このセクションの内容:
はじめに
[ユーザー ディレクトリ] 画面で、LDAP サーバーと同期するように User Administratio を設定できます。ディレクトリの設定を行う際は、LDAP/AD の管理者と連携してください。これにより、User Administration が組織のユーザー ディレクトリ サービスに対して認証できるようになります。
[ユーザー管理] ページで [ユーザー ディレクトリ] をクリックし、ディレクトリ構成にアクセスします。
SSL による LDAP への接続
外部のツールやサービスと統合するために、TLS/SSL で安全性が保証された接続が必要なことがあります。 User Administration は、サーバーの証明書が信頼できないか、信頼できる認証局によって署名されていない場合、外部サーバーへの接続を拒否します。 新しい信頼された証明書を追加するには、以下の操作を行います。 信頼された証明書を取得します。証明書の形式は、Java keytool アプリケーションが許容する形式であれば、どのような形式でも構いません。 次のコマンドを実行し、トラストストアに証明書をインポートします。 問い合わせがあったら、パスワードとして changeit を入力します。 インポートについての確認があったら、証明書をインポートすることを確認します。 User Administration を再起動して変更を適用します。 証明書チェーンをインポートするには、証明書チェーンの証明書ごとにステップ 1-4 を繰り返します。このとき、ルート証明書から開始し、エンティティ証明書を最後にします。 トラストストアとアップグレード アップグレード中、License Server は keytool -import -alias <new unique alias> -file <certificate file> -keystore <LS_INSTALL>/app/jre/lib/security/cacerts
<LS_INSTALL>/app/jre/lib/security/cacerts
にある既存のトラストストアを保持します。このため、License Server を複数回アップグレードした場合、トラストストアに新しく信頼された認証局が含まれていない可能性があります。新しく信頼された認証局のいずれかによって署名された証明書を使用して License Server が外部サーバーに接続する必要がある場合は、<LS_INSTALL>/app/jre/lib/security/cacerts
にあるトラストストアを手動で更新する必要がある場合があります。
ユーザー ディレクトリの設定
ディレクトリをクリックして既存の設定を編集するか、[ユーザー ディレクトリの作成] をクリックして新しいディレクトリを設定します。ゴミ箱のアイコンをクリックしてユーザー ディレクトリを削除します。
以下の設定を行うことができます。
全般的な設定
新しいディレクトリはデフォルトで有効になっています。LDAP サーバーと同期させないようにしたい場合は [有効] オプションをオフにします。ディレクトリ名は必須です。
サーバー設定
この設定は LDAP サーバーへの接続を指定します。設定が終わったら、[接続のテスト] をクリックし、User Administration が LDAP サーバーと通信できるかどうかを確認します。
ホスト名 | LDAP サーバーのホスト名。 |
---|---|
ポート | LDAP サーバーのポート。 |
SSL の使用 | SSL を使って LDAP サーバーに接続するには、このオプションを有効化します。 |
認証情報 | |
ユーザー名 | LDAP サーバーが認証情報を要求する場合、このフィールドでユーザー名を指定します。 |
パスワード | LDAP サーバーが認証情報を要求する場合、このフィールドでパスワードを指定します。 |
ユーザーのインポート設定
設定が終わったら [ユーザーのインポート設定をテスト] をクリックし、保存する前に設定が正しいことを確認します。
ベース DN | ベース DN は、ディレクトリ オブジェクトが存在するコンテキスト DN (識別名) です。空白にした場合、User Administration はディレクトリ ツリーのルート DN を使用します。ディレクトリ ツリー構造を定義するために、組織単位 (ou) およびドメイン コンポーネント (dc) を使用します。 この例では、ディレクトリ ツリーが次のように編成されているものとします。
ヨーロッパとアジアのユーザーだけをスキャンするには、次のようにベース DN を入力します。
|
---|---|
フィルター | 特定のパラメーターに対して検索するには、[フィルター] フィールドに式を入力します。指定したベース DN とスコープに対して検索が実行されます。以下はフィルターの使用方法の例です。 指定したベース DN のユーザーを検索する:
devel1 および devel2 ユーザーだけを検索する
Managers グループのユーザーだけを検索する
|
グループに制限 | グループのインポート設定 で指定したグループに属するユーザーだけをインポートするには、このオプションを有効にします。[グループのインポート設定] で設定されたグループに属さないユーザーはインポートされません。 |
属性マッピング 属性マッピング セクションでは、どのように User Administration の属性 (すなわちユーザーのログイン名、ファースト ネーム、姓、電子メール) をディレクトリ オブジェクトの属性 (すなわち uid、givenName、sn、email) にマッピングするかを定義します。デフォルトのマッピング設定をそのまま使用することも、LDAP サーバーに合わせて設定を変更することもできます。ご使用の LDAP サーバーのドキュメントを参照してください。 | |
ユーザー名 | このフィールドは、User Administration でログイン名に使用されます。 uid 属性は、一般的に LDAP サーバーのユーザーを識別するために使用されます。Active Directory では、 デフォルトは |
名 | このフィールドは、User Administration でユーザーの名 (ファースト ネーム) として使用されます。 デフォルトは |
姓 | このフィールドは、User Administration でユーザーの姓 (ラスト ネーム) として使用されます。 |
E-mail アドレス | このフィールドは、User Administration でユーザーの電子メール アドレスとして使用されます。 |
Member Of | このフィールドは、User Administration でユーザーを LDAP グループに関連付けるために使用されます。 デフォルトは |
グループのインポート設定
設定が終わったら [グループのインポート設定をテスト] をクリックし、保存する前に設定が正しいことを確認します。
グループのインポートを有効化 | LDAP で設定したグループをインポートしたい場合、[グループのインポートを有効化] を有効にします。 |
---|---|
ベース DN | ユーザーのインポート設定 のベース DN の設定を参照してください。 |
フィルター | ユーザーのインポート設定のフィルター設定を参照してください。 |
ネストされたグループを有効化 | グループがディレクトリの他のグループを含む場合、このオプションを有効にすることで、LDAP サーバーの階層構造を保つことができます。 |
先祖グループだけ | ネストされたグループには、他のグループに加えてユーザーが含まれることがあります。先祖とは、別のグループ内にネストされているグループの直接のメンバーであるユーザーです。次の例では、メンバー B と C が、グループ A 内にネストされているグループ内の先祖です。 [先祖グループだけ] オプションを有効にして [先祖グループ名] フィールドでグループ名を指定することで、ネストされたグループに関連付けられている直近のメンバーだけをインポートすることができます。[先祖グループ名] で指定されたグループのメンバーもインポートされます。 |
先祖グループ名 | [先祖グループ] オプションが有効の場合は、インポートしたい先祖を含むネストしたグループの名前を指定します。 |
属性マッピング 属性マッピング セクションでは、どのように Parasoft User Administration オブジェクトの属性をディレクトリ オブジェクトの属性にマッピングするかを定義します。デフォルトのマッピング設定をそのまま使用することも、ニーズに合わせて設定を変更することもできます。 | |
名前 | デフォルトは cn です。 |
説明 | デフォルトは cn です。 |
メンバー | デフォルトは member です。詳細については「詳細設定」を参照してください。 |
詳細設定
LDAP で User Administration が実行するユーザー/グループ検索の範囲を指定できます。
ユーザー検索スコープ | メニューから以下のいずれかのオプションを選択してユーザーの検索範囲を設定します。
|
---|---|
グループ検索スコープ | メニューから以下のいずれかのオプションを選択してグループの検索範囲を設定します。
|
紹介 (Referral) | JNDI ルックアップを有効化するには、メニューから [Follow] を選択します。DNS なしで設定された Active Directory サーバーにはこのオプションを選択します。 Active Directory が指定されたサーバー名の外のリフェラルに対するドメイン名を返した場合、通信エラーを無視するには、メニューから [Ignore] を選択します。 |
ページ サイズ | 1 ページあたりのレコード リクエスト数を指定します。ページ サイズを設定すると、サーバーはページを構築しながらページのデータを送信できます。デフォルト値は 1000 です。 |
メンバーシップのストラテジ | LDAP からユーザーをインポートするときに、グループ メンバーシップをどのように関連付けるかを指定します。 User Administration は LDAP サーバーの
|
グループ メンバーシップの同期 | LDAP のグループ メンバーシップに基づいてユーザーの属性と権限を更新するには、このオプションを有効にします。有効にした場合、User Administration はユーザー メンバーシップを記録するシステムとして LDAP を参照します。User Administration で実施されたユーザー/グループの関連付けが、LDAP でのメンバーシップの関連付けと異なる場合、User Administration での関連付けは、削除されるか、あるいは LDAP での関連付けによって上書きされます。User Administration は、[ユーザー ディレクトリ] ページの表示とは逆順でディレクトリ構成を適用します。 結果として、リストの先頭のディレクトリが優先されます。また、このディレクトリは [グループ メンバーシップの同期] が有効なディレクトリであるべきです。 デフォルトは「無効」です。 |
DN をメンバーシップに使用する | LDAP サーバーの 識別名 (DN) を利用してユーザーとグループの関連付けを実施する場合、この設定を有効にします。 ユーザー名および/またはグループ属性に基づいてユーザーとグループを関連付ける場合、この設定を無効にします。 デフォルトは「有効」です。 |
プライマリ グループの使用 | Active Directory で定義された基本グループとプライマリ グループを利用してユーザー グループ メンバーシップ情報を決定するには、この設定を有効にします。 デフォルトは「無効」です。 |
読み込みタイムアウト (ミリ秒) | User Administration が LDAP サーバーからデータを取得する際、タイムアウトするまでの待機時間を指定します。 デフォルト値は |
接続タイムアウト (ミリ秒) | User Administration が LDAP サーバーに接続する際、タイムアウトするまでの待機時間を指定します。 デフォルト値は |
ディレクトリ優先度の設定
ディレクトリの順序は重要です。ユーザーとグループを検索するとき、User Administration はテーブルの上から順にディレクトリをチェックします。検索の順序を変更するには、ディレクトリをクリックしてドラッグします。
ユーザーのインポート
LDAP 接続を設定した後、ユーザー ディレクトリからユーザーをインポートできます。
- [ユーザー管理] 画面で [ユーザー ディレクトリ] をクリックします。
- インポートしたいディレクトリのインポート アイコンをクリックします。
インポートするユーザーを確認し、[次へ] をクリックして次に進むか、[キャンセル] をクリックしてインポートをキャンセルします。以下の属性には文字数制限があることに注意してください。
ユーザー名: 70 文字
- 名: 49 文字
- 姓: 81 文字
Email アドレス: 256 文字
既存ユーザーに関連する属性は、LDAP サーバーのデータで上書きされます。
- インポート先のユーザー グループを確認します。三角形のアイコンをクリックしてグループのユーザーを表示します。
- [次へ] をクリックしてインポート設定を確認します。
- [インポート] をクリックしてユーザーのインポートを開始します。
インポートが完了すると、結果のサマリーが表示されます。
グループ メンバーのインポート
グループのインポート設定を適切に構成すると、いくつかの方法で LDAP グループのメンバーを同期できます。
- (手動) - ユーザー ディレクトリ UI の [インポート] アイコンをクリックします。「ユーザーのインポート」を参照してください。
- (自動) - REST API を呼び出す定期ジョブを設定します。「LDAP の同期の自動化」を参照してください。
- (自動) - LDAP グループに属するユーザーとしてDTPにログインします。ユーザが存在しない場合は、User Administrationで自動的に作成されます。
User Administration を複数の LDAP サーバーを使用するよう設定している場合、グループは、最初に一致した LDAP グループに基づいて同期化されます。
User Administration REST API
User Administration モジュールには、ユーザー管理タスクを自動化できる専用の API が含まれています。[ユーザー管理] ページの [ヘルプ] メニューから [API ドキュメント] を選択してください。このドキュメントは利用できるエンドポイントについて説明しています。この API は、User Administration ページからのみアクセスできます。
LDAP の同期の自動化
LDAP の同期を自動化する最も単純な方法は、Jenkins などの自動化ツールを使って夜間ジョブをセットアップすることです。curl コマンドを使って、たとえば User Administration REST API (/pstsec/api
) エンドポイントを呼び出して、LDAP の同期を実行できます:
curl -u username:password -X POST "https://hostname:port/pstsec/api/v1.0/ldap/import/configurationName" -H "accept: application/json"
この例では、username
、password
、hostname
、port
、および configurationName
を実際の情報で置換してください。