ネストされたグループの管理

いくつかのディレクトリサーバーは、グループを別のグループのメンバーとして定義することを許可します。このような構造のグループは入れ子グループと呼ばれます。入れ子グループは、1 つの親グループからそのサブグループへの権限の継承を許可し、権限をシンプルにします。

このページでは、複数のディレクトリサーバーに存在する入れ子グループが Confluence でどのように処理されるかについて説明します。

入れ子グループを有効にする

各ディレクトリの入れ子グループのサポートを個々に有効化または無効化できます。Confluence 管理メニューからユーザー ディレクトリを選択してディレクトリを編集し、「入れ子グループを有効にする」を選択します。「ユーザー ディレクトリの設定」を参照してください。

メモ:

  • Confluence で特定のディレクトリに対して入れ子グループを有効にする前に、ディレクトリ サーバーで入れ子グループがサポートされていることを確認してください。
  • 本ページのこれ以降の部分では、ネストされたグループが Confluence の認証 (ログイン)や権限に与える影響や、Confluence でユーザーやグループを更新した場合に起きることを説明します。
  • 現在ログイン時に経由しているディレクトリを編集することはできません。つまり、ほとんどの場合、内部ディレクトリに保存されている管理者アカウントを使用してログインする必要があります。 

On this page:

関連ページ

入れ子グループの効果

このセクションでは、ログインと権限、ユーザーとグループの表示と更新で入れ子グループが持つ効果について説明しています。

ログイン

ユーザーがログインする時、認証済みグループまたはそのサブグループに属している場合、アプリケーションへのアクセスが許可されます。

権限

ユーザーが必要な権限を持つグループに属している場合、またはそのサブグループに属している場合、機能へのアクセスが許可されます。

グループ メンバーのリストを表示する

グループのメンバーを表示しようとする場合、グループの全ユーザー、およびそのサブグループに属するすべてのユーザーが1つのリストにまとめられて表示されます。このリストを「フラット」リストと呼びます。

ネストされたグループ自体を表示または編集したり、1 つのグループが別のグループのメンバーであるかどうかを確認したりすることはできません。

グループ メンバーシップを追加、更新する

グループにユーザーを追加する場合、ユーザーは指定したグループに追加され、他のグループには追加されません。

ユーザーをフラットリストから削除しようとすると、以下のことが起きます。

  • ユーザーが、フラットリストに含まれるグループのヒエラルキー (ツリー) の一番上のグループのメンバーである場合、ユーザーはグループから削除されます。
  • そうでない場合、ユーザーがグループの直接のメンバーではないことを示すエラー メッセージが表示されます。

例1:ユーザーがサブグループのメンバーである

ディレクトリ サーバー内に次の 2 つのサーバーが存在すると想像してください。

  • staff
  • マーケティング

メンバーシップ:

  • marketing グループは staff グループのメンバーです。
  • ユーザー jsmithmarketing グループのメンバーです。

jsmithmarketing グループと staff グループの両方のメンバーに見えます。2つのグループが入れ子になっていることは確認できません。staff グループに権限を割り当てると、ユーザー jsmith は権限を得ます。

例 2:「jira-developers」グループのメンバーとしてのサブグループ

LDAP ディレクトリ サーバーに、「engineering-group」と「techwriters-group」の2つのグループがあります。両グループに JIRA サイトへの開発者レベル アクセスを許可したいと考えています。開発者レベルのアクセスの権限を持つ「jira-developers」というグループを作成します。

  • jira-developers」というグループを追加します。
  • jira-developers」のサブグループとして「engineering-group」を追加します。
  • jira-developers」のサブグループとして「techwriters-group」を追加します。

グループのメンバーシップは現在、以下のようになっています。

  • jira-developers — サブグループ: engineering-grouptechwriters-group
  • engineering-group — サブグループ: dev-adev-b、ユーザ: pblack
  • dev-a — ユーザー: jsmithsbrown
  • dev-b — ユーザー: jsmithdblue
  • techwriters-group — ユーザー:rgreen

JIRA アプリケーションが「jira-developers」グループのユーザー一覧をリクエストした場合、以下の一覧を受け取ります。

  • pblack
  • jsmith
  • sbrown
  • dblue
  • rgreen


図: jira-developers」グループのメンバーとしてのサブグループ

入れ子グループ GliffyDiagram-JIRA

注意

  • パフォーマンスに影響を与える可能性。入れ子グループを有効にすると、ユーザー検索が遅くなる可能性があります。
  • LDAP 内のネスト グループの定義。LDAP ディレクトリのネスト グループは、親グループ エントリに含まれる属性で参照される DN (識別名) を持つ子グループ エントリです。たとえば親グループ "Group 1" は、objectClass=group 属性と 1 つ以上の member=DN 属性 (ユーザーのものまたはLDAP 内のほかのグループのもの) を持つことができます。

    member=CN=John Smith,OU=Users,OU=OrgUnitA,DC=sub,DC=domain
    member=CN=Group Two,OU=OrgUnitBGroups,OU=OrgUnitB,DC=sub,DC=domain
    

最終更新日 2024 年 4 月 2 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.