このセクションの内容:
はじめに
[ユーザー ディレクトリ] 画面で、LDAP サーバーと同期するように User Administratio を設定できます。ディレクトリの設定を行う際は、LDAP/AD の管理者と連携してください。 これにより、User Administration が組織のユーザー ディレクトリ サービスに対して認証できるようになります。
[ユーザー管理] ページで [ユーザー ディレクトリ] をクリックし、ディレクトリ構成にアクセスします。
SSL による LDAP への接続
信頼された証明書を取得します。証明書の形式は、Java keytool アプリケーションが許容する形式であれば、どのような形式でも構いません。
次のコマンドを実行し、トラストストアに証明書をインポートします。
keytool -import -alias <new unique alias> -file <certificate file> -keystore <LS_INSTALL>/app/jre/lib/security/cacerts
パスワードの確認があったら、パスワードとして changeit を使用します。
インポートについての確認があったら、証明書をインポートすることを確認します。
User Administration を再起動して変更を適用します。
証明書チェーンをインポートするには、証明書チェーンの証明書ごとにステップ 1-4 を繰り返します。このとき、ルート証明書から開始し、エンティティ証明書を最後にします。
トラストストアとアップグレード
アップグレード中、DTP は <DTP_INSTALL>/jre/lib/security/cacerts
にある既存のトラストストアを保持します。このため、DTP を複数回アップグレードした場合、トラストストアに新しく信頼された認証局が含まれていない可能性があります。新しく信頼された認証局のいずれかによって署名された証明書を使用して DTP が外部サーバーに接続する必要がある場合は、<DTP_INSTALL>/jre/lib/security/cacerts
にあるトラストストアを手動で更新する必要がある場合があります。
ユーザー ディレクトリの設定
ディレクトリをクリックして既存の設定を編集するか、[ユーザー ディレクトリの作成] をクリックして新しいディレクトリを設定します。ゴミ箱のアイコンをクリックしてユーザー ディレクトリを削除します。
以下の設定を行うことができます。
全般的な設定
新しいディレクトリはデフォルトで有効になっています。LDAP サーバーと同期させないようにしたい場合は [有効] オプションをオフにします。ディレクトリ名は必須です。
サーバー設定
この設定は LDAP サーバーへの接続を指定します。設定が終わったら、[接続のテスト] をクリックし、User Administration が LDAP サーバーと通信できるかどうかを確認します。
ホスト名 | LDAP サーバーのホスト名。 |
---|---|
ポート | LDAP サーバーのポート。 |
SSL の使用 | SSL を使って LDAP サーバーに接続するには、このオプションを有効化します。 |
認証情報 | |
ユーザー名 | LDAP サーバーが認証情報を要求する場合、このフィールドでユーザー名を指定します。 |
パスワード | LDAP サーバーが認証情報を要求する場合、このフィールドでパスワードを指定します。 |
ユーザーのインポート設定
設定が終わったら [ユーザーのインポート設定をテスト] をクリックし、保存する前に設定が正しいことを確認します。
ベース DN | ベース DN は、ディレクトリ オブジェクトが存在するコンテキスト DN (識別名) です。空白にした場合、User Administration はディレクトリ ツリーのルート DN を使用します。ディレクトリ ツリー構造を定義するために、組織単位 (ou) およびドメイン コンポーネント (dc) を使用します。 この例では、ディレクトリ ツリーが次のように編成されているものとします。
ヨーロッパとアジアのユーザーだけをスキャンするには、次のようにベース DN を入力します。
|
---|---|
フィルター | 特定のパラメーターに対して検索するには、[フィルター] フィールドに式を入力します。指定したベース DN とスコープに対して検索が実行されます。以下はフィルターの使用方法の例です。 指定したベース DN のユーザーを検索する:
devel1 および devel2 ユーザーだけを検索する
Managers グループのユーザーだけを検索する
|
グループに制限 | Group Import Settings で指定したグループに属するユーザーだけをインポートするには、このオプションを有効にします。[グループのインポート設定] で設定されたグループに属さないユーザーはインポートされません。 |
属性マッピング 属性マッピング セクションでは、どのように User Administration の属性 (すなわち ユーザーのログイン名、ファースト ネーム、姓、電子メール) をディレクトリ オブジェクトの属性 (すなわち、uid、givenName、sn、email) にマッピングするかを定義します。デフォルトのマッピング設定をそのまま使用することも、LDAP サーバーに合わせて設定を変更することもできます。ご使用の LDAP サーバーのドキュメントを参照してください。 | |
ユーザー名 | このフィールドは User Administration ユーザーの電子メール アドレスとして使用されます。 デフォルトは |
名 | このフィールドはユーザーのファースト ネームとして使用されます: User Administration ユーザーの電子メール アドレスとして使用されます。 デフォルトは |
姓 | このフィールドは User Administration ユーザーの電子メール アドレスとして使用されます。 |
E-mail アドレス | このフィールドは User Administration ユーザーの電子メール アドレスとして使用されます。 |
Member Of | このフィールドは、 User Administration で LDAP グループを使用して。デフォルトは |
グループのインポート設定
設定が終わったら [グループのインポート設定をテスト] をクリックし、保存する前に設定が正しいことを確認します。
グループのインポートを有効化 | LDAP で設定したグループをインポートしたい場合、[グループのインポートを有効化] オプションを有効にします。 |
---|---|
ベース DN | User Import Settings のベース DN の設定を参照してください。 |
フィルター | User Import Settingsのフィルター設定を参照してください。 |
ネストされたグループを有効化 | グループがディレクトリの他のグループを含む場合、このオプションを有効にすることで、LDAP サーバーの階層構造を保つことができます。 |
Ancestor groups only | ネストされたグループには、他のグループに加えてユーザーが含まれることがあります。先祖とは、別のグループ内にネストされているグループの直接のメンバーであるユーザーです。次の例では、メンバー B と C が、グループ A 内にネストされているグループ内の先祖です。 [Ancestor groups only] オプションを有効にして [Ancestor group names] フィールドでグループ名を指定することで、ネストされたグループに関連付けられている直近のメンバーだけをインポートすることができます。[Ancestor group names] で指定されたグループのメンバーもインポートされます。 |
Ancestor group names | [Ancestor groups] オプションが有効の場合は、インポートしたい先祖を含むネストしたグループの名前を指定します。 |
属性マッピング 属性マッピング セクションでは、どのように Parasoft User Administration オブジェクトの属性をディレクトリ オブジェクトの属性にマッピングするかを定義します。デフォルトのマッピング設定をそのまま使用することも、ニーズに合わせて設定を変更することもできます。 | |
名前 | デフォルトは cn です。 |
説明 | デフォルトは cn です。 |
メンバー | デフォルトは member です。詳細については「Advanced Settings」を参照してください。 |
詳細設定
LDAP で User Administration が実行するユーザー/グループ検索の範囲を指定できます。
ユーザー検索スコープ | ドロップダウン メニューから以下のいずれかのオプションを選択してユーザーの検索範囲を設定します。
|
---|---|
グループ検索スコープ | ドロップダウン メニューから以下のいずれかのオプションを選択してグループの検索範囲を設定します。
|
紹介 (Referral) | JNDI ルックアップを有効にするには、ドロップダウン メニューから [従う] を選択します。DNS なしで設定された Active Directory サーバーにはこのオプションを選択します。 サーバーで指定された名前以外のドメイン名を Active Directory が紹介で返した場合に、通信エラーを無視するには、ドロップダウン メニューから [無視] を選択します。 |
ページ サイズ | 1 ページあたりのレコード リクエスト数を指定します。デフォルトは 1000 です。 |
メンバーシップのストラテジ | LDAP からユーザーをインポートするときに、グループ メンバーシップをどのように関連付けるかを指定します。 User Administration は、ユーザーの
|
グループ メンバーシップの同期 | LDAP のグループ メンバーシップに基づいてユーザーの属性と権限を更新するには、このオプションを有効にします。 有効にした場合、 User Administration はユーザー メンバーシップを記録するシステムとして LDAP を参照します。 User Administration で実施されたユーザー/グループの関連付けが、LDAP でのメンバーシップの関連付けと異なる場合、DTP での関連付けは、削除されるか、あるいは LDAP での関連付けによって上書きされます。User Administration は、[ユーザー ディレクトリ] ページの表示とは逆順でディレクトリ構成を適用します。結果として、リストの先頭のディレクトリが優先されます。また、このディレクトリは [グループ メンバーシップの同期] が有効なディレクトリであるべきです。 デフォルトは「無効」です。 |
DN をメンバーシップに使用する | User Administration が LDAP サーバーの 識別名 (DN) を利用してユーザーとグループの関連付けを実施することを期待する場合、この設定を有効にします。ユーザー名および/またはグループ属性に基づいてユーザーとグループを関連付ける場合、この設定を無効にします。 デフォルトは「有効」です。 |
プライマリ グループの使用 | Active Directory で定義された基本グループとプライマリ グループを利用してユーザー グループ メンバーシップ情報を決定するには、この設定を有効にします。 デフォルトは「無効」です。 |
読み込みタイムアウト (ミリ秒) | User Administration が LDAP サーバーからのデータ読み込みを待機するタイムアウト時間を指定します。 デフォルトは 120000 です。 |
接続タイムアウト (ミリ秒) | User Administration が LDAP サーバーへの接続を待機するタイムアウト時間を指定します。 デフォルトは 10000 です。 |
ディレクトリ優先度の設定
ディレクトリの順序は重要です。ユーザーとグループを検索するとき、User Administration はテーブルの上から順にディレクトリをチェックします。検索の順序を変更するには、ディレクトリをクリックしてドラッグします。
ユーザーのインポート
LDAP 接続を設定した後、ユーザー ディレクトリからユーザーをインポートできます。
- [ユーザー管理] 画面で [ユーザー ディレクトリ] をクリックします。
- インポートしたいディレクトリのインポート ボタンをクリックします。
インポートするユーザーを確認し、[次へ] をクリックして次に進むか、[キャンセル] をクリックしてインポートをキャンセルします。
既存ユーザーに関連する属性は、LDAP サーバーのデータで上書きされます。
- インポート先のユーザー グループを確認します。三角形のアイコンをクリックしてグループのユーザーを表示します。
- [次へ] をクリックしてインポート設定を確認します。
- [インポート] をクリックしてユーザーのインポートを開始します。
インポートが完了すると、結果のサマリーが表示されます。
User Administration REST API
User Administration モジュールには、ユーザー管理タスクを自動化できる専用の API が含まれています。[ユーザー管理] ページの [ヘルプ] メニューから [API ドキュメント] を選択してください。このドキュメントは利用できるエンドポイントについて説明しています。この API は、[ユーザー管理] ページからのみアクセスできます。
LDAP の同期の自動化
LDAP の同期を自動化する最も単純な方法は、Jenkins などの自動化ツールを使って夜間ジョブをセットアップすることです。cURL コマンドを使って、たとえば User Administration REST API (/pstsec/api) エンドポイントを呼び出して、LDAP の同期を実行できます:
curl -u username:password -X POST "https://hostname:port/pstsec/api/v1.0/ldap/import/configurationName" -H "accept: application/json"
この例では、username
、password
、hostname
、port
、および configurationName
を実際の情報で置換してください。