複数のディレクトリの管理
このページでは、Confluence で複数のユーザー ディレクトリを定義した場合に起きることについて説明します。たとえば、内部ディレクトリを持っていて、LDAP ディレクトリ サーバーやその他のタイプのユーザー ディレクトリにも接続しているとします。新しいディレクトリ サーバーに接続する場合、ディレクトリの順序 も定義する必要があります。
jsmith
を "ディレクトリ1" と "ディレクトリ2" の両方に使用することはお勧めしません。これは、特にディレクトリの順序を入れ替える際に混乱を招く恐れがあるためです。ディレクトリの順序の変更により、指定したユーザー名で参照するユーザーが変わる可能性があります。On this page:
概要
ディレクトリの順序がどういった影響をもたらすかを説明します。
- ディレクトリの順序は、ユーザーおよびグループの検索順序です。
- ユーザーおよびグループへの変更は、アプリケーションが変更権限を持つ最初のディレクトリに対してのみ行われます。
ディレクトリの順序を設定
Confluence に定義されているディレクトリの順序を変更できます。Confluence 管理メニューから [ユーザー ディレクトリ] を選択して、各ディレクトリの横にある青色の上下の矢印をクリックします。
メモ:
- 本ページのこれ以降の部分では、ディレクトリの順序が Confluence の認証 (ログイン)や権限に与える影響や、Confluence でユーザーやグループを更新した場合に起きることを説明します。
- 外部ディレクトリを Confluence の内部ディレクトリの上に動かす前に、自身 (および管理者ユーザー) が外部ディレクトリの
confluence-administrators
グループのメンバーであることを確認し、Confluence の管理コンソールへのアクセス権を誤って失わないようにします。
ディレクトリの順序の影響
このセクションでは、ディレクトリの順序がログインや権限、ユーザーやグループの更新にどのような影響を及ぼすかをまとめます。
ログイン
ディレクトリの順序は、同じユーザーが複数のディレクトリに存在する場合のユーザーの認証に重要です。ユーザーがログインしようとすると、指定した順序でディレクトリが検索され、最初に見つかったユーザーの認証情報 (パスワード) を使用してログイン試行が検証されます。
権限
メンバーシップの集約(既定)
Confluence はメンバーシップ集約スキームを既定で使用するため、グループのメンバーシップに基づいてユーザー権限を付与する場合、ディレクトリの順序は重要ではありません。同じユーザー名が複数のディレクトリに存在する場合、アプリケーションはそのユーザー名が表示されるすべてのディレクトリのグループ メンバーシップを集約(結合)します。
例:
- Customers ディレクトリと Partners ディレクトリの2つのディレクトリに接続しています。
- ディレクトリの順序は Customers ディレクトリが最初です。
- ユーザー名
jsmith
は Customers ディレクトリと Partners ディレクトリの両方に存在します。 - ユーザー
jsmith
は、Customers ディレクトリのG1
グループと Partners ディレクトリのG2
グループのメンバーです。 - ユーザー
jsmith
の権限は、ディレクトリの順序にかかわらず、G1
とG2
の両方のメンバーシップに基づきます。
Confluence 5.7 以降にアップグレードしている管理者の場合
複数のユーザーディレクトリ (LDAP、Active Directory、クラウドなど)に属するユーザーのグループ メンバーシップを決定する方法は、Confluence 5.7 で変更されました。グループ メンバーシップは最初にユーザーが表示されるディレクトリではなく、すべて のディレクトリから集約されます。ユーザーは通常 1 つのディレクトリのみに存在するか、またはユーザー ディレクトリ間でメンバーシップが適切に同期されているため、ほとんどの場合、この変更による影響はありません。グループ メンバーシップが同期されていない一部のまれなケースでは、ユーザーが(以前は Confluence によって無視されていたユーザー ディレクトリ内のグループ メンバーである場合)この変更によって複数のスペースとページを表示する権限を得る場合があります。
メンバーシップの非集約
次のように、REST API を使用して、Confluence に非集約メンバーシップ スキームを使用するように指示できます。
非集約メンバーシップを選択した場合、ディレクトリの順序が重要です。同じユーザー名が複数のディレクトリに存在する場合、アプリケーションはディレクトリの順序に基づき、そのユーザー名が表示される最初のディレクトリでのみグループメンバーシップを検索します。
例:
- Customers ディレクトリと Partners ディレクトリの2つのディレクトリに接続しています。
- ディレクトリの順序は Customers ディレクトリが最初です。
- ユーザー名
jsmith
は Customers ディレクトリと Partners ディレクトリの両方に存在します。 - ユーザー
jsmith
は、Customers ディレクトリのG1
グループと Partners ディレクトリのG2
グループのメンバーです。 - ユーザー
jsmith
の権限は、G2
ではなくG1
へのメンバーシップにのみ基づきます。
ユーザーとグループを更新する
アプリケーションの管理画面からユーザーまたはグループを更新すると、アプリケーションが書き込み権限を持っている最初のディレクトリで更新が行われます。
例 1:
- Customers ディレクトリと Partners ディレクトリの2つのディレクトリに接続しています。
- アプリケーションには両方のディレクトリでの権限があります。
- ディレクトリの順序は Customers ディレクトリが最初です。
- ユーザー名
jsmith
は Customers ディレクトリと Partners ディレクトリの両方に存在します。 - アプリケーションの管理画面から、ユーザー
jsmith
のメール アドレスを更新します。 - Partners ディレクトリではなく Customers ディレクトリで電子メールアドレスが更新されます。
例 2:
- 読み取り/書き込みLDAPディレクトリと内部ディレクトリ:あなたは2つのディレクトリを接続しています。
- ディレクトリ順序は LDAP ディレクトリが最初です。
- すべての新規ユーザーは LDAP ディレクトリに追加されます。新規ユーザーを内部ディレクトリに追加することはできません。