ページ サイズを設User Administration モジュールは、ユーザー認証と LDAP サーバーとの統合を容易にします。 このセクションの内容:
SLL によるディレクトリ サーバーへの接続
SLL を介してディレクトリ サーバーに接続するには、ディレクトリ サービスの証明書を DTP が信頼する必要があります。トラストストアに証明書を追加する方法については 「信頼された証明書の追加」を参照してください。
ユーザー ディレクトリへのアクセス
設定メニュー (歯車のアイコン) から [User Administration] を選択し、[ユーザー ディレクトリ] をクリックします。既存のユーザー ディレクトリが表示されます。
以下の操作を行うことができます。
- [ユーザー ディレクトリの作成] をクリックしてディレクトリ設定を行い、新しいユーザー ディレクトリ設定を追加します (「ユーザー ディレクトリの設定」を参照)。
- 既存のディレクトリ名または URL をクリックし、ディレクトリ設定を編集します (「ユーザー ディレクトリの設定」を参照)。
- インポート ボタンをクリックして、ディレクトリに関連するユーザーを DTP に追加します (「ユーザーのインポート」を参照)。
- ゴミ箱のアイコンをクリックしてユーザー ディレクトリを削除します。
- ディレクトリをドラッグして順序を入れ替えます。[ユーザー] および [グループ] で検索機能を使用する際、[ユーザー ディレクトリ] の順序でディレクトリがチェックされます。
ユーザー ディレクトリの設定
ディレクトリをクリックして既存の設定を編集するか、[ユーザー ディレクトリの作成] をクリックして新しいディレクトリを設定します。以下の設定を行うことができます。
全般的な設定
新しいディレクトリはデフォルトで有効になっています。LDAP サーバーと同期させないようにしたい場合は [有効] オプションをオフにします。
ディレクトリ名は必須です。
サーバー設定
この設定は LDAP サーバーへの DTP の接続を指定します。設定が終わったら、[接続のテスト] をクリックし、DTP が LDAP サーバーと通信できるかどうかを確認します。
| ホスト名 | LDAP サーバーのホスト名。 |
|---|---|
| ポート | LDAP サーバーのポート。 |
| SSL の使用 | SSL を使って LDAP サーバーに接続するには、このオプションを有効化します。 |
| 認証情報 | |
| ユーザー名 | LDAP サーバーが認証情報を要求する場合、このフィールドでユーザー名を指定します。 |
| パスワード | LDAP サーバーが認証情報を要求する場合、このフィールドでパスワードを指定します。 |
ユーザーのインポート設定
設定が終わったら [ユーザーのインポート設定をテスト] をクリックし、保存する前に設定が正しいことを確認します。
| ベース DN | ベース DN は、ディレクトリ オブジェクトが存在するコンテキスト DN (識別名) です。空白にした場合、DTP はディレクトリ ツリーのルート DN を使用します。組織単位 (ou) とドメイン コンポーネント (dc) は、ディレクトリ ツリー構造を定義するために使用されます。 この例では、ディレクトリ ツリーが次のように編成されているものとします。
ヨーロッパとアジアのユーザーだけをスキャンするには、次のようにベース DN を入力します。
|
|---|---|
| フィルター | 特定のパラメーターに対して検索するには、[フィルター] フィールドに式を入力します。指定したベース DN とスコープに対して検索が実行されます。以下はフィルターの使用方法の例です。 指定したベース DN のユーザーを検索する:
devel1 および devel2 ユーザーだけを検索する
Managers グループのユーザーだけを検索する
以前のバージョンの DTP でのフィルター設定について バージョン 5.4 より前の DTP では、LDAP のフィルター設定にさらに属性とテンプレートがありました。 |
| グループに制限 | グループのインポート設定 で指定したグループに属するユーザーだけをインポートするには、このオプションを有効にします。[グループのインポート設定] で設定されたグループに属さないユーザーはインポートされません。 |
属性マッピング 属性マッピング セクションでは、どのように Parasoft User Administration オブジェクトの属性をディレクトリ オブジェクトの属性にマッピングするかを定義します。デフォルトのマッピング設定をそのまま使用することも、ニーズに合わせて設定を変更することもできます。 | |
| ユーザー名 | デフォルトは uid です。 |
| 名 | デフォルトは givenName です。 |
| 姓 | デフォルトは sn です。 |
| E-mail アドレス | デフォルトは mail です。 |
| Member Of | デフォルトは memberOf です。詳細については「Advanced Settings」を参照してください。 |
グループのインポート設定
設定が終わったら [グループのインポート設定をテスト] をクリックし、保存する前に設定が正しいことを確認します。
| グループのインポートを有効化 | LDAP で設定したグループをインポートしたい場合、[グループのインポートを有効化] オプションを有効にします。 |
|---|---|
| ベース DN | ユーザーのインポート設定 のベース DN の設定を参照してください。 |
| フィルター | ユーザーのインポート設定 のフィルター設定を参照してください。 以前のバージョンの DTP でのグループ フィルター設定について バージョン 5.4 より前の DTP では、LDAP のフィルター設定にさらに属性とテンプレートがありました。 |
| ネストされたグループを有効化 | グループがディレクトリの他のグループを含む場合、このオプションを有効にすることで、LDAP サーバーの階層構造を保つことができます。 |
属性マッピング 属性マッピング セクションでは、どのように Parasoft User Administration オブジェクトの属性をディレクトリ オブジェクトの属性にマッピングするかを定義します。デフォルトのマッピング設定をそのまま使用することも、ニーズに合わせて設定を変更することもできます。 | |
| 名前 | デフォルトは cn です。 |
| 説明 | デフォルトは cn です。 |
| メンバー | デフォルトは member です。詳細については「詳細設定」を参照してください。 |
詳細設定
LDAP で User Administration が実行するユーザー/グループ検索の範囲を指定できます。
| ユーザー検索スコープ | ドロップダウン メニューから以下のいずれかのオプションを選択してユーザーの検索範囲を設定します。
|
|---|---|
| グループ検索スコープ | ドロップダウン メニューから以下のいずれかのオプションを選択してグループの検索範囲を設定します。
|
| 紹介 (Referral) | JNDI ルックアップを有効にするには、ドロップダウン メニューから [従う] を選択します。DNS なしで設定された Active Directory サーバーにはこのオプションを選択します。 サーバーで指定された名前以外のドメイン名を Active Directory が紹介で返した場合に、通信エラーを無視するには、ドロップダウン メニューから [無視] を選択します。 |
| ページ サイズ | 1 ページあたりのレコード リクエスト数を指定します。デフォルトは 1000 です。 |
| メンバーシップのストラテジ | LDAP からユーザーをインポートするときに、グループ メンバーシップをどのように関連付けるかを指定します。DTP は、ユーザーの
|
| グループ メンバーシップの同期 | LDAP のグループ メンバーシップに基づいてユーザーの属性と権限を更新するには、このオプションを有効にします。 有効にした場合、ユーザー メンバーシップを記録するシステムとして DTP は LDAP を参照します。DTP で実施されたユーザー/グループの関連付けが、LDAP でのメンバーシップの関連付けと異なる場合、DTP での関連付けは、削除されるか、あるいは LDAP での関連付けによって上書きされます。DTP は、[ユーザー ディレクトリ] ページの表示とは逆順でディレクトリ構成を適用します。結果として、リストの先頭のディレクトリが優先されます。また、このディレクトリは [グループ メンバーシップの同期] が有効なディレクトリであるべきです。 デフォルトは「無効」です。 |
| DN をメンバーシップに使用する | LDAP の 識別名 (DN) を利用してユーザーとグループの関連付けを実施する場合、この設定を有効にします。ユーザー名および/またはグループ属性に基づいてユーザーとグループを関連付ける場合、この設定を無効にします。 デフォルトは「有効」です。 |
| プライマリ グループの使用 | Active Directory で定義された基本グループとプライマリ グループを利用してユーザー グループ メンバーシップ情報を決定するには、この設定を有効にします。 デフォルトは「無効」です。 |
| 読み込みタイムアウト (ミリ秒) | LDAP サーバーからのデータ読み込みを待機するタイムアウト時間を指定します。 デフォルトは 120000 です。 |
| 接続タイムアウト (ミリ秒) | LDAP サーバーへの接続を待機するタイムアウト時間を指定します。 デフォルトは 10000 です。 |
ユーザーのインポート
LDAP 接続を設定した後、ユーザー ディレクトリからユーザーをインポートできます。
- 設定メニュー (歯車のアイコン) から [User Administration] を選択し、[ユーザー ディレクトリ] をクリックします。
- インポートしたいディレクトリのインポート ボタンをクリックします。
インポートするユーザーを確認し、[次へ] をクリックして次に進むか、[キャンセル] をクリックしてインポートをキャンセルします。
既存ユーザーに関連する属性は、LDAP サーバーのデータで上書きされます。
- インポート先のユーザー グループを確認します。三角形のアイコンをクリックしてグループのユーザーを表示します。
- [次へ] をクリックしてインポート設定を確認します。
- [インポート] をクリックしてユーザーのインポートを開始します。
インポートが完了すると、結果のサマリーが表示されます。
User Administration REST API
User Administration モジュールには、ユーザー管理タスクを自動化できる専用の API が含まれています。User Administration ページの [ヘルプ] メニューから [API Documentation] を選択してください。このドキュメントは利用できるエンドポイントについて説明しています。この API は、DTP の User Administration ページからのみアクセスできます。
LDAP の同期の自動化
LDAP の同期を自動化する最も単純な方法は、Jenkins などの自動化ツールを使って夜間ジョブをセットアップすることです。cURL コマンドを使って、たとえば User Administration REST API (/pstsec/api) エンドポイントを呼び出して、LDAP の同期を実行できます:
curl -u username:password -X POST "https://hostname:port/pstsec/api/v1.0/ldap/import/configurationName" -H "accept: application/json"
この例では、username、password、hostname、 port、および configurationName を実際の情報で置換してください。
