ネストされたグループの管理
このページでは、複数のディレクトリサーバーに存在する入れ子グループが Confluence でどのように処理されるかについて説明します。
入れ子グループを有効にする
各ディレクトリの入れ子グループのサポートを個々に有効化または無効化できます。Confluence 管理メニューからユーザー ディレクトリを選択してディレクトリを編集し、「入れ子グループを有効にする」を選択します。「ユーザー ディレクトリの設定」を参照してください。
メモ:
- Confluence で特定のディレクトリに対して入れ子グループを有効にする前に、ディレクトリ サーバーで入れ子グループがサポートされていることを確認してください。
- 本ページのこれ以降の部分では、ネストされたグループが Confluence の認証 (ログイン)や権限に与える影響や、Confluence でユーザーやグループを更新した場合に起きることを説明します。
- 現在ログイン時に経由しているディレクトリを編集することはできません。つまり、ほとんどの場合、内部ディレクトリに保存されている管理者アカウントを使用してログインする必要があります。
入れ子グループの効果
このセクションでは、ログインと権限、ユーザーとグループの表示と更新で入れ子グループが持つ効果について説明しています。
ログイン
ユーザーがログインする時、認証済みグループまたはそのサブグループに属している場合、アプリケーションへのアクセスが許可されます。
権限
ユーザーが必要な権限を持つグループに属している場合、またはそのサブグループに属している場合、機能へのアクセスが許可されます。
グループ メンバーのリストを表示する
グループのメンバーを表示しようとする場合、グループの全ユーザー、およびそのサブグループに属するすべてのユーザーが1つのリストにまとめられて表示されます。このリストを「フラット」リストと呼びます。
ネストされたグループ自体を表示または編集したり、1 つのグループが別のグループのメンバーであるかどうかを確認したりすることはできません。
グループ メンバーシップを追加、更新する
グループにユーザーを追加する場合、ユーザーは指定したグループに追加され、他のグループには追加されません。
ユーザーをフラットリストから削除しようとすると、以下のことが起きます。
- ユーザーが、フラットリストに含まれるグループのヒエラルキー (ツリー) の一番上のグループのメンバーである場合、ユーザーはグループから削除されます。
- そうでない場合、ユーザーがグループの直接のメンバーではないことを示すエラー メッセージが表示されます。
例
例1:ユーザーがサブグループのメンバーである
ディレクトリ サーバー内に次の 2 つのサーバーが存在すると想像してください。
- staff
- マーケティング
メンバーシップ:
- marketing グループは staff グループのメンバーです。
- ユーザー jsmith は marketing グループのメンバーです。
jsmith が marketing グループと staff グループの両方のメンバーに見えます。2つのグループが入れ子になっていることは確認できません。staff グループに権限を割り当てると、ユーザー jsmith は権限を得ます。
例 2:「jira-developers」グループのメンバーとしてのサブグループ
LDAP ディレクトリ サーバーに、「engineering-group」と「techwriters-group」の2つのグループがあります。両グループに JIRA サイトへの開発者レベル アクセスを許可したいと考えています。開発者レベルのアクセスの権限を持つ「jira-developers」というグループを作成します。
- 「jira-developers」というグループを追加します。
- 「jira-developers」のサブグループとして「engineering-group」を追加します。
- 「jira-developers」のサブグループとして「techwriters-group」を追加します。
グループのメンバーシップは現在、以下のようになっています。
- jira-developers — サブグループ: engineering-group、techwriters-group
- engineering-group — サブグループ: dev-a、dev-b、ユーザ: pblack
- dev-a — ユーザー: jsmith、sbrown
- dev-b — ユーザー: jsmith、dblue
- techwriters-group — ユーザー:rgreen
JIRA アプリケーションが「jira-developers」グループのユーザー一覧をリクエストした場合、以下の一覧を受け取ります。
- pblack
- jsmith
- sbrown
- dblue
- rgreen
図: 「jira-developers」グループのメンバーとしてのサブグループ
注意
- パフォーマンスに影響を与える可能性。入れ子グループを有効にすると、ユーザー検索が遅くなる可能性があります。
LDAP 内のネスト グループの定義。LDAP ディレクトリのネスト グループは、親グループ エントリに含まれる属性で参照される DN (識別名) を持つ子グループ エントリです。たとえば親グループ "Group 1" は、
objectClass=group
属性と 1 つ以上のmember=DN
属性 (ユーザーのものまたはLDAP 内のほかのグループのもの) を持つことができます。member=CN=John Smith,OU=Users,OU=OrgUnitA,DC=sub,DC=domain member=CN=Group Two,OU=OrgUnitBGroups,OU=OrgUnitB,DC=sub,DC=domain