2. Настройка прав доступа

После добавления LDAP-клиента вам потребуется настроить права доступа для него. Страница « Права доступа» , которая отображается автоматически после добавления LDAP-клиента, содержит три раздела, где вы можете выполнить следующие действия:

• Укажите уровень доступа LDAP-клиента для проверки учетных данных пользователя — При попытке пользователя войти в приложение этот параметр определяет, к каким организационным подразделениям LDAP-клиент может получить доступ для проверки учетных данных пользователя. Пользователи, не входящие в выбранное организационное подразделение, не смогут войти в приложение.
• Укажите уровень доступа клиента LDAP для чтения информации о пользователях — Этот параметр определяет, к каким организационным подразделениям и группам клиент LDAP может получить доступ для получения дополнительной информации о пользователях.
• Укажите, может ли LDAP-клиент читать информацию о группах — Этот параметр определяет, может ли LDAP-клиент читать подробные сведения о группах и проверять членство пользователя в группах, например, для определения роли пользователя в приложении.

Позже вы можете вернуться на страницу «Права доступа» , чтобы внести изменения в эти настройки. Более подробную информацию и инструкции см. в разделах ниже.

Важно: Некоторые LDAP-клиенты, такие как Atlassian Jira и SSSD, выполняют поиск пользователя для получения дополнительной информации о пользователе во время аутентификации. Чтобы обеспечить корректную работу аутентификации пользователей в таких LDAP-клиентах, необходимо включить функцию «Чтение информации о пользователе» для всех организационных подразделений, где включена функция «Проверка учетных данных пользователя» .

Укажите уровень доступа LDAP-клиента для проверки учетных данных пользователя.

Используйте этот параметр, если LDAP-клиенту необходимо аутентифицировать пользователей в Cloud Directory.

Когда пользователь пытается войти в приложение, параметр « Проверять учетные данные пользователя» указывает учетные записи пользователей в выбранных организационных подразделениях и группах, к которым клиент LDAP может получить доступ для проверки учетных данных пользователя. Пользователи, не входящие в выбранное организационное подразделение или группу, ИЛИ пользователи, входящие в категорию исключенных групп , не могут войти в приложение. (Вы можете настроить права доступа для включения или исключения групп.)

По умолчанию для этого параметра установлен запрет доступа для организационных подразделений и групп. Если этот LDAP-клиент используется всей вашей компанией, вы можете изменить параметр на «Весь домен» , чтобы разрешить доступ пользователям во всем домене, или выбрать конкретные организационные подразделения или группы.

Примечание: Изменения, внесенные в этот параметр, могут вступить в силу в течение 24 часов.

Чтобы выбрать организационные подразделения, к которым LDAP-клиент может получить доступ для проверки учетных данных пользователя:

1. В разделе «Проверка учетных данных пользователя» щелкните «Выбранные организационные подразделения, группы и исключенные группы» .
2. В разделе «Включенные организационные подразделения» нажмите «Добавить» или «Изменить» .
3. В окне «Включенные организационные подразделения» выберите конкретные организационные подразделения, которые вы хотите включить.
4. Нажмите СОХРАНИТЬ .

Чтобы включить группы, к которым LDAP-клиент может получить доступ для проверки учетных данных пользователя:

1. В разделе «Проверка учетных данных пользователя» щелкните «Выбранные организационные подразделения, группы и исключенные группы» .
2. В разделе «Включенные группы» нажмите «Добавить» или «Изменить» .
3. В окне «Найти и выбрать группы» выберите конкретные группы, которые вы хотите включить.
4. Нажмите «ГОТОВО» .

Чтобы исключить группы из проверки учетных данных пользователя:

1. В разделе «Проверка учетных данных пользователя» щелкните «Выбранные организационные подразделения, группы и исключенные группы» .
2. В разделе «Исключенные группы» нажмите «Добавить» или «Изменить» .
3. В окне «Найти и выбрать группы» выберите конкретные группы, которые вы хотите исключить.
4. Нажмите «ГОТОВО» .

Примечание: Чтобы быстро просмотреть список включенных организационных подразделений или список включенных или исключенных групп, наведите курсор на указанные выше настройки.

Укажите уровень доступа LDAP-клиента для чтения информации о пользователях.

Используйте этот параметр, если LDAP-клиенту требуется доступ только для чтения для выполнения поиска пользователей.

Параметр «Чтение информации о пользователях» определяет, к каким организационным подразделениям клиент LDAP может получить доступ для получения дополнительной информации о пользователях. По умолчанию этот параметр установлен на «Нет доступа» . Вы можете изменить этот параметр на «Весь домен» или выбрать «Выбранные организационные подразделения» .

Для выбора организационных подразделений, к которым может получить доступ LDAP-клиент для получения дополнительной информации о пользователе:

1. В разделе «Ознакомление с информацией о пользователе» нажмите «Выбранные организационные подразделения» .

2. Выполните одно из следующих действий:

   Нажмите «Добавить» . В окне «Включенные организационные подразделения» установите флажки для конкретных организационных подразделений. Вы также можете использовать поле поиска в верхней части окна для поиска организационных подразделений.

   --ИЛИ--

   Нажмите «Копировать» в разделе «Проверка учетных данных пользователя» .

3. (Необязательно) Укажите, к каким атрибутам клиент может получить доступ для чтения информации о пользователе. Выберите один из вариантов: системные атрибуты , общедоступные пользовательские атрибуты и частные пользовательские атрибуты . Дополнительные сведения см. в разделе «Укажите, какие атрибуты вы хотите сделать доступными для LDAP-клиента» .

4. Нажмите СОХРАНИТЬ .

Укажите, какие атрибуты вы хотите сделать доступными для LDAP-клиента.

Существует 3 типа атрибутов:

• Системные атрибуты — Атрибуты пользователя по умолчанию, доступные для всех учетных записей пользователей, например, имя, адрес электронной почты и номер телефона.

  Примечание: Отключить эту опцию невозможно.

• Общедоступные пользовательские атрибуты — пользовательские атрибуты, помеченные как видимые для организации.

• Приватные пользовательские атрибуты — это пользовательские атрибуты, которые отображаются только пользователю и администраторам. Следует проявлять осторожность при использовании приватных пользовательских атрибутов, поскольку вы раскрываете конфиденциальную информацию клиенту LDAP.

Требования и рекомендации по именованию пользовательских атрибутов:

• Названия пользовательских атрибутов могут содержать только буквенно-цифровой текст и дефисы.
• В пользовательских схемах не должно быть повторяющихся имен атрибутов.
• Если имя пользовательского атрибута совпадает с именем существующего системного атрибута, мы вернем значение системного атрибута.

Важно: если имена атрибутов не соответствуют вышеуказанным рекомендациям, соответствующие значения атрибутов исключаются из ответа LDAP.

Более подробную информацию и инструкции по настройке пользовательских атрибутов см. в разделе «Создание пользовательских атрибутов для профилей пользователей» .

Укажите, может ли LDAP-клиент читать информацию о группах.

Используйте этот параметр, если LDAP-клиенту требуется доступ только для чтения для выполнения поиска групп.

Параметр «Чтение информации о группах» определяет, может ли LDAP-клиент проверять членство пользователя в группах, например, для авторизации роли пользователя в приложении.

Важно: Некоторые LDAP-клиенты, такие как Atlassian Jira и SSSD, выполняют поиск групп для получения дополнительной информации о членстве пользователя в группах во время аутентификации/авторизации пользователя. Чтобы обеспечить корректную работу аутентификации пользователя в таких LDAP-клиентах, необходимо включить параметр «Чтение информации о группах» .

Следующие шаги

После завершения настройки прав доступа нажмите кнопку ДОБАВИТЬ КЛИЕНТ LDAP .

Далее вам потребуется загрузить сгенерированный сертификат, подключить LDAP-клиент к службе Secure LDAP, а затем перевести статус службы LDAP-клиента в положение « Вкл. ».

Для дальнейших действий см. раздел 3. Загрузите сгенерированный сертификат .

Статьи по теме

• О службе Secure LDAP
• Защищенная схема LDAP
• Управление LDAP-клиентами
• Журналы аудита для службы Secure LDAP
• Безопасная служба LDAP: описание кодов ошибок
• Часто задаваемые вопросы: Безопасная служба LDAP