Este recurso está disponível no Cloud Identity Premium Edition. Compare as edições
O que acontece quando suspendo a conta de usuário do Cloud Identity ou do Google Workspace?
O serviço LDAP seguro usa o Cloud Directory como base para pesquisas de autenticação, autorização e diretório. Não é possível fazer login com contas suspensas em aplicativos relacionados ao Cloud Identity/Google Workspace, inclusive aplicativos LDAP. Embora as contas suspensas não verifiquem as senhas com o LDAP, um serviço cliente pode consultar essas contas com uma pesquisa LDAP.
O que acontece quando configuro um provedor de identidade / SSO de terceiros no Google Workspace ou no Cloud Identity?
Não há impacto no uso do LDAP seguro para pesquisas de autenticação, autorização e diretório. Os provedores de identidade de terceiros afetam apenas as transações baseadas em HTTP, como a autenticação baseada em SAML.
Observação: para os usuários fazerem a autenticação com aplicativos conectados ao LDAP seguro, eles precisam saber o nome de usuário e a senha do Google. Essas são as credenciais necessárias para a autenticação, e não as do provedor de identidade de terceiros.
Por que preciso de um certificado e de credenciais de acesso para autenticar clientes LDAP?
Apenas o certificado autentica o cliente LDAP. As credenciais de acesso só existirão se o cliente insistir no envio de um nome de usuário e de uma senha. As credenciais sozinhas não permitem o acesso ao servidor LDAP ou aos dados dos usuários. No entanto, elas não devem ser reveladas porque podem ser usadas para fazer login em determinados clientes LDAP.
Se um cliente LDAP exigir credenciais de acesso, autenticaremos clientes LDAP com certificados e credenciais de acesso.
Quando meu aplicativo LDAP não permite o uso de certificados TLS, existe outra alternativa?
Você pode usar o stunnel como um proxy entre seu aplicativo e o LDAP seguro. Veja detalhes e instruções em Usar o stunnel como um proxy.
Gerei credenciais de acesso e não me lembro da senha para configurar outra instância do meu cliente LDAP. Posso gerar novas credenciais de acesso?
Como administrador, você pode gerar outro conjunto de credenciais de acesso, composto por um nome de usuário e uma senha. É possível manter no máximo duas credenciais ativas simultaneamente. Se uma credencial for comprometida ou não estiver mais em uso, você poderá excluí-la.
Se eu suspeitar de um problema de segurança em um cliente LDAP, como posso desativá-lo imediatamente?
Se você suspeitar de um problema de segurança no cliente LDAP (por exemplo, se os certificados ou as credenciais estiverem comprometidos), poderá desativá-lo imediatamente excluindo todos os certificados digitais associados. Essa é a melhor forma de desativar um cliente na hora, porque a seleção do status Desativado pode levar até 24 horas para ser aplicada ao serviço.
Veja instruções em Excluir certificados.
Depois, se você quiser ativar esse mesmo cliente LDAP, precisará gerar novos certificados e fazer o upload dos certificados para ele.
Meus computadores Linux no Google Compute Engine não têm endereços IP externos. Ainda posso me conectar ao serviço LDAP seguro?
Sim. Se você estiver usando o módulo SSSD em computadores Linux sem endereços IP externos no Google Compute Engine, ainda poderá se conectar ao serviço LDAP seguro, desde que tenha acesso interno aos serviços do Google ativados. Saiba mais sobre como configurar o acesso particular. Veja detalhes em Como configurar o Acesso privado do Google.