このセクションの内容:

はじめに

[ユーザーディレクトリ] 画面で、LDAP サーバーと同期するように User Administratio を設定できます。ディレクトリの設定を行う際は、LDAP/AD の管理者と連携してください。これにより、User Administration が組織のユーザーディレクトリサービスに対して認証できるようになります。

[ユーザー管理] ページで [ユーザーディレクトリ] をクリックし、ディレクトリ構成にアクセスします。

SSL による LDAP への接続

外部のツールやサービスと統合するために、TLS/SSL で安全性が保証された接続が必要なことがあります。 DTP は、信頼できる認証局によってサーバーの証明書が信頼/署名されていない場合、外部サーバーへの接続を拒否します。新しい信頼された証明書を追加するには、以下の操作を行います。

信頼された証明書を取得します。証明書の形式は、Java keytool アプリケーションが許容する形式であれば、どのような形式でも構いません。
次のコマンドを実行し、トラストストアに証明書をインポートします。
keytool -import -alias <new unique alias> -file <certificate file> -keystore <DTP_INSTALL>/jre/lib/security/cacerts
パスワードの確認があったら、パスワードとして changeit を使用します。
インポートについての確認があったら、証明書をインポートすることを確認します。
DTP サービスを再起動して変更を適用します。

証明書チェーンをインポートするには、証明書チェーンの証明書ごとにステップ 1-4 を繰り返します。このとき、ルート証明書から開始し、エンティティ証明書を最後にします。

トラストストアとアップグレード

アップグレード中、DTP は <DTP_INSTALL>/jre/lib/security/cacerts にある既存のトラストストアを保持します。このため、DTP を複数回アップグレードした場合、トラストストアに新しく信頼された認証局が含まれていない可能性があります。新しく信頼された認証局のいずれかによって署名された証明書を使用して DTP が外部サーバーに接続する必要がある場合は、<DTP_INSTALL>/jre/lib/security/cacerts にあるトラストストアを手動で更新する必要がある場合があります。

ユーザーディレクトリの設定

ディレクトリをクリックして既存の設定を編集するか、[ユーザーディレクトリの作成] をクリックして新しいディレクトリを設定します。ゴミ箱のアイコンをクリックしてユーザーディレクトリを削除します。

以下の設定を行うことができます。

全般的な設定

新しいディレクトリはデフォルトで有効になっています。LDAP サーバーと同期させないようにしたい場合は [有効] オプションをオフにします。ディレクトリ名は必須です。

サーバー設定

この設定は LDAP サーバーへの接続を指定します。設定が終わったら、[接続のテスト] をクリックし、User Administration が LDAP サーバーと通信できるかどうかを確認します。

ホスト名	LDAP サーバーのホスト名。
ポート	LDAP サーバーのポート。
SSL の使用	SSL を使って LDAP サーバーに接続するには、このオプションを有効化します。
認証情報
ユーザー名	LDAP サーバーが認証情報を要求する場合、このフィールドでユーザー名を指定します。
パスワード	LDAP サーバーが認証情報を要求する場合、このフィールドでパスワードを指定します。

ユーザーのインポート設定

設定が終わったら [ユーザーのインポート設定をテスト] をクリックし、保存する前に設定が正しいことを確認します。

ベース DN	ベース DN は、ディレクトリオブジェクトが存在するコンテキスト DN (識別名) です。空白にした場合、User Administration はディレクトリツリーのルート DN を使用します。ディレクトリツリー構造を定義するために、組織単位 (ou) およびドメインコンポーネント (dc) を使用します。この例では、ディレクトリツリーが次のように編成されているものとします。 `ou=US,ou=People,dc=company,dc=com` `ou=Europe,ou=People,dc=company,dc=com` `ou=Asia,ou=People,dc=company,dc=com` ヨーロッパとアジアのユーザーだけをスキャンするには、次のようにベース DN を入力します。 `ou=Europe,ou=People,dc=company,dc=com` `ou=Asia,ou=People,dc=company,dc=com`
フィルター	特定のパラメーターに対して検索するには、[フィルター] フィールドに式を入力します。指定したベース DN とスコープに対して検索が実行されます。以下はフィルターの使用方法の例です。指定したベース DN のユーザーを検索する: `(objectclass=person)` devel1 および devel2 ユーザーだけを検索する `(`objectclass=devel1)(objectclass=devel2) Managers グループのユーザーだけを検索する `(objectclass=person)`(memberOf=cn=Managers,cn=Users,ou=company,ou=com)) 以前のバージョンの DTP でのフィルター設定についてバージョン 5.4 より前の DTP では、LDAP のフィルター設定にさらに属性とテンプレートがありました。`uid={0}` です。この属性とテンプレートはバージョン 5.4 以降で削除されました。現在の LDAP ユーザーインポート機能との互換性のために、以前のバージョンからバージョン 5.4 以降にアップグレードした場合、`uid={0}` 属性は `uid=*` に設定されます。この変更による影響はないはずですが、ユーザーとグループのインポート設定が正しく機能しているか検証することを推奨します。
グループに制限	Group Import Settings で指定したグループに属するユーザーだけをインポートするには、このオプションを有効にします。[グループのインポート設定] で設定されたグループに属さないユーザーはインポートされません。
属性マッピング属性マッピングセクションでは、どのように User Administration の属性 (すなわちユーザーのログイン名、ファーストネーム、姓、電子メール) をディレクトリオブジェクトの属性 (すなわち、uid、givenName、sn、email) にマッピングするかを定義します。デフォルトのマッピング設定をそのまま使用することも、LDAP サーバーに合わせて設定を変更することもできます。ご使用の LDAP サーバーのドキュメントを参照してください。
ユーザー名	このフィールドは DTP のログイン名に使用されます。 `uid` 属性は、一般的に LDAP サーバーのユーザーを識別するために使用されます。Active Directory では、`sAMAccountName` 属性がクライアントのログイン名として使用されます。デフォルトは `uid` です。
名	このフィールドはユーザーのファーストネームとして使用されます: DTP。 `givenName` 属性は、一般的に LDAP サーバーでユーザーのファーストネームを指定するために使用されます。デフォルトは `givenName` です。
姓	このフィールドは DTP のユーザーの姓 (名字) として使用されます。 `sn` 属性は、一般的に LDAP サーバーでユーザーの姓 (名字) を指定するために使用されます。デフォルトは `sn` です。
E-mail アドレス	このフィールドは DTP ユーザーの電子メールアドレスとして使用されます。 `mail` 属性は、一般的に LDAP サーバーでユーザーの電子メールアドレスを指定するために使用されます。デフォルトは `mail` です。
Member Of	このフィールドは、 DTP で LDAP グループを使用して。デフォルトは `memberOf` です。詳細については「Advanced Settings」を参照してください。

グループのインポート設定

設定が終わったら [グループのインポート設定をテスト] をクリックし、保存する前に設定が正しいことを確認します。

グループのインポートを有効化	LDAP で設定したグループをインポートしたい場合、[グループのインポートを有効化] オプションを有効にします。
ベース DN	User Import Settings のベース DN の設定を参照してください。
フィルター	User Import Settingsのフィルター設定を参照してください。以前のバージョンの DTP でのグループフィルター設定についてバージョン 5.4 より前の DTP では、LDAP のフィルター設定にさらに属性とテンプレートがありました。`cn={0}` です。この属性とテンプレートはバージョン 5.4 以降で削除されました。現在の LDAP ユーザーインポート機能との互換性のために、以前のバージョンからバージョン 5.4 以降にアップグレードした場合、`cn={0}` 属性は cn=* に設定されます。この変更による影響はないはずですが、ユーザーとグループのインポート設定が正しく機能しているか検証することを推奨します。
ネストされたグループを有効化	グループがディレクトリの他のグループを含む場合、このオプションを有効にすることで、LDAP サーバーの階層構造を保つことができます。
Ancestor groups only	ネストされたグループには、他のグループに加えてユーザーが含まれることがあります。先祖とは、別のグループ内にネストされているグループの直接のメンバーであるユーザーです。次の例では、メンバー B と C が、グループ A 内にネストされているグループ内の先祖です。 [Ancestor groups only] オプションを有効にして [Ancestor group names] フィールドでグループ名を指定することで、ネストされたグループに関連付けられている直近のメンバーだけをインポートすることができます。[Ancestor group names] で指定されたグループのメンバーもインポートされます。
Ancestor group names	[Ancestor groups] オプションが有効の場合は、インポートしたい先祖を含むネストしたグループの名前を指定します。
属性マッピング属性マッピングセクションでは、どのように Parasoft User Administration オブジェクトの属性をディレクトリオブジェクトの属性にマッピングするかを定義します。デフォルトのマッピング設定をそのまま使用することも、ニーズに合わせて設定を変更することもできます。
名前	デフォルトは cn です。
説明	デフォルトは cn です。
メンバー	デフォルトは `member` です。詳細については「Advanced Settings」を参照してください。

詳細設定

LDAP で User Administration が実行するユーザー/グループ検索の範囲を指定できます。

ユーザー検索スコープ	ドロップダウンメニューから以下のいずれかのオプションを選択してユーザーの検索範囲を設定します。オブジェクト: ベース DN に検索を制限します。返されるオブジェクトの最大数は常に 1 です。 1 レベル: ベース DN の直接の子に検索を制限します。ベース DN オブジェクトも除外されます。サブツリー: すべての子オブジェクトおよびベース DN を検索します。他のディレクトリドメインまたはフォレストを始め、他の LDAP ディレクトリサービスへの紹介 (Referral) を追うよう LDAP プロバイダーに要求できます。
グループ検索スコープ	ドロップダウンメニューから以下のいずれかのオプションを選択してグループの検索範囲を設定します。オブジェクト: ベース DN に検索を制限します。返されるオブジェクトの最大数は常に 1 です。 1 レベル: ベース DN の直接の子に検索を制限します。ベース DN オブジェクトも除外されます。サブツリー: すべての子オブジェクトおよびベース DN を検索します。他のディレクトリドメインまたはフォレストを始め、他の LDAP ディレクトリサービスへの紹介 (Referral) を追うよう LDAP プロバイダーに要求できます。
紹介 (Referral)	JNDI ルックアップを有効にするには、ドロップダウンメニューから [従う] を選択します。DNS なしで設定された Active Directory サーバーにはこのオプションを選択します。サーバーで指定された名前以外のドメイン名を Active Directory が紹介で返した場合に、通信エラーを無視するには、ドロップダウンメニューから [無視] を選択します。
ページサイズ	1 ページあたりのレコードリクエスト数を指定します。デフォルトは 1000 です。
メンバーシップのストラテジ	LDAP からユーザーをインポートするときに、グループメンバーシップをどのように関連付けるかを指定します。 DTP は、ユーザーの `member` または `memberOf` 属性に基づいてユーザーを LDAP サーバーから関連付けることができます。 [グループの "Member" 属性を使用] を選択すると、グループの Member 属性に基づいて、グループがユーザーに関連付けられます。このメンバーシップのストラテジを使用するには Group Import Settings が有効でなければなりません。 [ユーザーの "Member Of" 属性を使用] を選択すると、ユーザーの Member Of 属性に基づいて、ユーザーがグループに関連付けられます。Member Of 属性は User Import Settings で設定できます。
グループメンバーシップの同期	LDAP のグループメンバーシップに基づいてユーザーの属性と権限を更新するには、このオプションを有効にします。有効にした場合、 DTP はユーザーメンバーシップを記録するシステムとして LDAP を参照します。 DTP で実施されたユーザー/グループの関連付けが、LDAP でのメンバーシップの関連付けと異なる場合、DTP での関連付けは、削除されるか、あるいは LDAP での関連付けによって上書きされます。DTP は、[ユーザーディレクトリ] ページの表示とは逆順でディレクトリ構成を適用します。結果として、リストの先頭のディレクトリが優先されます。また、このディレクトリは [グループメンバーシップの同期] が有効なディレクトリであるべきです。デフォルトは「無効」です。
DN をメンバーシップに使用する	DTP が LDAP サーバーの識別名 (DN) を利用してユーザーとグループの関連付けを実施することを期待する場合、この設定を有効にします。ユーザー名および/またはグループ属性に基づいてユーザーとグループを関連付ける場合、この設定を無効にします。デフォルトは「有効」です。
プライマリグループの使用	Active Directory で定義された基本グループとプライマリグループを利用してユーザーグループメンバーシップ情報を決定するには、この設定を有効にします。デフォルトは「無効」です。
読み込みタイムアウト (ミリ秒)	DTP が LDAP サーバーからのデータ読み込みを待機するタイムアウト時間を指定します。デフォルトは 120000 です。
接続タイムアウト (ミリ秒)	DTP が LDAP サーバーへの接続を待機するタイムアウト時間を指定します。デフォルトは 10000 です。

ディレクトリ優先度の設定

ディレクトリの順序は重要です。ユーザーとグループを検索するとき、User Administration はテーブルの上から順にディレクトリをチェックします。検索の順序を変更するには、ディレクトリをクリックしてドラッグします。

ユーザーのインポート

LDAP 接続を設定した後、ユーザーディレクトリからユーザーをインポートできます。

[ユーザー管理] 画面で [ユーザーディレクトリ] をクリックします。
インポートしたいディレクトリのインポートボタンをクリックします。
インポートするユーザーを確認し、[次へ] をクリックして次に進むか、[キャンセル] をクリックしてインポートをキャンセルします。
既存ユーザーに関連する属性は、LDAP サーバーのデータで上書きされます。
インポート先のユーザーグループを確認します。三角形のアイコンをクリックしてグループのユーザーを表示します。
[次へ] をクリックしてインポート設定を確認します。
[インポート] をクリックしてユーザーのインポートを開始します。

インポートが完了すると、結果のサマリーが表示されます。

User Administration REST API

User Administration モジュールには、ユーザー管理タスクを自動化できる専用の API が含まれています。[ユーザー管理] ページの [ヘルプ] メニューから [API ドキュメント] を選択してください。このドキュメントは利用できるエンドポイントについて説明しています。この API は、[ユーザー管理] ページからのみアクセスできます。

LDAP の同期の自動化

LDAP の同期を自動化する最も単純な方法は、Jenkins などの自動化ツールを使って夜間ジョブをセットアップすることです。cURL コマンドを使って、たとえば User Administration REST API (/pstsec/api) エンドポイントを呼び出して、LDAP の同期を実行できます:

curl -u username:password -X POST "https://hostname:port/pstsec/api/v1.0/ldap/import/configurationName" -H "accept: application/json"

この例では、username、password、hostname、port、および configurationName を実際の情報で置換してください。

Page tree

LDAP の設定