2. Konfigurowanie uprawnień dostępu

Po dodaniu klienta LDAP musisz skonfigurować jego uprawnienia dostępu. Strona Uprawnienia dostępu, która jest wyświetlana automatycznie po dodaniu klienta LDAP, zawiera trzy sekcje, w których możesz wykonać te czynności:

• Określanie poziomu uprawnień klienta LDAP do weryfikowania danych logowania użytkowników – to ustawienie pozwala określać jednostki organizacyjne, w których klient LDAP może zweryfikować dane logowania użytkownika, gdy użytkownik próbuje zalogować się w aplikacji. Użytkownicy spoza wybranej jednostki organizacyjnej nie mogą logować się w aplikacji.
• Określanie poziomu uprawnień klienta LDAP do odczytu informacji o użytkownikach – to ustawienie pozwala określać jednostki organizacyjne i grupy, z których klient LDAP może pobrać dodatkowe informacje o użytkowniku.
• Określanie, czy klient LDAP może odczytywać informacje o grupach – to ustawienie pozwala zdecydować, czy klient LDAP może odczytywać informacje o grupach i sprawdzać członkostwo użytkownika w grupach na przykład w celu określania roli użytkownika w aplikacji.

Później możesz wrócić na stronę Uprawnienia dostępu, aby wprowadzić zmiany w ustawieniach. Więcej informacji i instrukcji znajdziesz w sekcjach poniżej.

Ważne: niektóre klienty LDAP, na przykład Atlassian Jira i SSSD, podczas uwierzytelniania użytkownika wyszukują go, aby uzyskać o nim więcej informacji. Aby uwierzytelnianie użytkownika działało prawidłowo z takimi klientami LDAP, włącz Odczytywanie informacji o użytkownikach dla wszystkich jednostek organizacyjnych, w których włączono Weryfikowanie danych logowania użytkowników.

Określanie poziomu uprawnień klienta LDAP do weryfikowania danych logowania użytkowników

Wykonaj te czynności, jeśli klient LDAP musi uwierzytelniać użytkowników przy użyciu Cloud Directory.

Ustawienie Weryfikowanie danych logowania użytkowników pozwala określać konta użytkowników z jednostek organizacyjnych i grup, dzięki którym klient LDAP może zweryfikować dane logowania użytkownika, gdy użytkownik próbuje zalogować się w aplikacji. W aplikacji nie mogą logować się użytkownicy spoza wybranej jednostki organizacyjnej lub grupy ani użytkownicy z kategorii Wyklucz grupy. Aby uwzględnić lub wykluczyć grupy, skonfiguruj uprawnienia dostępu.

W przypadku jednostek organizacyjnych i grup to ustawienie jest domyślnie skonfigurowane jako Brak dostępu. Jeśli klient LDAP jest używany w całej firmie, możesz zmienić to ustawienie na Cała domena, aby zezwolić na dostęp użytkownikom z całej domeny, lub wybrać pojedyncze jednostki organizacyjne lub grupy.

Uwaga: wprowadzenie zmian w tym ustawieniu może potrwać do 24 godzin.

Aby wybrać jednostki organizacyjne, w których klient LDAP może zweryfikować dane logowania użytkownika:

1. W sekcji Weryfikowanie danych logowania użytkowników kliknij Wybrane jednostki organizacyjne, grupy i grupy wykluczone.
2. W sekcji Uwzględnione jednostki organizacyjne kliknij Dodaj lub Edytuj.
3. W oknie Uwzględnione jednostki organizacyjne wybierz konkretne jednostki organizacyjne, które chcesz uwzględnić.
4. Kliknij ZAPISZ.

Aby uwzględnić grupy, w których klient LDAP będzie mógł weryfikować dane logowania użytkownika:

1. W sekcji Weryfikowanie danych logowania użytkowników kliknij Wybrane jednostki organizacyjne, grupy i grupy wykluczone.
2. W sekcji Grupy uwzględnione kliknij Dodaj lub Edytuj.
3. W oknie Znajdź i wybierz grupy zaznacz grupy, które chcesz uwzględnić.
4. Kliknij GOTOWE.

Aby wykluczyć grupy z weryfikacji danych logowania użytkowników:

1. W sekcji Weryfikowanie danych logowania użytkowników kliknij Wybrane jednostki organizacyjne, grupy i grupy wykluczone.
2. W sekcji Grupy wykluczone kliknij Dodaj lub Edytuj.
3. W oknie Znajdź i wybierz grupy zaznacz grupy, które chcesz wykluczyć.
4. Kliknij GOTOWE.

Uwaga: aby szybko wyświetlić listę uwzględnionych jednostek organizacyjnych albo uwzględnionych lub wykluczonych grup, najedź kursorem na powyższe ustawienie.

Określanie poziomu uprawnień klienta LDAP do odczytu informacji o użytkowniku

Wykonaj te czynności, jeśli klient LDAP wymaga dostępu tylko do odczytu przy wyszukiwaniu użytkowników.

Ustawienie Odczytywanie informacji o użytkownikach pozwala określać jednostki administracyjne, z których klient LDAP może pobierać dodatkowe informacje o użytkownikach. Domyślnie to ustawienie jest skonfigurowane jako Brak dostępu. Możesz zmienić to ustawienie na Cała domena lub wybrać Wybrane jednostki organizacyjne.

Aby wybrać jednostki administracyjne, z których klient LDAP może pobrać dodatkowe informacje o użytkowniku:

1. W sekcji Odczytywanie informacji o użytkownikach kliknij Wybrane jednostki organizacyjne.

2. Wykonaj jedną z tych czynności:

   Kliknij Dodaj. W oknie Uwzględnione jednostki organizacyjne zaznacz pola wybranych jednostek organizacyjnych. Jednostki organizacyjne możesz też wyszukać przy użyciu pola u góry okna.

   --OR--

   Kliknij Kopiuj z panelu „Weryfikowanie danych logowania użytkowników”.

3. (Opcjonalnie) Określ atrybuty, za pomocą których ten klient może odczytać informacje o użytkowniku. Do wyboru masz atrybuty systemowe, publiczne atrybuty niestandardowe i prywatne atrybuty niestandardowe. Więcej informacji znajdziesz w sekcji Określanie, które atrybuty mają być dostępne dla klienta LDAP.

4. Kliknij ZAPISZ.

Określanie, które atrybuty mają być dostępne dla klienta LDAP

Dostępne są 3 typy atrybutów:

• Atrybuty systemowe – domyślne atrybuty użytkownika dostępne dla wszystkich kont użytkowników, na przykład Imię i nazwisko, E-mail, Telefon.

  Uwaga: tej opcji nie możesz wyłączyć.

• Publiczne atrybuty niestandardowe – atrybuty niestandardowe użytkownika oznaczone jako widoczne w organizacji.

• Prywatne atrybuty niestandardowe – atrybuty niestandardowe użytkownika oznaczone jako widoczne tylko dla użytkownika i administratorów. Zachowaj ostrożność w przypadku korzystania z prywatnych atrybutów niestandardowych, ponieważ ujawniają one klientowi LDAP prywatne informacje.

Wymagania i wskazówki dotyczące nazw atrybutów niestandardowych:

• Nazwy atrybutów niestandardowych mogą zawierać tylko znaki alfanumeryczne i łączniki.
• Nazwy atrybutów nie mogą się powtarzać we wszystkich schematach niestandardowych.
• Jeśli nazwa atrybutu niestandardowego jest taka sama jak nazwa istniejącego atrybutu systemowego, zostanie zwrócona wartość atrybutu systemowego.

Ważne: jeśli nazwy atrybutów są niezgodne z opisanymi wyżej wytycznymi, ich wartości zostaną wykluczone z odpowiedzi LDAP.

Szczegółowe informacje i instrukcje dotyczące konfigurowania atrybutów niestandardowych znajdziesz w artykule Tworzenie niestandardowych atrybutów profili użytkowników.

Określanie, czy klient LDAP może odczytywać informacje o grupach

Wykonaj te czynności, jeśli klient LDAP wymaga dostępu tylko do odczytu przy wyszukiwaniu grup.

Ustawienie Odczytywanie informacji o grupach określa, czy klient LDAP może sprawdzać członkostwo użytkownika w grupach na przykład w celu określania roli użytkownika w aplikacji.

Ważne: niektóre klienty LDAP, na przykład Atlassian Jira i SSSD, podczas uwierzytelniania/autoryzacji użytkownika przeszukują grupy, aby uzyskać więcej informacji o członkostwie użytkownika w grupach. Aby uwierzytelnianie użytkownika działało prawidłowo z takimi klientami LDAP, włącz Odczytywanie informacji o grupach.

Dalsze kroki

Po ukończeniu konfigurowania uprawnień dostępu kliknij DODAJ KLIENTA LDAP.

Następnie pobierz wygenerowany certyfikat, połącz klienta LDAP z usługą Bezpieczny LDAP, a na koniec zmień stan usługi na Włączona dla klienta LDAP.

Dalsze kroki znajdziesz w artykule 3. Pobierz wygenerowany certyfikat.

Powiązane artykuły

• Informacje o usłudze Bezpieczny LDAP
• Schemat usługi Bezpieczny LDAP
• Zarządzanie klientami LDAP
• Dzienniki kontrolne usługi Bezpieczny LDAP
• Usługa Bezpieczny LDAP: opis kodów błędów
• Najczęstsze pytania: usługa Bezpieczny LDAP