LDAP インポート

ライトウェイト ディレクトリ アクセス プロトコル (LDAP) ディレクトリは、ユーザーやその他の資産に関するデータの集合です。承認プロセスに使用される従業員とマネージャーの関係性情報や資産を含む社内ディレクトリを扱っている場合は、そのような LDAP エントリをアセットにインポートできます。作業を簡単にするため、アセットには一般的な LDAP ディレクトリで動作してディレクトリから構造とアセットを取得できるモジュールが用意されています。この記事では、その設定方法を説明します。インポートについて詳しくはこちらをご確認ください。

LDAP インポートを作成し、設定して有効化するには、Jira 管理者である必要があります。

次のセクションにジャンプ:

概要

LDAP はインターネット プロトコルであり、Web アプリケーションで LDAP サーバーから資産に関する情報を検索するために使用できます。

アトラシアンでは、最も一般的な LDAP ディレクトリ サーバー向けに組み込みのコネクターを提供しています。

  • Microsoft Active Directory

  • Apache Directory Server (ApacheDS)

  • Apple Open Directory

  • Fedora Directory Server

  • Novell eDirectory

  • OpenDS

  • OpenLDAP

  • OpenLDAP (Posix Schema を使用)

  • LDAP 用 Posix Schema

  • Sun Directory Server Enterprise Edition (DSEE)

  • 汎用 LDAP ディレクトリ サーバー

LDAPS 検証

LDAPS (Secure LDAP) がサポートされており、アセットで動作させるための特別な要件はありません。

LDAPS ソースからインポートしようとしている場合は、インポートされた CA (認証局) 証明書によって LDAP サーバー証明書を検証できます。LDAP サーバー証明書を検証する場合は、Jira で CA 証明書によって LDAP サーバー証明書を検証できるようにするため、LDAP サーバー証明書に署名した CA からルート CA 証明書をインポートする必要があります。詳細についてはこちらをご覧ください。

必ずポートを 3269 に変更してください。これは、LDAP から LDAPS に変更すると、グローバル カタログ (GC) サーバーが 389 ではより大きい AD "フォレスト" を参照する照会を返すが、3268 (LDAPS の場合は 3269) では通常の LDAP サーバーのように動作するという事実によるものです。

LDAP のインポート

インポート構造を作成するには、次の手順に従います。
  1. サービス プロジェクトから、[アセット] > [オブジェクト スキーマ] の順に移動します。

  2. [オブジェクト スキーマ] リストから [ その他のアクション] > [構成] の順に選択します。
    オブジェクト スキーマ ウィンドウを構成する

  3. スキーマ構成ビューで [インポート] タブを開きます。

  4. [インポート] タブで、次の手順に従います。

    • インポート構造がない場合は、「インポート接続はまだありません」というメッセージが表示されます。新しいインポート構造を作成するには、[インポート設定を作成] を選択します。

    • インポート構造が作成済みである場合は、[設定を作成] を選択します。
      インポート構成ウィンドウを作成する

  5. [CSV インポート] > [次へ] の順に選択します。

  6. [一般]、[モジュール]、[スケジュール] の各インポート フィールドに入力します。
    インポート構成の一般的なフィールド

一般フィールド

次は、すべてのインポート タイプに共通する一般的なフィールドです。

名前

説明

名前インポートの名前。
説明 参考用の説明。
連結子

既定の連結子を指定できます。複数のデータ ロケーターを結合して 1 つのアセット属性を作成すると、これが既定の連結子となります。たとえば、"姓" と "名" のような 2 つの列を 1 つの属性に結合できます。つまり、"Mathias" (名) と "Edblom" (姓) は、連結子である \s によって "Mathias Edblom" として連結されます。

スペースの連結には \s を入力します。連結文字を含めるには、その値を二重引用符で囲みます ("\s")。

空の値

データ ロケーターが空である場合の処理は、次のように定義されます。

  • 無視 - オブジェクト内の既存の値は保持され、空の値で上書きされません。

  • 削除 - オブジェクトの既存の値が削除され、空のフィールド値に置き換えられます。

データ ロケーターが不明である場合の処理を定義しましょう。これは、"ステータス" や "選択" などの属性タイプで発生する可能性があります。 

  • 無視 - CSV の値は無視され、オブジェクト属性は空のままになります。

  • 追加 - CSV ファイルで渡された値がリストに追加され、オブジェクト属性が新しい値で更新されます。

インポート ソースの日付フィールドを Insight の日付に変換する際の形式。空のままにすると、Insight で正しい形式が自動で検索されます。
この形式は、Java の SimpleDateFormat のガイドラインに従って指定する必要があります。

インポート ソースの日付/時刻フィールドを Insight の日付に変換する際の形式。空のままにすると、Assets で正しい形式が自動で検索されます。
この形式は、Java の SimpleDateFormat のガイドラインに従って指定する必要があります。

モジュール フィールド

これらのフィールドはインポート タイプ (モジュール) に固有です。

設定

説明

URL

LDAP を実行しているサーバーのプロトコル、ホスト名、ポート。例: ldap://ldap.example.com:389

ユーザー DN

ディレクトリ サーバーに接続する際にアプリケーションが使用するユーザーの識別名。例:

  • cn=administrator,cn=users,dc=ad,dc=example,dc=com
  • cn=user,dc=domain,dc=name
  • user@domain.name

パスワード

上記で指定したユーザーのパスワード。

ベース DN

ディレクトリ サーバーに対してクエリを実行する場合に使用するルート識別名(DN)。例:

  • o=example,c=com
  • cn=users,dc=ad,dc=example,dc=com
  • Microsoft Active Directory の場合は、ベース DN を dc=domain1,dc=local の形式で指定します。domain1local を自身の設定で置き換える必要があります。Microsoft Server では ldp.exe というツールが提供されています。これは、サーバーの LDAP 構造を検出して設定するのに役立ちます。

オブジェクト タイプに特定のベース DN が必要な場合は、後述の Selector の値をご参照ください。

検索フィルター

フィルター検索のスコープを定義します。既定では、すべてのエントリを取得する (objectClass=*) になっています。たとえば、Jira ユーザーのみが必要な場合は、(objectClass=person) を設定できます。LDAP 内のユーザーについては、"objectClass" を "person" に設定する必要があることに注意してください。

検索フィルターは、同期時間に影響する点で重要です。

インポート時の検索範囲

検索範囲は、ONE_LEVEL、OBJECT、または SUBTREE にすることができます。この設定は LDAP の検索範囲に対応し、LDAP からオブジェクトを取得する方法を決定します。

既定の設定は ONE_LEVEL ですが、ロケーターと構造は SUBTREE で作成されます。

照会に従う

[LDAP Follow Referrals] は、分散 LDAP 環境で正しいデータを受け取ることを保証する機能です。これにより、LDAP クライアントが他の LDAP サーバーへの照会に従ってリクエストされた情報を取得することができるようになるため、複数の LDAP サーバーまたはドメインを扱う場合に特に便利です。

実際には、LDAP サーバーがリクエストに応えられない場合、必要な情報を持っている可能性のある別のサーバーをクライアントに照会させることができるということです。これは、分散システム全体でデータの一貫性と完全性を維持するために不可欠です。

名前空間を含めるこのオプションは、LDAP サーバーからアセット オブジェクト構造を作成する場合にのみ適用されます。このオプションを選択すると、cn=users,ou=company,=dc=examle,dc=com などの名前空間がオブジェクト タイプの説明に追加されます。同期の実行中にこの値は使用されません。


スケジュール フィールド

スケジュール フィールドは、データの同期を維持するために使用されます。

名前説明
同期アカウント

データをアセットに同期する際に使用する Jira ユーザー。

LDAP およびデータベースのインポートでは、同期に使用するアカウントに Jira 管理者権限が必要です。

cron 式The interval for the automatic synchronization. Explore cron expressions
自動同期インポートを自動で同期するようにスケジュールするかどうか。

7. [インポート設定を保存] を選択します。

次に、LDAP インポート用の定義済みの構造と設定を作成できます。

事前定義済みの構造と設定

アセットの LDAP インポートを実行する際は、1 つの組織単位 (OU) からのみユーザーまたはグループをインポートできます。詳細については、「アセットの LDAP インポートを使用して特定の OU からユーザーまたはグループをインポートする方法」をご参照ください。

次のステップでは、定義済みの構造と構成を手動で作成することも、アセットで自動的に作成することもできます。このプロセスを自動化するには、以下を選択してください。
  • 定義済みの構造を作成する – これにより、スキーマに属性と関係を持つオブジェクト タイプが作成されます。

  • 定義済みの構成を作成する – これにより、インポート構成にタイプ マッピングが作成されます。

定義済みの構造と構成を作成する

LDAP インポートの詳細について説明します。

定義済みの構造

この構造は、LDAP サーバーから返された結果に基づいて作成されます。定義済みの構造を作成すると、指定された設定でクエリが LDAP サーバーに送信されて結果が取得されます。この結果に基づいて、オブジェクト タイプの階層が作成されます。子を持つ各ノード (DN で識別されるもの) は、オブジェクト タイプとして扱われて作成されます。アセット オブジェクト タイプに属する属性は、LDAP サーバーのノードにある属性になります。

LDAP サーバーから返された結果によって子を持たないオブジェクトを取得した場合、事前定義済みの構造は自動で作成されないため手動で作成する必要があります。

事前定義済みの構造では、オブジェクト タイプごとに 2 つの追加属性が作成されます。属性 CN (共通名) はラベルとして使用されて、属性 DN (識別名) は非表示プロパティで設定されます。

LDAP インポートにある事前定義済みの構造で作成されたすべての属性は、既定のテキスト タイプになります。このデータが別のものを表している場合は、属性を確認して適宜変更してください。

LDAP 構造の例

結果として得られるアセット オブジェクト タイプ構造

 

定義済みの設定

事前定義済みの設定では LDAP サーバーがクエリされて、上記の構造と同じ条件に基づいて設定のマッピングが作成されます。検出されたすべての属性は、CN (共通名) と DN (識別名) を追加することでデータ ロケーターとして選択可能になります。

LDAP サーバーの各オブジェクトを一意に識別するため、各オブジェクトの DN に識別子が設定されます。事前定義済みの設定は接続されている LDAP サーバーによって異なるため、上の例で示した Employees をマッピングする例を次に示します。

LDAP インポートがユーザーをインポートするように設定されている場合は、複数のユーザーを作成するために REGEX 設定によってユーザーを分割できます。

作成されたインポート設定

これでインポート設定を表示できるようになりましたが、まだ準備が完了していません。引き続き、オブジェクト タイプと属性のマッピングを作成または確認して、インポート設定に問題がないことを確実にする必要があります。

準備できたら「2. オブジェクト タイプと属性マッピングを作成する」に進みます。

最後に一言

次のステップでは、オブジェクト マッピングの設定を作成します。LDAP インポート タイプに固有の設定をいくつか紹介します。

オブジェクト タイプ マッピング

名前

説明

セレクター

LDAP インポート タイプでは、LDAP の検索が実行される前にベース DN 値の直前にセレクターが追加されます。この値は、LDAP の構造化ツリーを特定のノードに絞り込むために使用されます。

検索フィルターは一般設定で指定されたものと同じになりますが、このセレクターによって検索フィルターの適用範囲が絞り込まれます。

たとえば、ベース DN が dc=ad,dc=example,dc=com でセレクターが cn=users の場合、結果の LDAP 検索ベースは cn=users,dc=ad,dc=example,dc=com になります。

最終更新日: 2024 年 12 月 30 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.