入れ子グループの管理

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

いくつかのディレクトリサーバーは、グループを別のグループのメンバーとして定義することを許可します。このような構造のグループは入れ子グループと呼ばれます。入れ子グループは、1 つの親グループからそのサブグループへの権限の継承を許可し、権限をシンプルにします。

このページでは、複数のディレクトリサーバーに存在する入れ子グループが Jira でどのように処理されるかについて説明します。入れ子グループを使用する場合、委任認証用に LDAP ディレクトリを使用できないことに注意してください。

入れ子グループを有効にする

各ディレクトリの入れ子グループのサポートを個々に有効化または無効化できます。Jira 管理メニューから ユーザーディレクトリ を選択してディレクトリを編集し、入れ子グループを有効にする を選択します。「ユーザー ディレクトリの設定」を参照してください。

メモ:

  • Jira で特定のディレクトリ タイプの入れ子グループを有効にする前に、お使いのディレクトリ サーバーが入れ子グループをサポートしていることを確認してください。
  • 内部グループに内部グループ、または外部グループに外部グループを入れ子にすることができます。外部グループに内部グループを入れ子にしたり、その逆にすることはできません。
  • このページのこれ以降では、Jira で入れ子グループが認証 (ログイン) や権限にどのように影響し、Jira でユーザーやグループを更新した場合にどうなるかを説明します。

On this page:

Managing 500+ users across Atlassian products?
Find out how easy, scalable and effective it can be with Crowd!
See centralized user management.

入れ子グループの効果

このセクションでは、ログインと権限、ユーザーとグループの表示と更新で入れ子グループが持つ効果について説明しています。

ログイン

ユーザーがログインする時、認証済みグループまたはそのサブグループに属している場合、アプリケーションへのアクセスが許可されます。

権限

ユーザーが必要な権限を持つグループに属している場合、またはそのサブグループに属している場合、機能へのアクセスが許可されます。

グループ メンバーのリストを表示する

グループのメンバーを表示しようとする場合、グループの全ユーザー、およびそのサブグループに属するすべてのユーザーが1つのリストにまとめられて表示されます。このリストを「フラット」リストと呼びます。

ネストされたグループ自体を表示または編集したり、1 つのグループが別のグループのメンバーであるかどうかを確認したりすることはできません。

グループ メンバーシップを追加、更新する

グループにユーザーを追加する場合、ユーザーは指定したグループに追加され、他のグループには追加されません。

ユーザーをフラットリストから削除しようとすると、以下のことが起きます。

  • ユーザーが、フラットリストに含まれるグループのヒエラルキー (ツリー) の一番上のグループのメンバーである場合、ユーザーはグループから削除されます。
  • そうでない場合、ユーザーがグループの直接のメンバーではないことを示すエラー メッセージが表示されます。

例1:ユーザーがサブグループのメンバーである

ディレクトリ サーバー内に次の 2 つのサーバーが存在すると想像してください。

  • staff
  • マーケティング

メンバーシップ:

  • marketing グループは staff グループのメンバーです。
  • ユーザー jsmithmarketing グループのメンバーです。

jsmithmarketing グループと staff グループの両方のメンバーに見えます。2つのグループが入れ子になっていることは確認できません。staff グループに権限を割り当てると、ユーザー jsmith は権限を得ます。

例 2:「jira-developers」グループのメンバーとしてのサブグループ

LDAP ディレクトリ サーバーに、「engineering-group」と「techwriters-group」の2つのグループがあります。両グループに JIRA サイトへの開発者レベル アクセスを許可したいと考えています。開発者レベルのアクセスの権限を持つ「jira-developers」というグループを作成します。

  • jira-developers」というグループを追加します。
  • jira-developers」のサブグループとして「engineering-group」を追加します。
  • jira-developers」のサブグループとして「techwriters-group」を追加します。

グループのメンバーシップは現在、以下のようになっています。

  • jira-developers — サブグループ: engineering-grouptechwriters-group
  • engineering-group — サブグループ: dev-adev-b、ユーザ: pblack
  • dev-a — ユーザー: jsmithsbrown
  • dev-b — ユーザー: jsmithdblue
  • techwriters-group — ユーザー:rgreen

JIRA アプリケーションが「jira-developers」グループのユーザー一覧をリクエストした場合、以下の一覧を受け取ります。

  • pblack
  • jsmith
  • sbrown
  • dblue
  • rgreen


図: jira-developers」グループのメンバーとしてのサブグループ

入れ子グループ GliffyDiagram-JIRA

注意

  • パフォーマンスに影響を与える可能性。入れ子グループを有効にすると、ユーザー検索が遅くなる可能性があります。
  • LDAP 内のネスト グループの定義。LDAP ディレクトリのネスト グループは、親グループ エントリに含まれる属性で参照される DN (識別名) を持つ子グループ エントリです。たとえば親グループ "Group 1" は、objectClass=group 属性と 1 つ以上の member=DN 属性 (ユーザーのものまたはLDAP 内のほかのグループのもの) を持つことができます。

    member=CN=John Smith,OU=Users,OU=OrgUnitA,DC=sub,DC=domain
    member=CN=Group Two,OU=OrgUnitBGroups,OU=OrgUnitB,DC=sub,DC=domain
    

関連トピック

ユーザー ディレクトリの設定

最終更新日: 2019 年 2 月 22 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.