User Administration モジュールは、LDAP サーバーと統合してユーザー認証を行うことができます。
このセクションの内容:
ユーザー ディレクトリへのアクセス
設定メニュー (歯車のアイコン) から [ セキュリティ設定] を選択し、[Browser User Administration on <host>] リンクをクリックします。お使いの Parasoft 製品およびインフラストラクチャに応じて、リンクは Parasoft DTP の LDAP モジュールまたは Parasoft License Server (pstsec.war) の LDAP モジュールを指しています。
テーブルに既存のディレクトリ設定が表示されています。
以下のアクションを行うことができます。
- [Create User Directory] をクリックし、ディレクトリ設定で新規ユーザー ディレクトリ設定を追加します (「Configuring Directory Settings」を参照)。
- 既存のディレクトリ名または URL をクリックし、ディレクトリ設定を編集します (「Configuring Directory Settings」を参照)。
- インポート ボタンをクリックし、CTP にディレクトリと関連付けられたユーザーを追加します (「Importing Users」を参照)。
- ゴミ箱ボタンをクリックし、ユーザー ディレクトリ設定を削除します。
- ディレクトリをクリックしてドラッグし、順序を変更します。[Users] および [Groups] タブの検索機能を使用すると、CTP は [User Directories] タブで指定された順序でディレクトリをチェックします。
ディレクトリ設定
ディレクトリをクリックして既存の設定を変更するか、[Create User Directory] をクリックして新規ディレクトリをセットアップします。以下の設定を行うことができます。
全般的な設定
新規ディレクトリはデフォルトで有効化されますが、[有効化] オプションを無効にすることで、LDAP サーバーとディレクトリの同期を行わないようにすることができます。
ディレクトリには名前が必要です。
サーバー設定
これらの設定は、CTP から LDAP サーバーへの接続を設定します。設定が完了したら、[テスト接続] をクリックして CTP が LDAP サーバーと通信できることを確認します。
| Hostname | LDAP サーバーのホスト名です。 |
|---|---|
| ポート | LDAP サーバーのポートです。 |
| SSL を使用 | SSL 上で LDAP サーバーに接続する場合、このオプションを有効にします。 |
| 認証情報 | |
| ユーザー名 | LDAP サーバーが認証情報を要求する場合、このフィールドにユーザー名を指定します。 |
| パスワード | LDAP サーバーが認証情報を要求する場合、このフィールドにパスワードを指定します。 |
ユーザー インポート設定
設定が完了したら、[Test User Import Settings] をクリックして 、設定が正しいことを確認してから保存します。
| Base DN | ベース DN は、ディレクトリ オブジェクトが存在するコンテキスト DN (識別名) です。空の場合、CTP はディレクトリ ツリーのルート DN を使用します。組織単位 (ou) およびドメイン コンポーネント (dc) を使用してディレクトリ ツリーの構造を定義します。 次のサンプルは、組織のディレクトリ構造の例を表しています。
このサンプルでは、Europe および Asia からだけユーザーをスキャンするには、次のベース DN を入力します。
|
|---|---|
| フィルター | [フィルター] フィールドに式を入力すると、特定のパラメーターに基づいて検索を実行できます。検索は、ベース DN および指定されたスコープに基づいて行われます。次の例は、フィルターの使用方法を示しています。 指定されたベース DN の下のユーザーに対する単純なフィルター
"devel1" および "devel2" ユーザーだけを検索:
グループ "Managers" のメンバーであるユーザーを検索:
以前のバージョンの CTP でのフィルター設定 バージョン 3.1.2 より前の CTP では、LDAP フィルター設定にその他の属性およびテンプレートがありました。 |
| Restrict To Groups | このオプションを有効化すると、「Group Import Settings」で指定されたグループに所属するユーザーだけがインポートされます。Group Import Settings で設定されたグループに所属していないユーザーはインポートされません。 |
Attribute Mappings Attribute Mappings セクションでは、Parasoft User Administration オブジェクト属性を接続されたディレクトリ オブジェクト属性にマッピングする方法を定義します。デフォルトのマッピングを使用するか、ニーズに合わせて属性を設定することができます。 | |
| Username | デフォルト値は uid です。 |
| First Name | デフォルト値は givenName です。 |
| Last Name | デフォルト値は sn です。 |
| Email Address | デフォルト値は mail です。 |
| Member Of | デフォルト値は memberOf です。詳細については「Advanced Settings」を参照してください。 |
グループ インポート設定
設定が完了したら、[Test Group Import Settings] をクリックして 、設定が正しいことを確認してから保存します。
| Enable group import | LDAP で設定されたグループをインポートしたい場合、[Enable Group Import] オプションを有効にします。 |
|---|---|
| Base DN | 「User Import Settings」の下のベース DN 設定を参照してください。 |
| フィルター | 「User Import Settings」の下のフィルター設定を参照してください。 以前のバージョンの CTP でのグループ フィルター設定 バージョン 3.1.2 より前の CTP では、LDAP フィルター設定にその他の属性およびテンプレートがありました。 |
| ネストされたグループの有効化 | ディレクトリのグループに他のグループが含まれている場合、この設定を有効にすると、LDAP サーバーの階層構造を維持することができます。 |
Attribute Mappings Attribute Mappings セクションでは、Parasoft User Administration オブジェクト属性を接続されたディレクトリ オブジェクト属性にマッピングする方法を定義します。デフォルトのマッピングを使用するか、ニーズに合わせて属性を設定することができます。 | |
| Name | デフォルト値は cn です。 |
| Description | デフォルト値は cn です。 |
| Member | デフォルト値は member です。詳細については「Advanced Settings」を参照してください。 |
詳細設定
User Administration が LDAP で実行するユーザーおよびグループ クエリーのスコープを指定できます。
| ユーザー検索のスコープ | ユーザー検索のスコープを設定するには、以下のいずれかのオプションを選択します。
|
|---|---|
| グループ検索のスコープ | グループ検索のスコープを設定するには、以下のいずれかのオプションを選択します。
|
| リフェラル | JNDI ルックアップを有効化するには、ドロップダウン メニューから [Follow] を選択します。DNS なしで設定された Active Directory サーバーの場合、このオプションを選択します。 Active Directory が指定されたサーバー名の外のリフェラルに対するドメイン名を返した場合、通信エラーを無視するには、ドロップダウン メニューから [Ignore] を選択します。 |
| Page size | この設定は、ページごとのレコード リクエスト数を指定します。ページ サイズを設定すると、サーバーはページを構築しながらページのデータを送信できます。デフォルト値は 1000 です。 |
| Membership strategy | この設定は、LDAP からユーザーをインポートするときにグループのメンバーシップを関連付ける方法を指定します。CTP は LDAP サーバーの
|
| Sync group membership | このオプションを有効にすると、LDAP のグループ メンバーシップに基づいてユーザーの属性およびパーミッションが更新されます。 このオプションが有効な場合、CTP はユーザー メンバーシップの記録システムとして LDAP を参照します。CTP で作成されたユーザー/グループの関連付けが LDAP でのメンバーシップの関連付けと異なる場合、CTP での関連付けは LDAP に格納された関連付けによって上書きされます。CTP はユーザー ディレクトリ ページに表示されているのと逆の順序でディレクトリ設定を適用します。結果として、リストの最上位のディレクトリが優先されるため、このディレクトリの Sync Group Membership を有効化するべきです。 このオプションはデフォルトでは無効です。 |
| Use DNs for membership | CTP がユーザーとグループの関連を設定するために LDAP からの識別名 (DN) を期待する場合、このオプションを有効にします。このオプションを無効にすると、ユーザーとグループは usernames および/または group 属性に基づいて関連付けられます。 デフォルト値は有効です。 |
| User primary groups | このオプションを有効にすると、Active Directory で定義された basic および Primary Groups を使用してユーザー グループのメンバーシップ情報を判断します。 このオプションはデフォルトでは無効です。 |
| Read timeout (ms) | CTP が LDAP サーバーからデータを取得する際、タイムアウトするまでの待機時間を指定します。 デフォルト値は |
| Connection timeout (ms) | CTP が LDAP サーバーに接続する際、タイムアウトするまでの待機時間を指定します。 デフォルト値は |
ユーザーのインポート
LDAP 接続の設定が完了したら、ディレクトリからユーザーをインポートできます。
- 設定メニューの [User Administration] を選択し、[User Directories] タブをクリックします。
- インポートするディレクトリのインポート ボタンをクリックします。
インポートされるユーザーを確認し、[次へ] をクリックして続行するか、[キャンセル] をクリックしてインポートせずに終了します。
既存のユーザーに関連付けられた属性は、LDAP サーバーのデータで上書きされます。
- インポートされるユーザー グループを確認します。グループ内のユーザーを参照するには、三角形をクリックします。
- [次へ] をクリックしてインポート設定を参照します。
- [インポート] をクリックしてユーザーのインポートを開始します。
インポートが完了すると、結果のサマリーが表示されます。
User Administration REST API
User Administration モジュールには、ユーザー管理タスクの自動化に使用できる専用の API があります。User Administration ページのヘルプ メニューから [API ドキュメント] を選択してください。ドキュメントには利用可能なエンドポイントが記載されています。API は、CTP の User Administration ページからだけアクセス可能です。
LDAP との同期の自動化
LDAP との同期を自動化する最も簡単な方法は、Jenkins 等の自動化ツールを使用してナイトリー ジョブをセットアップすることです。CURL コマンドを使用して LDAP との同期をトリガーできます。たとえば、次のように User Administration REST API (/pstsec/api) エンドポイントを呼び出します。
curl -u username:password -X POST "https://hostname:port/pstsec/api/v1.0/ldap/import/configurationName" -H "accept: application/json"
このサンプルの username、password、hostname、port、configurationName をユーザー固有の環境に合わせて置き換えてください。
