2. 設定存取權限

新增 LDAP 用戶端後,接著就需要為用戶端設定存取權限。新增 LDAP 用戶端後,系統會自動顯示「存取權限」頁面。該頁面分成三個部分,可讓您執行下列操作:

  • 指定 LDAP 用戶端驗證使用者憑證的存取層級 - 當使用者嘗試登入應用程式時,此設定會指定 LDAP 用戶端可存取哪些機構單位以驗證使用者的憑證。如果使用者不屬於所選機構單位,就無法登入應用程式。
  • 指定 LDAP 用戶端讀取使用者資訊的存取層級 - 這項設定會指定 LDAP 用戶端可以存取哪些機構單位和群組,從而擷取其他使用者資訊。
  • 指定 LDAP 用戶端是否能讀取群組資訊 - 這項設定會指定 LDAP 用戶端是否能讀取群組詳細資料及檢查使用者的群組成員身分,藉此瞭解使用者在應用程式中的角色,或達成其他目的。

稍後您可以返回「存取權限」頁面變更這些設定。如需更多詳細資料與操作說明,請參閱以下各節。

重要事項:進行使用者驗證期間,Atlassian Jira 和 SSSD 等特定 LDAP 用戶端會執行使用者查詢作業,藉此取得更多使用者資訊。為確保這類 LDAP 用戶端的使用者驗證程序能順利進行,您必須為所有已開啟「驗證使用者憑證」權限的機構單位一併開啟「讀取使用者資訊」權限。

指定 LDAP 用戶端驗證使用者憑證的存取層級

如果 LDAP 用戶端需要向 Cloud Directory 驗證使用者身分,請使用這個選項。

當使用者嘗試登入應用程式時,「驗證使用者憑證」設定會指定 LDAP 用戶端基於驗證使用者憑證目的,可以從所選機構單位和群組中存取的使用者帳戶。如果使用者不屬於所選機構單位或群組,或是屬於「排除群組」類別,就無法登入應用程式 (您可以經由設定存取權限來納入或「排除」特定群組)。

根據預設,這項設定在機構單位和群組中的預設值是「無存取權」。如果全公司都在使用這個 LDAP 用戶端,就可以將這項設定變更為「整個網域」以授權給所有網域成員;或者,您也可以選擇授權給特定機構單位或群組。

注意:這項設定的變更最多可能需要 24 小時才會生效。

如要選擇 LDAP 用戶端基於驗證使用者憑證目的,而可存取的機構單位,請按照下列步驟進行:

  1. 在「驗證使用者憑證」下方,點選「已選取的機構單位、群組和已排除的群組」
  2. 在「包含的機構單位」下方,點選「新增」或「編輯」
  3. 「包含的機構單位」視窗中,選擇您要納入的特定機構單位。
  4. 按一下 [儲存]

如要指定 LDAP 用戶端基於驗證使用者憑證目的,而可存取的群組,請按照下列步驟進行:

  1. 在「驗證使用者憑證」下方,點選「已選取的機構單位、群組和已排除的群組」
  2. 在「已納入的群組」下方,點選「新增」或「編輯」
  3. 在「尋找並選取群組」視窗中,選擇您要納入的特定群組。
  4. 按一下 [完成]

如要在驗證使用者憑證的程序中排除特定群組,請按照下列步驟進行:

  1. 在「驗證使用者憑證」下方,點選「已選取的機構單位、群組和已排除的群組」
  2. 在「已排除的群組」下方,點選「新增」或「編輯」
  3. 在「尋找並選取群組」視窗中,選擇要排除的特定群組。
  4. 按一下 [完成]

注意:如要快速查看已納入的機構單位清單,或是查看已納入或排除的群組清單,請將滑鼠游標懸停於上述設定。

指定 LDAP 用戶端讀取使用者資訊的存取層級

如果 LDAP 用戶端需要唯讀存取權才能執行使用者查詢,請使用這個選項。

「讀取使用者資訊」設定會指定 LDAP 用戶端可以存取哪些機構單位,進而擷取其他使用者資訊。這項設定的預設值是「無存取權」,您可以將設定變更為「整個網域」,或是選擇「特定機構單位」

如要選擇 LDAP 用戶端可以存取哪些特定機構單位,以擷取其他使用者資訊,請按照下列步驟操作:

  1. 在「讀取使用者資訊」下方,點選「已選取的機構單位」

  2. 請執行下列任一步驟:

    按一下「Add」(新增)。在「包含的機構單位」視窗下方,勾選特定機構單位的方塊。您也可以使用視窗頂端的搜尋欄位來搜尋機構單位。

    --OR--

    按一下「從『驗證使用者憑證』面板複製」

  3. (選用) 指定這個用戶端可以藉由存取哪些屬性來讀取使用者的資訊。可用選項如下:系統屬性公開自訂屬性私人自訂屬性。詳情請參閱「指定您要讓 LDAP 用戶端使用的屬性」。

  4. 按一下 [儲存]

指定您要讓 LDAP 用戶端使用的屬性

屬性分為 3 種:

  • 系統屬性:適用於所有使用者帳戶的預設使用者屬性,例如姓名、電子郵件地址和電話號碼。

    注意:你無法停用這個選項。

  • 公開自訂屬性:標為全機構皆可見的自訂使用者屬性。

  • 私人自訂屬性:標為僅限該使用者和管理員可見的自訂使用者屬性。使用私人自訂屬性時會向 LDAP 用戶端公開私人資訊,因此請務必謹慎使用。

自訂屬性的命名要求和規範:

  • 自訂屬性名稱只能包含英數字元和連字號。
  • 所有自訂結構定義的名稱皆不得重複。
  • 如果自訂屬性名稱與現有系統屬性相符,系統會傳回系統屬性的值。

重要事項:如果屬性名稱未遵循上述規範,則系統將從 LDAP 回覆中排除相關屬性值。

如需更多與設定自訂屬性相關的詳細資料與操作說明,請參閱「為使用者個人資料建立自訂屬性」。

指定 LDAP 用戶端是否能夠讀取群組資訊

如果 LDAP 用戶端需要唯讀存取權才能執行群組查詢,請使用這個選項。

「讀取群組資訊」設定會指定 LDAP 用戶端是否能夠為授權使用者在應用程式中的角色等目的,而查看使用者的群組會員身分。

重要事項:進行使用者驗證/授權期間,Atlassian Jira 和 SSSD 等特定 LDAP 用戶端會執行群組查詢作業,以取得更多使用者群組成員資訊。為確保這類 LDAP 用戶端的使用者驗證程序能順利進行,您必須開啟「讀取群組資訊」權限

後續步驟

完成設定存取權限之後,按一下「新增 LDAP 用戶端」

接下來,您必須下載產生的憑證,將 LDAP 用戶端連接至安全 LDAP 服務,然後將 LDAP 用戶端的服務狀態切換為「開啟」

如需後續步驟資訊,請參閱 3. 下載產生的憑證