複数のディレクトリの管理

このページでは、Confluence で複数のユーザー ディレクトリを定義した場合に起きることについて説明します。たとえば、内部ディレクトリを持っていて、LDAP ディレクトリ サーバーやその他のタイプのユーザー ディレクトリにも接続しているとします。新しいディレクトリ サーバーに接続する場合、ディレクトリの順序 も定義する必要があります。

ディレクトリ間で重複するユーザー名を使用しないようにします。複数のユーザーディレクトリに接続している場合、1つのディレクトリに対してユーザー名が一意であることを確認するようにしてください。たとえば、ユーザー名 jsmith を "ディレクトリ1" と "ディレクトリ2" の両方に使用することはお勧めしません。これは、特にディレクトリの順序を入れ替える際に混乱を招く恐れがあるためです。ディレクトリの順序の変更により、指定したユーザー名で参照するユーザーが変わる可能性があります。

tip/resting Created with Sketch.

Managing 500+ users across Atlassian products?
Find out how easy, scalable, and effective it can be with Crowd!
See centralized user management.

On this page:

概要

ディレクトリの順序がどういった影響をもたらすかを説明します。
  • ディレクトリの順序は、ユーザーおよびグループの検索順序です。
  • ユーザーおよびグループへの変更は、アプリケーションが変更権限を持つ最初のディレクトリに対してのみ行われます。

ディレクトリの順序を設定

Confluence に定義されているディレクトリの順序を変更できます。Confluence 管理メニューから [ユーザー ディレクトリ] を選択して、各ディレクトリの横にある青色の上下の矢印をクリックします。

メモ:

  • 本ページのこれ以降の部分では、ディレクトリの順序が Confluence の認証 (ログイン)や権限に与える影響や、Confluence でユーザーやグループを更新した場合に起きることを説明します。
  • 外部ディレクトリを Confluence の内部ディレクトリの上に動かす前に、自身 (および管理者ユーザー) が外部ディレクトリの confluence-administrators グループのメンバーであることを確認し、Confluence の管理コンソールへのアクセス権を誤って失わないようにします。 

ディレクトリの順序の影響

このセクションでは、ディレクトリの順序がログインや権限、ユーザーやグループの更新にどのような影響を及ぼすかをまとめます。

ログイン

ディレクトリの順序は、同じユーザーが複数のディレクトリに存在する場合のユーザーの認証に重要です。ユーザーがログインしようとすると、指定した順序でディレクトリが検索され、最初に見つかったユーザーの認証情報 (パスワード) を使用してログイン試行が検証されます。

権限

メンバーシップの集約(既定)

Confluence はメンバーシップ集約スキームを既定で使用するため、グループのメンバーシップに基づいてユーザー権限を付与する場合、ディレクトリの順序は重要ではありません。同じユーザー名が複数のディレクトリに存在する場合、アプリケーションはそのユーザー名が表示されるすべてのディレクトリのグループ メンバーシップを集約(結合)します。

例:

  • Customers ディレクトリと Partners ディレクトリの2つのディレクトリに接続しています。
  • ディレクトリの順序は Customers ディレクトリが最初です。
  • ユーザー名 jsmith は Customers ディレクトリと Partners ディレクトリの両方に存在します。
  • ユーザー jsmith は、Customers ディレクトリの G1 グループと Partners ディレクトリの G2 グループのメンバーです。
  • ユーザー jsmith の権限は、ディレクトリの順序にかかわらず、G1 と G2 の両方のメンバーシップに基づきます。 

Confluence 5.7 以降にアップグレードしている管理者の場合

複数のユーザーディレクトリ (LDAP、Active Directory、クラウドなど)に属するユーザーのグループ メンバーシップを決定する方法は、Confluence 5.7 で変更されました。グループ メンバーシップは最初にユーザーが表示されるディレクトリではなく、すべて のディレクトリから集約されます。ユーザーは通常 1 つのディレクトリのみに存在するか、またはユーザー ディレクトリ間でメンバーシップが適切に同期されているため、ほとんどの場合、この変更による影響はありません。グループ メンバーシップが同期されていない一部のまれなケースでは、ユーザーが(以前は Confluence によって無視されていたユーザー ディレクトリ内のグループ メンバーである場合)この変更によって複数のスペースとページを表示する権限を得る場合があります。

そのようなシナリオの例です

彼の名前はアイザックです。しばらく前に何か不具合が発生しました。彼は 2 つのユーザー ディレクトリで同じユーザー名を持っていますが、別のグループに属しています。


現在、彼が所属する組織の Confluence サイトのユーザー ディレクトリは、次のようになっています。

そして、各ディレクトリのアイザックのグループ メンバーシップはこのようになっています。

開発者グループは「開発チーム」ページへのアクセスが制限されています。

  •  Confluence 5.6 以前のバージョンでは、彼のグループメンバーシップは Active Directory から決定されたため、アイザックはこのページを表示できませんでした。Active Directory は一覧の最初のディレクトリであるため、最高の優先順位を持っていたのです。 
  • Confluence 5.7 以降では、最高位のディレクトリだけでなく、すべて のディレクトリから彼のメンバーシップを決定するため、アイザックはこのページを表示できるようになります。

Confluence では、彼のグループ メンバーシップは次のようになります。

つまり、5.7 へのアップグレード以降は、彼は「開発者」グループに制限されているあらゆるページやスペースを表示できるのです。 


メンバーシップの非集約 

次のように、REST API を使用して、Confluence に非集約メンバーシップ スキームを使用するように指示できます。

非集約メンバーシップをオンにする

REST リソースは、JSON と XML をサポートしています。これを行うには、システム管理者としてログインする必要があります。

# To GET the current setting
curl -H 'Accept: application/json' -u <username> <base-url>/rest/crowd/latest/application

# To PUT the setting
curl -H 'Content-type: application/json' -X PUT -d '{"membershipAggregationEnabled":false}' -u <username> <base-url>/rest/crowd/latest/application

非集約メンバーシップを選択した場合、ディレクトリの順序が重要です。同じユーザー名が複数のディレクトリに存在する場合、アプリケーションはディレクトリの順序に基づき、そのユーザー名が表示される最初のディレクトリでのみグループメンバーシップを検索します。

例:

  • Customers ディレクトリと Partners ディレクトリの2つのディレクトリに接続しています。
  • ディレクトリの順序は Customers ディレクトリが最初です。
  • ユーザー名 jsmith は Customers ディレクトリと Partners ディレクトリの両方に存在します。
  • ユーザー jsmith は、Customers ディレクトリの G1 グループと Partners ディレクトリの G2 グループのメンバーです。
  • ユーザー jsmith の権限は、G2 ではなく G1 へのメンバーシップにのみ基づきます。

ユーザーとグループを更新する

アプリケーションの管理画面からユーザーまたはグループを更新すると、アプリケーションが書き込み権限を持っている最初のディレクトリで更新が行われます。

例 1:

  • Customers ディレクトリと Partners ディレクトリの2つのディレクトリに接続しています。
  • アプリケーションには両方のディレクトリでの権限があります。
  • ディレクトリの順序は Customers ディレクトリが最初です。
  • ユーザー名 jsmith は Customers ディレクトリと Partners ディレクトリの両方に存在します。
  • アプリケーションの管理画面から、ユーザー jsmith のメール アドレスを更新します。
  • Partners ディレクトリではなく Customers ディレクトリで電子メールアドレスが更新されます。

例 2:

  • 読み取り/書き込みLDAPディレクトリと内部ディレクトリ:あなたは2つのディレクトリを接続しています。
  • ディレクトリ順序は LDAP ディレクトリが最初です。
  • すべての新規ユーザーは LDAP ディレクトリに追加されます。新規ユーザーを内部ディレクトリに追加することはできません。

最終更新日: 2022 年 10 月 5 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.