2. กำหนดค่าสิทธิ์การเข้าถึง

หลังจากที่เพิ่มไคลเอ็นต์ LDAP แล้ว คุณจะต้องกำหนดสิทธิ์การเข้าถึงสำหรับไคลเอ็นต์ หน้าสิทธิ์การเข้าถึงจะแสดงขึ้นมาโดยอัตโนมัติหลังจากที่มีการเพิ่มไคลเอ็นต์ LDAP โดยจะประกอบด้วยสามส่วนที่คุณจะดำเนินการได้ดังต่อไปนี้

• ระบุระดับการเข้าถึงของไคลเอ็นต์ LDAP สำหรับการยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ เมื่อผู้ใช้พยายามลงชื่อเข้าใช้แอปพลิเคชัน การตั้งค่านี้จะระบุว่าหน่วยขององค์กรใดที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ได้ ผู้ใช้ที่ไม่ได้อยู่ในหน่วยขององค์กรที่เลือกจะลงชื่อเข้าใช้แอปพลิเคชันไม่ได้
• ระบุระดับการเข้าถึงของไคลเอ็นต์ LDAP สำหรับการอ่านข้อมูลผู้ใช้ การตั้งค่านี้จะระบุว่าหน่วยขององค์กรและกลุ่มใดที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อเรียกข้อมูลผู้ใช้เพิ่มเติมได้
• ระบุว่าไคลเอ็นต์ LDAP จะอ่านข้อมูลของกลุ่มได้หรือไม่ การตั้งค่านี้จะระบุว่าไคลเอ็นต์ LDAP จะอ่านรายละเอียดของกลุ่มและตรวจสอบการเป็นสมาชิกกลุ่มของผู้ใช้เพื่อวัตถุประสงค์ต่างๆ เช่น บทบาทของผู้ใช้ในแอปพลิเคชัน ได้หรือไม่

คุณจะกลับไปที่หน้าสิทธิ์การเข้าถึงเพื่อทำการเปลี่ยนแปลงการตั้งค่าเหล่านี้ในภายหลังได้ โปรดดูวิธีการและรายละเอียดเพิ่มเติมในหัวข้อด้านล่าง

ข้อมูลสำคัญ: ไคลเอ็นต์ LDAP บางประเภท เช่น Atlassian Jira และ SSSD จะดำเนินการค้นหาข้อมูลเกี่ยวกับผู้ใช้เพิ่มเติมในระหว่างการตรวจสอบสิทธิ์ผู้ใช้ คุณจะต้องเปิดใช้การอ่านข้อมูลผู้ใช้สำหรับหน่วยขององค์กรทั้งหมดที่เปิดใช้การยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้เพื่อให้การตรวจสอบสิทธิ์ผู้ใช้ทำงานอย่างถูกต้องกับไคลเอ็นต์ LDAP นี้

ระบุระดับการเข้าถึงของไคลเอ็นต์ LDAP สำหรับการยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้

โปรดใช้ตัวเลือกนี้หากไคลเอ็นต์ LDAP ต้องการตรวจสอบสิทธิ์ผู้ใช้กับ Cloud Directory

เมื่อผู้ใช้พยายามลงชื่อเข้าใช้แอปพลิเคชัน การตั้งค่ายืนยันข้อมูลเข้าสู่ระบบของผู้ใช้จะระบุว่าหน่วยขององค์กรและกลุ่มที่เลือกใดที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ได้ ผู้ใช้ที่ไม่ได้อยู่ในหน่วยขององค์กรหรือกลุ่มที่เลือก หรือผู้ใช้ในหมวดหมู่ยกเว้นกลุ่มจะลงชื่อเข้าใช้แอปพลิเคชันไม่ได้ (คุณจะกำหนดค่าสิทธิ์การเข้าถึงเพื่อรวมหรือยกเว้นกลุ่มได้)

การตั้งค่านี้จะมีค่าเริ่มต้นเป็นเข้าถึงไม่ได้สำหรับหน่วยขององค์กรและกลุ่ม ในกรณีที่ทั้งบริษัทใช้ไคลเอ็นต์ LDAP นี้ คุณจะเปลี่ยนการตั้งค่าเป็นทั้งโดเมนเพื่ออนุญาตการเข้าถึงให้กับผู้ใช้ทุกคนในโดเมน หรือจะเลือกเฉพาะหน่วยขององค์กรหรือกลุ่มที่ต้องการก็ได้

หมายเหตุ: การเปลี่ยนแปลงการตั้งค่านี้อาจใช้เวลาถึง 24 ชั่วโมงจึงจะมีผล

หากต้องการเลือกหน่วยขององค์กรที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ได้ โปรดทำดังนี้

1. คลิกหน่วยขององค์กร กลุ่ม และกลุ่มที่ยกเว้นที่เลือกในส่วนยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้
2. คลิกเพิ่มหรือแก้ไขในส่วนหน่วยขององค์กรที่รวมไว้
3. เลือกหน่วยขององค์กรที่ต้องการรวมในหน้าต่างหน่วยขององค์กรที่รวมไว้
4. คลิกบันทึก

หากต้องการรวมกลุ่มที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ได้ ให้ทำดังนี้

1. คลิกหน่วยขององค์กร กลุ่ม และกลุ่มที่ยกเว้นที่เลือกในส่วนยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้
2. คลิกเพิ่มหรือแก้ไขในส่วนกลุ่มที่รวมไว้
3. เลือกกลุ่มที่ต้องการรวมไว้ในหน้าต่างค้นหาและเลือกกลุ่ม
4. คลิกเสร็จ

หากต้องการยกเว้นกลุ่มเพื่อไม่ให้ยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้ ให้ทำดังนี้

1. คลิกหน่วยขององค์กร กลุ่ม และกลุ่มที่ยกเว้นที่เลือกในส่วนยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้
2. คลิกเพิ่มหรือแก้ไขในส่วนกลุ่มที่ยกเว้น
3. เลือกกลุ่มที่ต้องการยกเว้นในหน้าต่างค้นหาและเลือกกลุ่ม
4. คลิกเสร็จ

หมายเหตุ: หากต้องการดูรายการหน่วยขององค์กรที่รวมไว้ หรือดูรายการกลุ่มที่รวมหรือยกเว้นไว้อย่างรวดเร็ว ให้วางเมาส์เหนือการตั้งค่าข้างต้น

ระบุระดับการเข้าถึงของไคลเอ็นต์ LDAP สำหรับการอ่านข้อมูลผู้ใช้

โปรดใช้ตัวเลือกนี้หากไคลเอ็นต์ LDAP ต้องการสิทธิ์การเข้าถึงระดับอ่านอย่างเดียวเพื่อดำเนินการค้นหาผู้ใช้

การตั้งค่าอ่านข้อมูลผู้ใช้จะระบุว่าหน่วยขององค์กรใดที่ไคลเอ็นต์ LDAP จะเข้าถึงเพื่อเรียกข้อมูลผู้ใช้เพิ่มเติมได้ การตั้งค่านี้จะมีค่าเริ่มต้นเป็นเข้าถึงไม่ได้ คุณจะเปลี่ยนการตั้งค่าเป็นทั้งโดเมน หรือเลือกหน่วยขององค์กรที่เลือกก็ได้

หากต้องการเลือกหน่วยขององค์กรที่ไคลเอ็นต์ LDAP สามารถเข้าถึงเพื่อเรียกข้อมูลผู้ใช้เพิ่มเติม โปรดทำดังนี้

1. คลิกหน่วยขององค์กรที่เลือกในส่วนอ่านข้อมูลผู้ใช้

2. ทำสิ่งใดสิ่งหนึ่งต่อไปนี้

   คลิกเพิ่ม เลือกช่องเฉพาะหน่วยขององค์กรที่ต้องการในหน้าต่างหน่วยขององค์กรที่รวมไว้ นอกจากนี้คุณยังใช้ช่องค้นหาด้านบนของหน้าต่างเพื่อค้นหาหน่วยขององค์กรได้

   --OR--

   คลิกคัดลอกจาก "ยืนยันข้อมูลเข้าสู่ระบบของผู้ใช้"

3. (ไม่บังคับ) ระบุแอตทริบิวต์ที่ไคลเอ็นต์นี้จะเข้าถึงเพื่ออ่านข้อมูลของผู้ใช้ได้ เลือกจากแอตทริบิวต์ระบบ แอตทริบิวต์แบบสาธารณะที่กำหนดเอง และแอตทริบิวต์แบบส่วนตัวที่กำหนดเอง โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อระบุแอตทริบิวต์ที่ต้องการให้ไคลเอ็นต์ LDAP ใช้งานได้

4. คลิกบันทึก

ระบุแอตทริบิวต์ที่ต้องการให้ไคลเอ็นต์ LDAP ใช้งานได้

แอตทริบิวต์มี 3 ประเภทคือ

• แอตทริบิวต์ระบบ - บัญชีผู้ใช้ทั้งหมดจะใช้งานแอตทริบิวต์เริ่มต้นของผู้ใช้ได้ เช่น ชื่อ อีเมล และโทรศัพท์

  หมายเหตุ: โปรดทราบว่าคุณไม่สามารถปิดตัวเลือกนี้ได้

• แอตทริบิวต์แบบสาธารณะที่กำหนดเอง - แอตทริบิวต์ที่กำหนดเองของผู้ใช้ซึ่งทำเครื่องหมายให้มองเห็นได้ในองค์กร

• แอตทริบิวต์แบบส่วนตัวที่กำหนดเอง - แอตทริบิวต์ที่กำหนดเองของผู้ใช้ซึ่งทำเครื่องหมายให้มองเห็นได้เฉพาะผู้ใช้และผู้ดูแลระบบ โปรดใช้แอตทริบิวต์แบบส่วนตัวที่กำหนดเองด้วยความระมัดระวัง เนื่องจากคุณกำลังเปิดเผยข้อมูลส่วนตัวกับไคลเอ็นต์ LDAP

ข้อกำหนดและหลักเกณฑ์ในการตั้งชื่อแอตทริบิวต์ที่กำหนดเอง

• ชื่อของแอตทริบิวต์ที่กําหนดเองจะมีได้เฉพาะอักขระที่เป็นตัวอักษรและตัวเลขคละกัน และขีดกลางเท่านั้น
• ไม่ควรมีชื่อแอตทริบิวต์ซ้ำกันในสคีมาที่กําหนดเองทั้งหมด
• หากชื่อแอตทริบิวต์ที่กําหนดเองตรงกับแอตทริบิวต์ระบบที่มีอยู่ เราจะแสดงผลค่าของแอตทริบิวต์ระบบ

สำคัญ: หากชื่อแอตทริบิวต์ไม่เป็นไปตามหลักเกณฑ์ข้างต้น ระบบจะไม่รวมค่าแอตทริบิวต์ที่เป็นปัญหาไว้ในคำตอบจาก LDAP

โปรดดูรายละเอียดและวิธีการตั้งค่าแอตทริบิวต์ที่กำหนดเองที่หัวข้อสร้างแอตทริบิวต์ที่กำหนดเองสำหรับโปรไฟล์ผู้ใช้

ระบุว่าไคลเอ็นต์ LDAP จะอ่านข้อมูลของกลุ่มได้หรือไม่

โปรดใช้ตัวเลือกนี้หากไคลเอ็นต์ LDAP ต้องการสิทธิ์การเข้าถึงระดับอ่านอย่างเดียวเพื่อดำเนินการค้นหากลุ่ม

การตั้งค่าอ่านข้อมูลของกลุ่มเป็นการระบุว่าไคลเอ็นต์ LDAP จะตรวจสอบการเป็นสมาชิกกลุ่มของผู้ใช้เพื่อวัตถุประสงค์ต่างๆ เช่น การให้สิทธิ์บทบาทของผู้ใช้ในแอปพลิเคชันได้หรือไม่

ข้อมูลสำคัญ: ไคลเอ็นต์ LDAP บางประเภท เช่น Atlassian Jira และ SSSD จะดำเนินการค้นหาข้อมูลเกี่ยวกับการเป็นสมาชิกกลุ่มของผู้ใช้เพิ่มเติมในระหว่างการตรวจสอบสิทธิ์หรือให้สิทธิ์ผู้ใช้ โดยคุณจะต้องเปิดอ่านข้อมูลของกลุ่มเพื่อให้การตรวจสอบสิทธิ์ผู้ใช้ทำงานกับไคลเอ็นต์ LDAP ดังกล่าวได้อย่างถูกต้อง

ขั้นตอนถัดไป

หลังจากที่กำหนดสิทธิ์การเข้าถึงแล้ว ให้คลิกเพิ่มไคลเอ็นต์ LDAP

จากนั้นให้ดาวน์โหลดใบรับรองที่สร้างไว้ แล้วเชื่อมต่อไคลเอ็นต์ LDAP กับบริการ LDAP ที่ปลอดภัย และเปลี่ยนสถานะบริการสำหรับไคลเอ็นต์ LDAP ให้เป็นเปิด

ดูขั้นตอนถัดไปในหัวข้อที่ 3. ดาวน์โหลดใบรับรองที่สร้างไว้

บทความที่เกี่ยวข้อง

• เกี่ยวกับบริการ LDAP ที่ปลอดภัย
• สคีมา LDAP ที่ปลอดภัย
• จัดการไคลเอ็นต์ LDAP
• บันทึกการตรวจสอบสำหรับบริการ LDAP ที่ปลอดภัย
• บริการ LDAP ที่ปลอดภัย: คำอธิบายรหัสข้อผิดพลาด
• คำถามที่พบบ่อยเกี่ยวกับบริการ LDAP ที่ปลอดภัย