LDAP から Confluence に同期されるユーザーの数を変更する方法
目的
ユーザーおよびグループ管理のために Confluence を LDAP ディレクトリに接続しているときに、LDAP の全ユーザーではなく一部のユーザーを同期するように Confluence を構成したい場合があります。この変更には 2 つの理由があります。
- パフォーマンスの向上- 同期中のパフォーマンスに問題がある場合は、データのサブセットを同期させることで改善できる場合があります。
- ユーザー数の削減 - LDAP から Confluence に一部のユーザーのみを同期して、ユーザー数を削減できます。この方法により、Confluence ライセンスに計上されるユーザー数を少なくすることができます。ユーザー数を減らすための他の方法についてはこちらのページをご確認ください。「Confluence ライセンスを管理する」
ソリューション
LDAP ディレクトリを最初にセットアップした方法に応じて手順が変わります。すべての Confluence ユーザーが 1 つの OU に含まれ、非 Confluence ユーザーは別の OU に含まれている場合、Confluence が特定の DN (distinguished name) に対してユーザーを同期するように構成できます。しかしながら、ご利用のセットアップが単純なものではない場合 (例: Confluence ユーザーと非 Confluence ユーザーが同じノードに所属)、関連するユーザーを同期するために LDAP フィルターを定義する必要があります。どちらの方法についても、以下で説明します。
Base DN、Additional User DN、Additional Group DN への同期
- Confluence のシステム管理者としてログインします。
- [参照] > [Confluence 管理] の順に選択します。
- 左側のパネルで [ユーザー ディレクトリ] を選択します。
- 一覧から LDAP ディレクトリを選択します。
- 意図した方法でディレクトリ サービスにクエリを送信できるよう、Base DN フィールド、および任意で Additional User DN や Additional Group DN フィールドを更新します。これらのフィールドの説明については「LDAP ディレクトリへの接続」をご確認ください。
たとえば、すべての Confluence ユーザーをconfluence-users
OU のみで構成している場合、会社mycompany.example.com
での構成は次のようになります。
- Base DN —
dc=mycompany,dc=example,dc=com
- Additional User DN —
ou=confluence-users
LDAP フィルタの定義
- Confluence のシステム管理者としてログインします。
- [参照] > [Confluence 管理] の順に選択します。
- 左側のパネルで [ユーザー ディレクトリ] を選択します。
- 一覧から LDAP ディレクトリを選択します。
- User Object Filter や Group Object Filter フィールドを、必要に応じて更新します。これらのフィールドの説明については「LDAP ディレクトリへの接続」をご確認ください。LDAP フィルターの構文は単純なものではなく、クエリは LDAP ディレクトリのセットアップ方法によって異なります。
たとえば、Confluence グループのみが CN で "confluence" を持つように構成している場合、Group Object Filter =(objectCategory=group)(cn=*confluence*)
を設定することでフィルター内でワイルドカード検索を利用できます。
複数の OU からオブジェクトを取得
複数の OU からユーザーやグループを取得したい場合、Base DN フィールドで複数の OU を定義しないでください。代わりに、「Distinguished Name のコンポーネントの一致」 (「LDAP 検索フィルターの作成方法」) を参考に LDAP フィルターを利用してください。この方法は Active Directory では動作しません。詳細についてはこちらの Microsoft 社の記事をご確認ください。http://msdn.microsoft.com/en-us/library/cc223241.aspx
関連トピック