Уведомление

На смену Duet AI приходит Gemini для Google Workspace. Подробнее…

2. Настройка прав доступа

После того как вы добавите LDAP-клиент, нужно будет настроить для него права доступа. Страница Настройки доступа, которая автоматически открывается после добавления LDAP-клиента, содержит три раздела, в которых можно:

  • Указать уровень доступа для проверки учетных данных пользователей. Эта настройка определяет, в каких организационных подразделениях LDAP-клиенту разрешено проверять учетные данные, когда пользователи пытаются войти в приложение. Те, кто не относится к выбранным организационным подразделениям, не смогут выполнить вход. 
  • Указать уровень доступа для чтения информации о пользователях. Эта настройка определяет, в каких организационных подразделениях и группах LDAP-клиенту доступна дополнительная информация о пользователях.
  • Указать, может ли LDAP-клиент считывать информацию о группах. От этой настройки зависит, есть ли у LDAP-клиента доступ к информации о группах и о том, в каких из них состоит тот или иной пользователь (например, для определения ролей в приложении).

Заданные параметры можно изменить в любое время на странице Настройки доступа. Подробности и инструкции приведены ниже.

Важно! Некоторые LDAP-клиенты, например Atlassian Jira и SSSD, при аутентификации пользователей осуществляют поиск дополнительной информации. Чтобы аутентификация выполнялась в таких клиентах без ошибок, необходимо включить параметр Чтение информации о пользователе для всех организационных подразделений, для которых включена настройка Проверка учетных данных пользователя

Уровень доступа для проверки учетных данных пользователей

Используйте эту настройку, если LDAP-клиент должен выполнять аутентификацию пользователей через облачный каталог.

Когда пользователь пытается войти в приложение, настройка Проверка учетных данных пользователя определяет в выбранных организационных подразделениях и группах аккаунты пользователей, для которых LDAP-клиенту разрешено проверять учетные данные. Те пользователи, которые не относятся к выбранным организационным подразделениям или группам или входят в исключенные группы, не могут выполнить вход в приложение (настраивая разрешения на доступ, можно включить или исключить группы).

По умолчанию для организационных подразделений и групп этот параметр имеет значение Нет доступа. Если LDAP-клиент используется всеми сотрудниками вашей компании, укажите вариант Весь домен. Также вы можете выбрать определенные организационные подразделения или группы.

Примечание. Изменения вступят в силу в течение 24 часов.

Чтобы указать, в каких организационных подразделениях LDAP-клиент сможет проверять учетные данные пользователей:

  1. В разделе Проверка учетных данных пользователя нажмите Выбранные организационные подразделения, группы и исключенные группы.
  2. В разделе Добавленные организационные подразделения нажмите Добавить или Изменить.
  3. В окне Добавленные организационные подразделения выберите нужные пункты.
  4. Нажмите Сохранить.

Чтобы выбрать группы, к которым LDAP-клиент получит доступ для проверки учетных данных:

  1. В разделе Проверка учетных данных пользователя нажмите Выбранные организационные подразделения, группы и исключенные группы.
  2. В разделе Выбранные группы нажмите Добавить или Изменить.
  3. Выберите группы в окне Поиск и выбор групп.
  4. Нажмите Готово.

Чтобы исключить определенные группы из проверки учетных данных:

  1. В разделе Проверка учетных данных пользователя нажмите Выбранные организационные подразделения, группы и исключенные группы.
  2. В разделе Исключенные группы нажмите Добавить или Изменить.
  3. В окне Поиск и выбор групп выберите группы, которые нужно исключить.
  4. Нажмите Готово.

Примечание. Чтобы быстро посмотреть список добавленных организационных подразделений, а также список выбранных или исключенных групп, наведите указатель на вышеописанные настройки.

Уровень доступа для чтения информации о пользователях

Используйте эту настройку, если LDAP-клиенту нужен доступ для чтения сведений о пользователях. 

Настройка Чтение информации о пользователе определяет, в каких организационных подразделениях LDAP-клиенту доступны дополнительные сведения о пользователях. По умолчанию задано значение Нет доступа. Вы можете указать вариант Весь домен или выбрать определенные организационные подразделения.

Чтобы указать, в каких организационных подразделениях LDAP-клиенту доступна дополнительная информация о пользователях, выполните следующие действия:

  1. В разделе Чтение информации о пользователе нажмите Выбранные организационные подразделения.

  2. Выполните одно из следующих действий:

    Нажмите Добавить. В окне Добавленные организационные подразделения установите флажки напротив нужных пунктов. Чтобы быстро найти организационное подразделение, используйте строку поиска в верхней части окна.

    ИЛИ

    Нажмите Скопировать с панели "Проверка учетных данных пользователя".

  3. При необходимости выберите, какие атрибуты, связанные с информацией о пользователе, доступны этому клиенту: системные, общедоступные настраиваемые или настраиваемые с ограниченным доступом. Дополнительную информацию можно найти в разделе Доступ к атрибутам.

  4. Нажмите Сохранить.

Доступ к атрибутам

Существует три типа атрибутов:

  • Системные атрибуты – это стандартные атрибуты пользователей, доступные во всех аккаунтах, например "Имя", "Электронная почта" и "Телефон".

    Примечание. Этот параметр нельзя отключить.

  • Общедоступные настраиваемые атрибуты – это настраиваемые атрибуты пользователей, отмеченные как доступные для всех в организации.
  • Настраиваемые атрибуты с ограниченным доступом – это настраиваемые атрибуты, отмеченные как доступные только для пользователей, которых они касаются, и администраторов. Обратите внимание, что в этом случае вы предоставляете LDAP-клиенту доступ к личным данным пользователей.

Требования к названиям настраиваемых атрибутов

  • Названия настраиваемых атрибутов могут содержать только буквенно-цифровые символы и дефисы.
  • Названия атрибутов в специальных наборах не должны дублироваться.
  • Если название настраиваемого атрибута совпадает с названием существующего системного атрибута, будет возвращаться значение последнего.

Важно! Если название атрибута не соответствует указанным выше требованиям, его значения исключаются из ответа LDAP.

Подробные сведения и инструкции можно найти в статье Создание настраиваемых атрибутов для профилей пользователей.

Разрешение на чтение информации о группах

Используйте эту настройку, если LDAP-клиенту нужен доступ для чтения сведений о группах. 

От настройки Чтение информации о группе зависит, разрешено ли LDAP-клиенту проверять участие пользователей в группах (например, для определения ролей в приложении). 

Важно! Некоторые LDAP-клиенты, такие как Atlassian Jira и SSSD, при аутентификации или авторизации пользователей осуществляют поиск дополнительной информации об участии в группах. Чтобы аутентификация выполнялась в таких клиентах без ошибок, необходимо включить параметр Чтение информации о группе.

Что дальше

Когда вы настроите права доступа, нажмите Добавление LDAP-клиента.

После этого вам потребуется скачать созданный сертификат, подключить LDAP-клиент к сервису Secure LDAP и включить этот сервис для клиента.

Дальнейшие инструкции приведены в статье 3. Скачивание сертификата.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
12272762733467054832
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false