Các phiên bản có hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Business Plus; Enterprise Standard và Enterprise Plus; Education Fundamentals, Education Standard và Education Plus; Enterprise Essentials Plus. So sánh phiên bản của bạn
Điều gì sẽ xảy ra nếu tôi tạm ngưng tài khoản người dùng Cloud Identity hoặc Google Workspace?
Dịch vụ Giao thức truy cập thư mục hạng nhẹ (LDAP) bảo mật sử dụng Cloud Directory làm cơ sở cho hoạt động xác thực, uỷ quyền và tra cứu thư mục. Các tài khoản bị tạm ngưng không thể đăng nhập vào bất kỳ ứng dụng nào liên quan đến Cloud Identity/Google Workspace, kể cả các ứng dụng LDAP. Mặc dù các tài khoản bị tạm ngưng không thể xác minh mật khẩu bằng LDAP, nhưng dịch vụ ứng dụng vẫn có thể tra cứu các tài khoản đó bằng tính năng tìm kiếm LDAP.
Điều gì sẽ xảy ra nếu tôi định cấu hình nhà cung cấp dịch vụ danh tính bên thứ ba / nhà cung cấp dịch vụ đăng nhập một lần (SSO) trong Google Workspace hoặc Cloud Identity?
Việc sử dụng LDAP bảo mật để xác thực, uỷ quyền và tra cứu thư mục không bị ảnh hưởng, vì nhà cung cấp danh tính bên thứ ba chỉ ảnh hưởng đến các giao dịch dựa trên HTTP, chẳng hạn như xác thực dựa trên Ngôn ngữ đánh dấu xác nhận bảo mật (SAML).
Lưu ý: Nếu bạn muốn người dùng có thể xác thực bằng các ứng dụng được kết nối với Giao thức truy cập thư mục hạng nhẹ (LDAP) bảo mật, hãy đảm bảo rằng họ biết tên người dùng và mật khẩu Google của mình, vì họ cần thông tin xác thực này (chứ không phải thông tin xác thực của nhà cung cấp dịch vụ danh tính bên thứ ba) để xác thực. Người dùng không thể truy cập vào các ứng dụng LDAP bảo mật bằng cách đăng nhập thông qua nhà cung cấp danh tính (IdP) bên thứ ba bằng SSO.
Tại sao tôi cần cả chứng chỉ và thông tin xác thực truy cập để xác thực ứng dụng LDAP?
Chỉ chứng chỉ mới xác thực ứng dụng LDAP. Thông tin xác thực truy cập chỉ tồn tại nếu ứng dụng nhất quyết gửi cả tên người dùng và mật khẩu. Bản thân thông tin xác thực truy cập không cấp quyền truy cập vào máy chủ LDAP hoặc dữ liệu người dùng, nhưng bạn nên giữ bí mật thông tin này để ngăn người khác sử dụng thông tin đó để đăng nhập vào một số ứng dụng LDAP.
Trong trường hợp ứng dụng LDAP yêu cầu thông tin xác thực truy cập, chúng tôi sẽ xác thực ứng dụng LDAP bằng cả chứng chỉ và thông tin xác thực truy cập.
Nếu ứng dụng LDAP của tôi không hỗ trợ chứng chỉ TLS, thì có giải pháp thay thế nào không?
Có. Bạn có thể sử dụng stunnel làm proxy giữa ứng dụng và LDAP bảo mật. Để biết thông tin chi tiết và hướng dẫn, hãy xem bài viết Sử dụng stunnel làm proxy.
Trước đây, tôi đã tạo thông tin xác thực truy cập và hiện không nhớ mật khẩu để thiết lập một phiên bản khác của ứng dụng LDAP. Tôi có thể tạo một nhóm thông tin xác thực truy cập khác không?
Là quản trị viên, bạn có thể tạo một nhóm thông tin xác thực truy cập khác, bao gồm một cặp tên người dùng/mật khẩu riêng biệt. Bạn có thể giữ tối đa 2 thông tin xác thực hoạt động đồng thời. Nếu một thông tin xác thực bị xâm phạm hoặc không còn được sử dụng, bạn có thể xoá thông tin đó.
Nếu nghi ngờ có vấn đề về bảo mật với một ứng dụng LDAP, thì làm cách nào để vô hiệu hoá ngay ứng dụng đó?
Nếu nghi ngờ có vấn đề về bảo mật với một ứng dụng LDAP (ví dụ: nếu chứng chỉ hoặc thông tin xác thực bị xâm phạm), bạn có thể vô hiệu hoá ngay ứng dụng đó bằng cách xoá tất cả chứng chỉ kỹ thuật số được liên kết với ứng dụng đó. Đây là cách tốt nhất để vô hiệu hoá ngay một ứng dụng, vì có thể mất đến 24 giờ để một ứng dụng bị vô hiệu hoá sau khi bạn chuyển trạng thái dịch vụ thành Tắt.
Để biết hướng dẫn, hãy xem bài viết Xoá chứng chỉ.
Sau này, nếu muốn bật ứng dụng, bạn cần tạo chứng chỉ mới và tải chứng chỉ lên ứng dụng LDAP.
Các máy tính Linux của tôi trên Google Compute Engine không có địa chỉ IP ngoài. Tôi có thể kết nối với dịch vụ LDAP bảo mật không?
Có. Nếu đang sử dụng mô-đun SSSD trên các máy tính Linux không có IP ngoài trên Google Compute Engine, bạn vẫn có thể kết nối với dịch vụ Giao thức truy cập thư mục hạng nhẹ (LDAP) bảo mật miễn là bạn đã bật quyền truy cập nội bộ vào các dịch vụ của Google. Tìm hiểu thêm về cách định cấu hình quyền truy cập riêng tư. Để biết thông tin chi tiết, hãy xem bài viết Định cấu hình quyền truy cập riêng tư vào Google.