LDAP 認証による内部ディレクトリへの接続

委任認証用に Jira アプリケーションを LDAP ディレクトリに接続できます。つまり、Jira には、認証のみに LDAP を使用する内部ディレクトリがあります。設定セクションで説明したように、ログインを試みた時に、内部ディレクトリにユーザーを自動的に作成するオプションがあります。

LDAP ディレクトリを委任認証に使用することにした場合は、入れ子グループを使用できません

On this page:

Managing 500+ users across Atlassian products?
Find out how easy, scalable and effective it can be with Crowd!
See centralized user management.

概要

次のすべての手順を行うには、Jira システム管理者グローバル権限を持つユーザーとしてログインする必要があります。

LDAP 認証を使用した内部ディレクトリは、内部ディレクトリの機能を提供しながら、LDAP でのみユーザーのパスワードを保存してチェックすることができます。「LDAP 認証を使用した内部ディレクトリ」は、既定の「内部ディレクトリ」とは異なります。LDAP では、アプリケーションが行う操作はパスワードのチェックのみです。LDAP は読み取り専用です。LDAP 認証を使用する内部ディレクトリ内の各ユーザーは、ユーザーを LDAP 上にマッピングする必要があります。そうでない場合はログインできません。

このオプションを使用するタイミング: ニーズに合わせてアプリケーション内でユーザーやグループ設定を行い、LDAP ディレクトリに対してユーザーのパスワードをチェックする場合はこのオプションを選択します。また、このオプションは、LDAP から多数のグループをダウンロードした結果発生する、パフォーマンスの問題を回避するのにも役立ちます。

認証によって Jira を内部ディレクトリに接続する

内部ディレクトリに接続するが、LDAP 経由でログインを確認するには:

  1. 画面右上で [管理] > [ユーザー管理] の順に選択します。

  2. サイドバーで、[ユーザー ディレクトリ] を選択します。
  3. [ディレクトリを追加] を選択して、[内部 (LDAP 認証)] を選択します。
  4. 以下に説明するように、設定に値を入力します。
  5. Save the directory settings.
  6. [ユーザー ディレクトリ] 画面の各ディレクトリの横にある青い上下矢印をクリックして、ディレクトリの順序を定義します。リストの一番上に「認証付きの内部ディレクトリ」を含めることをおすすめします。
    ディレクトリの順序がどういった影響をもたらすかを説明します。
    • ディレクトリの順序は、ユーザーおよびグループの検索順序です。
    • ユーザーおよびグループへの変更は、アプリケーションが変更権限を持つ最初のディレクトリに対してのみ行われます。
    詳細については、「複数のディレクトリの管理」を参照してください。
  7. Jira でユーザーとグループを追加します。「ユーザーを管理する」と「グループを管理する」を参照してください。

サーバー設定

設定

説明

名前

ディレクトリを識別するのに役立つ説明的な名前にします。例:

  • Internal directory with LDAP Authentication
  • Corporate LDAP for Authentication Only

ディレクトリ タイプ

接続する LDAP ディレクトリのタイプを選択します。新しい LDAP 接続を追加する場合、ここで選択した値によって、画面の残りのオプションの一部のデフォルト値が決定します。例:

  • Microsoft Active Directory
  • OpenDS
  • その他。

ホスト名

ディレクトリ サーバのホスト名。例:

  • ad.example.com
  • ldap.example.com
  • opends.example.com

ポート

ディレクトリ サーバーがリスンするポート。例:

  • 389
  • 10389
  • 636 (例: SSL 用)

SSL を使用する

ディレクトリ サーバーへの接続が SSL (Secure Sockets Layer) 接続の場合は、このボックスをオンにします。この設定を使用するには、SSL 証明書を設定する必要があります。

ユーザ名

ディレクトリ サーバーに接続する際にアプリケーションが使用するユーザーの識別名。例:

  • cn=administrator,cn=users,dc=ad,dc=example,dc=com
  • cn=user,dc=domain,dc=name
  • user@domain.name

パスワード

上記で指定したユーザーのパスワード。

初回ログイン時にユーザーをコピーする

設定

説明

ログイン時にユーザーをコピーする

このユーザーは、ユーザーがログインを試みた際の動作に影響します。このボックスをオンにすると、ユーザーの初回ログイン時、LDAP が認証に使用している内部ディレクトリ内にユーザーが自動的に作成され、その後の同期のたびに詳細が同期されます。このボックスがオフになっている場合、ユーザーがディレクトリ内で作成されていない場合、ユーザーのログインは失敗します。

このボックスをオンにすると、次の追加フィールドが画面に表示されます。詳細は以下を参照してください。

  • 既定のグループ メンバーシップ
  • グループメンバーシップの同期
  • ユーザースキーマ設定 (以下の別のセクションに記載)

ログイン時にユーザーの属性を更新する

アプリケーションに対してユーザーを認証するたびに、LDAP サーバーからアプリケーションへと属性が自動更新されます。このオプションを選択した後、アプリケーション内で直接ユーザーを変更または削除する必要があります。

  • ユーザーを変更する必要がある場合は、LDAP サーバー上で実行します。認証後にアプリケーションで更新されます。
  • ユーザーを削除する必要がある場合は、LDAP サーバーとアプリケーションで実行します。LDAP サーバー上でのみユーザーを削除すると、アプリケーションへのログインが拒否されますが、非アクティブとしては設定されず、ライセンスに影響を与えます。ログイン時にユーザーの属性を更新する オプションを無効にしてユーザーを削除してから、再度有効化する必要があります。

既定のグループ メンバーシップ

このフィールドは、「ログイン時にユーザーをコピー」ボックスがオンになっている場合に表示されます。ユーザーを自動的にグループに追加する場合は、ここにグループ名を入力します。1 つ以上のグループを指定する場合は、グループ名をコンマで区切ります。ユーザーがログインするたびに、グループ メンバーシップがチェックされます。ユーザーが指定したグループに所属しない場合、それらのユーザーのユーザー名がグループに追加されます。グループがまだ存在しない場合、認証用 LDAP を使用して内部ディレクトリにグループが追加されます。

グループ名は検証されません。グループ名を間違って入力した場合、認証に失敗します。ユーザーはアプリケーションや、目的のグループ名に基づいた機能にアクセスできません。

例:

  • confluence-users
  • bamboo-users,jira-administrators,jira-core-users

グループメンバーシップの同期

このフィールドは、「ログオン時にユーザーをコピー」チェックボックスを選択した場合に表示されます。このボックスがオンになっている場合、ユーザーがログインするたびに、LDAP サーバーで指定したグループメンバーシップが、内部ディレクトリと同期されます。

このボックスをオンにすると、次の追加フィールドが画面に表示されます。詳細は以下を参照してください。

  • グループスキーマ設定 (以下の別のセクションに記載)
  • メンバーシップスキーマ設定 (以下の別のセクションに記載)

スキーマ設定

設定

説明

ベース DN

ディレクトリ サーバーに対してクエリを実行する場合に使用するルート識別名(DN)。例:

  • o=example,c=com
  • cn=users,dc=ad,dc=example,dc=com
  • Microsoft Active Directory の場合、ベース DN を dc=domain1,dc=local の形式で指定します。domain1local を自身の設定で置き換える必要があります。Microsoft Server では ldp.exe というツールが提供されています。これは、サーバーの LDAP 構造を検出および設定するのに役立ちます。

ユーザー名属性

ユーザー名を読み込むときに使用する属性フィールド。例:

  • cn
  • sAMAccountName

ユーザースキーマ設定 (初回ログイン時にユーザーをコピーする場合に使用)

設定

説明

追加のユーザー DN

この値は、ユーザーの検索および読み込み時に、ベース DN に加えて使用されます。値が提供されない場合、サブツリー検索はベース DN から開始されます。例:

  • ou=Users

ユーザー オブジェクト クラス

これは LDAP ユーザー オブジェクトに使用されるクラス名です。例:

  • user

ユーザー オブジェクト フィルタ

ユーザー オブジェクトを検索するときに使用するフィルター。例:

  • (&(objectCategory=Person)(sAMAccountName=*))

ユーザー名 RDN 属性

ユーザー名をロードするときに使用する RDN (相対識別名)。各 LDAP エントリの DN は 2 つの部分 (記録が格納される RDN および LDAP ディレクトリ内の場所) で構成されます。RDN はディレクトリツリー構造と関係ない DN の一部です。例:

  • cn

ユーザの名属性

ユーザーの名を読み込むときに使用する属性フィールド。例:

  • givenName

ユーザーの姓属性

ユーザーの姓を読み込むときに使用する属性フィールド。例:

  • sn

ユーザーの表示名属性

ユーザーの氏名を読み込むときに使用する属性フィールド。例:

  • displayName

ユーザーのメール属性

ユーザーのメールアドレスを読み込むときに使用する属性フィールド。例:

  • mail

グループスキーマ設定 (「グループメンバーシップの同期」を有効化した場合に使用」)

設定

説明

グループ オブジェクト クラス

これは LDAP グループ オブジェクトに使用されるクラス名です。例:

  • groupOfUniqueNames
  • group

グループ オブジェクト フィルター

グループ オブジェクトを検索するときに使用するフィルター。例:

  • (&(objectClass=group)(cn=*))

グループ名属性

グループ名を読み込むときに使用する属性フィールド。例:

  • cn

グループ説明属性

グループ名を読み込むときに使用する属性フィールド。例:

  • description

可能な設定のダイアグラム

[Unable to render {include} The included page could not be found. ({include} をレンダリングできません。ページが見つかりませんでした)] を選択し、
[Unable to render {include} The included page could not be found. ({include} をレンダリングできません。ページが見つかりませんでした)] を選択し、

関連トピック

ユーザー ディレクトリの設定

最終更新日 2022 年 11 月 7 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.