تسکی تسکیـ‌.دات‌آی‌آر ورود / ثبت‌نام
راهنمای تسکیـ.دات‌آی‌آر

اتصال به LDAP

دایرکتوری LDAP سازمان را به تسکیـ متصل کنید تا حساب‌ها و دسترسی اعضا از یک منبع مرکزی مدیریت شود.

بسیاری از سازمان‌ها حساب کاربری کارکنان خود را در یک دایرکتوری مرکزی مانند LDAP یا اکتیو دایرکتوری نگه می‌دارند. اتصال تسکیـ به این دایرکتوری یعنی به‌جای ساخت و نگه‌داری جداگانه حساب‌ها، همه‌چیز از همان منبع واحدی که تیم IT شما مدیریت می‌کند کنترل می‌شود؛ هویت کاربران، نام و ایمیل آن‌ها و معیار اینکه چه کسانی مجاز به ورود هستند، همگی از دایرکتوری خوانده می‌شود.

اتصال LDAP بخشی از مجموعه امنیت سازمانی تسکیـ است و در کنار اتصال‌های ورود یکپارچه (SSO) قرار می‌گیرد. این قابلیت در پلن تجاری پلاس در دسترس است و برای پیکربندی آن باید مالک فضای کاری باشید یا مجوز «مدیریت امنیت» را داشته باشید. چون LDAP مستقیماً به زیرساخت داخلی سازمان شما وصل می‌شود، یک ادغام پیشرفته به‌شمار می‌رود و بهتر است با همراهی تیم فنی/IT انجام شود.

چرا مدیریت متمرکز با LDAP؟

وقتی منبع هویت یکی باشد، کارها هم ساده‌تر و هم امن‌تر می‌شوند. مدیریت پراکنده حساب‌ها در چند سرویس مختلف، همان جایی است که خطاها و دسترسی‌های فراموش‌شده شکل می‌گیرند.

  • یک منبع حقیقت: مشخصات کاربران از دایرکتوری خوانده می‌شود، نه از داده‌های تکراری و دستی.
  • کنترل دسترسی متمرکز: با فیلتر کاربران تعیین می‌کنید چه گروهی از دایرکتوری مجاز به استفاده باشند.
  • هم‌خوانی با سیاست‌های سازمان: تغییرات منابع انسانی در دایرکتوری، به‌طور طبیعی به دسترسی‌ها هم منتقل می‌شود.
  • کاهش بار اداری: لازم نیست برای هر فرد جداگانه حساب بسازید یا اطلاعاتش را به‌روز نگه دارید.

اطلاعاتی که باید آماده کنید

اتصال LDAP در همان بخش امنیت فضای کاری تعریف می‌شود. پیش از شروع، این اطلاعات را از تیم IT خود بگیرید تا پیکربندی روان پیش برود.

  1. آدرس و درگاه سرور: یک یا چند میزبان دایرکتوری و شماره پورت اتصال.
  2. نوع اتصال امن: استفاده از SSL یا TLS برای رمزگذاری ارتباط با سرور.
  3. Base DN: نقطه شروع جست‌وجو در درخت دایرکتوری که کاربران زیر آن قرار دارند.
  4. حساب اتصال (Bind): یک حساب فقط‌خواندنی (Bind DN و رمز آن) که تسکیـ برای خواندن دایرکتوری استفاده می‌کند.
  5. فیلتر کاربران: معیاری که مشخص می‌کند کدام ورودی‌های دایرکتوری به‌عنوان کاربر در نظر گرفته شوند.
  6. نگاشت ویژگی‌ها: مشخص‌کردن اینکه نام کاربری، ایمیل و نام نمایشی هر فرد از کدام فیلدهای دایرکتوری خوانده شود.

اتصال امن و حفاظت از داده

تسکیـ اطلاعات حساس این اتصال را با دقت نگه می‌دارد و چند محافظ امنیتی برای جلوگیری از پیکربندی خطرناک دارد.

  • رمز حساب اتصال (Bind) به‌صورت رمزنگاری‌شده ذخیره می‌شود و در رابط کاربری بازخوانی نمی‌شود.
  • برای استقرارهای ابری، اتصال به میزبان‌های داخلی، حلقه‌برگشتی (loopback) و محدوده‌های خصوصی به‌صورت پیش‌فرض مسدود است تا از حملات SSRF جلوگیری شود.
  • اجازه اتصال به میزبان‌های خصوصی فقط در استقرارهای خودمیزبان و مورد‌اعتماد و با تنظیم صریح فعال می‌شود.
  • استفاده از SSL یا TLS برای جلوگیری از انتقال اطلاعات هویتی به‌صورت متن ساده به‌شدت توصیه می‌شود.

یک ادغام پیشرفته: چون اتصال LDAP به دایرکتوری داخلی سازمان وابسته است، بسته به نوع استقرار شما (ابری یا خودمیزبان) ممکن است به هماهنگی با تیم IT یا پشتیبانی تسکیـ نیاز داشته باشد. اگر سازمان شما از پروتکل‌های مدرن‌تری استفاده می‌کند، اغلب ورود یکپارچه با SAML یا OIDC مسیر ساده‌تری است.

نکته‌ها و اشتباه‌های رایج

  • برای حساب اتصال از یک کاربر فقط‌خواندنی و اختصاصی استفاده کنید، نه از حساب یک مدیر واقعی.
  • Base DN را دقیق انتخاب کنید؛ گرفتن دامنه‌ای بیش از حد گسترده، کاربران ناخواسته را هم شامل می‌شود.
  • فیلتر کاربران را با دقت بنویسید تا فقط افراد مجاز شامل شوند.
  • پیش از اتکا به این اتصال، نگاشت ویژگی‌ها را بررسی کنید تا ایمیل و نام افراد درست خوانده شود.

گام بعدی: اگر سازمان شما از هویت ابری استفاده می‌کند، معمولاً ورود یکپارچه (SSO) با SAML و OIDC ساده‌تر و سریع‌تر راه می‌افتد. برای ساخت و غیرفعال‌سازی خودکار حساب‌ها هم تأمین خودکار کاربران با SCIM را ببینید.

این مطلب برای شما مفید بود؟