LDAP 認証を使う内部ディレクトリ。名前が示すとおり、このタイプのディレクトリは内部ディレクトリとして考えることができますが、ユーザーの認証の際には、ユーザーが入力した資格情報の検証が Confluence から LDAP に要求されます。内部ディレクトリと同様、管理者は Confluence UI でユーザーをローカルで追加/削除/更新できます。

このディレクトリ タイプでは、管理者を支援するためのいくつかのオプションも提供されます。

+ If the user does not exist, the directory can automatically create the user upon successful authentication

+ Additional option to update this single user's information (email, display name, etc.) upon successful authentication

+ Additional option to pull in the user's LDAP group memberships upon successful authentication (and automatically create any groups that do not yet exist in Confluence)

重要なこととして、これらのオプションすべてはユーザー認証に基づき、ユーザー単位のみで提供されます。つまり、ユーザーは、管理者が手動で作成するか、認証の成功に伴って自動作成される (このオプションが設定されている場合) までは、Confluence に存在しません。

また、LDAP 側で削除/無効化されたユーザーは、ログインして自身のアカウントへの変更をトリガーすることができなくなるため、Confluence 内で自動的に削除/無効化されることはありません。

The main advantage of a Connector is that it proactively reaches out to LDAP to update user/group/membership information on a configurable time interval. This means that changes on the LDAP side, including adding/removing users, changing user details, changing group memberships, will be regularly updated in the Confluence database without requiring users to log in or an admin having to manually update users.

時間間隔に基づいた同期に加えて、ディレクトリではユーザーがログインしたタイミングで、そのユーザーの詳細情報やグループの更新をユーザー単位で行います。

LDAP への読み取り権限のみを持ちます。LDAP への書き込み (変更) を行うオプションや機能はありません。

このディレクトリ タイプには、読み取り専用オプションに加えて読み取り/書き込み権限を利用するオプションがあります。これにより、Confluence で行われたユーザー変更を上流の LDAP に戻すことができます (バインドされたユーザーが LDAP サーバーでそのような変更を行う権限を持つ場合)。

LDAP ユーザー、グループ、またはグループ メンバーシップの同期のために LDAP にプロアクティブに接続することはありません。LDAP 情報はユーザーの認証に伴い、ユーザー単位で取得されます (このためのオプションが選択されている場合)。

+ You have a very large LDAP directory but only a small subset of users/groups are relevant to Confluence. However, you are not able to configure your LDAP filters such that only this subset of users/groups are within the search scope. A DELEGATED directory can help in this case, to avoid potential performance impact since a CONNECTOR might spend too much time syncing a large dataset.

+ Most customers will benefit from using a Connector as its proactive syncing means LDAP changes are automatically reflected in Confluence.

+ You would like to be able to make user/group changes in Confluence, and automatically push those changes upstream to LDAP (this is an option; not required).

+ You require LDAP changes to be kept up-to-date in Confluence, even for users that have not logged in for a long time.

+ You require users who have not ever logged in to appear in Confluence.

+ You require users who have been removed/disabled in LDAP to automatically be removed/disabled in Confluence without admin intervention

+ You have a huge LDAP directory and do not have a meaningful way to filter down users/groups relevant to Confluence using a Base DN or LDAP filter. Using a CONNECTOR would mean long sync times and pulling in way too many irrelevant users. The action of syncing a directory costs Confluence resources (in terms of CPU/memory/database connections) and therefore if Confluence has to sync a huge dataset, there is a potential for negative performance impact.