمانی استفاده کنید.

   --یا--

   روی کپی از «تأیید اعتبارنامه کاربر» کلیک کنید.

3. (اختیاری) مشخص کنید که این کلاینت به کدام ویژگی‌هایی می‌تواند برای خواندن اطلاعات کاربر دسترسی داشته باشد. از بین ویژگی‌های سیستم ، ویژگی‌های سفارشی عمومی و ویژگی‌های سفارشی خصوصی یکی را انتخاب کنید. برای جزئیات بیشتر، به بخش «مشخص کنید کدام ویژگی‌هایی را می‌خواهید برای کلاینت LDAP در دسترس قرار دهید» مراجعه کنید.

4. روی ذخیره کلیک کنید.

مشخص کنید کدام ویژگی‌ها را می‌خواهید برای کلاینت LDAP در دسترس قرار دهید

3 نوع ویژگی وجود دارد:

• ویژگی‌های سیستم — ویژگی‌های پیش‌فرض کاربر که برای همه حساب‌های کاربری موجود است — برای مثال، نام، ایمیل و تلفن.

  توجه: شما نمی‌توانید این گزینه را غیرفعال کنید.

• ویژگی‌های سفارشی عمومی - ویژگی‌های سفارشی کاربر که به عنوان قابل مشاهده برای سازمان علامت‌گذاری شده‌اند.

• ویژگی‌های سفارشی خصوصی — ویژگی‌های سفارشی کاربر که فقط برای کاربر و مدیران قابل مشاهده هستند. هنگام استفاده از ویژگی‌های سفارشی خصوصی احتیاط کنید، زیرا اطلاعات خصوصی را در اختیار کلاینت LDAP قرار می‌دهید.

الزامات و دستورالعمل‌های نامگذاری ویژگی‌های سفارشی:

• نام‌های مربوط به ویژگی‌های سفارشی فقط می‌توانند شامل متن الفبایی-عددی و خط فاصله باشند.
• نباید هیچ نام ویژگی تکراری در تمام طرحواره‌های سفارشی وجود داشته باشد.
• اگر نام ویژگی سفارشی با یک ویژگی سیستم موجود مطابقت داشته باشد، مقدار ویژگی سیستم را برمی‌گردانیم.

مهم: اگر نام ویژگی‌ها با دستورالعمل‌های فوق مطابقت نداشته باشند، مقادیر ویژگی مورد نظر از پاسخ LDAP حذف می‌شوند.

برای جزئیات بیشتر و دستورالعمل‌های مربوط به تنظیم ویژگی‌های سفارشی، به ایجاد ویژگی‌های سفارشی برای پروفایل‌های کاربر مراجعه کنید.

مشخص کنید که آیا کلاینت LDAP می‌تواند اطلاعات گروه را بخواند یا خیر

اگر کلاینت LDAP برای انجام جستجوهای گروهی به دسترسی فقط خواندنی نیاز دارد، از این گزینه استفاده کنید.

تنظیم اطلاعات گروه خواندن مشخص می‌کند که آیا کلاینت LDAP می‌تواند عضویت‌های گروهی کاربر را برای اهدافی مانند تأیید نقش کاربر در برنامه بررسی کند یا خیر.

مهم: برخی از کلاینت‌های LDAP مانند Atlassian Jira و SSSD برای دریافت اطلاعات بیشتر در مورد عضویت گروه کاربر در طول احراز هویت/مجوز کاربر، جستجوی گروهی انجام می‌دهند. برای اطمینان از اینکه احراز هویت کاربر برای چنین کلاینت‌های LDAP به درستی کار می‌کند، باید «خواندن اطلاعات گروه» را فعال کنید.

مراحل بعدی

پس از اتمام پیکربندی مجوزهای دسترسی، روی «افزودن کلاینت LDAP» کلیک کنید.

در مرحله بعد، باید گواهی تولید شده را دانلود کنید، کلاینت LDAP را به سرویس Secure LDAP متصل کنید و سپس وضعیت سرویس را برای کلاینت LDAP به روشن (On) تغییر دهید.

برای مراحل بعدی، به بخش ۳ مراجعه کنید. گواهی تولید شده را دانلود کنید .

مقالات مرتبط

• درباره سرویس LDAP امن
• طرحواره LDAP امن
• مدیریت کلاینت‌های LDAP
• گزارش‌های حسابرسی برای سرویس LDAP امن
• سرویس LDAP امن: شرح کدهای خطا
• سوالات متداول: سرویس LDAP امن