LDAP 認証による内部ディレクトリへの接続
委任認証用に Confluence アプリケーションを LDAP ディレクトリに接続できます。つまり、Confluence には、認証のみに LDAP を使用する内部ディレクトリがあります。設定セクションで説明したように、ログインを試みた時に、内部ディレクトリにユーザーを自動的に作成するオプションがあります。
概要
LDAP 認証を使用した内部ディレクトリは、内部ディレクトリの機能を提供しながら、LDAP でのみユーザーのパスワードを保存してチェックすることができます。「LDAP 認証を使用した内部ディレクトリ」は、既定の「内部ディレクトリ」とは異なります。LDAP では、アプリケーションが行う操作はパスワードのチェックのみです。LDAP は読み取り専用です。LDAP 認証を使用する内部ディレクトリ内の各ユーザーは、ユーザーを LDAP 上にマッピングする必要があります。そうでない場合はログインできません。
このオプションを使用するタイミング: ニーズに合わせてアプリケーション内でユーザーやグループ設定を行い、LDAP ディレクトリに対してユーザーのパスワードをチェックする場合はこのオプションを選択します。また、このオプションは、LDAP から多数のグループをダウンロードした結果発生する、パフォーマンスの問題を回避するのにも役立ちます。
LDAP 認証による内部ディレクトリへの Confluence の接続
内部ディレクトリに接続するが、LDAP 経由でログインを確認するには:
- Click 'User Directories' in the left-hand panel.
- ディレクトリを追加し、タイプ「LDAP 認証を使用した内部」を選択します。
- 以下に説明するように、設定に値を入力します。
- Save the directory settings.
- 既存の内部ユーザーの代わりに LDAP ユーザーを使用したい場合、「LDAP 認証を使用する内部」をリストの一番上に移動します。「ユーザー ディレクトリ」画面で各ディレクトリの横にある青色の上下矢印をクリックして、ディレクトリの順序を定義することができます。ディレクトリの順序がどういった影響をもたらすかを説明します。
- ユーザーおよびグループへの変更は、アプリケーションが変更権限を持つ最初のディレクトリに対してのみ行われます。
- ディレクトリの順序は、ユーザーとグループが検索される順序です (既定では、Confluence ではグループ メンバーシップがすべてのディレクトリから集約されるため、順序がメンバーシップ自体に影響することはありません)。
- ユーザーとグループを Confluence に追加します。「ユーザーの追加と招待」と「サイト全体の権限とグループの管理」を参照してください。
サーバー設定
設定 | 説明 |
---|---|
名前 | ディレクトリを識別するのに役立つ説明的な名前にします。例:
|
ディレクトリ タイプ | 接続する LDAP ディレクトリのタイプを選択します。新しい LDAP 接続を追加する場合、ここで選択した値によって、画面の残りのオプションの一部のデフォルト値が決定します。例:
|
ホスト名 | ディレクトリ サーバのホスト名。例:
|
ポート | ディレクトリ サーバーがリスンするポート。例:
|
SSL を使用する | ディレクトリ サーバーへの接続が SSL (Secure Sockets Layer) 接続の場合は、このボックスをオンにします。この設定を使用するには、SSL 証明書を設定する必要があります。 |
ユーザ名 | ディレクトリ サーバーに接続する際にアプリケーションが使用するユーザーの識別名。例:
|
パスワード | 上記で指定したユーザーのパスワード。 |
ログイン時のユーザーのコピー
設定 | 説明 |
---|---|
ログイン時にユーザーをコピーする | このユーザーは、ユーザーがログインを試みた際の動作に影響します。このボックスをオンにすると、ユーザーの初回ログイン時、LDAP が認証に使用している内部ディレクトリ内にユーザーが自動的に作成され、その後の同期のたびに詳細が同期されます。このボックスがオフになっている場合、ユーザーがディレクトリ内で作成されていない場合、ユーザーのログインは失敗します。
|
ログイン時にユーザーの属性を更新する | アプリケーションに対してユーザーを認証するたびに、LDAP サーバーからアプリケーションへと属性が自動更新されます。このオプションを選択した後、アプリケーション内で直接ユーザーを変更または削除する必要があります。
|
既定のグループ メンバーシップ | このフィールドは、「ログイン時にユーザーをコピー」ボックスがオンになっている場合に表示されます。ユーザーを自動的にグループに追加する場合は、ここにグループ名を入力します。1 つ以上のグループを指定する場合は、グループ名をコンマで区切ります。ユーザーがログインするたびに、グループ メンバーシップがチェックされます。ユーザーが指定したグループに所属しない場合、それらのユーザーのユーザー名がグループに追加されます。グループがまだ存在しない場合、認証用 LDAP を使用して内部ディレクトリにグループが追加されます。
|
グループメンバーシップの同期 | このフィールドは、「ログオン時にユーザーをコピー」チェックボックスを選択した場合に表示されます。このボックスがオンになっている場合、ユーザーがログインするたびに、LDAP サーバーで指定したグループメンバーシップが、内部ディレクトリと同期されます。
|
注:ユーザー名を変更できるようにする場合、「ログイン時のユーザーのコピー」を有効化する必要があります。
スキーマ設定
設定 |
説明 |
---|---|
ベース DN |
ディレクトリ サーバーに対してクエリを実行する場合に使用するルート識別名(DN)。例:
|
ユーザー名属性 |
ユーザー名を読み込むときに使用する属性フィールド。例:
|
高度な設定
設定 | 説明 |
---|---|
Enable Nested Groups | 入れ子グループのサポートを有効または無効にします。 いくつかのディレクトリサーバーは、グループを別のグループのメンバーとして定義することを許可します。このような構造のグループは入れ子グループと呼ばれます。入れ子グループは、1 つの親グループからそのサブグループへの権限の継承を許可し、権限をシンプルにします。 |
ページングされた結果を使用 | 検索結果をシンプルにページングする LDAP 制御拡張機能の使用を有効または無効にします。ページングが有効になっている場合、検索によって一度にすべての検索結果が取得されるのではなく、データのセットが取得されます。必要なページサイズ、つまり、ページングされた結果が有効である場合、ページごとに返される検索結果の最大数を入力します。既定は 1000 です。 |
照会に従う | ディレクトリ サーバーがリクエストを別のサーバーにリダイレクトすることを許可するかどうかを選択します。このオプションは、ノード照会 (JNDI ルックアップ |
ユーザー スキーマ設定
注:このセクションは、ログイン時のユーザーのコピーが有効な場合のみ表示されます。
設定 |
説明 |
---|---|
追加のユーザー DN |
この値は、ユーザーの検索および読み込み時に、ベース DN に加えて使用されます。値が提供されない場合、サブツリー検索はベース DN から開始されます。例:
|
ユーザー オブジェクト クラス |
これは LDAP ユーザー オブジェクトに使用されるクラス名です。例:
|
ユーザー オブジェクト フィルタ |
ユーザー オブジェクトを検索するときに使用するフィルター。例:
|
ユーザー名 RDN 属性 |
ユーザー名をロードするときに使用する RDN (相対識別名)。各 LDAP エントリの DN は 2 つの部分 (記録が格納される RDN および LDAP ディレクトリ内の場所) で構成されます。RDN はディレクトリツリー構造と関係ない DN の一部です。例:
|
ユーザの名属性 |
ユーザーの名を読み込むときに使用する属性フィールド。例:
|
ユーザーの姓属性 |
ユーザーの姓を読み込むときに使用する属性フィールド。例:
|
ユーザーの表示名属性 |
ユーザーの氏名を読み込むときに使用する属性フィールド。例:
|
ユーザーのメール属性 |
ユーザーのメールアドレスを読み込むときに使用する属性フィールド。例:
|
グループ スキーマ設定
注:このセクションは、ログイン時のユーザーのコピーおよびグループ メンバーシップの同期の両方が有効な場合のみ表示されます。
設定 |
説明 |
---|---|
追加のグループ DN |
この値は、グループの検索および読み込み時に、ベース DN に加えて使用されます。値が提供されない場合、サブツリー検索はベース DN から開始されます。例:
|
グループ オブジェクト クラス |
これは LDAP グループ オブジェクトに使用されるクラス名です。例:
|
グループ オブジェクト フィルター |
グループ オブジェクトを検索するときに使用するフィルター。例:
|
グループ名属性 |
グループ名を読み込むときに使用する属性フィールド。例:
|
グループ説明属性 |
グループ名を読み込むときに使用する属性フィールド。例:
|
メンバーシップ スキーマ設定
注:このセクションは、ログイン時のユーザーのコピーおよびグループ メンバーシップの同期の両方が有効な場合のみ表示されます。
設定 | 説明 |
---|---|
グループ メンバー 属性 | グループのメンバーを読み込むときに使用する属性フィールド。例:
|
ユーザー メンバーシップ属性 | ユーザーのグループを読み込むときに使用する属性フィールド。例:
|
ユーザーのグループ メンバーシップを検索する際に、ユーザー メンバーシップ属性を使用する | ディレクトリ サーバーがユーザーのグループ メンバーシップをサポートしている場合に、このボックスをチェックします(デフォルトでは、これは「memberOf」属性です)。
|
可能な設定のダイアグラム
上図:認証のみに使用される LDAP ディレクトリに接続する Confluence
上図:Confluence へのログイン時に LDAP 認証を使用する内部ディレクトリと同期される各ユーザーがいる、認証のみに使用される LDAPディレクトリに接続する Confluence