2. הגדרת הרשאות גישה

אחרי שמוסיפים את לקוח ה-LDAP, צריך להגדיר את הרשאות הגישה של הלקוח. בדף הרשאות גישה, שמוצג באופן אוטומטי אחרי הוספת לקוח LDAP, יש שלושה קטעים שבהם אפשר לבצע את הפעולות הבאות:

  • ציון רמת הגישה של לקוח ה-LDAP לאימות פרטי כניסה של משתמשים – כשמשתמש מנסה להיכנס לאפליקציה, ההגדרה הזו קובעת לאילו יחידות ארגוניות יכול לקוח ה-LDAP לגשת כדי לאמת את פרטי הכניסה של המשתמש. משתמשים שלא שייכים ליחידה ארגונית שנבחרה לא יכולים להיכנס לאפליקציה.
  • מציינים את רמת הגישה של לקוח ה-LDAP לקריאת פרטי משתמשים – בהגדרה הזו מציינים לאילו יחידות ארגוניות ולאילו קבוצות יכול לקוח ה-LDAP לגשת כדי לאחזר מידע נוסף על משתמשים.
  • הגדרה של האפשרות של לקוח ה-LDAP לקרוא מידע על קבוצות – ההגדרה הזו קובעת אם לקוח ה-LDAP יכול לקרוא פרטים על קבוצות ולבדוק את החברות של משתמש בקבוצות, למשל, כדי לראות את התפקיד של משתמש באפליקציה.

בהמשך תוכלו לחזור לדף הרשאות גישה כדי לשנות את ההגדרות האלה. בסעיפים הבאים יש הוראות ופרטים נוספים.

חשוב: לקוחות LDAP מסוימים, כמו Atlassian Jira ו-SSSD, מבצעים חיפוש משתמשים כדי לקבל מידע נוסף על משתמש במהלך אימות המשתמש. כדי לוודא שאימות המשתמשים פועל בצורה תקינה בלקוחות LDAP כאלה, צריך להפעיל את ההגדרה קריאת פרטי המשתמש בכל היחידות הארגוניות שבהן מופעלת ההגדרה אימות פרטי הכניסה של המשתמש.

מציינים את רמת הגישה של לקוח ה-LDAP לאימות פרטי הכניסה של המשתמשים

משתמשים באפשרות הזו אם לקוח ה-LDAP צריך לאמת משתמשים מול Cloud Directory.

כשמשתמש מנסה להיכנס לאפליקציה, ההגדרה אימות פרטי הכניסה של המשתמש מציינת את חשבונות המשתמשים בתוך היחידות הארגוניות והקבוצות שנבחרו, שאליהם יכולה אפליקציית-הלקוח LDAP לגשת כדי לאמת את פרטי הכניסה של המשתמש. משתמשים שלא שייכים ליחידה ארגונית או לקבוצה שנבחרו – או משתמשים שנכללים בקטגוריה קבוצות להחרגה – לא יכולים להיכנס לאפליקציה. (אפשר להגדיר הרשאות גישה כך שיכללו קבוצות או יחריגו אותן).

הגדרת ברירת המחדל של ההגדרה הזו היא ללא גישה ליחידות ארגוניות ולקבוצות. אם כל החברה שלכם משתמשת בלקוח LDAP הזה, אתם יכולים לשנות את ההגדרה לכל הדומיין כדי לאפשר גישה למשתמשים בכל הדומיין, או לבחור יחידות ארגוניות או קבוצות ספציפיות.

הערה: יכול להיות שיחלפו עד 24 שעות לפני שהשינויים בהגדרה הזו ייכנסו לתוקף.

כדי לבחור יחידות ארגוניות שאליהן לקוח ה-LDAP יכול לגשת כדי לאמת את פרטי הכניסה של המשתמש:

  1. בקטע אימות פרטי הכניסה של המשתמש, לוחצים על יחידות ארגוניות, קבוצות וקבוצות מוחרגות נבחרות.
  2. בקטע יחידות ארגוניות שכלולות, לוחצים על הוספה או על עריכה.
  3. בחלון כולל יחידות ארגוניות, בוחרים יחידות ארגוניות ספציפיות שרוצים לכלול.
  4. לוחצים על שמירה.

כדי לכלול קבוצות שאפליקציית-לקוח LDAP יכולה לגשת אליהן כדי לאמת את פרטי הכניסה של המשתמש:

  1. בקטע אימות פרטי הכניסה של המשתמש, לוחצים על יחידות ארגוניות, קבוצות וקבוצות מוחרגות נבחרות.
  2. בקטע קבוצות כלולות, לוחצים על הוספה או על עריכה.
  3. בחלון חיפוש ובחירה של קבוצות, בוחרים את הקבוצות הספציפיות שרוצים לכלול.
  4. לוחצים על סיום.

כדי להחריג קבוצות מאימות פרטי הכניסה של המשתמשים:

  1. בקטע אימות פרטי הכניסה של המשתמש, לוחצים על יחידות ארגוניות, קבוצות וקבוצות מוחרגות נבחרות.
  2. בקטע קבוצות מוחרגות, לוחצים על הוספה או על עריכה.
  3. בחלון חיפוש ובחירה של קבוצות, בוחרים את הקבוצות הספציפיות שרוצים להחריג.
  4. לוחצים על סיום.

הערה: כדי לראות במהירות את רשימת היחידות הארגוניות שנכללות, או את רשימת הקבוצות שנכללות או מוחרגות, מעבירים את העכבר מעל ההגדרות שלמעלה.

מציינים את רמת הגישה של לקוח LDAP לקריאת פרטי משתמשים

משתמשים באפשרות הזו אם לקוח ה-LDAP דורש גישת קריאה בלבד כדי לבצע חיפושים של משתמשים.

ההגדרה קריאת פרטי משתמש מציינת לאילו יחידות ארגוניות לקוח ה-LDAP יכול לגשת כדי לאחזר מידע נוסף על משתמשים. כברירת מחדל, ההגדרה הזו היא ללא גישה. אפשר לשנות את ההגדרה לכל הדומיין, או לבחור באפשרות יחידות ארגוניות נבחרות.

כדי לבחור יחידות ארגוניות שלקוח ה-LDAP יכול לגשת אליהן לצורך אחזור מידע נוסף על משתמשים:

  1. בקטע קריאת פרטי משתמש, לוחצים על יחידות ארגוניות נבחרות.

  2. מבצעים אחת מהפעולות האלה:

    לוחצים על הוספה. בחלון יחידות ארגוניות כלולות, מסמנים את התיבות של היחידות הארגוניות הספציפיות. אפשר גם להשתמש בשדה החיפוש בחלק העליון של החלון כדי לחפש יחידות ארגוניות.

    --OR--

    לוחצים על העתקה מתוך 'אימות של אישורי משתמשים'.

  3. (אופציונלי) מציינים לאילו מאפיינים יש ללקוח הזה גישה כדי לקרוא פרטי משתמש. בוחרים מתוך מאפייני מערכת, מאפיינים ציבוריים מותאמים אישית ומאפיינים פרטיים מותאמים אישית. פרטים נוספים זמינים במאמר בנושא ציון המאפיינים שרוצים להפוך לזמינים ללקוח LDAP.

  4. לוחצים על שמירה.

מציינים אילו מאפיינים רוצים להפוך לזמינים ללקוח LDAP.

יש 3 סוגים של מאפיינים:

  • מאפייני מערכת – ברירת המחדל של מאפייני המשתמש זמינה בכל חשבונות המשתמשים – לדוגמה, שם, אימייל וטלפון.

    הערה: אי אפשר להשבית את האפשרות הזו.

  • מאפיינים מותאמים אישית גלויים לכולם – מאפייני משתמש מותאמים אישית שמסומנים כמאפיינים שגלויים לארגון.

  • מאפיינים מותאמים אישית פרטיים – מאפייני משתמש מותאמים אישית שמסומנים כמאפיינים שרק המשתמשים והאדמינים יכולים לראות. צריך להיזהר כשמשתמשים במאפיינים מותאמים אישית פרטיים, כי הם חושפים מידע פרטי ללקוח LDAP.

דרישות והנחיות לגבי שמות של מאפיינים מותאמים אישית:

  • שמות של מאפיינים מותאמים אישית יכולים להכיל רק טקסט אלפאנומרי ומקפים.
  • לא יכולים להיות שמות מאפיינים כפולים בכל הסכימות המותאמות אישית.
  • אם שם המאפיין המותאם אישית זהה לשם של מאפיין מערכת קיים, נחזיר את הערך של מאפיין המערכת.

חשוב: אם שמות המאפיינים לא עומדים בהנחיות שלמעלה, ערכי המאפיינים הרלוונטיים לא ייכללו בתשובת ה-LDAP.

פרטים נוספים והוראות להגדרת מאפיינים מותאמים אישית זמינים במאמר יצירת מאפיינים מותאמים אישית לפרופילי משתמשים.

מציינים אם לקוח ה-LDAP יכול לקרוא פרטי קבוצה

משתמשים באפשרות הזו אם לקוח ה-LDAP דורש גישת קריאה בלבד כדי לבצע חיפושים של קבוצות.

ההגדרה קריאת מידע על קבוצות מציינת אם לקוח ה-LDAP יכול לבדוק את החברות של משתמש בקבוצות, למשל, כדי לאשר את התפקיד של משתמש באפליקציה.

חשוב: לקוחות LDAP מסוימים, כמו Atlassian Jira ו-SSSD, מבצעים חיפוש קבוצות כדי לקבל מידע נוסף על החברות של משתמש בקבוצה במהלך אימות או הרשאה של משתמש. כדי לוודא שאימות המשתמשים פועל בצורה תקינה בלקוחות LDAP כאלה, צריך להפעיל את האפשרות קריאת פרטי הקבוצה.

השלבים הבאים

כשמסיימים להגדיר את הרשאות הגישה, לוחצים על הוספת לקוח LDAP.

לאחר מכן, צריך להוריד את האישור שנוצר, לחבר את לקוח ה-LDAP לשירות LDAP מאובטח ואז להעביר את סטטוס השירות לפעיל עבור לקוח ה-LDAP.

לשלבים הבאים, אפשר לעבור אל 3. מורידים את האישור שנוצר.