LDAP क्वेरी फिल्टर और डायनामिक समूह

यह लेख जानकारी प्रदान करता है कि LDAP क्वेरी भाषा का उपयोग करके उपयोगकर्ताओं को कैसे फिल्टर करें और डायनामिक समूह बनाएं।

अवलोकन

Cato आपको LDAP निर्देशिका से केवल संबंधित उपयोगकर्ताओं को आयात करके उपयोगकर्ता प्रबंधन को सरल बनाने की अनुमति देता है। LDAP डायरेक्टरी फ़िल्टर के साथ, आप Cato के लिए कौन से उपयोगकर्ता सिंक किए जाते हैं, इसे नियंत्रित करने के लिए सटीक LDAP क्वेरी परिभाषित कर सकते हैं। इसके अलावा, आप उपयोगकर्ताओं को CMA के भीतर डायनामिक समूहों में व्यवस्थित करने के लिए LDAP क्वेरी का उपयोग कर सकते हैं। LDAP विशेषताएँ का उपयोग करते हुए, आप अपने मूल फ़िल्टर या सभी उपयोगकर्ताओं के उपसमूह के रूप में डायनामिक समूह बना सकते हैं।

डायरेक्टरी सेवाएं पृष्ठ का उपयोग करते हुए, आप अपनी संस्था की LDAP निर्देशिका को Cato के साथ एकीकृत कर सकते हैं और उपयोगकर्ता आयात सेटिंग्स को विन्यस्त कर सकते हैं।

उपयोग का मामला - क्वेरी फिल्टर

ABC कंपनी पूर्णकालिक कर्मचारियों और ठेकेदारों के साथ-साथ इंटर्न्स के साथ काम करती है। CMA में उपयोगकर्ताओं को आयात करते समय, एक व्यवस्थापक के रूप में, आप केवल पूर्णकालिक कर्मचारियों को आयात करना चाहते हैं। आप केवल संबंधित कर्मचारियों को आयात करने के लिए अपने Azure LDAP उदाहरण के लिए निम्नलिखित क्वेरी फ़िल्टर बनाते हैं:

(&(objectCategory=person)(objectClass=user)(employeeType=पूर्णकालिक))

उपयोग का मामला - डायनामिक समूह

ABC कंपनी के पास पूरे देश में बिक्री प्रतिनिधि हैं, और वे सभी बिक्री विभाग से संबंधित हैं। कर्मचारी प्रकार विशेषता का उपयोग करते हुए, आप बिक्री विभाग के सभी प्रबंधकों के लिए बिक्री प्रतिनिधियों का एक उपसमूह बनाते हैं। जब एक उपयोगकर्ता को पदोन्नत किया जाता है और उन्हें कर्मचारी प्रकार प्रबंधक सौंपा जाता है और विभाग बिक्री पर सेट किया जाता है, तो वे स्वचालित रूप से डायनामिक समूह में शामिल होते हैं।

न्यूनतम जरूरत

इससे पहले कि आप LDAP डायरेक्टरी फिल्टर या डायनामिक उपयोगकर्ता समूहों को विन्यस्त करें, सुनिश्चित करें कि:

आपके पास CMA में एक मौजूदा LDAP डायरेक्टरी एकीकरण कॉन्फ़िगर किया गया है
आप एक Cato व्यवस्थापक हैं जिनके पास निर्देशिका सेवाओं की सेटिंग्स बदलने की अनुमति है

ज्ञात कमिया

LDAP डायरेक्टरी फ़िल्टर केवल उपयोगकर्ताओं को आयात करता है। LDAP उपयोगकर्ता समूह आयात नहीं किए जाते हैं।
प्रत्येक खाता सभी डायनामिक समूहों के लिए अधिकतम 10 अद्वितीय LDAP विशेषता का समर्थन करता है।

विभिन्न मानों वाली समान विशेषता का पुनः उपयोग (उदा., memberOf=व्यवस्थापक, memberOf=वित्त) एक विशेषता के रूप में गिना जाता है।
प्रत्येक खाता अधिकतम 50 डायनामिक उपयोगकर्ता समूहों का समर्थन करता है
डायनामिक समूह लॉडप से नेस्टेड समूह सदस्यता का समर्थन नहीं करता।

LDAP क्वेरी फिल्टर का उपयोग करके उपयोगकर्ताओं को आयात करें

आप पारंपरिक समूह चयन या नए LDAP क्वेरी फिल्टर का उपयोग करके उपयोगकर्ताओं को आयात करना चुन सकते हैं। आप अपने निर्देशिका से विशेषताओं के आधार पर उपयोगकर्ताओं को स्वचालित रूप से समूहित करने वाले डायनामिक उपयोगकर्ता समूह भी परिभाषित कर सकते हैं।

नोट

नोट: LDAP क्वेरी भाषा Cato द्वारा विकसित या रखरखाव नहीं की जाती है। आप अपनी संस्था की आवश्यकताओं को पूरा करने वाले क्वेरियों को लिखने और मान्य करने के लिए जिम्मेदार हैं।

एक LDAP डायरेक्टरी फ़िल्टर कॉन्फ़िगर करने के लिए:

नेविगेशन मेनू से, पहुँच > डायरेक्टरी सेवाएं चुनें।
मौजूदा LDAP कॉन्फ़िगरेशन चुनें या एक बनाने के लिए नया पर क्लिक करें।
फिल्टर के तहत, फ़िल्टर विधि फ़ील्ड में, LDAP क्वेरी चुनें।
क्वेरी फ़ील्ड में, अपने विक्रेता की निर्देशिका उपसर्ग और LDAP विशेषताएँ का उपयोग करके एक LDAP क्वेरी दर्ज करें। क्वेरी को एक वैध विक्रेता-विशिष्ट उपसर्ग के साथ शुरू करना चाहिए।
- Azure: (&(objectCategory=व्यक्ति)(objectClass=उपयोगकर्ता))
- OKTA + OpenLDAP: (&(objectClass=inetOrgPerson))
- JumpCloud + OneLogin: (&(objectClass=व्यक्ति))
नीचे कुछ उदाहरण क्वेरी फिल्टर देखें।
सहेजें पर क्लिक करें।

उदाहरण क्वेरी फिल्टर

निम्नलिखित विभिन्न फिल्टरों के उदाहरण हैं जिन्हें आप उपयोग कर सकते हैं। अधिक जानकारी के लिए अपने LDAP विक्रेता के दस्तावेज़ीकरण का संदर्भ लें।

एक विशिष्ट समूह से उपयोगकर्ताओं को फ़ेच करें (Azure)

निम्नलिखित उदाहरण memberOf विशेषता का उपयोग करके एक विशिष्ट समूह से उपयोगकर्ताओं को आयात करता है, और Azure के लिए स्वरूपित किया गया है:

(&(objectCategory=व्यक्ति)(objectClass=उपयोगकर्ता)(memberOf=CN=Developers,OU=समूह,DC=catonetworks,DC=com))

दो समूहों से उपयोगकर्ताओं को फ़ेच करें (Okta)

निम्नलिखित उदाहरण दो समूहों से सभी उपयोगकर्ताओं को आयात करता है, और Okta के लिए स्वरूपित किया गया है:

(&(objectClass=inetOrgPerson)(memberOf=CN=व्यवस्थापक,OU=समूह,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=समूह,DC=catonetworks,DC=com))

दोनों समूहों में से एक से उपयोगकर्ताओं को फ़ेच करें (Jumpcloud)

निम्नलिखित उदाहरण उन सभी उपयोगकर्ताओं को आयात करता है जो निर्दिष्ट किए गए दोनों समूहों में से किसी एक से संबंधित हैं, और Jumpcloud के लिए स्वरूपित है:

(&(objectClass=व्यक्ति)(|(memberOf=CN=व्यवस्थापक,OU=समूह,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=समूह,DC=catonetworks,DC=com)))

डायनामिक समूहों को विन्यस्त करें

या तो उपयोगकर्ता समूह चयन या LDAP फ़िल्टर के साथ आयात करने के बाद, आप LDAP विशेषताओं के आधार पर डायनामिक समूह बना सकते हैं।

एक डायनामिक समूह कॉन्फ़िगर करने के लिए:

नेविगेशन मेनू से, पहुँच > डायरेक्टरी सेवाएं चुनें।
मौजूदा LDAP कॉन्फ़िगरेशन चुनें या एक बनाने के लिए नया पर क्लिक करें।
डायनामिक समूह: के तहत समूह के लिए एक नाम दर्ज करें और क्वेरी को परिभाषित करें।
- डायनामिक समूहों के लिए किसी उपसर्ग की आवश्यकता नहीं है।
- यदि आपने एक LDAP क्वेरी फ़िल्टर परिभाषित किया है, तो डायनामिक समूह उस फ़िल्टर का उपसमूह है। अन्यथा, डायनामिक समूह आपके सभी उपयोगकर्ताओं का एक उपसमूह है।
सहेजें पर क्लिक करें।

उदाहरण

डायनामिक समूहों को परिभाषित करने के लिए निम्नलिखित उदाहरण हैं:

एकल विशेषता का उपयोग करके एक डायनामिक समूह को परिभाषित करें
```
(विभाग=वित्त)
```
```
(शीर्षक=*प्रबंधक)
```
AND ऑपरेटर के साथ कई विशेषताओं का उपयोग करके एक डायनामिक समूह को परिभाषित करें:
```
(&(विभाग=बिक्री)(शीर्षक=कार्यकारी*))
```
OR ऑपरेटर के साथ कई विशेषताओं का उपयोग करके एक डायनामिक समूह को परिभाषित करें:
```
(|(appRole=व्यवस्थापक)(appRole=समर्थन))
```

फ़िल्टर क्वेरियों और डायनामिक समूहों का समस्या निवारण

संभावित त्रुटि संदेशों और उनके स्पष्टीकरण की सूची निम्नलिखित है।

आप एक समूह DN फ़िल्टर या LDAP क्वेरी फ़िल्टर को परिभाषित कर सकते हैं

जब आपने दोनों समूह फ़िल्टर और LDAP क्वेरी फ़िल्टर को परिभाषित किया है, तब दिखाई देता है। आप या तो एक को परिभाषित कर सकते हैं या कोई नहीं, लेकिन आप दोनों को परिभाषित नहीं कर सकते हैं।
LDAP क्वेरी फ़िल्टर अमान्य है। त्रुटि है '<SDK से त्रुटि संदेश>'

कई कारणों के लिए दिखाई देता है, और विशेष त्रुटि संदेश अधिक जानकारी प्रदान करेगा। उदाहरण के लिए, स्ट्रिंग '(&(objectClass=समूह)(cn=*)' को पार्स करने में असमर्थ। यह संदेश तब प्रकट होता है जब आप एक समापन विलुप्तता चूक गए हैं।

अधिक जानकारी के लिए विक्रेता-विशिष्ट LDAP दस्तावेज़ीकरण का संदर्भ लें।
LDAP क्वेरी फ़िल्टर में आवश्यक उपयोगकर्ता वस्तु फ़िल्टर अनुपलब्ध हैं

यदि आपने आवश्यक objectClass विशेषता शामिल नहीं की है तो प्रकट होता है।
LDAP क्वेरी फ़िल्टर में समर्थित वस्तु फ़िल्टर शामिल नहीं हैं

यदि आपने एक समर्थित विशेषता पर एक फ़िल्टर शामिल किया है, उदाहरण के लिए, उपयोगकर्ताओं के बजाय समूह, तब प्रकट होता है।
डायनामिक समूहों को बहुत अधिक अतिरिक्त LDAP विशेषताएँ (डिफ़ॉल्ट विशेषताएँ से परे अधिकतम 10 की अनुमति है) की आवश्यकता होती है

तब प्रकट होता है जब सभी अनुरोध विशेषताओं का योग 10 अतिरिक्त विशेषताओं से बड़ा नहीं होता है (उन विशेषताओं के साथ जो हम डिफ़ॉल्ट रूप से फ़ेच करते हैं)
बहुत सारे डायनामिक समूह (अधिकतम 50 की अनुमति)

तब प्रकट होता है जब खाते में अधिकतम 50 डायनामिक समूह पार हो गए हैं
डायनामिक समूह नाम '<समूह_नाम>' पहले से मौजूद है

जब समूह का नाम अद्वितीय नहीं होता है तब प्रकट होता है।
डायनामिक समूह '<समूह_नाम>' में अमान्य LDAP क्वेरी सिंटेक्स है

जब डायनामिक समूह के लिए LDAP सिंटेक्स गलत होता है तब प्रकट होता है। अधिक जानकारी के लिए विक्रेता-विशिष्ट LDAP दस्तावेज़ीकरण का संदर्भ लें।
डायनामिक समूह '<समूह_नाम>' में उपयोगकर्ता वस्तु विशेषताएँ शामिल हैं जो पहले से स्वचालित रूप से लागू होती हैं और आपके डायनामिक समूह क्वेरी में शामिल नहीं की जानी चाहिए

जब LDAP क्वेरी सिंटेक्स में विशेषताएँ शामिल हैं जो Cato द्वारा डिफ़ॉल्ट रूप से लागू होती हैं, तब प्रकट होता है।