Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Business Plus; Enterprise Standard và Enterprise Plus; Education Fundamentals, Education Standard và Education Plus; Enterprise Essentials Plus. So sánh phiên bản của bạn
Điều gì sẽ xảy ra nếu tôi tạm ngưng tài khoản người dùng Cloud Identity hoặc Google Workspace?
Dịch vụ LDAP bảo mật sử dụng Cloud Directory làm cơ sở cho hoạt động tra cứu thư mục, uỷ quyền và xác thực. Tài khoản bị tạm ngưng không thể đăng nhập vào bất kỳ ứng dụng nào liên quan đến Cloud Identity/Google Workspace, kể cả các ứng dụng LDAP. Mặc dù các tài khoản bị tạm ngưng sẽ không thể xác minh mật khẩu bằng LDAP, nhưng một dịch vụ khách hàng vẫn có thể tra cứu các tài khoản này bằng một cụm từ tìm kiếm LDAP.
Điều gì sẽ xảy ra nếu tôi định cấu hình nhà cung cấp danh tính bên thứ ba / nhà cung cấp dịch vụ SSO trong Google Workspace hoặc Cloud Identity?
Việc sử dụng LDAP bảo mật cho hoạt động xác thực, uỷ quyền và tra cứu thư mục sẽ không bị ảnh hưởng, vì các nhà cung cấp danh tính bên thứ ba chỉ ảnh hưởng đến các giao dịch dựa trên HTTP, chẳng hạn như hoạt động xác thực dựa trên SAML.
Lưu ý: Nếu muốn người dùng có thể xác thực bằng các ứng dụng được kết nối với LDAP bảo mật, hãy đảm bảo họ biết tên người dùng và mật khẩu Google của mình, vì họ cần những thông tin đăng nhập này (không phải thông tin đăng nhập của nhà cung cấp danh tính bên thứ ba) để xác thực. Người dùng không thể truy cập vào các ứng dụng LDAP bảo mật bằng cách đăng nhập thông qua một IdP bên thứ ba bằng tính năng Đăng nhập một lần (SSO).
Tại sao tôi cần cả chứng chỉ và thông tin xác thực quyền truy cập để xác thực ứng dụng LDAP?
Chỉ có chứng chỉ xác thực ứng dụng LDAP. Thông tin đăng nhập chỉ tồn tại nếu máy khách nhất quyết gửi cả tên người dùng và mật khẩu. Bản thân thông tin đăng nhập không cấp quyền truy cập vào máy chủ LDAP hoặc dữ liệu người dùng, nhưng bạn nên giữ bí mật để ngăn người khác sử dụng thông tin này để đăng nhập vào một số ứng dụng LDAP.
Trong trường hợp ứng dụng LDAP yêu cầu thông tin xác thực quyền truy cập, chúng tôi sẽ xác thực ứng dụng LDAP bằng cả chứng chỉ và thông tin xác thực quyền truy cập.
Nếu ứng dụng LDAP của tôi không hỗ trợ chứng chỉ TLS, thì có giải pháp thay thế nào không?
Có. Bạn có thể dùng stunnel làm proxy giữa ứng dụng và LDAP bảo mật. Để biết thông tin chi tiết và hướng dẫn, hãy xem phần Sử dụng stunnel làm proxy.
Trước đây, tôi đã tạo thông tin đăng nhập để truy cập và hiện không nhớ mật khẩu để thiết lập một phiên bản khác của ứng dụng LDAP. Tôi có thể tạo một bộ thông tin đăng nhập khác không?
Là quản trị viên, bạn có thể tạo một bộ thông tin đăng nhập khác, bao gồm một cặp tên người dùng/mật khẩu riêng biệt. Bạn có thể duy trì tối đa 2 thông tin đăng nhập hoạt động cùng lúc. Nếu thông tin đăng nhập bị xâm nhập hoặc không còn được sử dụng, bạn có thể xoá thông tin đăng nhập đó.
Nếu nghi ngờ có vấn đề bảo mật với một ứng dụng LDAP, làm cách nào để tôi có thể vô hiệu hoá ứng dụng đó ngay lập tức?
Nếu nghi ngờ có vấn đề về bảo mật với một ứng dụng LDAP (ví dụ: nếu chứng chỉ hoặc thông tin đăng nhập bị xâm phạm), bạn có thể vô hiệu hoá ngay ứng dụng đó bằng cách xoá tất cả chứng chỉ kỹ thuật số được liên kết với ứng dụng đó. Đây là cách tốt nhất để vô hiệu hoá ngay một ứng dụng khách, vì có thể mất đến 24 giờ để một ứng dụng khách bị vô hiệu hoá sau khi bạn chuyển trạng thái dịch vụ thành Tắt.
Để biết hướng dẫn, hãy xem phần Xoá chứng chỉ.
Sau này, nếu muốn bật ứng dụng, bạn cần tạo chứng chỉ mới và tải chứng chỉ lên ứng dụng LDAP.
Máy tính Linux của tôi trên Google Compute Engine không có địa chỉ IP bên ngoài. Tôi vẫn có thể kết nối với dịch vụ LDAP bảo mật không?
Có. Nếu đang sử dụng mô-đun SSSD trên máy tính Linux không có địa chỉ IP bên ngoài trên Google Compute Engine, bạn vẫn có thể kết nối với dịch vụ LDAP bảo mật miễn là bạn đã bật quyền truy cập nội bộ vào các dịch vụ của Google. Tìm hiểu thêm về cách thiết lập quyền truy cập riêng tư. Để biết thông tin chi tiết, hãy xem phần Định cấu hình quyền truy cập riêng tư vào Google.