2. 配置访问权限

添加 LDAP 客户端后，您需要配置相应客户端的访问权限。访问权限页面（系统会在添加 LDAP 客户端后自动显示该页面）包含三个部分，可供您执行以下操作：

指定 LDAP 客户端验证用户凭据时的访问权限级别 - 当用户尝试登录应用时，此设置会指定 LDAP 客户端可以访问哪些组织部门以验证用户的凭据。不在所选组织部门中的用户无法登录该应用。
指定 LDAP 客户端的访问权限级别以读取用户信息 - 此设置指定 LDAP 客户端可以访问哪些组织部门和群组以检索其他用户信息。
指定 LDAP 客户端是否可以读取群组信息 - 此设置指定 LDAP 客户端是否可以读取群组详细信息并查看用户的群组成员资格，以实现授予用户在应用中的角色等目的。

之后，您可以返回访问权限页面更改这些设置。有关详情和操作说明，请参阅以下各部分中的内容。

重要提示：部分 LDAP 客户端（如 Atlassian Jira 和 SSSD）会在用户身份验证过程中执行用户查询，以便获取更多用户信息。为确保此类 LDAP 客户端的用户身份验证能正常完成，您必须为已开启验证用户凭据的所有组织部门开启读取用户信息。

指定 LDAP 客户端验证用户凭据时的访问权限级别

如果 LDAP 客户端需要针对 Cloud Directory 对用户进行身份验证，请使用此选项。

当用户尝试登录相应应用时，验证用户凭据设置会指定 LDAP 客户端可以访问所选组织部门和群组中的哪些用户账号以验证用户的凭据。不在所选组织部门或群组中的用户或“排除群组”中的用户无法登录该应用。（您可以配置访问权限来包含或排除群组。）

默认情况下，系统会为组织部门和群组将此设置设为无访问权限。如果整个公司都使用此 LDAP 客户端，您可以将此设置更改为整个网域，以便向整个网域中的用户授予访问权限。您也可以选择特定组织部门或群组。

注意：您对此设置所做的更改最长可能需要 24 小时才能生效。

如需选择 LDAP 客户端可以访问的组织部门以验证用户凭据，请执行以下操作：

要包含 LDAP 客户端可以访问的群组以验证用户凭据，请按以下步骤操作：

如需在验证用户凭据时排除群组，请按以下步骤操作：

注意：如需快速查看包含的组织部门列表，或查看包含或排除的群组列表，请将鼠标悬停在上述设置上。

如果 LDAP 客户端需要只读访问权限以执行用户查询，请使用此选项。

读取用户信息设置会指定 LDAP 客户端可以访问哪些组织部门以检索其他用户信息。此设置默认设为“无访问权限”。您可以将此设置更改为“整个网域”，或选择“特定组织部门”。

如需选择 LDAP 客户端可以访问的组织部门以检索其他用户信息，请执行以下操作：

在“读取用户信息”下方，点击所选组织部门。
执行以下其中一项操作：

点击添加。在“包含的组织部门”窗口中，选中特定组织部门对应的复选框。您还可以使用窗口顶部的搜索字段来搜索组织部门。

--OR--

点击从“验证用户凭据”面板复制。
（可选）指定此客户端可以通过访问哪些属性来读取用户的信息。您可以在系统属性、公开的自定义属性和不公开的自定义属性间选择。有关详情，请参阅指定允许 LDAP 客户端访问哪些属性。
点击保存。

属性有以下 3 种类型：

自定义属性的命名要求和指南：

重要提示：如果属性名称没有遵循上述指南要求，系统会将有问题的属性值从 LDAP 响应中排除。

有关设置自定义属性的更多详情和说明，请参阅为用户个人资料创建自定义属性。

如果 LDAP 客户端需要只读访问权限以执行群组查询，请使用此选项。

读取群组信息设置指定 LDAP 客户端是否可以读取用户的群组成员资格信息，以实现授予用户在应用中的角色等目的。

重要提示：部分 LDAP 客户端（如 Atlassian Jira 和 SSSD）会在用户身份验证/授权过程中执行群组查询，以便获取更多关于用户的群组成员资格的信息。为确保此类 LDAP 客户端的用户身份验证正常运作，您必须开启读取群组信息。

完成访问权限配置后，请点击添加 LDAP 客户端。

接下来，您必须下载已生成的证书，将 LDAP 客户端连接到安全 LDAP 服务，然后为 LDAP 客户端将服务状态切换为开启。

如要了解后续步骤，请参阅 3. 下载已生成的证书。