Delegated LDAP ユーザー ディレクトリと Connector LDAP ユーザー ディレクトリの違い

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

背景

Confluence では、ユーザー管理のための LDAP との直接的なインターフェイスとして 2 つの方法が用意されています。概要については「ユーザー ディレクトリの設定」をご確認ください。

それぞれのディレクトリ タイプを使うタイミングや理由について疑問をお持ちの管理者の方向けに、この記事ではそれぞれのディレクトリ タイプの技術的な違いを詳しく説明します。

ディレクトリ タイプ


DelegatedConnector
概要

LDAP 認証を使う内部ディレクトリ。名前が示すとおり、このタイプのディレクトリは内部ディレクトリとして考えることができますが、ユーザーの認証の際には、ユーザーが入力した資格情報の検証が Confluence から LDAP に要求されます。内部ディレクトリと同様、管理者は Confluence UI でユーザーをローカルで追加/削除/更新できます。

このディレクトリ タイプでは、管理者を支援するためのいくつかのオプションも提供されます。

  • ユーザーが存在しない場合、そのユーザーによる認証が成功したタイミングでディレクトリでユーザーを自動的に作成できます
  • ユーザーによる認証が成功したタイミングで単一のユーザーの情報 (メール アドレス、表示名など) を更新する追加オプション
  • ユーザーによる認証が成功したタイミングでユーザーの LDAP グループ メンバーシップを取得する (および Confluence に存在しない任意のグループを自動的に作成する) 追加オプション

重要なこととして、これらのオプションすべてはユーザー認証に基づき、ユーザー単位のみで提供されます。つまり、ユーザーは、管理者が手動で作成するか、認証の成功に伴って自動作成される (このオプションが設定されている場合) までは、Confluence に存在しません。

また、LDAP 側で削除/無効化されたユーザーは、ログインして自身のアカウントへの変更をトリガーすることができなくなるため、Confluence 内で自動的に削除/無効化されることはありません。

Connector の主なメリットは、設定した時間間隔で LDAP にプロアクティブに接続してユーザー/グループ/メンバーシップ情報の更新を行うことです。つまり、ユーザーの追加/削除 、ユーザーの詳細情報の変更、グループ メンバーシップの変更を含む LDAP 側での変更が、ユーザーによるログインや管理者による手動更新を必要とすることなく、Confluence のデータベースに定期的に反映されます。

時間間隔に基づいた同期に加えて、ディレクトリではユーザーがログインしたタイミングで、そのユーザーの詳細情報やグループの更新をユーザー単位で行います。

LDAP への読み取り/書き込み権限

LDAP への読み取り権限のみを持ちます。LDAP への書き込み (変更) を行うオプションや機能はありません。

このディレクトリ タイプには、読み取り専用オプションに加えて読み取り/書き込み権限を利用するオプションがあります。これにより、Confluence で行われたユーザー変更を上流の LDAP に戻すことができます (バインドされたユーザーが LDAP サーバーでそのような変更を行う権限を持つ場合)。

ユーザー管理データの更新

LDAP ユーザー、グループ、またはグループ メンバーシップの同期のために LDAP にプロアクティブに接続することはありません。LDAP 情報はユーザーの認証に伴い、ユーザー単位で取得されます (このためのオプションが選択されている場合)。

LDAP ユーザー、グループ、およびグループ メンバーシップを LDAP サーバーから下流の Confluence データベースに、指定した時間間隔 (デフォルト: 1 時間) でプロアクティブに同期します。つまり、ユーザーの追加/削除、ユーザーの詳細情報の変更、グループ メンバーシップの変更を含む LDAP 側での変更が、ユーザーによるログインや何らかのアクションを必要とすることなく、Confluence のデータベースに定期的に反映されます。
ローカル グループへのユーザーの追加両方のディレクトリ タイプで、LDAP ユーザーが初めてログインしたあとにそのユーザーをローカルの Confluence グループに追加するためのオプションが提供されます。両方のディレクトリ タイプで、LDAP ユーザーが初めてログインしたあとにそのユーザーをローカルの Confluence グループに追加するためのオプションが提供されます。
このディレクトリ タイプが推奨される例
  • 非常に大規模な LDAP ディレクトリを持っているが、Confluence に関連するユーザー/グループはほんの一部である。しかしながら、このようなユーザー/グループのみを検索スコープに含めるような LDAP フィルターを構成することができない。このような場合、パフォーマンスの潜在的な問題を回避するために Delegated ディレクトリが推奨されます。Connector を利用すると、大規模なデータセットの同期に時間がかかる可能性があります。
  • Connector のプロアクティブな同期によって LDAP の変更が Confluence に自動的に反映されるため、ほとんどのお客様に Connector をおすすめします。
  • また、Confluence でユーザー/グループの変更を行い、それを上流の LDAP に自動的にプッシュできるようにすることもおすすめします (これはオプションであり、必須ではありません)。
このディレクトリ タイプが推奨されない例
  • LDAP の変更が Confluence に常に反映されている必要があり、長期間ログインしていないユーザーがこれに含まれる場合。
  • ログインしたことのないユーザーを Confluence 内に表示する必要がある場合。
  • LDAP で削除/無効化されたユーザーが、管理者による操作なしで Confluence 内で自動的に削除/無効化されるようにしたい場合。
  • 大規模な LDAP ディレクトリを保持していて、Base DN や LDAP フィルターを使用しても、Confluence に関連するユーザー/グループを効果的に絞り込む方法が実現できない場合。このような状況で Connector を使うと、同期時間が長くかかり、関連しないユーザーを大量に取得してしまう可能性があります。ディレクトリの同期は Confluence のリソース (CPU/メモリ/データベース接続) を消費するため、Confluence で大規模なデータセットを同期する必要がある場合、パフォーマンスに悪影響が出る可能性があります。
最終更新日 2018 年 8 月 13 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.