User Administration モジュールは、ユーザー認証と LDAP サーバーとの統合を容易にします。このセクションの内容:

SLL を介してディレクトリサーバーに接続するには、ディレクトリサービスの証明書を DTP が信頼する必要があります。トラストストアに証明書を追加する方法については「信頼された証明書の追加」を参照してください。

ユーザーディレクトリへのアクセス

設定メニュー (歯車のアイコン) から [User Administration] を選択し、[ユーザーディレクトリ] をクリックします。既存のユーザーディレクトリが表示されます。

Parasoft DTP 5.4.2 (Japanese) > LDAP の設定 > dtp-add-user-dir-540.png

以下の操作を行うことができます。

[ユーザーディレクトリの作成] をクリックしてディレクトリ設定を行い、新しいユーザーディレクトリ設定を追加します (「ユーザーディレクトリの設定」を参照)。
既存のディレクトリ名または URL をクリックし、ディレクトリ設定を編集します (「ユーザーディレクトリの設定」を参照)。
インポートボタンをクリックして、ディレクトリに関連するユーザーを DTP に追加します (「ユーザーのインポート」を参照)。
ゴミ箱のアイコンをクリックしてユーザーディレクトリを削除します。
ディレクトリをドラッグして順序を入れ替えます。[ユーザー] および [グループ] で検索機能を使用する際、[ユーザーディレクトリ] の順序でディレクトリがチェックされます。

ユーザーディレクトリの設定

ディレクトリをクリックして既存の設定を編集するか、[ユーザーディレクトリの作成] をクリックして新しいディレクトリを設定します。以下の設定を行うことができます。

全般的な設定

新しいディレクトリはデフォルトで有効になっています。LDAP サーバーと同期させないようにしたい場合は [有効] オプションをオフにします。

ディレクトリ名は必須です。

サーバー設定

この設定は LDAP サーバーへの DTP の接続を指定します。設定が終わったら、[接続のテスト] をクリックし、DTP が LDAP サーバーと通信できるかどうかを確認します。

ホスト名	LDAP サーバーのホスト名。
ポート	LDAP サーバーのポート。
SSL の使用	SSL を使って LDAP サーバーに接続するには、このオプションを有効化します。
認証情報
ユーザー名	LDAP サーバーが認証情報を要求する場合、このフィールドでユーザー名を指定します。
パスワード	LDAP サーバーが認証情報を要求する場合、このフィールドでパスワードを指定します。

ユーザーのインポート設定

設定が終わったら [ユーザーのインポート設定をテスト] をクリックし、保存する前に設定が正しいことを確認します。

ベース DN

ベース DN は、ディレクトリオブジェクトが存在するコンテキスト DN (識別名) です。空白にした場合、DTP はディレクトリツリーのルート DN を使用します。ディレクトリツリー構造を定義するために、組織単位 (ou) およびドメインコンポーネント (dc) を使用します。

この例では、ディレクトリツリーが次のように編成されているものとします。

ou=US,ou=People,dc=company,dc=com

ou=Europe,ou=People,dc=company,dc=com

ou=Asia,ou=People,dc=company,dc=com

ヨーロッパとアジアのユーザーだけをスキャンするには、次のようにベース DN を入力します。

ou=Europe,ou=People,dc=company,dc=com

ou=Asia,ou=People,dc=company,dc=com

フィルター

特定のパラメーターに対して検索するには、[フィルター] フィールドに式を入力します。指定したベース DN とスコープに対して検索が実行されます。以下はフィルターの使用方法の例です。

指定したベース DN のユーザーを検索する:

(objectclass=person)

devel1 および devel2 ユーザーだけを検索する

(objectclass=devel1)(objectclass=devel2)

Managers グループのユーザーだけを検索する

(objectclass=person)(memberOf=cn=Managers,cn=Users,ou=company,ou=com))

バージョン 5.4 より前の DTP では、LDAP のフィルター設定にさらに属性とテンプレートがありました。uid={0} です。この属性とテンプレートはバージョン 5.4 以降で削除されました。現在の LDAP ユーザーインポート機能との互換性のために、以前のバージョンからバージョン 5.4 以降にアップグレードした場合、uid={0} 属性は uid=* に設定されます。この変更による影響はないはずですが、ユーザーとグループのインポート設定が正しく機能しているか検証することを推奨します。

グループに制限 グループのインポート設定で指定したグループに属するユーザーだけをインポートするには、このオプションを有効にします。[グループのインポート設定] で設定されたグループに属さないユーザーはインポートされません。

属性マッピング

属性マッピングセクションでは、どのように DTP ユーザー定義 (すなわち DTP ユーザーのログイン名、ファーストネーム、姓、電子メール) をディレクトリオブジェクト属性 (すなわち、uid、givenName、sn、email) にマッピングするかを定義します。デフォルトのマッピング設定をそのまま使用することも、LDAP サーバーに合わせて設定を変更することもできます。ご使用の LDAP サーバーのドキュメントを参照してください。

ユーザー名

このフィールドは DTP でユーザーのログイン名として使用されます。uid 属性は、一般的に LDAP サーバーのユーザーを識別するために使用されます。Active Directory では、sAMAccountName 属性がクライアントのログイン名として使用されます。

デフォルトは uid です。

名

このフィールドは DTP でユーザーのファーストネームとして使用されます。givenName 属性は、一般的に LDAP サーバーでユーザーのファーストネームを指定するために使用されます。

デフォルトは givenName です。

姓このフィールドは DTP でユーザーの姓 (名字) として使用されます。sn 属性は、一般的に LDAP サーバーでユーザーの姓 (名字) を指定するために使用されます。デフォルトは sn です。

E-mail アドレスこのフィールドは DTP でユーザーの電子メールアドレスとして使用されます。mail 属性は、一般的に LDAP サーバーでユーザーの電子メールアドレスを指定するために使用されます。デフォルトは mail です。

Member Of このフィールドは DTP でユーザーと LDAP グループを関連付けるために使用されます。デフォルトは memberOf です。詳細については「詳細設定」を参照してください。

グループのインポート設定

設定が終わったら [グループのインポート設定をテスト] をクリックし、保存する前に設定が正しいことを確認します。

グループのインポートを有効化 LDAP で設定したグループをインポートしたい場合、[グループのインポートを有効化] オプションを有効にします。

ベース DN ユーザーのインポート設定のベース DN の設定を参照してください。

フィルター

ユーザーのインポート設定のフィルター設定を参照してください。

バージョン 5.4 より前の DTP では、LDAP のフィルター設定にさらに属性とテンプレートがありました。cn={0} です。この属性とテンプレートはバージョン 5.4 以降で削除されました。現在の LDAP ユーザーインポート機能との互換性のために、以前のバージョンからバージョン 5.4 以降にアップグレードした場合、cn={0} 属性は cn=* に設定されます。この変更による影響はないはずですが、ユーザーとグループのインポート設定が正しく機能しているか検証することを推奨します。

ネストされたグループを有効化 グループがディレクトリの他のグループを含む場合、このオプションを有効にすることで、LDAP サーバーの階層構造を保つことができます。

Ancestor groups only

ネストされたグループには、他のグループに加えてユーザーが含まれることがあります。先祖とは、別のグループ内にネストされているグループの直接のメンバーであるユーザーです。次の例では、メンバー B と C が、グループ A 内にネストされているグループ内の先祖です。

Parasoft DTP 5.4.2 (Japanese) > LDAP の設定 > dtp-ancestor-groups1-542.png

[Ancestor groups only] オプションを有効にして [Ancestor group names] フィールドでグループ名を指定することで、ネストされたグループに関連付けられている直近のメンバーだけをインポートすることができます。[Ancestor group names] で指定されたグループのメンバーもインポートされます。

Parasoft DTP 5.4.2 (Japanese) > LDAP の設定 > dtp-ancestor-groups2-542.png

Ancestor group names [Ancestor groups] オプションが有効の場合は、インポートしたい先祖を含むネストしたグループの名前を指定します。

属性マッピング

属性マッピングセクションでは、どのように Parasoft User Administration オブジェクトの属性をディレクトリオブジェクトの属性にマッピングするかを定義します。デフォルトのマッピング設定をそのまま使用することも、ニーズに合わせて設定を変更することもできます。

名前デフォルトは cn です。

説明デフォルトは cn です。

メンバーデフォルトは member です。詳細については「詳細設定」を参照してください。

詳細設定

LDAP で User Administration が実行するユーザー/グループ検索の範囲を指定できます。

ユーザー検索スコープ	ドロップダウンメニューから以下のいずれかのオプションを選択してユーザーの検索範囲を設定します。オブジェクト: ベース DN に検索を制限します。返されるオブジェクトの最大数は常に 1 です。 1 レベル: ベース DN の直接の子に検索を制限します。ベース DN オブジェクトも除外されます。サブツリー: すべての子オブジェクトおよびベース DN を検索します。他のディレクトリドメインまたはフォレストを始め、他の LDAP ディレクトリサービスへの紹介 (Referral) を追うよう LDAP プロバイダーに要求できます。
グループ検索スコープ	ドロップダウンメニューから以下のいずれかのオプションを選択してグループの検索範囲を設定します。オブジェクト: ベース DN に検索を制限します。返されるオブジェクトの最大数は常に 1 です。 1 レベル: ベース DN の直接の子に検索を制限します。ベース DN オブジェクトも除外されます。サブツリー: すべての子オブジェクトおよびベース DN を検索します。他のディレクトリドメインまたはフォレストを始め、他の LDAP ディレクトリサービスへの紹介 (Referral) を追うよう LDAP プロバイダーに要求できます。
紹介 (Referral)	JNDI ルックアップを有効にするには、ドロップダウンメニューから [従う] を選択します。DNS なしで設定された Active Directory サーバーにはこのオプションを選択します。サーバーで指定された名前以外のドメイン名を Active Directory が紹介で返した場合に、通信エラーを無視するには、ドロップダウンメニューから [無視] を選択します。
ページサイズ	1 ページあたりのレコードリクエスト数を指定します。デフォルトは 1000 です。
メンバーシップのストラテジ	LDAP からユーザーをインポートするときに、グループメンバーシップをどのように関連付けるかを指定します。DTP は、ユーザーの `member` または `memberOf` 属性に基づいてユーザーを LDAP サーバーから関連付けることができます。 [グループの "Member" 属性を使用] を選択すると、グループの Member 属性に基づいて、DTP はグループをユーザーに関連付けます。このメンバーシップのストラテジを使用するにはグループのインポート設定が有効でなければなりません。 [ユーザーの "Member Of" 属性を使用] を選択すると、ユーザーの Member Of 属性に基づいて、DTP はユーザーをグループに関連付けます。Member Of 属性はユーザーのインポート設定で設定できます。
グループメンバーシップの同期	LDAP のグループメンバーシップに基づいてユーザーの属性と権限を更新するには、このオプションを有効にします。有効にした場合、ユーザーメンバーシップを記録するシステムとして DTP は LDAP を参照します。DTP で実施されたユーザー/グループの関連付けが、LDAP でのメンバーシップの関連付けと異なる場合、DTP での関連付けは、削除されるか、あるいは LDAP での関連付けによって上書きされます。DTP は、[ユーザーディレクトリ] ページの表示とは逆順でディレクトリ構成を適用します。結果として、リストの先頭のディレクトリが優先されます。また、このディレクトリは [グループメンバーシップの同期] が有効なディレクトリであるべきです。デフォルトは「無効」です。
DN をメンバーシップに使用する	LDAP の識別名 (DN) を利用してユーザーとグループの関連付けを実施する場合、この設定を有効にします。ユーザー名および/またはグループ属性に基づいてユーザーとグループを関連付ける場合、この設定を無効にします。デフォルトは「有効」です。
プライマリグループの使用	Active Directory で定義された基本グループとプライマリグループを利用してユーザーグループメンバーシップ情報を決定するには、この設定を有効にします。デフォルトは「無効」です。
読み込みタイムアウト (ミリ秒)	LDAP サーバーからのデータ読み込みを待機するタイムアウト時間を指定します。デフォルトは 120000 です。
接続タイムアウト (ミリ秒)	LDAP サーバーへの接続を待機するタイムアウト時間を指定します。デフォルトは 10000 です。

ユーザーのインポート

LDAP 接続を設定した後、ユーザーディレクトリからユーザーをインポートできます。

設定メニュー (歯車のアイコン) から [User Administration] を選択し、[ユーザーディレクトリ] をクリックします。
インポートしたいディレクトリのインポートボタンをクリックします。
インポートするユーザーを確認し、[次へ] をクリックして次に進むか、[キャンセル] をクリックしてインポートをキャンセルします。
既存ユーザーに関連する属性は、LDAP サーバーのデータで上書きされます。
インポート先のユーザーグループを確認します。三角形のアイコンをクリックしてグループのユーザーを表示します。
[次へ] をクリックしてインポート設定を確認します。
[インポート] をクリックしてユーザーのインポートを開始します。

インポートが完了すると、結果のサマリーが表示されます。

User Administration REST API

User Administration モジュールには、ユーザー管理タスクを自動化できる専用の API が含まれています。User Administration ページの [ヘルプ] メニューから [API Documentation] を選択してください。このドキュメントは利用できるエンドポイントについて説明しています。この API は、DTP の User Administration ページからのみアクセスできます。

Parasoft DTP 5.4.2 (Japanese) > LDAP の設定 > ldap-api-540.png

LDAP の同期の自動化

LDAP の同期を自動化する最も単純な方法は、Jenkins などの自動化ツールを使って夜間ジョブをセットアップすることです。cURL コマンドを使って、たとえば User Administration REST API (/pstsec/api) エンドポイントを呼び出して、LDAP の同期を実行できます:

curl -u username:password -X POST "https://hostname:port/pstsec/api/v1.0/ldap/import/configurationName" -H "accept: application/json"

この例では、username、password、hostname、port、および configurationName を実際の情報で置換してください。

ユーザー ディレクトリへのアクセス

ユーザー ディレクトリの設定