Éditions compatibles avec cette fonctionnalité: Frontline Standard; Business Plus; Enterprise Standard et Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education Plus; Enterprise Essentials Plus. Comparer votre édition
Que se passe-t-il si je suspends un compte utilisateur Cloud Identity ou Google Workspace ?
Le service LDAP sécurisé se base sur Cloud Directory à des fins d'authentification, d'autorisation et de recherche dans les annuaires. Les comptes suspendus ne peuvent se connecter à aucune application liée à Cloud Identity ou à Google Workspace, y compris aux applications LDAP. Bien que les mots de passe associés aux comptes suspendus ne puissent pas être validés avec LDAP, ces comptes peuvent toujours faire l'objet d'une recherche LDAP par un service client.
Que se passe-t-il si je configure un fournisseur d'identité ou un fournisseur SSO tiers dans Google Workspace ou Cloud Identity ?
Cette action est sans conséquence sur le service LDAP sécurisé pour les processus d'authentification, d'autorisation et de recherches dans les annuaires, car les fournisseurs d'identité tiers n'affectent que les transactions HTTP, telles que l'authentification SAML.
Remarque : Si vous souhaitez que vos utilisateurs puissent s'authentifier auprès des applications connectées via le service LDAP sécurisé, assurez-vous de connaître leur nom d'utilisateur et mot de passe Google, car ce sont ces identifiants (et non ceux de leurs fournisseurs d'identité tiers) qui sont nécessaires pour l'authentification.
Pourquoi ai-je besoin à la fois d'un certificat et d'identifiants d'accès pour authentifier les clients LDAP ?
Seul le certificat permet d'authentifier le client LDAP. Les identifiants d'accès n'existent que si le client insiste pour qu'un nom d'utilisateur et un mot de passe soient également envoyés. À eux seuls, les identifiants d'accès ne confèrent aucun accès au serveur LDAP ou aux données utilisateur, mais ils doivent rester secrets afin de ne pas être utilisés pour se connecter à certains clients LDAP.
Dans le cas où un client LDAP requiert des identifiants d'accès, nous l'authentifions avec un certificat et des identifiants d'accès.
Si mon application LDAP n'accepte pas les certificats TLS, existe-t-il une autre solution ?
Oui. Vous pouvez utiliser Stunnel comme proxy entre votre application et le service LDAP sécurisé. Vous trouverez davantage d'informations et des instructions à ce sujet dans Utiliser Stunnel en tant que proxy.
J'ai généré des identifiants d'accès par le passé et je ne me souviens plus du mot de passe, alors que je souhaite configurer une autre instance de mon client LDAP. Puis-je générer un autre ensemble d'identifiants d'accès ?
En tant qu'administrateur, vous pouvez générer un autre ensemble d'identifiants d'accès, constitué d'une combinaison nom d'utilisateur/mot de passe distincte. Vous pouvez conserver jusqu'à deux identifiants actifs simultanément. Si un identifiant n'est plus utilisé ou que sa sécurité est compromise, vous pouvez le supprimer.
Si je soupçonne un problème de sécurité vis-à-vis d'un client LDAP, comment puis-je le désactiver immédiatement ?
Si vous pensez qu'un client LDAP rencontre un problème de sécurité (par exemple, si la sécurité d'un certificat ou d'identifiants est compromise), vous pouvez désactiver immédiatement le client en supprimant tous les certificats numériques qui lui sont associés. Cette méthode est la plus efficace pour désactiver immédiatement un client, car lorsque vous définissez l'état du service sur Désactivé pour un client, un délai de 24 heures peut s'écouler avant que la désactivation soit prise en compte.
Pour obtenir des instructions, consultez Supprimer des certificats.
Si vous souhaitez activer le client ultérieurement, vous devrez générer de nouveaux certificats et importer les certificats sur votre client LDAP.
Mes ordinateurs Linux exécutant Google Compute Engine ne disposent pas d'adresses IP externes. Puis-je quand même me connecter au service LDAP sécurisé ?
Oui. Si vous utilisez le module SSSD sur des ordinateurs Linux sans adresses IP externes dans Google Compute Engine, vous pouvez quand même vous connecter au service LDAP sécurisé, à condition de disposer d'un accès interne aux services Google. Pour en savoir plus sur la configuration de l'accès privé, consultez Configurer l'accès privé à Google.
