После того как вы добавите LDAP-клиент, нужно будет настроить для него права доступа. Страница Настройки доступа, которая автоматически открывается после добавления LDAP-клиента, содержит три раздела, в которых можно:
- Указать уровень доступа для проверки учетных данных пользователей. Эта настройка определяет, в каких организационных подразделениях LDAP-клиенту разрешено проверять учетные данные, когда пользователи пытаются войти в приложение. Те, кто не относится к выбранным организационным подразделениям, не смогут выполнить вход.
- Указать уровень доступа для чтения информации о пользователях. Эта настройка определяет, в каких организационных подразделениях и группах LDAP-клиенту доступна дополнительная информация о пользователях.
- Указать, может ли LDAP-клиент считывать информацию о группах. От этой настройки зависит, есть ли у LDAP-клиента доступ к информации о группах и о том, в каких из них состоит тот или иной пользователь (например, для определения ролей в приложении).
Заданные параметры можно изменить в любое время на странице Настройки доступа. Подробности и инструкции приведены ниже.
Важно! Некоторые LDAP-клиенты, например Atlassian Jira и SSSD, при аутентификации пользователей осуществляют поиск дополнительной информации. Чтобы аутентификация выполнялась в таких клиентах без ошибок, необходимо включить параметр Чтение информации о пользователе для всех организационных подразделений, для которых включена настройка Проверка учетных данных пользователя.
Уровень доступа для проверки учетных данных пользователей
Используйте эту настройку, если LDAP-клиент должен выполнять аутентификацию пользователей через облачный каталог.
Когда пользователь пытается войти в приложение, настройка Проверка учетных данных пользователя определяет в выбранных организационных подразделениях и группах аккаунты пользователей, для которых LDAP-клиенту разрешено проверять учетные данные. Те пользователи, которые не относятся к выбранным организационным подразделениям или группам или входят в исключенные группы, не могут выполнить вход в приложение (настраивая разрешения на доступ, можно включить или исключить группы).
По умолчанию для организационных подразделений и групп этот параметр имеет значение Нет доступа. Если LDAP-клиент используется всеми сотрудниками вашей компании, укажите вариант Весь домен. Также вы можете выбрать определенные организационные подразделения или группы.
Примечание. Изменения вступят в силу в течение 24 часов.
Чтобы указать, в каких организационных подразделениях LDAP-клиент сможет проверять учетные данные пользователей:
- В разделе Проверка учетных данных пользователя нажмите Выбранные организационные подразделения, группы и исключенные группы.
- В разделе Добавленные организационные подразделения нажмите Добавить или Изменить.
- В окне Добавленные организационные подразделения выберите нужные пункты.
- Нажмите Сохранить.
Чтобы выбрать группы, к которым LDAP-клиент получит доступ для проверки учетных данных:
- В разделе Проверка учетных данных пользователя нажмите Выбранные организационные подразделения, группы и исключенные группы.
- В разделе Выбранные группы нажмите Добавить или Изменить.
- Выберите группы в окне Поиск и выбор групп.
- Нажмите Готово.
Чтобы исключить определенные группы из проверки учетных данных:
- В разделе Проверка учетных данных пользователя нажмите Выбранные организационные подразделения, группы и исключенные группы.
- В разделе Исключенные группы нажмите Добавить или Изменить.
- В окне Поиск и выбор групп выберите группы, которые нужно исключить.
- Нажмите Готово.
Примечание. Чтобы быстро посмотреть список добавленных организационных подразделений, а также список выбранных или исключенных групп, наведите указатель на вышеописанные настройки.
Уровень доступа для чтения информации о пользователях
Используйте эту настройку, если LDAP-клиенту нужен доступ для чтения сведений о пользователях.
Настройка Чтение информации о пользователе определяет, в каких организационных подразделениях LDAP-клиенту доступны дополнительные сведения о пользователях. По умолчанию задано значение Нет доступа. Вы можете указать вариант Весь домен или выбрать определенные организационные подразделения.
Чтобы указать, в каких организационных подразделениях LDAP-клиенту доступна дополнительная информация о пользователях, выполните следующие действия:
-
В разделе Чтение информации о пользователе нажмите Выбранные организационные подразделения.
-
Выполните одно из следующих действий:
Нажмите Добавить. В окне Добавленные организационные подразделения установите флажки напротив нужных пунктов. Чтобы быстро найти организационное подразделение, используйте строку поиска в верхней части окна.
ИЛИ
Нажмите Скопировать с панели "Проверка учетных данных пользователя".
-
При необходимости выберите, какие атрибуты, связанные с информацией о пользователе, доступны этому клиенту: системные, общедоступные настраиваемые или настраиваемые с ограниченным доступом. Дополнительную информацию можно найти в разделе Доступ к атрибутам.
-
Нажмите Сохранить.
Доступ к атрибутам
Существует три типа атрибутов:
- Системные атрибуты – это стандартные атрибуты пользователей, доступные во всех аккаунтах, например "Имя", "Электронная почта" и "Телефон".
Примечание. Этот параметр нельзя отключить.
- Общедоступные настраиваемые атрибуты – это настраиваемые атрибуты пользователей, отмеченные как доступные для всех в организации.
- Настраиваемые атрибуты с ограниченным доступом – это настраиваемые атрибуты, отмеченные как доступные только для пользователей, которых они касаются, и администраторов. Обратите внимание, что в этом случае вы предоставляете LDAP-клиенту доступ к личным данным пользователей.
Требования к названиям настраиваемых атрибутов
- Названия настраиваемых атрибутов могут содержать только буквенно-цифровые символы и дефисы.
- Названия атрибутов в специальных наборах не должны дублироваться.
- Если название настраиваемого атрибута совпадает с названием существующего системного атрибута, будет возвращаться значение последнего.
Важно! Если название атрибута не соответствует указанным выше требованиям, его значения исключаются из ответа LDAP.
Подробные сведения и инструкции можно найти в статье Создание настраиваемых атрибутов для профилей пользователей.
Разрешение на чтение информации о группах
Используйте эту настройку, если LDAP-клиенту нужен доступ для чтения сведений о группах.
От настройки Чтение информации о группе зависит, разрешено ли LDAP-клиенту проверять участие пользователей в группах (например, для определения ролей в приложении).
Важно! Некоторые LDAP-клиенты, такие как Atlassian Jira и SSSD, при аутентификации или авторизации пользователей осуществляют поиск дополнительной информации об участии в группах. Чтобы аутентификация выполнялась в таких клиентах без ошибок, необходимо включить параметр Чтение информации о группе.
Что дальше
Когда вы настроите права доступа, нажмите Добавление LDAP-клиента.
После этого вам потребуется скачать созданный сертификат, подключить LDAP-клиент к сервису Secure LDAP и включить этот сервис для клиента.
Дальнейшие инструкции приведены в статье 3. Скачивание сертификата.