2. Định cấu hình quyền truy cập

Sau khi thêm ứng dụng LDAP, bạn cần định cấu hình quyền truy cập cho ứng dụng đó. Trang Quyền truy cập sẽ tự động xuất hiện sau khi bạn thêm ứng dụng LDAP. Trang này có 3 mục để bạn có thể làm những việc sau:

• Chỉ định cấp truy cập của ứng dụng LDAP để xác minh thông tin đăng nhập của người dùng – Khi người dùng cố gắng đăng nhập vào ứng dụng, chế độ cài đặt này sẽ chỉ định những đơn vị tổ chức mà ứng dụng LDAP có thể truy cập để xác minh thông tin đăng nhập của người dùng. Những người dùng không có trong đơn vị tổ chức đã chọn không thể đăng nhập vào ứng dụng.
• Chỉ định cấp truy cập của ứng dụng LDAP để đọc thông tin người dùng – Chế độ cài đặt này chỉ định những đơn vị tổ chức và nhóm mà ứng dụng LDAP có thể truy cập để truy xuất thêm thông tin người dùng.
• Chỉ định xem ứng dụng LDAP có thể đọc thông tin nhóm hay không – Chế độ cài đặt này chỉ định xem ứng dụng LDAP có thể đọc thông tin chi tiết về nhóm và kiểm tra tư cách thành viên nhóm của người dùng cho các mục đích như vai trò của người dùng trong ứng dụng hay không.

Sau này, bạn có thể quay lại trang Quyền truy cập để thay đổi các chế độ cài đặt này. Để biết thêm thông tin chi tiết và hướng dẫn, hãy xem các phần bên dưới.

Lưu ý quan trọng: Một số máy khách LDAP (chẳng hạn như Atlassian Jira và SSSD) thực hiện một quy trình tìm kiếm người dùng để lấy thêm thông tin về người dùng trong quá trình xác thực người dùng. Để đảm bảo quy trình xác thực người dùng hoạt động chính xác cho các máy khách LDAP như vậy, bạn cần bật chế độ Đọc thông tin người dùng cho tất cả các đơn vị tổ chức mà bạn đã bật chế độ Xác minh thông tin đăng nhập của người dùng.

Chỉ định cấp truy cập của ứng dụng LDAP để xác minh thông tin đăng nhập của người dùng

Hãy sử dụng lựa chọn này nếu ứng dụng LDAP cần xác thực người dùng dựa trên Cloud Directory.

Khi người dùng cố gắng đăng nhập vào ứng dụng, chế độ cài đặt Xác minh thông tin đăng nhập của người dùng sẽ chỉ định những tài khoản người dùng trong các đơn vị tổ chức và nhóm đã chọn mà ứng dụng LDAP có thể truy cập để xác minh thông tin đăng nhập của người dùng. Những người dùng không có trong đơn vị tổ chức hoặc nhóm đã chọn HOẶC những người dùng thuộc danh mục nhóm bị loại trừ không thể đăng nhập vào ứng dụng. (Bạn có thể định cấu hình quyền truy cập để bao gồm hoặc loại trừ các nhóm.)

Theo mặc định, chế độ cài đặt này được đặt thành Không có quyền truy cập đối với các đơn vị tổ chức và nhóm. Nếu toàn bộ công ty của bạn sử dụng ứng dụng LDAP này, bạn có thể thay đổi chế độ cài đặt thành Toàn bộ miền để cấp quyền truy cập cho người dùng trên toàn miền, hoặc bạn có thể chọn các đơn vị tổ chức hoặc nhóm cụ thể.

Lưu ý: Các thay đổi đối với chế độ cài đặt này có thể mất tới 24 giờ mới có hiệu lực.

Cách chọn các đơn vị tổ chức mà ứng dụng LDAP có thể truy cập để xác minh thông tin đăng nhập của người dùng:

1. Trong mục Xác minh thông tin đăng nhập của người dùng, hãy nhấp vào Các đơn vị tổ chức, nhóm và nhóm bị loại trừ đã chọn.
2. Trong mục Đơn vị tổ chức được đưa vào, hãy nhấp vào Thêm hoặc Chỉnh sửa.
3. Trong cửa sổ Đơn vị tổ chức được bao gồm, hãy chọn những đơn vị tổ chức cụ thể mà bạn muốn đưa vào.
4. Nhấp vào LƯU.

Cách thêm các nhóm mà ứng dụng LDAP có thể truy cập để xác minh thông tin đăng nhập của người dùng:

1. Trong mục Xác minh thông tin đăng nhập của người dùng, hãy nhấp vào Các đơn vị tổ chức, nhóm và nhóm bị loại trừ đã chọn.
2. Trong phần Nhóm được bao gồm, hãy nhấp vào Thêm hoặc Chỉnh sửa.
3. Trong cửa sổ Tìm và chọn nhóm, hãy chọn những nhóm cụ thể mà bạn muốn đưa vào.
4. Nhấp vào XONG.

Cách loại trừ các nhóm khỏi việc xác minh thông tin đăng nhập của người dùng:

1. Trong mục Xác minh thông tin đăng nhập của người dùng, hãy nhấp vào Các đơn vị tổ chức, nhóm và nhóm bị loại trừ đã chọn.
2. Trong phần Nhóm bị loại trừ, hãy nhấp vào Thêm hoặc Chỉnh sửa.
3. Trong cửa sổ Tìm và chọn nhóm, hãy chọn những nhóm cụ thể mà bạn muốn loại trừ.
4. Nhấp vào XONG.

Lưu ý: Để xem nhanh danh sách các đơn vị tổ chức được đưa vào hoặc xem danh sách các nhóm được đưa vào hoặc loại trừ, hãy di chuột lên các chế độ cài đặt ở trên.

Chỉ định cấp truy cập của ứng dụng LDAP để đọc thông tin người dùng

Hãy sử dụng lựa chọn này nếu ứng dụng LDAP cần quyền truy cập chỉ đọc để thực hiện các lượt tìm kiếm người dùng.

Chế độ cài đặt Đọc thông tin người dùng chỉ định những đơn vị tổ chức mà ứng dụng LDAP có thể truy cập để truy xuất thêm thông tin người dùng. Theo mặc định, chế độ cài đặt này được đặt thành Không có quyền truy cập. Bạn có thể thay đổi chế độ cài đặt thành Toàn bộ miền hoặc chọn Các đơn vị tổ chức đã chọn.

Cách chọn đơn vị tổ chức mà ứng dụng LDAP có thể truy cập để truy xuất thêm thông tin người dùng:

1. Trong mục Đọc thông tin người dùng, hãy nhấp vào Đơn vị tổ chức đã chọn.

2. Thực hiện một trong các thao tác sau:

   Nhấp vào Thêm. Trong cửa sổ Đơn vị tổ chức được bao gồm, hãy đánh dấu vào hộp cho các đơn vị tổ chức cụ thể. Bạn cũng có thể sử dụng trường tìm kiếm ở đầu cửa sổ để tìm kiếm các đơn vị tổ chức.

   --OR--

   Nhấp vào Sao chép từ "Xác minh thông tin xác thực người dùng".

3. (Không bắt buộc) Chỉ định những thuộc tính mà ứng dụng này có thể truy cập để đọc thông tin của người dùng. Chọn trong số thuộc tính hệ thống, thuộc tính tuỳ chỉnh công khai và thuộc tính tuỳ chỉnh riêng tư. Để biết thêm thông tin chi tiết, hãy xem bài viết Chỉ định những thuộc tính mà bạn muốn cung cấp cho ứng dụng LDAP.

4. Nhấp vào LƯU.

Chỉ định những thuộc tính mà bạn muốn cung cấp cho ứng dụng LDAP

Có 3 loại thuộc tính:

• Thuộc tính hệ thống – Thuộc tính người dùng mặc định hiển thị cho tất cả tài khoản người dùng, chẳng hạn như Tên, Email và Điện thoại.

  Lưu ý: Bạn không thể tắt lựa chọn này.

• Thuộc tính tuỳ chỉnh công khai – Thuộc tính người dùng tuỳ chỉnh được đánh dấu là hiển thị với tổ chức.

• Thuộc tính tuỳ chỉnh riêng tư – Thuộc tính người dùng tuỳ chỉnh được đánh dấu là chỉ hiển thị với người dùng và quản trị viên. Hãy thận trọng khi sử dụng các thuộc tính tuỳ chỉnh riêng tư, vì bạn đang tiết lộ thông tin riêng tư cho ứng dụng LDAP.

Nguyên tắc và yêu cầu về tên thuộc tính tuỳ chỉnh:

• Tên của thuộc tính tuỳ chỉnh chỉ được chứa văn bản chữ và số và dấu gạch ngang.
• Không được có tên thuộc tính trùng lặp trên tất cả các giản đồ tuỳ chỉnh.
• Nếu tên thuộc tính tuỳ chỉnh trùng khớp với một thuộc tính hệ thống hiện có, chúng tôi sẽ trả về giá trị thuộc tính hệ thống.

Quan trọng: Nếu tên thuộc tính không tuân thủ các nguyên tắc nêu trên, thì các giá trị thuộc tính có liên quan sẽ bị loại trừ khỏi phần phản hồi LDAP.

Để biết thêm thông tin chi tiết và hướng dẫn về cách thiết lập thuộc tính tuỳ chỉnh, hãy xem bài viết Tạo thuộc tính tuỳ chỉnh cho hồ sơ người dùng.

Chỉ định xem ứng dụng LDAP có thể đọc thông tin nhóm hay không

Hãy sử dụng lựa chọn này nếu ứng dụng LDAP cần quyền chỉ có thể đọc để thực hiện các lượt tìm kiếm nhóm.

Chế độ cài đặt Đọc thông tin nhóm chỉ định xem ứng dụng LDAP có thể kiểm tra tư cách thành viên nhóm của người dùng cho các mục đích như uỷ quyền vai trò của người dùng trong ứng dụng hay không.

Lưu ý quan trọng: Một số ứng dụng LDAP như Atlassian Jira và SSSD thực hiện một thao tác tìm kiếm nhóm để biết thêm thông tin về tư cách thành viên nhóm của người dùng trong quá trình xác thực/uỷ quyền người dùng. Để đảm bảo quy trình xác thực người dùng hoạt động đúng cách cho những ứng dụng LDAP như vậy, bạn cần bật chế độ Đọc thông tin nhóm.

Các bước tiếp theo

Sau khi bạn định cấu hình xong quyền truy cập, hãy nhấp vào THÊM MÁY KHÁCH LDAP.

Tiếp theo, bạn cần tải chứng chỉ đã tạo xuống, kết nối ứng dụng LDAP với dịch vụ LDAP bảo mật, rồi chuyển trạng thái dịch vụ thành Bật cho ứng dụng LDAP.

Để biết các bước tiếp theo, hãy xem phần 3. Tải chứng chỉ đã tạo xuống.

Bài viết liên quan

• Giới thiệu về dịch vụ Giao thức truy cập thư mục hạng nhẹ (LDAP) bảo mật
• Giản đồ LDAP bảo mật
• Quản lý ứng dụng LDAP
• Nhật ký kiểm tra cho dịch vụ Giao thức truy cập thư mục hạng nhẹ (LDAP) bảo mật
• Dịch vụ LDAP bảo mật: Nội dung mô tả mã lỗi
• Câu hỏi thường gặp: Dịch vụ LDAP bảo mật