入れ子グループの管理
このページでは、複数のディレクトリサーバーに存在する入れ子グループが Jira でどのように処理されるかについて説明します。入れ子グループを使用する場合、委任認証用に LDAP ディレクトリを使用できないことに注意してください。
入れ子グループを有効にする
各ディレクトリの入れ子グループのサポートを個々に有効化または無効化できます。Jira 管理メニューから ユーザーディレクトリ を選択してディレクトリを編集し、入れ子グループを有効にする を選択します。「ユーザー ディレクトリの設定」を参照してください。
メモ:
- Jira で特定のディレクトリ タイプの入れ子グループを有効にする前に、お使いのディレクトリ サーバーが入れ子グループをサポートしていることを確認してください。
- 内部グループに内部グループ、または外部グループに外部グループを入れ子にすることができます。外部グループに内部グループを入れ子にしたり、その逆にすることはできません。
- このページのこれ以降では、Jira で入れ子グループが認証 (ログイン) や権限にどのように影響し、Jira でユーザーやグループを更新した場合にどうなるかを説明します。
On this page:
Find out how easy, scalable and effective it can be with Crowd!
See centralized user management.
入れ子グループの効果
このセクションでは、ログインと権限、ユーザーとグループの表示と更新で入れ子グループが持つ効果について説明しています。
ログイン
ユーザーがログインする時、認証済みグループまたはそのサブグループに属している場合、アプリケーションへのアクセスが許可されます。
権限
ユーザーが必要な権限を持つグループに属している場合、またはそのサブグループに属している場合、機能へのアクセスが許可されます。
グループ メンバーのリストを表示する
グループのメンバーを表示しようとする場合、グループの全ユーザー、およびそのサブグループに属するすべてのユーザーが1つのリストにまとめられて表示されます。このリストを「フラット」リストと呼びます。
ネストされたグループ自体を表示または編集したり、1 つのグループが別のグループのメンバーであるかどうかを確認したりすることはできません。
グループ メンバーシップを追加、更新する
グループにユーザーを追加する場合、ユーザーは指定したグループに追加され、他のグループには追加されません。
ユーザーをフラットリストから削除しようとすると、以下のことが起きます。
- ユーザーが、フラットリストに含まれるグループのヒエラルキー (ツリー) の一番上のグループのメンバーである場合、ユーザーはグループから削除されます。
- そうでない場合、ユーザーがグループの直接のメンバーではないことを示すエラー メッセージが表示されます。
例
例1:ユーザーがサブグループのメンバーである
ディレクトリ サーバー内に次の 2 つのサーバーが存在すると想像してください。
- staff
- マーケティング
メンバーシップ:
- marketing グループは staff グループのメンバーです。
- ユーザー jsmith は marketing グループのメンバーです。
jsmith が marketing グループと staff グループの両方のメンバーに見えます。2つのグループが入れ子になっていることは確認できません。staff グループに権限を割り当てると、ユーザー jsmith は権限を得ます。
例 2:「jira-developers」グループのメンバーとしてのサブグループ
LDAP ディレクトリ サーバーに、「engineering-group」と「techwriters-group」の2つのグループがあります。両グループに JIRA サイトへの開発者レベル アクセスを許可したいと考えています。開発者レベルのアクセスの権限を持つ「jira-developers」というグループを作成します。
- 「jira-developers」というグループを追加します。
- 「jira-developers」のサブグループとして「engineering-group」を追加します。
- 「jira-developers」のサブグループとして「techwriters-group」を追加します。
グループのメンバーシップは現在、以下のようになっています。
- jira-developers — サブグループ: engineering-group、techwriters-group
- engineering-group — サブグループ: dev-a、dev-b、ユーザ: pblack
- dev-a — ユーザー: jsmith、sbrown
- dev-b — ユーザー: jsmith、dblue
- techwriters-group — ユーザー:rgreen
JIRA アプリケーションが「jira-developers」グループのユーザー一覧をリクエストした場合、以下の一覧を受け取ります。
- pblack
- jsmith
- sbrown
- dblue
- rgreen
図: 「jira-developers」グループのメンバーとしてのサブグループ
注意
- パフォーマンスに影響を与える可能性。入れ子グループを有効にすると、ユーザー検索が遅くなる可能性があります。
LDAP 内のネスト グループの定義。LDAP ディレクトリのネスト グループは、親グループ エントリに含まれる属性で参照される DN (識別名) を持つ子グループ エントリです。たとえば親グループ "Group 1" は、
objectClass=group
属性と 1 つ以上のmember=DN
属性 (ユーザーのものまたはLDAP 内のほかのグループのもの) を持つことができます。member=CN=John Smith,OU=Users,OU=OrgUnitA,DC=sub,DC=domain member=CN=Group Two,OU=OrgUnitBGroups,OU=OrgUnitB,DC=sub,DC=domain