Jira Service Desk: LDAP ディレクトリまたは Active Directory (AD) に接続する

Jira Service Desk 評価用リソース

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

 

When you deploy on-premise (as opposed to the Atlassian cloud), you can connect your JIRA Service Desk application to an LDAP directory for authentication, user and group management. You will need to log in as a user with the 'JIRA Service Desk System Administrators' global permission to access the Settings menu below.

 

LDAPディレクトリは ユーザーおよびグループのデータのコレクションです。LDAP(Lightweight Directory Access Protocol)は、WebアプリケーションがLDAPサーバーからユーザーおよびグループに関する情報を検索するために使用できるインターネットプロトコルです。

JIRA では最もポピュラーな LDAP ディレクトリサーバーのビルトインコネクタを提供します。

  • Microsoft Active Directory
  • Apache Directory Server (ApacheDS)
  • Apple Open Directory
  • Fedora Directory Server
  • Novell eDirectory
  • OpenDS
  • Open LDAP
  • OpenLDAP (Posix Schema を使用)
  • LDAP 用 Posix Schema
  • Sun Directory Server Enterprise Edition(DSEE)
  • 汎用 LDAP ディレクトリ サーバー

When to use this option: Connecting to an LDAP directory server is useful if your users and groups are stored in a corporate directory. When configuring the directory, you can choose to make it read only, read only with local groups, or read/write. If you choose to read/write, any changes made to the user and group information in the application will also update the LDAP directory.

 

 

Learn more about synchronizing data from external directories.

 

Connecting to an LDAP Directory in JIRA Service Desk

  1. Choose  > User Management
  2. ユーザー ディレクトリ」を選択します
  3. ディレクトリを追加し、以下のタイプのいずれかを選択します。
    • 'Microsoft Active Directory' – This option provides a quick way to select AD because it is the most popular LDAP directory type.
    • LDAP」 - 次の画面で特定の LDAP ディレクトリの種類を選択できます。
  4. 以下に説明するように、設定に値を入力します。
  5. ディレクトリ設定を保存します。
  6. Define the directory order by clicking the blue up- and down-arrows next to each directory on the 'User Directories' screen. Here is a summary of how the directory order affects the processing:
    • ディレクトリの順序は、ユーザーおよびグループの検索順序です。
    • ユーザーおよびグループへの変更は、アプリケーションが変更権限のある最初のディレクトリに対してのみ行われます。
    For details, see Managing multiple directories.

メモ:

  • For this configuration, every time user logs in (i.e. first and subsequent times), the user's data in JIRA Service Desk will be updated from the user's data in LDAP. This includes username, display name, email and group memberships. However for group memberships, only the following applies:
    • 直接のグループ(すなわち、入れ子グループでないもの)のみ、LDAP から同期されます。
    • only groups that are already present in JIRA Service Desk are synchronized, i.e. groups are not added/removed, and group hierarchies are not synchronized.

サーバー設定

 

設定

説明

名前

LDAP ディレクトリ サーバーを識別するのに役立つわかりやすい名前を入力します。例:

  • Example Company Staff Directory
  • Example Company Corporate LDAP

ディレクトリ タイプ

接続する LDAP ディレクトリのタイプを選択します。新しい LDAP 接続を追加する場合、ここで選択した値によって、画面の残りのオプションの多くのデフォルト値が決定します。例:

  • Microsoft Active Directory
  • OpenDS
  • その他。

ホスト名

The hostname of your directory server. Examples:

ポート

ディレクトリ サーバーがリスンするポート。例:

  • 389
  • 10389
  • 636 (for example, for SSL)

SSL を使用する

ディレクトリ サーバーへの接続が SSL (Secure Sockets Layer) 接続の場合は、オンにします。この設定を使用するには、SSL 証明書を設定する必要があります。

ユーザ名

ディレクトリ サーバーに接続する際にアプリケーションが使用するユーザーの識別名。例:

  • cn=administrator,cn=users,dc=ad,dc=example,dc=com
  • cn=user,dc=domain,dc=name
  • user@domain.name
 

Ensure that this is an administrator user for the LDAP engine. For example, in Active Directory the user will need to be a member of the built-in Administrators group. The specific privileges for the LDAP user that is used to connect to LDAP are 'bind' and 'read' (user info, group info, group membership, update sequence number, deleted objects).Admin privileges are required because a normal user can't access the uSNChanged attribute and deleted objects container, causing the incremental sync to fail silently. This has been reported as CWD-3093.

パスワード

上記で指定したユーザーのパスワード。

Note: Connecting to an LDAP server requires that this application logs in to the server with the username and password configured here. As a result, this password cannot be one-way hashed - it must be recoverable in the context of this application. The password is currently stored in the database in plain text without obfuscation. To guarantee its security, you need to ensure that other processes do not have OS-level read permissions for this application's database or configuration files.

 

スキーマ設定

 

 

設定

説明

ベース DN

ディレクトリ サーバーに対してクエリを実行する場合に使用するルート識別名(DN)。例:

  • o=example,c=com
  • cn=users,dc=ad,dc=example,dc=com
  • For Microsoft Active Directory, specify the base DN in the following format:dc=domain1,dc=local You will need to replace the domain1 and local for your specific configuration. Microsoft Server provides a tool called ldp.exe which is useful for finding out and configuring the LDAP structure of your server.

追加のユーザー DN

この値は、ユーザーの検索および読み込み時に、ベース DN に加えて使用されます。値が提供されない場合、サブツリー検索はベース DN から開始されます。例:

  • ou=Users

追加のグループ DN

この値は、グループの検索および読み込み時に、ベース DN に加えて使用されます。値が提供されない場合、サブツリー検索はベース DN から開始されます。例:

  • ou=Groups
 

If no value is supplied for Additional User DN or Additional Group DN this will cause the subtree search to start from the base DN and, in the case of a huge directory structure, could cause performance issues for login and operations that rely on login to be performed.

 

パーミッション設定

Note: You can only assign LDAP users to local groups when 'External User Management' is not selected.

 

設定

説明

読み取り専用

LDAP ユーザー、グループ、メンバーシップは、ディレクトリ サーバーから取得され、ディレクトリ サーバーを介してのみ変更することができます。アプリケーション管理画面から LDAP ユーザー、グループ、またはメンバーシップを変更することはできません。

ローカル グループでの読み取り専用

LDAP ユーザー、グループ、メンバーシップは、ディレクトリ サーバーから取得され、ディレクトリ サーバーを介してのみ変更することができます。アプリケーション管理画面から LDAP ユーザー、グループ、またはメンバーシップを変更することはできません。ただし、内部ディレクトリにグループを追加したり、そのグループに LDAP ユーザーを追加することができます。

(info) Note for Confluence users: Users from LDAP are added to groups maintained in Confluence's internal directory the first time they log in. This is only done once per user. There is a known issue with Read Only, with Local Groups in Confluence that may apply to you. See CONF-28621 - Data cannot be retrieved due to an unexpected error. Precondition Failed

読み取り/書き込み

LDAP ユーザー、グループ、メンバーシップは、ディレクトリ サーバーから取得されます。アプリケーションの管理画面を通してユーザー、グループ、メンバーシップを変更すると、LDAP ディレクトリ サーバーに直接変更が適用されます。アプリケーションのユーザーとして指定されている LDAP ユーザーが LDAP ディレクトリ サーバーでの変更権限を持っていることを確認してください。

 

 グループへのユーザーの自動追加

 

設定

説明

既定のグループ メンバーシップ

Option available in Confluence 3.5 and later, and JIRA Service Desk 4.3.3 and later. This field appears if you select the 'Read Only, with Local Groups' permission. If you would like users to be automatically added to a group or groups, enter the group name(s) here. To specify more than one group, separate the group names with commas. 
In Confluence 3.5 to Confluence 3.5.1: Each time a user logs in, their group memberships will be checked. If the user does not belong to the specified group(s), their username will be added to the group(s). If a group does not yet exist, it will be added locally.
In Confluence 3.5.2 and later, and JIRA Service Desk 4.3.3 and later: The first time a user logs in, their group memberships will be checked. If the user does not belong to the specified group(s), their username will be added to the group(s). If a group does not yet exist, it will be added locally. On subsequent logins, the username will not be added automatically to any groups. This change in behavior allows users to be removed from automatically-added groups. In Confluence 3.5 and 3.5.1, they would be re-added upon next login. 

Please note that there is no validation of the group names. If you mistype the group name, authorization failures will result – users will not be able to access the applications or functionality based on the intended group name. 

Examples:

  • confluence-users
  • confluence-users,JIRA Service Desk-administrators,JIRA Service Desk-core-users

 

高度な設定

 

設定

説明

入れ子グループを有効にする

入れ子グループのサポートを有効または無効にします。いくつかのディレクトリサーバーは、グループを別のグループのメンバーとして定義することを許可します。このような構造のグループは「入れ子グループ」と呼ばれます。グループを使用して権限を管理している場合、入れ子グループを作成して、1 つのグループからそのサブグループに権限を継承できます。

ユーザー ステータスをローカルで管理する true の場合、ディレクトリ サーバー内のステータスに関係なく、Crowd でユーザーをアクティブ化/非アクティブ化できます。
期限切れのユーザーを除外する true の場合、ActiveDirectory で期限切れとしてマークされたユーザー アカウントが自動的に削除されます。キャッシュされたディレクトリの場合、ユーザーの削除は、アカウントの有効期限日後の最初の同期中に行われます。

ページングされた結果を使用

検索結果をシンプルにページングする LDAP 制御拡張機能の使用を有効または無効にします。ページングが有効になっている場合、検索によって一度にすべての検索結果が取得されるのではなく、データのセットが取得されます。必要なページサイズ、つまり、ページングされた結果が有効である場合、ページごとに返される検索結果の最大数を入力します。既定は 1000 です。

照会に従う

Choose whether to allow the directory server to redirect requests to other servers. This option uses the node referral (JNDI lookup java.naming.referral) configuration setting. It is generally needed for Active Directory servers configured without proper DNS, to prevent a 'javax.naming.PartialResultException: Unprocessed Continuation Reference(s)' error.

ネイティブ DN マッチング

If your directory server will always return a consistent string representation of a DN, you can enable naive DN matching. Using naive DN matching will result in a significant performance improvement, so we recommend enabling it where possible. 

This setting determines how your application will compare DNs to determine if they are equal.

  • If this checkbox is selected, the application will do a direct, case-insensitive, string comparison. This is the default and recommended setting for Active Directory because Active Directory guarantees the format of DNs.
  • このチェックボックスがオフの場合、アプリケーションは DN を解析し、解析されたバージョンを確認します。
インクリメンタル同期を有効にする

ディレクトリの同期時に、前回の同期が照会されてからの変更のみが必要な場合、インクリメンタル同期を有効化します。

(warning) このオプションを使用する場合、同期するように設定されたユーザーアカウントは以下への読み取り権限を持っている必要があることに注意してください。

  • The uSNChanged attribute of all users and groups in the directory that need to be synchronized.
  • The objects and attributes in the Active Directory deleted objects container (see Microsoft's Knowledge Base Article No. 892806 for details).

これらの条件の少なくとも1つが満たされない場合、Active Directory に追加された(または削除された)ユーザーは、アプリケーション内でそれぞれ追加(または削除)されずに終わります。

この設定は、ディレクトリのタイプが「Microsoft Active Directory」に設定されている場合に利用できます。

同期間隔(分)

Synchronization is the process by which the application updates its internal store of user data to agree with the data on the directory server. The application will send a request to your directory server every x minute, where 'x' is the number specified here. The default value is 60 minutes.

読み込みタイムアウト(秒)

レスポンスを受信するまでに待機する時間(秒)。指定された時間内にレスポンスがない場合、読み込み試行は中止されます。値を0(ゼロ)にすると、無制限になります。デフォルト値は120秒です。

検索タイムアウト(秒)

検索操作からのレスポンスを受信するまでに待機する時間 (秒)。値を 0 (ゼロ) にすると、無制限になります。既定値は 60 秒です。

接続タイムアウト(秒)

この設定は2つの操作に影響します。デフォルト値は0です。

  • コネクション プールからコネクションを取得する際に待機する時間。値を0(ゼロ)にすると、無制限となり、いつまでも待機します。
  • 新しいサーバー接続を開くまで待つ時間 (秒単位)。値が 0 (ゼロ) の場合は、TCP ネットワーク タイムアウトが使用されることを示しますが、これには数分かかる場合があります。

 

ユーザー スキーマ設定

 

 

設定

説明

ユーザー オブジェクト クラス

これは LDAP ユーザー オブジェクトに使用されるクラス名です。例:

  • user

ユーザー オブジェクト フィルタ

ユーザー オブジェクトを検索するときに使用するフィルター。例:

  • (&(objectCategory=Person)(sAMAccountName=*))

More examples can be found here and here.

ユーザー名属性

The attribute field to use when loading the username. Examples:

  • cn
  • sAMAccountName

NB: In Active Directory, the 'sAMAccountName' is the 'User Logon Name (pre-Windows 2000)' field. The User Logon Name field is referenced by 'cn'.

ユーザー名 RDN 属性

The RDN (relative distinguished name) to use when loading the username. The DN for each LDAP entry is composed of two parts: the RDN and the location within the LDAP directory where the record resides. The RDN is the portion of your DN that is not related to the directory tree structure. Example:

  • cn

ユーザの名属性

ユーザーの名を読み込むときに使用する属性フィールド。例:

  • givenName

ユーザーの姓属性

ユーザーの姓を読み込むときに使用する属性フィールド。例:

  • sn

ユーザーの表示名属性

ユーザーの氏名を読み込むときに使用する属性フィールド。例:

  • displayName

ユーザーのメール属性

ユーザーのメールアドレスを読み込むときに使用する属性フィールド。例:

  • mail

User-Password Attribute

ユーザーのパスワードを読み込むときに使用する属性フィールド。例:

  • unicodePwd
 User Unique ID Attribute

属性は、ユーザー オブジェクトに対する一意かつ不変の ID として使用されます。これは、オプションであり、ユーザー名の変更の追跡に使用されます。この属性が設定されていない場合 (または無効な値に設定されている場合)、ユーザー名は検出されません。ユーアーの削除後の新しいユーザーの追加として解釈されます。

This should normally point to a UUID value. Standards-compliant LDAP servers will implement this as 'entryUUID' according to RFC 4530. This setting exists because it is known under different names on some servers, e.g. 'objectGUID' in Microsoft Active Directory.

 

 

 

グループ スキーマ設定

 

設定

説明

グループ オブジェクト クラス

これは LDAP グループ オブジェクトに使用されるクラス名です。例:

  • groupOfUniqueNames
  • group

グループ オブジェクト フィルター

グループ オブジェクトを検索するときに使用するフィルター。例:

  • (&(objectClass=group)(cn=*))

グループ名属性

グループ名を読み込むときに使用する属性フィールド。例:

  • cn

グループ説明属性

グループ名を読み込むときに使用する属性フィールド。例:

  • description

 

メンバーシップ スキーマ設定

 

設定

説明

グループ メンバー 属性

グループのメンバーを読み込むときに使用する属性フィールド。例:

  • member

ユーザー メンバーシップ属性

ユーザーのグループを読み込むときに使用する属性フィールド。例:

  • memberOf

ユーザーのグループ メンバーシップを検索する際に、ユーザー メンバーシップ属性を使用する

ディレクトリ サーバーがユーザーのグループ メンバーシップをサポートしている場合に、このボックスを選択します (既定では、これが "memberOf" 属性です)。

  • If this checkbox is selected, your application will use the group membership attribute on the user when retrieving the list of groups to which a given user belongs. This will result in a more efficient retrieval.
  • このチェックボックスが選択されていない場合、アプリケーションはグループのメンバー属性 (既定では member) を検索に使用します。
  • If the Enable Nested Groups check box is selected, your application will ignore the Use the User Membership Attribute option and will use the members attribute on the group for the search.

グループのメンバーを検索する際に、ユーザー メンバーシップ属性を使用する

ディレクトリ サーバーがユーザーのグループ メンバーシップをサポートしている場合に、このボックスを選択します (既定では、これが "member" 属性です)。

  • If this checkbox is selected, your application will use the group membership attribute on the user when retrieving the members of a given group. This will result in a more efficient search.
  • このチェックボックスが選択されていない場合、アプリケーションはグループのメンバー属性 (既定では member) を検索に使用します。

 

関連トピック

ユーザー ディレクトリの設定

最終更新日 2016 年 11 月 15 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.