入れ子グループの管理

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

いくつかのディレクトリサーバーは、グループを別のグループのメンバーとして定義することを許可します。このような構造のグループは入れ子グループと呼ばれます。入れ子グループは、1 つの親グループからそのサブグループへの権限の継承を許可し、権限をシンプルにします。

This page describes how JIRA handles nested groups that exist in one or more of your directory servers. Note that if you're using nested groups, you can't use an LDAP directory for delegated authentication.

入れ子グループを有効にする

各ディレクトリの入れ子グループのサポートを個々に有効化または無効化できます。JIRA 管理メニューから ユーザーディレクトリ を選択してディレクトリを編集し、入れ子グループを有効にする を選択します。「ユーザー ディレクトリの設定」を参照してください。

メモ:

  • JIRA で特定のディレクトリ タイプの入れ子グループを有効にする前に、お使いのディレクトリ サーバーが入れ子グループをサポートしていることを確認してください。
  • 内部グループに内部グループ、または外部グループに外部グループを入れ子にすることができます。外部グループに内部グループを入れ子にしたり、その逆にすることはできません。
  • このページのこれ以降では、JIRA で入れ子グループが認証 (ログイン) や権限にどのように影響し、JIRA でユーザーやグループを更新した場合にどうなるかを説明します。

このページの内容:

入れ子グループの効果

このセクションでは、ログインと権限、ユーザーとグループの表示と更新で入れ子グループが持つ効果について説明しています。

ログイン

ユーザーがログインする時、認証済みグループまたはそのサブグループに属している場合、アプリケーションへのアクセスが許可されます。

権限

ユーザーが必要な権限を持つグループに属している場合、またはそのサブグループに属している場合、機能へのアクセスが許可されます。

グループ メンバーのリストを表示する

グループのメンバーを表示しようとする場合、グループの全ユーザー、およびそのサブグループに属するすべてのユーザーが1つのリストにまとめられて表示されます。このリストを「フラット」リストと呼びます。

ネストされたグループ自体を表示または編集したり、1 つのグループが別のグループのメンバーであるかどうかを確認したりすることはできません。

グループ メンバーシップを追加、更新する

グループにユーザーを追加する場合、ユーザーは指定したグループに追加され、他のグループには追加されません。

ユーザーをフラットリストから削除しようとすると、以下のことが起きます。

  • ユーザーが、フラットリストに含まれるグループのヒエラルキー (ツリー) の一番上のグループのメンバーである場合、ユーザーはグループから削除されます。
  • そうでない場合、ユーザーがグループの直接のメンバーではないことを示すエラー メッセージが表示されます。

例1:ユーザーがサブグループのメンバーである

ディレクトリ サーバー内に次の 2 つのサーバーが存在すると想像してください。

  • staff
  • マーケティング

メンバーシップ:

  • marketing グループは staff グループのメンバーです。
  • ユーザー jsmithmarketing グループのメンバーです。

jsmithmarketing グループと staff グループの両方のメンバーに見えます。2つのグループが入れ子になっていることは確認できません。staff グループに権限を割り当てると、ユーザー jsmith は権限を得ます。

例 2:「jira-developers」グループのメンバーとしてのサブグループ

LDAP ディレクトリ サーバーに、「engineering-group」と「techwriters-group」の2つのグループがあります。両グループに JIRA サイトへの開発者レベル アクセスを許可したいと考えています。開発者レベルのアクセスの権限を持つ「jira-developers」というグループを作成します。

  • jira-developers」というグループを追加します。
  • jira-developers」のサブグループとして「engineering-group」を追加します。
  • jira-developers」のサブグループとして「techwriters-group」を追加します。

グループのメンバーシップは現在、以下のようになっています。

  • jira-developers — サブグループ: engineering-grouptechwriters-group
  • engineering-group — サブグループ: dev-adev-b、ユーザ: pblack
  • dev-a — ユーザー: jsmithsbrown
  • dev-b — ユーザー: jsmithdblue
  • techwriters-group — ユーザー:rgreen

JIRA アプリケーションが「jira-developers」グループのユーザー一覧をリクエストした場合、以下の一覧を受け取ります。

  • pblack
  • jsmith
  • sbrown
  • dblue
  • rgreen


図: jira-developers」グループのメンバーとしてのサブグループ

入れ子グループ GliffyDiagram-JIRA

注意

  • パフォーマンスに影響を与える可能性。入れ子グループを有効にすると、ユーザー検索が遅くなる可能性があります。
  • LDAP 内のネスト グループの定義。LDAP ディレクトリのネスト グループは、親グループ エントリに含まれる属性で参照される DN (識別名) を持つ子グループ エントリです。たとえば親グループ "Group 1" は、objectClass=group 属性と 1 つ以上の member=DN 属性 (ユーザーのものまたはLDAP 内のほかのグループのもの) を持つことができます。

    member=CN=John Smith,OU=Users,OU=OrgUnitA,DC=sub,DC=domain
    member=CN=Group Two,OU=OrgUnitBGroups,OU=OrgUnitB,DC=sub,DC=domain
    

関連トピック

ユーザー ディレクトリの設定

最終更新日 2017 年 9 月 3 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.