Ediciones compatibles con esta función: Frontline Standard, Business Plus, Enterprise Standard y Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education Plus y Enterprise Essentials Plus. Comparar ediciones
¿Qué ocurre si suspendo la cuenta de usuario de Cloud Identity o de Google Workspace?
El servicio LDAP seguro utiliza Cloud Directory para autenticar clientes, autorizar acciones y hacer búsquedas en el directorio. Por tanto, con cuentas suspendidas no se puede iniciar sesión en ninguna aplicación relacionada con Cloud Identity o Google Workspace, incluidas las aplicaciones LDAP. Si bien no se pueden verificar las contraseñas de las cuentas suspendidas con LDAP, estas cuentas sí aparecen en las búsquedas LDAP de los servicios de clientes.
¿Qué ocurre si configuro un proveedor de identidades de terceros o un proveedor de inicio de sesión seguro en Google Workspace o en Cloud Identity?
Nada. Los proveedores de identidades de terceros solo afectan a las transacciones basadas en HTTP (como la autenticación basada en SAML), pero no afectan al servicio LDAP seguro a la hora de autenticar clientes, autorizar acciones y hacer búsquedas en el directorio.
Nota: Si quieres que los usuarios puedan autenticarse con aplicaciones conectadas por LDAP seguro, asegúrate de que conozcan su nombre de usuario y contraseña de Google, ya que necesitan estas credenciales (y no las de sus proveedores de identidades de terceros) para autenticarse.
¿Por qué necesito un certificado y credenciales de acceso para autenticar clientes LDAP?
Solo el certificado autentica el cliente LDAP. Las credenciales de acceso solo existen si el cliente exige enviar también un nombre de usuario y una contraseña. Por sí solas, estas credenciales no dan acceso al servidor LDAP ni a los datos de usuario; aun así, deben mantenerse en secreto para evitar que se utilicen para iniciar sesión en determinados clientes LDAP.
Al autenticar clientes LDAP que requieren credenciales de acceso, utilizamos tanto certificados como credenciales de acceso.
Si mi aplicación LDAP no admite certificados TLS, ¿tengo alguna alternativa?
Sí. Puedes utilizar stunnel como servidor proxy entre tu aplicación y el servicio LDAP seguro. Para obtener más información e instrucciones, consulta Utilizar stunnel como servidor proxy.
Ya tengo credenciales de acceso, pero ahora no recuerdo la contraseña y quiero configurar otra instancia de mi cliente LDAP. ¿Puedo generar otras credenciales de acceso?
Como administrador, puedes generar otras credenciales de acceso, que serán un nombre de usuario y una contraseña distintos. Puedes mantener un máximo de dos credenciales activas simultáneamente. Si una credencial se vulnera o ya no se utiliza, puedes eliminarla.
Si sospecho que hay un problema de seguridad con un cliente LDAP, ¿cómo puedo inhabilitarlo inmediatamente?
Si sospechas que hay un problema de seguridad con un cliente LDAP (por ejemplo, porque se han vulnerado los certificados o las credenciales), puedes inhabilitarlo inmediatamente eliminando todos los certificados digitales que tenga asociados. Se trata de la mejor manera de inhabilitar un cliente de inmediato, ya que, si lo haces mediante la desactivación del servicio, pueden transcurrir hasta 24 horas antes de que el cliente quede inhabilitado.
Puedes consultar las instrucciones oportunas en Eliminar certificados.
Si más adelante quieres volver a habilitar el cliente LDAP, tendrás que generar otros certificados y subirlos al cliente.
Los ordenadores Linux que tengo en Google Compute Engine no tienen direcciones IP externas. ¿Puedo conectarme al servicio LDAP seguro igualmente?
Sí. Si estás usando el módulo SSSD en ordenadores Linux de Google Compute Engine que no tengan direcciones IP externas y has habilitado el acceso interno a los servicios de Google, puedes conectarte al servicio LDAP seguro. Para obtener más información, consulta el artículo sobre cómo configurar el acceso privado de Google.