Ediciones admitidas para esta función: Frontline Standard y Frontline Plus; Business Plus; Enterprise Standard y Enterprise Plus; Education Fundamentals, Education Standard y Education Plus; Enterprise Essentials Plus. Comparar tu edición
¿Qué sucede si suspendo la cuenta de usuario de Cloud Identity o Google Workspace?
El servicio de LDAP seguro usa Cloud Directory como base para la autenticación, la autorización y las búsquedas en el directorio. Las cuentas suspendidas no pueden acceder a ninguna aplicación relacionada con Cloud Identity o Google Workspace, incluidas las aplicaciones LDAP. Si bien las cuentas suspendidas no podrán verificar sus contraseñas con LDAP, un servicio de cliente podrá buscarlas con una búsqueda de LDAP.
¿Qué sucede si configuro un proveedor de identidad externo o un proveedor de SSO en Google Workspace o Cloud Identity?
No hay impacto en el uso de LDAP seguro para la autenticación, la autorización y las búsquedas de directorios, ya que los proveedores de identidad externos solo afectan las transacciones basadas en HTTP, como la autenticación basada en SAML.
Nota: Si quieres que tus usuarios puedan autenticarse con aplicaciones conectadas a LDAP seguro, asegúrate de que conozcan su nombre de usuario y contraseña de Google, ya que estas credenciales (no las de su proveedor de identidad externo) son necesarias para la autenticación. Los usuarios no pueden acceder a las aplicaciones de LDAP seguro a través de un IdP externo con SSO.
¿Por qué necesito un certificado y credenciales de acceso para autenticar clientes de LDAP?
Solo el certificado autentica el cliente LDAP. Las credenciales de acceso solo existen si el cliente insiste en enviar también un nombre de usuario y una contraseña. Por sí solas, las credenciales de acceso no otorgan acceso al servidor LDAP ni a los datos del usuario, pero deben mantenerse en secreto para evitar que se usen para acceder a ciertos clientes de LDAP.
En el caso de que un cliente de LDAP requiera credenciales de acceso, autenticamos a los clientes de LDAP con certificados y credenciales de acceso.
Si mi aplicación LDAP no admite certificados TLS, ¿existe alguna alternativa?
Sí. Puedes usar stunnel como proxy entre tu aplicación y LDAP seguro. Para obtener detalles e instrucciones, consulta Cómo usar stunnel como proxy.
Generé credenciales de acceso en el pasado y ahora no recuerdo la contraseña para configurar otra instancia de mi cliente LDAP. ¿Puedo generar otro conjunto de credenciales de acceso?
Como administrador, puedes generar otro conjunto de credenciales de acceso, que consistirá en un par de nombre de usuario y contraseña distintos. Puedes mantener un máximo de dos credenciales activas de forma simultánea. Si una credencial se ve comprometida o ya no se usa, puedes borrarla.
Si sospecho que hay un problema de seguridad con un cliente LDAP, ¿cómo puedo inhabilitarlo de inmediato?
Si sospechas que hay un problema de seguridad con un cliente LDAP (por ejemplo, si se vulneraron certificados o credenciales), puedes inhabilitar el cliente de inmediato borrando todos los certificados digitales asociados a él. Esta es la mejor manera de inhabilitar un cliente de inmediato, ya que es posible que un cliente tarde hasta 24 horas en inhabilitarse después de cambiar el estado del servicio a Desactivado.
Para obtener instrucciones, consulta Borra certificados.
Más adelante, si quieres habilitar el cliente, deberás generar certificados nuevos y subirlos a tu cliente LDAP.
Mis computadoras Linux en Google Compute Engine no tienen direcciones IP externas. ¿Aún puedo conectarme al servicio de LDAP seguro?
Sí. Si usas el módulo SSSD en computadoras Linux sin direcciones IP externas en Google Compute Engine, aún puedes conectarte al servicio de LDAP seguro, siempre y cuando tengas habilitado el acceso interno a los servicios de Google. Obtén más información para configurar el acceso privado. Para obtener más información, consulta Configura el Acceso privado a Google.