Jira Service Desk: Connecting to an LDAP directory or Active Directory (AD)
When you deploy on-premise (as opposed to the Atlassian cloud), you can connect your Jira Service Desk application to an LDAP directory for authentication, user and group management. You will need to log in as a user with the 'Jira Service Desk System Administrators' global permission to access the Settings menu below.
JIRA では最もポピュラーな LDAP ディレクトリサーバーのビルトインコネクタを提供します。
- Microsoft Active Directory
- Apache Directory Server (ApacheDS)
- Apple Open Directory
- Fedora Directory Server
- Novell eDirectory
- OpenDS
- OpenLDAP
- OpenLDAP (Posix Schema を使用)
- LDAP 用 Posix Schema
- Sun Directory Server Enterprise Edition (DSEE)
- 汎用 LDAP ディレクトリ サーバー
When to use this option: Connecting to an LDAP directory server is useful if your users and groups are stored in a corporate directory. When configuring the directory, you can choose to make it read only, read only with local groups, or read/write. If you choose to read/write, any changes made to the user and group information in the application will also update the LDAP directory.
Learn more about synchronizing data from external directories.
Connecting to an LDAP Directory in Jira Service Management
- Choose
> User Management. - [ユーザー ディレクトリ] を選択します。
- ディレクトリを追加し、以下のタイプのいずれかを選択します。
- 'Microsoft Active Directory' – This option provides a quick way to select AD because it is the most popular LDAP directory type.
- 「LDAP」 - 次の画面で特定の LDAP ディレクトリの種類を選択できます。
- 以下に説明するように、設定に値を入力します。
- ディレクトリ設定を保存します。
- Define the directory order by clicking the blue up- and down-arrows next to each directory on the 'User Directories' screen. Here is a summary of how the directory order affects the processing:
- ディレクトリの順序は、ユーザーおよびグループの検索順序です。
- ユーザーおよびグループへの変更は、アプリケーションが変更権限を持つ最初のディレクトリに対してのみ行われます。
メモ:
- For this configuration, every time user logs in (i.e. first and subsequent times), the user's data in Jira Service Management will be updated from the user's data in LDAP. This includes username, display name, email and group memberships. However for group memberships, only the following applies:
- 直接のグループ(すなわち、入れ子グループでないもの)のみ、LDAP から同期されます。
- only groups that are already present in Jira Service Management are synchronized, i.e. groups are not added/removed, and group hierarchies are not synchronized.
Learn more about synchronizing data from external directories.
サーバー設定
設定 | 説明 |
|---|---|
名前 | LDAP ディレクトリ サーバーを識別するのに役立つわかりやすい名前を入力します。例:
|
ディレクトリ タイプ | 接続する LDAP ディレクトリのタイプを選択します。新しい LDAP 接続を追加する場合、ここで選択した値によって、画面の残りのオプションの多くのデフォルト値が決定します。例:
|
ホスト名 | The hostname of your directory server. Examples: |
ポート | ディレクトリ サーバーがリスンするポート。例:
|
SSL を使用する | ディレクトリ サーバーへの接続が SSL (Secure Sockets Layer) 接続の場合は、オンにします。この設定を使用するには、SSL 証明書を設定する必要があります。 |
ユーザ名 | ディレクトリ サーバーに接続する際にアプリケーションが使用するユーザーの識別名。例:
Ensure that this is an administrator user for the LDAP engine. For example, in Active Directory the user will need to be a member of the built-in Administrators group. The specific privileges for the LDAP user that is used to connect to LDAP are 'bind' and 'read' (user info, group info, group membership, update sequence number, deleted objects).Admin privileges are required because a normal user can't access the uSNChanged attribute and deleted objects container, causing the incremental sync to fail silently. This has been reported as CWD-3093. |
パスワード | 上記で指定したユーザーのパスワード。 Note: Connecting to an LDAP server requires that this application logs in to the server with the username and password configured here. As a result, this password cannot be one-way hashed - it must be recoverable in the context of this application. The password is currently stored in the database in plain text without obfuscation. To guarantee its security, you need to ensure that other processes do not have OS-level read permissions for this application's database or configuration files. |
スキーマ設定
設定 | 説明 |
|---|---|
ベース DN | ディレクトリ サーバーに対してクエリを実行する場合に使用するルート識別名(DN)。例:
|
追加のユーザー DN | この値は、ユーザーの検索および読み込み時に、ベース DN に加えて使用されます。値が提供されない場合、サブツリー検索はベース DN から開始されます。例:
|
追加のグループ DN | この値は、グループの検索および読み込み時に、ベース DN に加えて使用されます。値が提供されない場合、サブツリー検索はベース DN から開始されます。例:
|
If no value is supplied for Additional User DN or Additional Group DN this will cause the subtree search to start from the base DN and, in the case of a huge directory structure, could cause performance issues for login and operations that rely on login to be performed.
パーミッション設定
Note: You can only assign LDAP users to local groups when 'External User Management' is not selected.
設定 | 説明 |
|---|---|
読み取り専用 | LDAP ユーザー、グループ、メンバーシップは、ディレクトリ サーバーから取得され、ディレクトリ サーバーを介してのみ変更することができます。アプリケーション管理画面から LDAP ユーザー、グループ、またはメンバーシップを変更することはできません。 |
ローカル グループでの読み取り専用 | LDAP ユーザー、グループ、メンバーシップは、ディレクトリ サーバーから取得され、ディレクトリ サーバーを介してのみ変更することができます。アプリケーション管理画面から LDAP ユーザー、グループ、またはメンバーシップを変更することはできません。ただし、内部ディレクトリにグループを追加したり、そのグループに LDAP ユーザーを追加することができます。
|
読み取り/書き込み | LDAP ユーザー、グループ、メンバーシップは、ディレクトリ サーバーから取得されます。アプリケーションの管理画面を通してユーザー、グループ、メンバーシップを変更すると、LDAP ディレクトリ サーバーに直接変更が適用されます。アプリケーションのユーザーとして指定されている LDAP ユーザーが LDAP ディレクトリ サーバーでの変更権限を持っていることを確認してください。 |
Note for Confluence users: Users from LDAP are added to groups maintained in Confluence's internal directory the first time they log in. This is only done once per user. There is a known issue with Read Only, with Local Groups in Confluence that may apply to you. See グループへのユーザーの自動追加
設定 | 説明 |
|---|---|
既定のグループ メンバーシップ | Option available in Confluence 3.5 and later, and Jira Service Management 4.3.3 and later. This field appears if you select the 'Read Only, with Local Groups' permission. If you would like users to be automatically added to a group or groups, enter the group name(s) here. To specify more than one group, separate the group names with commas.
|
高度な設定
設定 | 説明 |
|---|---|
Enable Nested Groups | 入れ子グループのサポートを有効または無効にします。いくつかのディレクトリサーバーは、グループを別のグループのメンバーとして定義することを許可します。このような構造のグループは「入れ子グループ」と呼ばれます。グループを使用して権限を管理している場合、入れ子グループを作成して、1 つのグループからそのサブグループに権限を継承できます。 |
| ユーザー ステータスをローカルで管理する | true の場合、ディレクトリ サーバー内のステータスに関係なく、Crowd でユーザーをアクティブ化/非アクティブ化できます。 |
| 期限切れのユーザーを除外する | true の場合、ActiveDirectory で期限切れとしてマークされたユーザー アカウントが自動的に削除されます。キャッシュされたディレクトリの場合、ユーザーの削除は、アカウントの有効期限日後の最初の同期中に行われます。 |
ページングされた結果を使用 | 検索結果をシンプルにページングする LDAP 制御拡張機能の使用を有効または無効にします。ページングが有効になっている場合、検索によって一度にすべての検索結果が取得されるのではなく、データのセットが取得されます。必要なページサイズ、つまり、ページングされた結果が有効である場合、ページごとに返される検索結果の最大数を入力します。既定は 1000 です。 |
照会に従う | Choose whether to allow the directory server to redirect requests to other servers. This option uses the node referral (JNDI lookup |
ネイティブ DN マッチング | If your directory server will always return a consistent string representation of a DN, you can enable naive DN matching. Using naive DN matching will result in a significant performance improvement, so we recommend enabling it where possible.
|
| Enable Incremental Synchronization | ディレクトリの同期時に、前回の同期が照会されてからの変更のみが必要な場合、インクリメンタル同期を有効化します。
これらの条件の少なくとも1つが満たされない場合、Active Directory に追加された(または削除された)ユーザーは、アプリケーション内でそれぞれ追加(または削除)されずに終わります。 この設定は、ディレクトリのタイプが「Microsoft Active Directory」に設定されている場合に利用できます。 |
Synchronization Interval (minutes) | Synchronization is the process by which the application updates its internal store of user data to agree with the data on the directory server. The application will send a request to your directory server every x minute, where 'x' is the number specified here. The default value is 60 minutes. |
読み込みタイムアウト(秒) | レスポンスを受信するまでに待機する時間(秒)。指定された時間内にレスポンスがない場合、読み込み試行は中止されます。値を0(ゼロ)にすると、無制限になります。デフォルト値は120秒です。 |
検索タイムアウト(秒) | 検索操作からのレスポンスを受信するまでに待機する時間 (秒)。値を 0 (ゼロ) にすると、無制限になります。既定値は 60 秒です。 |
接続タイムアウト(秒) | この設定は2つの操作に影響します。デフォルト値は0です。
|
このオプションを使用する場合、同期するように設定されたユーザーアカウントは以下への読み取り権限を持っている必要があることに注意してください。ユーザー スキーマ設定
設定 | 説明 |
|---|---|
ユーザー オブジェクト クラス | これは LDAP ユーザー オブジェクトに使用されるクラス名です。例:
|
ユーザー オブジェクト フィルタ | ユーザー オブジェクトを検索するときに使用するフィルター。例:
|
ユーザー名属性 | The attribute field to use when loading the username. Examples:
NB: In Active Directory, the 'sAMAccountName' is the 'User Logon Name (pre-Windows 2000)' field. The User Logon Name field is referenced by 'cn'. |
ユーザー名 RDN 属性 | The RDN (relative distinguished name) to use when loading the username. The DN for each LDAP entry is composed of two parts: the RDN and the location within the LDAP directory where the record resides. The RDN is the portion of your DN that is not related to the directory tree structure. Example:
|
ユーザの名属性 | ユーザーの名を読み込むときに使用する属性フィールド。例:
|
ユーザーの姓属性 | ユーザーの姓を読み込むときに使用する属性フィールド。例:
|
ユーザーの表示名属性 | ユーザーの氏名を読み込むときに使用する属性フィールド。例:
|
ユーザーのメール属性 | ユーザーのメールアドレスを読み込むときに使用する属性フィールド。例:
|
User-Password Attribute | ユーザーのパスワードを読み込むときに使用する属性フィールド。例:
|
| User Unique ID Attribute | 属性は、ユーザー オブジェクトに対する一意かつ不変の ID として使用されます。これは、オプションであり、ユーザー名の変更の追跡に使用されます。この属性が設定されていない場合 (または無効な値に設定されている場合)、ユーザー名は検出されません。ユーアーの削除後の新しいユーザーの追加として解釈されます。 This should normally point to a UUID value. Standards-compliant LDAP servers will implement this as 'entryUUID' according to RFC 4530. This setting exists because it is known under different names on some servers, e.g. 'objectGUID' in Microsoft Active Directory. |
グループ スキーマ設定
設定 | 説明 |
|---|---|
グループ オブジェクト クラス | これは LDAP グループ オブジェクトに使用されるクラス名です。例:
|
グループ オブジェクト フィルター | グループ オブジェクトを検索するときに使用するフィルター。例:
|
グループ名属性 | グループ名を読み込むときに使用する属性フィールド。例:
|
グループ説明属性 | グループ名を読み込むときに使用する属性フィールド。例:
|
メンバーシップ スキーマ設定
設定 | 説明 |
|---|---|
グループ メンバー 属性 | グループのメンバーを読み込むときに使用する属性フィールド。例:
|
ユーザー メンバーシップ属性 | ユーザーのグループを読み込むときに使用する属性フィールド。例:
|
ユーザーのグループ メンバーシップを検索する際に、ユーザー メンバーシップ属性を使用する | ディレクトリ サーバーがユーザーのグループ メンバーシップをサポートしている場合に、このボックスを選択します (既定では、これが "
|
グループのメンバーを検索する際に、ユーザー メンバーシップ属性を使用する | ディレクトリ サーバーがユーザーのグループ メンバーシップをサポートしている場合に、このボックスを選択します (既定では、これが "
|