2. Налаштуйте дозволи на доступ

Після додавання клієнта LDAP вам потрібно буде налаштувати для нього дозволи на доступ. Сторінка Дозволи на доступ, яка автоматично відображається після додавання клієнта LDAP, містить три розділи, у яких можна виконати наведені нижче дії.

• Указати рівень доступу клієнта LDAP для підтвердження облікових даних користувачів. Коли користувач намагається ввійти в додаток, це налаштування визначає, до яких організаційних підрозділів клієнт LDAP може отримати доступ для підтвердження облікових даних цього користувача. Користувачі, які не належать до вибраного організаційного підрозділу, не можуть увійти в додаток. 
• Указати рівень доступу клієнта LDAP для читання інформації про користувачів. Це налаштування визначає, до яких організаційних підрозділів і груп клієнт LDAP має доступ для отримання додаткової інформації про користувача.
• Указати, чи може клієнт LDAP читати інформацію про групу. Це налаштування визначає, чи може клієнт LDAP читати відомості про групи й перевіряти, до яких груп належить користувач (наприклад, для визначення ролі користувача в додатку).

Пізніше ви зможете повернутися на сторінку Дозволи на доступ, щоб змінити ці налаштування. Додаткову інформацію і вказівки можна знайти в розділах нижче.

Важливо. Деякі клієнти LDAP, як-от Atlassian Jira й SSSD, виконують пошук користувача, щоб отримати більше інформації про нього під час автентифікації. Щоб переконатися, що автентифікація користувачів для таких клієнтів LDAP працює належним чином, потрібно ввімкнути налаштування Читати інформацію про користувача для всіх організаційних підрозділів, де ввімкнено параметр Підтвердити облікові дані користувача. 

Указання рівня доступу клієнта LDAP для підтвердження облікових даних користувачів

Використовуйте цей варіант, якщо клієнту LDAP потрібно автентифікувати користувачів у Cloud Directory.

Коли користувач намагається ввійти в додаток, налаштування Підтвердити облікові дані користувача визначає облікові записи користувачів у вибраних організаційних підрозділах і групах, до яких клієнт LDAP може отримати доступ для підтвердження облікових даних користувача. Користувачі, які не належать до вибраного організаційного підрозділу чи групи, АБО користувачі з виключених груп не можуть увійти в додаток. Ви можете налаштувати дозволи на доступ, щоб включити або виключити групи.

За умовчанням для цього налаштування встановлено значення Немає доступу для організаційних підрозділів і груп.  Якщо клієнтом LDAP користується вся ваша компанія, ви можете змінити значення цього налаштування на Весь домен, щоб надати доступ усім користувачам домену. Ви також можете вибрати окремі організаційні підрозділи чи групи.

Примітка. Зміни, застосовані до цього налаштування, набувають чинності протягом 24 годин.

Щоб вибрати організаційні підрозділи, до яких клієнт LDAP матиме доступ для підтвердження облікових даних користувача:

1. У розділі Підтвердити облікові дані користувача натисніть Вибрані організаційні підрозділи, групи й виключені групи.
2. У розділі Включені організаційні підрозділи натисніть Додати або Змінити.
3. У вікні Включені організаційні підрозділи виберіть організаційні підрозділи, які потрібно включити.
4. Натисніть ЗБЕРЕГТИ.

Щоб включити групи, до яких клієнт LDAP матиме доступ для підтвердження облікових даних користувача:

1. У розділі Підтвердити облікові дані користувача натисніть Вибрані організаційні підрозділи, групи й виключені групи.
2. У розділі Включені групи натисніть Додати або Змінити.
3. У вікні Пошук і вибір груп виберіть групи, які потрібно включити.
4. Натисніть ГОТОВО.

Щоб виключити групи з підтвердження облікових даних користувача:

1. У розділі Підтвердити облікові дані користувача натисніть Вибрані організаційні підрозділи, групи й виключені групи.
2. У розділі Виключені групи натисніть Додати або Змінити.
3. У вікні Пошук і вибір груп виберіть групи, які потрібно виключити.
4. Натисніть ГОТОВО.

Примітка. Щоб швидко переглянути список включених організаційних підрозділів або список включених чи виключених груп, наведіть курсор на наведені вище налаштування.

Указання рівня доступу клієнта LDAP для читання інформації про користувачів

Використовуйте цей варіант, якщо клієнту LDAP потрібен доступ для читання даних користувачів. 

Налаштування Читати інформацію про користувача визначає, до яких організаційних підрозділів клієнт LDAP має доступ для отримання додаткової інформації про користувачів. За умовчанням для цього налаштування встановлено значення Немає доступу. Ви можете змінити це значення на Весь домен або Вибрані організаційні підрозділи.

Щоб вибрати організаційні підрозділи, до яких клієнт LDAP матиме доступ для отримання додаткової інформації про користувачів:

1. У розділі Читати інформацію про користувача натисніть Вибрані організаційні підрозділи.

2. Виберіть один із варіантів нижче.

   Натисніть Додати. У вікні Включені організаційні підрозділи поставте прапорці біля потрібних організаційних підрозділів. Ви також можете скористатися полем пошуку у верхній частині вікна для пошуку організаційних підрозділів.

   АБО

   Натисніть опцію Копіювати з панелі підтвердження облікових даних користувача.

3. (Необов’язково) Укажіть, до яких атрибутів цей клієнт може отримувати доступ, щоб читати інформацію про користувача. Можна вибрати системні атрибути, загальнодоступні спеціальні атрибути й приватні спеціальні атрибути. Щоб дізнатися більше, перегляньте розділ Визначення атрибутів, які ви хочете зробити доступними для клієнта LDAP.

4. Натисніть ЗБЕРЕГТИ.

Визначення атрибутів, які ви хочете зробити доступними для клієнта LDAP

Є три типи атрибутів.

• Системні атрибути – атрибути користувача за умовчанням, доступні для всіх облікових записів користувачів, наприклад ім’я, електронна адреса й телефон.

  Примітка. Ви не можете вимкнути цю опцію.

• Загальнодоступні спеціальні атрибути – спеціальні атрибути користувача, позначені як видимі для організації.
• Приватні спеціальні атрибути – спеціальні атрибути користувача, які позначено як видимі лише для користувача й адміністраторів. Використовуйте приватні спеціальні атрибути з обережністю, оскільки ви розкриваєте клієнту LDAP конфіденційну інформацію.

Вимоги й вказівки щодо назв спеціальних атрибутів

• Назви спеціальних атрибутів можуть містити лише буквено-цифрові символи й дефіси.
• У всіх спеціальних схемах назви атрибутів не мають повторюватися.
• Якщо назва спеціального атрибута збігається з наявним системним атрибутом, повертатиметься значення останнього.

Важливо. Якщо назви атрибутів не відповідають наведеним вище вказівкам, ці значення атрибутів виключаються з відповіді LDAP.

Щоб отримати додаткові відомості й вказівки щодо налаштування спеціальних атрибутів, перегляньте статтю цю статтю.

Указання, чи може клієнт LDAP читати інформацію про групу

Використовуйте цей варіант, якщо клієнту LDAP потрібен доступ для читання даних груп. 

Налаштування Читати інформацію про групу визначає, чи може клієнт LDAP перевіряти, до яких груп належить користувач (наприклад, для авторизації ролі користувача в додатку). 

Важливо. Деякі клієнти LDAP, як-от Atlassian Jira й SSSD, під час автентифікації або авторизації виконують пошук у групах, щоб отримати більше інформації про участь у них користувача. Щоб автентифікація користувача працювала правильно для таких клієнтів LDAP, увімкніть налаштування Читати інформацію про групу.

Наступні кроки

Завершивши налаштування дозволів на доступ, натисніть ДОДАТИ КЛІЄНТА LDAP.

Далі вам потрібно завантажити згенерований сертифікат, підключити клієнта LDAP до сервісу Secure LDAP, а потім увімкнути цей сервіс для клієнта LDAP.

Щоб дізнатися подальші дії, перегляньте розділ 3. Завантажте згенерований сертифікат.

Статті за темою

• Про сервіс Secure LDAP
• Схема Secure LDAP
• Як керувати клієнтами LDAP
• Журнали аудиту для сервісу Secure LDAP
• Сервіс Secure LDAP: описи кодів помилок
• Поширені запитання про сервіс Secure LDAP