توفر هذه المقالة معلومات حول كيفية استخدام لغة استعلام LDAP لتصفية المستخدمين وإنشاء مجموعات ديناميكية.
تتيح لك كاتو تبسيط إدارة المستخدم عن طريق استيراد المستخدمين ذوي الصلة فقط من دليل LDAP الخاص بك باستخدام لغة استعلام LDAP. مع فلتر دليل LDAP، يمكنك تحديد استعلامات LDAP دقيقة للتحكم بالمستخدمين الذين يتم مزامنتهم إلى كاتو. بالإضافة إلى ذلك، يمكنك استخدام استعلامات LDAP لتنظيم المستخدمين في مجموعات ديناميكية داخل CMA. باستخدام سمات LDAP، يمكنك إنشاء مجموعات ديناميكية إما كمجموعة فرعية من الفلتر الأصلي الخاص بك أو لجميع المستخدمين لديك.
باستخدام صفحة خدمات الدليل، يمكنك دمج دليل LDAP الخاص بمؤسستك مع كاتو وتكوين إعدادات استيراد المستخدمين.
تعمل شركة ABC مع موظفين بدوام كامل ومتعاقدين، بالإضافة إلى المتدربين. عند استيراد المستخدمين إلى CMA، كمسؤول، ترغب فقط في استيراد الموظفين بدوام كامل. تقوم بإنشاء فلتر الاستعلام التالي لحالة LDAP الخاصة بك في Azure لاستيراد الموظفين ذوي الصلة فقط:
(&(objectCategory=person)(objectClass=user)(employeeType=full-time))
لدى شركة ABC ممثلي مبيعات في جميع أنحاء البلاد، وكلهم ينتمون إلى قسم المبيعات. باستخدام سمة employeeType، تقوم بإنشاء مجموعة فرعية من ممثلي المبيعات لجميع المديرين في قسم المبيعات. عندما يتم ترقية مستخدم وتعيين نوع الموظف مدير ويتم تعيين القسم إلى المبيعات، يتم تضمينهم تلقائيًا في المجموعة الديناميكية.
قبل تكوين فلاتر دليل LDAP أو مجموعات المستخدمين الديناميكية، تأكد من أن:
- لديك تكامل دليل LDAP موجود ومُكوَّن في CMA
- أنت مدير كاتو لديك أذونات لتعديل إعدادات خدمات الدليل
- لا يقوم فلتر دليل LDAP باستيراد سوى المستخدمين. لا يتم استيراد مجموعات مستخدمي LDAP.
-
يدعم كل حساب ما يصل إلى 10 سمات LDAP فريدة عبر جميع المجموعات الديناميكية.
إعادة استخدام نفس السمة مع قيم مختلفة (مثل memberOf=Admin, memberOf=Finance) يُحسب كسمه واحدة.
- يدعم كل حساب ما يصل إلى 50 مجموعة مستخدمين ديناميكية
- المجموعات الديناميكية لا تدعم عضوية المجموعة المتداخلة من LDAP.
يمكنك اختيار استيراد المستخدمين باستخدام اختيار المجموعة التقليدي أو فلتر استعلام LDAP الجديد. يمكنك أيضًا تحديد مجموعات مستخدمين ديناميكية تجمع المستخدمين تلقائيًا بناءً على السمات من دليلك.
ملاحظة
ملاحظة: لا يتم تطوير أو صيانة لغة استعلام LDAP بواسطة كاتو. أنت مسؤول عن كتابة والتحقق من صحة الاستعلامات التي تفي بمتطلبات مؤسستك.
لتكوين فلتر دليل LDAP:
- من قائمة التنقل، اختر الوصول > خدمات الدليل.
- اختر تكوين LDAP موجود أو انقر فوق جديد لإنشاء واحد.
- تحت الفلاتر، في حقل طريقة الفلترة، اختر استعلام LDAP.
-
في حقل الاستعلام، أدخل استعلام LDAP باستخدام البادئة الخاصة بدليل البائع وسمات LDAP. يجب أن يبدأ الاستعلام ببادئة صالحة خاصة بالبائع.
- Azure: (&(objectCategory=person)(objectClass=user))
- OKTA + OpenLDAP: (&(objectClass=inetOrgPerson))
- JumpCloud + OneLogin: (&(objectClass=person))
انظر أدناه لبعض أمثلة فلاتر الاستعلام.
- انقر حفظ.
الآتي هي أمثلة لعدة فلاتر مختلفة يمكنك استخدامها. ارجع إلى توثيق البائع الخاص بـ LDAP لمزيد من المعلومات.
يتم استيراد المثال التالي مستخدمين من مجموعة معينة باستخدام سمة عضو، ومُنسق لـ Azure:
(&(objectCategory=person)(objectClass=user)(memberOf=CN=Developers,OU=Groups,DC=catonetworks,DC=com))المثال التالي يستورد جميع المستخدمين من مجموعتين، ومُنسق لـ Okta:
(&(objectClass=inetOrgPerson)(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com))بعد استيراد المستخدمين إما عن طريق اختيار مجموعة مستخدمين أو فلتر LDAP، يمكنك إنشاء مجموعات ديناميكية بناءً على سمات LDAP.
لتكوين مجموعة ديناميكية:
- من القائمة التنقل، اختر الوصول > خدمات الدليل.
- اختر تكوين LDAP موجود أو انقر فوق جديد لإنشاء واحد.
-
ضمن المجموعات الديناميكية: أدخل اسمًا للمجموعة وحدد الاستعلام.
- لا يوجد بادئة مطلوبة للمجموعات الديناميكية.
- إذا كنت قد حددت فلتر استعلام LDAP، فإن المجموعة الديناميكية تكون مجموعة فرعية من ذلك الفلتر. وإلا فإن المجموعة الديناميكية هي مجموعة فرعية من جميع المستخدمين لديك.
- انقر حفظ.
الآتي أمثلة لتحديد المجموعات الديناميكية:
-
تحديد مجموعة ديناميكية باستخدام سمة واحدة
(department=Finance)(title=*Manager) -
تحديد مجموعة ديناميكية باستخدام عدة سمات مع مشغل AND:
(&(department=Sales)(title=Executive*)) -
تحديد مجموعة ديناميكية باستخدام عدة سمات مع مشغل OR:
(|(appRole=Admin)(appRole=Support))
الآتي قائمة بالرسائل الخاطئة المحتملة وتفسيراتها.
-
يمكنك تحديد إما فلتر مجموعة DN أو فلتر استعلام LDAP
يظهر عندما تكون قد حددت فلتر مجموعة وفلتر استعلام LDAP. يمكنك تحديد أحدهما أو لا شيء منهما، لكن لا يمكنك تحديد الاثنين.
-
فلتر استعلام LDAP غير صالح. الخطأ هو '<رسالة الخطأ من SDK>'
يظهر لعدة أسباب، وستوفر رسالة الخطأ الفردية المعلومات الإضافية. على سبيل المثال، غير قادر على تحليل السلسلة '(&(objectClass=group)(cn=*)'. تظهر هذه الرسالة عندما تفقد قوس الإغلاق.
ارجع إلى توثيق LDAP الخاص بالبائع لمزيد من المعلومات.
-
فلتر استعلام LDAP مفقود فلاتر كائن المستخدم المطلوبة
يظهر إذا لم تقم بتضمين السمة المطلوبة objectClass.
-
فلتر استعلام LDAP يحتوي على فلاتر كائن غير مدعوم
يظهر إذا كنت قد قمت بتضمين فلتر على سمة غير مدعومة، على سبيل المثال، المجموعات بدلاً من المستخدمين.
-
تتطلب المجموعات الديناميكية العديد من سمات LDAP الإضافية (الحد الأقصى 10 سمات إضافية بعد السمات الافتراضية)
يظهر عندما لا يكون مجموع جميع سمات الطلب أكبر من 10 سمات إضافية (بالإضافة إلى السمات التي نحضرها افتراضيًا)
-
العديد من المجموعات الديناميكية (الحد الأقصى 50 مسموح به)
يظهر عند تجاوز الحد الأقصى 50 مجموعة ديناميكية في الحساب
-
اسم المجموعة الديناميكية '
' موجود بالفعل يظهر عندما لا يكون اسم المجموعة فريدًا.
-
المجموعة الديناميكية '
' لديها صيغة استعلام LDAP غير صحيحة يظهر عندما تكون صيغة LDAP للمجموعة الديناميكية غير صحيحة. ارجع إلى توثيق LDAP الخاص بالبائع لمزيد من المعلومات.
-
المجموعة الديناميكية '
' تحتوي على سمات كائن المستخدم التي تم تطبيقها تلقائيًا بالفعل ويجب عدم تضمينها في استعلام المجموعة الديناميكية الخاص بك يظهر عندما تتضمن صيغة استعلام LDAP سمات يتم تطبيقها افتراضيًا من قبل كاتو.
لا توجد تعليقات
المقال مغلق أمام التعليقات.