2. Zugriffsberechtigungen konfigurieren

Nachdem Sie den LDAP-Client hinzugefügt haben, müssen Sie dessen Zugriffsberechtigungen konfigurieren. Die dafür automatisch angezeigte Seite Zugriffsberechtigungen ist in drei Abschnitte unterteilt, in denen Sie Folgendes tun können:

  • Zugriffsebene des LDAP-Clients für die Prüfung von Nutzeranmeldedaten angeben: Hier legen Sie fest, in welchen Organisationseinheiten mit dem LDAP-Client nach den Daten eines Nutzers gesucht werden darf, der sich in der Anwendung anmeldet. Das bedeutet, dass nur Nutzer aus diesen Organisationseinheiten die Anwendung verwenden können. 
  • Zugriffsebene des LDAP-Clients für das Lesen von Nutzerinformationen angeben: Über diese Einstellung geben Sie an, in welchen Organisationseinheiten mit dem LDAP-Client nach zusätzlichen Nutzerinformationen gesucht werden darf.
  • Zugriffsebene des LDAP-Clients für das Lesen von Gruppeninformationen festlegen: Mit dieser Einstellung geben Sie an, ob über den LDAP-Client auch Zugriff auf Gruppeninformationen besteht. Ist dies der Fall, lassen sich z. B. die Gruppenmitgliedschaften eines Nutzers prüfen, um seine Rolle in der Anwendung zu autorisieren.

Sie können die Einstellungen auf der Seite Zugriffsberechtigungen auch später noch ändern. Weitere Informationen und Anleitungen finden Sie in den nächsten Abschnitten.

Wichtig: Bei manchen LDAP-Clients, z. B. Atlassian Jira und SSSD, werden während der Authentifizierung eines Nutzers weitere Informationen zu diesem gesucht. Damit bei solchen LDAP-Clients die Nutzerauthentifizierung funktioniert, müssen Sie für alle Organisationseinheiten, für die Nutzeranmeldedaten überprüfen aktiviert ist, auch die Option Nutzerinformationen lesen verwenden. 

Zugriffsebene des LDAP-Clients für die Prüfung von Nutzeranmeldedaten angeben

Tun Sie dies, wenn die Nutzer im LDAP-Client mithilfe von Cloud Directory authentifiziert werden.

Wenn ein Nutzer versucht, sich in der Anwendung anzumelden, gibt die Einstellung Nutzeranmeldedaten überprüfen die Nutzerkonten innerhalb ausgewählter Organisationseinheiten und Gruppen an, auf die der LDAP-Client zugreifen kann, um die Anmeldedaten des Nutzers zu prüfen. Nutzer, die sich nicht in einer ausgewählten Organisationseinheit oder Gruppe befinden, – oder Nutzer in der Kategorie Gruppen ausschließen – können sich nicht in der Anwendung anmelden. Sie können Zugriffsberechtigungen so konfigurieren, dass Gruppen eingeschlossen oder ausgeschlossen werden.

Diese Einstellung ist für Organisationseinheiten und Gruppen standardmäßig auf Kein Zugriff festgelegt.  Wenn dieser LDAP-Client von Ihrem gesamten Unternehmen verwendet wird, können Sie die Einstellung in Gesamte Domain ändern, um Nutzern in der gesamten Domain Zugriff zu gewähren, oder Sie können bestimmte Organisationseinheiten oder Gruppen auswählen.

Hinweis: Es kann bis zu 24 Stunden dauern, bis die Änderungen wirksam werden.

So wählen Sie Organisationseinheiten aus, auf die ein LDAP-Client zugreifen kann, um die Nutzeranmeldedaten zu prüfen:

  1. Klicken Sie unter Nutzeranmeldedaten überprüfen auf Ausgewählte Organisationseinheiten, Gruppen und ausgeschlossene Gruppen.
  2. Klicken Sie unter Eingeschlossene Organisationseinheiten auf Hinzufügen oder Bearbeiten.
  3. Wählen Sie im Fenster Eingeschlossene Organisationseinheiten bestimmte Organisationseinheiten aus, die Sie einschließen möchten.
  4. Klicken Sie auf SPEICHERN.

So schließen Sie Gruppen ein, auf die ein LDAP-Client zugreifen kann, um die Nutzeranmeldedaten zu prüfen:

  1. Klicken Sie unter Nutzeranmeldedaten überprüfen auf Ausgewählte Organisationseinheiten, Gruppen und ausgeschlossene Gruppen.
  2. Klicken Sie unter Eingeschlossene Gruppen auf Hinzufügen oder Bearbeiten.
  3. Wählen Sie im Fenster Gruppen suchen und auswählen die Gruppen aus, die Sie einschließen möchten.
  4. Klicken Sie auf FERTIG.

So schließen Sie Gruppen vom Überprüfen der Anmeldedaten des Nutzers aus:

  1. Klicken Sie unter Nutzeranmeldedaten überprüfen auf Ausgewählte Organisationseinheiten, Gruppen und ausgeschlossene Gruppen.
  2. Klicken Sie unter Ausgeschlossene Gruppen auf Hinzufügen oder Bearbeiten.
  3. Wählen Sie im Fenster Gruppen suchen und auswählen die Gruppen aus, die Sie ausschließen möchten.
  4. Klicken Sie auf FERTIG.

Hinweis: Wenn Sie die Liste der enthaltenen Organisationseinheiten oder die Liste der ein- oder ausgeschlossenen Gruppen schnell aufrufen möchten, bewegen Sie den Mauszeiger auf die oben genannten Einstellungen.

Zugriffsebene des LDAP-Clients für das Lesen von Nutzerinformationen angeben

Dies sollten Sie tun, wenn für die Suche nach Nutzerinformationen der Lesezugriff im LDAP-Client erforderlich ist. 

Mit der Option Nutzerinformationen lesen geben Sie an, in welchen Organisationseinheiten mit dem LDAP-Client nach zusätzlichen Nutzerinformationen gesucht werden darf. Standardmäßig ist für diese Option die Einstellung Kein Zugriff festgelegt. Sie können die Einstellung zu Gesamte Domain ändern oder bestimmte Organisationseinheiten auswählen.

So wählen Sie Organisationseinheiten aus, in denen mit dem LDAP-Client nach zusätzlichen Nutzerinformationen gesucht werden darf:

  1. Klicken Sie unter Nutzerinformationen lesen auf Ausgewählte Organisationseinheiten.

  2. Führen Sie einen der folgenden Schritte aus:

    Klicken Sie auf Hinzufügen. Klicken Sie im Fenster Eingeschlossene Organisationseinheiten neben den einzelnen Organisationseinheiten auf das Kästchen. Sie können auch das Suchfeld oben im Fenster verwenden, um die gewünschten Organisationseinheiten zu finden.

    --ODER--

    Klicken Sie auf Aus „Nutzeranmeldedaten überprüfen“ kopieren.

  3. Optional: Geben Sie an, auf welche Attribute dieser Client zugreifen kann, um die Informationen eines Nutzers zu lesen. Sie können aus Systemattributen, öffentlichen benutzerdefinierten Attributen und privaten benutzerdefinierten Attributen auswählen. Weitere Details finden Sie unter Festlegen, welche Attribute Sie für den LDAP-Client verfügbar machen möchten.

  4. Klicken Sie auf SPEICHERN.

Festlegen, welche Attribute Sie für den LDAP-Client verfügbar machen möchten

Es gibt drei Arten von Attributen:

  • Systemattribute: Standardmäßige Nutzerattribute, die für alle Nutzerkonten verfügbar sind, z. B. Name, E-Mail-Adresse und Telefonnummer.

    Hinweis: Sie können diese Option nicht deaktivieren.

  • Öffentliche benutzerdefinierte Attribute: Benutzerdefinierte Nutzerattribute, die für die Organisation als sichtbar markiert sind.
  • Private benutzerdefinierte Attribute: Benutzerdefinierte Nutzerattribute, die als „Nur für Nutzer und Administratoren sichtbar“ markiert sind. Seien Sie vorsichtig, wenn Sie private benutzerdefinierte Attribute verwenden, da Sie private Informationen für den LDAP-Client offenlegen.

Namensvorgaben und Richtlinien für benutzerdefinierte Attribute:

  • Namen für benutzerdefinierte Attribute dürfen nur alphanumerische Zeichen und Bindestriche enthalten.
  • In allen benutzerdefinierten Schemas dürfen keine doppelten Attributnamen vorhanden sein.
  • Wenn der Name des benutzerdefinierten Attributs mit einem vorhandenen Systemattribut übereinstimmt, wird der Wert des Systemattributs zurückgegeben.

Wichtig: Wenn die Attributnamen nicht den obigen Richtlinien entsprechen, werden die betreffenden Attributwerte von der LDAP-Antwort ausgeschlossen.

Weitere Informationen und Anleitungen zum Einrichten benutzerdefinierter Attribute finden Sie unter Benutzerdefinierte Attribute für Nutzerprofile erstellen.

Zugriffsebene des LDAP-Clients für das Lesen von Gruppeninformationen festlegen

Dies sollten Sie tun, wenn für die Suche nach Gruppeninformationen der Lesezugriff im LDAP-Client erforderlich ist. 

Mit der Einstellung Gruppeninformationen lesen geben Sie an, ob mit dem LDAP-Client die Gruppenmitgliedschaft eines Nutzers geprüft werden darf, um z. B. seine Rolle in der Anwendung zu autorisieren. 

Wichtig: Bei manchen LDAP-Clients wie Atlassian Jira und SSSD wird während der Authentifizierung/Autorisierung eines Nutzers eine Suche in Gruppen durchgeführt, um mehr Informationen über dessen Gruppenmitgliedschaft zu erhalten. Damit bei solchen LDAP-Clients die Nutzerauthentifizierung funktioniert, müssen Sie die Option Nutzerinformationen lesen aktivieren.

Nächste Schritte

Klicken Sie nach dem Konfigurieren der Zugriffsberechtigungen auf LDAP-CLIENT HINZUFÜGEN.

Als Nächstes müssen Sie das generierte Zertifikat herunterladen, den LDAP-Client mit Secure LDAP verbinden und anschließend seinen Dienststatus auf An setzen.

Genauere Informationen hierzu finden Sie im Hilfeartikel 3. Generiertes Zertifikat herunterladen.

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
6609518344368539459
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false