Delegated LDAP ユーザー ディレクトリと Connector LDAP ユーザー ディレクトリの違い
背景
Confluence では、ユーザー管理のための LDAP との直接的なインターフェイスとして 2 つの方法が用意されています。概要については「ユーザー ディレクトリの設定」をご確認ください。
- "Delegated" ディレクトリ (LDAP 認証を利用する内部ディレクトリ) を使う - LDAP 認証で内部ディレクトリに接続する
- "Connecter" ディレクトリを使う - LDAP ディレクトリに接続する
それぞれのディレクトリ タイプを使うタイミングや理由について疑問をお持ちの管理者の方向けに、この記事ではそれぞれのディレクトリ タイプの技術的な違いを詳しく説明します。
ディレクトリ タイプ
| Delegated | Connector | |
|---|---|---|
| 概要 | LDAP 認証を使う内部ディレクトリ。名前が示すとおり、このタイプのディレクトリは内部ディレクトリとして考えることができますが、ユーザーの認証の際には、ユーザーが入力した資格情報の検証が Confluence から LDAP に要求されます。内部ディレクトリと同様、管理者は Confluence UI でユーザーをローカルで追加/削除/更新できます。 このディレクトリ タイプでは、管理者を支援するためのいくつかのオプションも提供されます。
重要なこととして、これらのオプションすべてはユーザー認証に基づき、ユーザー単位のみで提供されます。つまり、ユーザーは、管理者が手動で作成するか、認証の成功に伴って自動作成される (このオプションが設定されている場合) までは、Confluence に存在しません。 また、LDAP 側で削除/無効化されたユーザーは、ログインして自身のアカウントへの変更をトリガーすることができなくなるため、Confluence 内で自動的に削除/無効化されることはありません。 | Connector の主なメリットは、設定した時間間隔で LDAP にプロアクティブに接続してユーザー/グループ/メンバーシップ情報の更新を行うことです。つまり、ユーザーの追加/削除 、ユーザーの詳細情報の変更、グループ メンバーシップの変更を含む LDAP 側での変更が、ユーザーによるログインや管理者による手動更新を必要とすることなく、Confluence のデータベースに定期的に反映されます。 時間間隔に基づいた同期に加えて、ディレクトリではユーザーがログインしたタイミングで、そのユーザーの詳細情報やグループの更新をユーザー単位で行います。 |
| LDAP への読み取り/書き込み権限 | LDAP への読み取り権限のみを持ちます。LDAP への書き込み (変更) を行うオプションや機能はありません。 | このディレクトリ タイプには、読み取り専用オプションに加えて読み取り/書き込み権限を利用するオプションがあります。これにより、Confluence で行われたユーザー変更を上流の LDAP に戻すことができます (バインドされたユーザーが LDAP サーバーでそのような変更を行う権限を持つ場合)。 |
| ユーザー管理データの更新 | LDAP ユーザー、グループ、またはグループ メンバーシップの同期のために LDAP にプロアクティブに接続することはありません。LDAP 情報はユーザーの認証に伴い、ユーザー単位で取得されます (このためのオプションが選択されている場合)。 | LDAP ユーザー、グループ、およびグループ メンバーシップを LDAP サーバーから下流の Confluence データベースに、指定した時間間隔 (デフォルト: 1 時間) でプロアクティブに同期します。つまり、ユーザーの追加/削除、ユーザーの詳細情報の変更、グループ メンバーシップの変更を含む LDAP 側での変更が、ユーザーによるログインや何らかのアクションを必要とすることなく、Confluence のデータベースに定期的に反映されます。 |
| ローカル グループへのユーザーの追加 | 両方のディレクトリ タイプで、LDAP ユーザーが初めてログインしたあとにそのユーザーをローカルの Confluence グループに追加するためのオプションが提供されます。 | 両方のディレクトリ タイプで、LDAP ユーザーが初めてログインしたあとにそのユーザーをローカルの Confluence グループに追加するためのオプションが提供されます。 |
| このディレクトリ タイプが推奨される例 |
|
|
| このディレクトリ タイプが推奨されない例 |
|
|