Ta funkcja jest dostępna w Cloud Identity Premium. Porównanie wersji
Co się stanie, jeśli zawieszę konto użytkownika w usłudze Cloud Identity lub Google Workspace?
Usługa Bezpieczny LDAP używa Cloud Directory jako podstawy uwierzytelniania, autoryzacji i wyszukiwania w katalogu. Zawieszone konta nie mogą logować się do żadnej aplikacji związanej z usługą Cloud Identity / Google Workspace, w tym aplikacji LDAP. Mimo że zawieszone konta nie mogą potwierdzać swoich haseł przez LDAP, można je nadal wyszukiwać według usługi klienta, korzystając z wyszukiwania LDAP.
Co się stanie, jeśli skonfiguruję zewnętrznego dostawcę tożsamości lub logowania jednokrotnego w Google Workspace lub Cloud Identity?
Nie będzie to miało żadnego wpływu na korzystanie z usługi Bezpieczny LDAP w celu uwierzytelniania, autoryzacji i przeszukiwania katalogu, ponieważ zewnętrzny dostawca tożsamości obejmuje tylko transakcje oparte na protokole HTTP, na przykład uwierzytelnianie oparte na protokole SAML.
Uwaga: jeśli chcesz, aby użytkownicy mogli dokonywać uwierzytelniania w aplikacjach połączonych z usługą Bezpieczny LDAP, upewnij się, że znają oni nazwę użytkownika i hasło do konta Google, ponieważ właśnie te dane logowania (nie dane logowania zewnętrznego dostawcy tożsamości) są potrzebne do uwierzytelniania.
Dlaczego do uwierzytelniania klientów LDAP potrzebuję zarówno certyfikatu, jak i danych logowania?
Klienta LDAP uwierzytelnia tylko certyfikat. Dane logowania są potrzebne tylko wtedy, gdy klient wymaga też wysłania nazwy użytkownika i hasła. Same dane logowania nie dają dostępu do serwera LDAP ani danych użytkownika, ale należy je przechowywać w bezpiecznym miejscu, by nikt przy ich użyciu nie mógł się zalogować w klientach LDAP.
Jeśli klient LDAP wymaga danych logowania, uwierzytelniamy klienty LDAP przy użyciu zarówno certyfikatów, jak i danych logowania.
Jeśli moja aplikacja LDAP nie obsługuje certyfikatów TLS, czy mogę użyć innego certyfikatu?
Tak. Możesz użyć programu stunnel jako serwera proxy między aplikacją a usługą Bezpieczny LDAP. Szczegółowe informacje i instrukcje znajdziesz w sekcji Używanie programu stunnel jako serwera proxy artykułu Połącz klienty LDAP z usługą Bezpieczny LDAP.
Nie pamiętam hasła uzyskanego podczas generowania danych logowania. Jest ono potrzebne do skonfigurowania kolejnego wystąpienia klienta LDAP. Czy mogę wygenerować kolejny zestaw danych logowania?
Jako administrator możesz wygenerować kolejny zestaw danych logowania, który będzie się składał z innej pary nazwy użytkownika i hasła. Jednocześnie możesz mieć dwa zestawy danych logowania. Jeśli dane logowania zostały przejęte lub nie są już używane, możesz je usunąć.
W jaki sposób natychmiast wyłączyć klienta LDAP, jeśli podejrzewam, że występują w nim problemy z bezpieczeństwem?
Jeśli podejrzewasz, że w kliencie LDAP występują problemy z bezpieczeństwem (na przykład certyfikaty lub dane logowania zostały przejęte), możesz natychmiast wyłączyć klienta, usuwając wszystkie powiązane z nim certyfikaty cyfrowe. To najlepszy sposób na natychmiastowe wyłączenie klienta – wyłączenie klienta po zmianie stanu usługi na Wyłączona może zająć do 24 godzin.
Odpowiednie instrukcje znajdziesz w sekcji Usuwanie certyfikatów artykułu Zarządzanie klientami LDAP.
Jeśli później zechcesz ponownie włączyć klienta, wygeneruj nowe certyfikaty i prześlij je do klienta LDAP.
Moje komputery z systemem Linux w Google Compute Engine nie mają zewnętrznych adresów IP. Czy mogę nadal łączyć się z usługą Bezpieczny LDAP?
Tak. Jeśli korzystasz z modułu SSSD na komputerach z systemem Linux bez zewnętrznych adresów IP w Google Compute Engine, możesz nadal łączyć się z usługą Bezpieczny LDAP, dopóki masz włączony wewnętrzny dostęp do usług Google. Dowiedz się więcej na temat konfigurowania prywatnego dostępu. Szczegółowe informacje znajdziesz w materiale na temat konfigurowania prywatnego dostępu do Google (w języku angielskim).