LDAP インポート

このページの内容

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

承認プロセスに使用されるアセットや従業員とマネージャーの関係が含まれている社内ディレクトリを使用している場合があります。このような LDAP エントリは、Insight にインポートできます。作業を簡単にするため、Insight には一般的な LDAP ディレクトリで動作して、ディレクトリから構造とアセットを取得できるモジュールが用意されています。この記事では、これを設定する方法について説明します。インポートの詳細についてご確認ください。

概要

LDAP ディレクトリは、ユーザーとその他のアセットのコレクションです。ライトウェイト ディレクトリ アクセス プロトコル (LDAP) はインターネット プロトコルで、Web アプリケーションで LDAP サーバーからこれらのアセットに関する情報を検索するために使用できます。

アトラシアンでは、最も一般的な LDAP ディレクトリ サーバー向けに組み込みのコネクターを提供しています。

  • Microsoft Active Directory
  • Apache Directory Server (ApacheDS)
  • Apple Open Directory
  • Fedora Directory Server
  • Novell eDirectory
  • OpenDS
  • OpenLDAP
  • OpenLDAP (Posix Schema を使用)
  • LDAP 用 Posix Schema
  • Sun Directory Server Enterprise Edition (DSEE)
  • 汎用 LDAP ディレクトリ サーバー

LDAPS 検証

LDAPS (Secure LDAP) is supported and does not have any special requirements from Insight to work.

LDAPS ソースからインポートしようとしている場合は、インポートされた CA (認証局) 証明書によって LDAP サーバー証明書を検証できます。LDAP サーバー証明書を検証する場合は、Jira で CA 証明書によって LDAP サーバー証明書を検証できるようにするため、LDAP サーバー証明書に署名した CA からルート CA 証明書をインポートする必要があります。詳細についてはこちらをご覧ください。

Be sure to change the port to 3269. This is due to the fact that a GC (global catalog) server returns referrals on 389 which refers to the greater AD "forest" , but acts like a regular LDAP server on 3268 (and 3269 for LDAPS) when changing from LDAP to LDAPS.

インポート フィールド

インポート タイプを選択したら、その詳細を入力する必要があります。Insight に表示されるフィールドについて、次で説明します。

一般フィールド

次は、すべてのインポート タイプに共通する一般的なフィールドです。

名前

説明

名前インポートの名前。
説明 参考用の説明。
連結子

既定の連結子を指定できます。複数のデータ ロケーターを 1 つの Insight 属性に結合する際は、これが既定の連結子になります。たとえば、"姓" と "名" のような 2 つの列を 1 つの属性に結合できます。したがって、"Mathias" (名) と "Edblom" (姓) は、連結子として \s によって "Mathias Edblom" として連結されます。

スペースの連結には \s を入力してください。連結文字を含めるには、その値を二重引用符で囲みます ("\s")。

空の値データ ロケーターが空の際の処理を定義します。インポート時に属性値を削除するか、無視して現在の値をそのままに保持します。
Insight では、データ ロケーターが不明な場合の処理を定義します。これは、"Status" や "Select" などの属性タイプで発生する可能性があります。この値は、オプションとして追加も無視もできます。

インポート ソースの日付フィールドを Insight の日付に変換する際の形式。空のままにすると、Insight で正しい形式が自動で検索されます。
この形式は、Java の SimpleDateFormat のガイドラインに従って指定する必要があります。

インポート ソースの日付/時刻フィールドを Insight の日付に変換する際の形式。空のままにすると、Insight で正しい形式が自動で検索されます。
この形式は、Java の SimpleDateFormat のガイドラインに従って指定する必要があります。

モジュール フィールド

これらのフィールドはインポート タイプ (モジュール) に固有です。

設定

説明

URL

LDAP を実行しているサーバーのプロトコル、ホスト名、ポート。例: ldap://ldap.example.com:389

ユーザー DN

ディレクトリ サーバーに接続する際にアプリケーションが使用するユーザーの識別名。例:

  • cn=administrator,cn=users,dc=ad,dc=example,dc=com
  • cn=user,dc=domain,dc=name
  • user@domain.name

パスワード

上記で指定したユーザーのパスワード。

ベース DN

ディレクトリ サーバーに対してクエリを実行する場合に使用するルート識別名(DN)。例:

  • o=example,c=com
  • cn=users,dc=ad,dc=example,dc=com
  • Microsoft Active Directory の場合は、ベース DN を dc=domain1,dc=local の形式で指定します。domain1local を自身の設定で置き換える必要があります。Microsoft Server では ldp.exe というツールが提供されています。これは、サーバーの LDAP 構造を検出して設定するのに役立ちます。

オブジェクト タイプに特定のベース DN が必要な場合は、後述の Selector の値をご参照ください。

検索フィルター

フィルター検索の範囲を定義します。初期設定では、すべてのエントリを取得する (objectClass=*) です。たとえば、Jira ユーザーのみが必要な場合は、(objectClass=Person) を設定できます。LDAP 内のユーザーは "objectClass" を "person" に設定する必要があることにご注意ください。

検索フィルターは、同期時間に影響する点で重要です。

インポート時の検索範囲検索範囲によって、LDAP からオブジェクトを取得する方法が決まります。既定の設定は ONE_LEVEL ですが、ロケーターと構造は SUBTREE で作成されます。
照会に従う分散 LDAP 環境でも常に正しいデータを取得できるようにする LDAP 機能です。
名前空間を含めるこのオプションは、LDAP サーバーから Insight オブジェクト構造を作成する際にのみ適用されます。このオプションを選択すると、cn=users,ou=company,=dc=examle,dc=com などの名前空間がオブジェクト タイプの説明に追加されます。同期の実行中にこの値は使用されません。

(warning) 本番環境で同期する前に、必ずテスト環境で同期をテストしてください。

スケジュール フィールド

スケジュール フィールドは、データの同期を維持する役割を果たします。

名前説明
同期アカウントデータを Insight に同期する際に使用する Jira ユーザー
cron 式自動同期の間隔。
自動同期インポートを自動で同期するようにスケジュールするかどうか。

事前定義済みの構造と設定

In the next step, after you've filled in the required fields, Insight will ask you whether you want to create a predefined structure (object type mappings) and configuration (attribute mappings). Details of this will differ depending on the import type. Some object type mappings are disabled by default, so make sure to select the relevant ones.


ユーザーまたはグループのインポートは、Insight LDAP のインポート中に 1 つの組織単位 (OU) からのみ行えます。詳細については、「How to import users or groups from specific OUs with Insight LDAP import (Insight LDAP のインポートで特定の OU からユーザーまたはグループをインポートする方法)」を参照してください。


LDAP インポートの詳細について説明します。

定義済みの構造

この構造は、LDAP サーバーから返された結果に基づいて作成されます。定義済みの構造を作成すると、指定された設定でクエリが LDAP サーバーに送信されて結果が取得されます。この結果に基づいて、オブジェクト タイプの階層が作成されます。子を持つ各ノード (DN で識別される) は、オブジェクト タイプとして扱われて作成されます。Insight オブジェクト タイプに属する属性は、LDAP サーバーのノードにある属性になります。

LDAP サーバーから返された結果によって子を持たないオブジェクトを取得した場合、事前定義済みの構造は自動で作成されないため手動で作成する必要があります。

事前定義済みの構造では、オブジェクト タイプごとに 2 つの追加属性が作成されます。属性 CN (共通名) はラベルとして使用されて、属性 DN (識別名) は非表示プロパティで設定されます。

LDAP インポートにある事前定義済みの構造で作成されたすべての属性は、既定のテキスト タイプになります。このデータが別のものを表している場合は、属性を確認して適宜変更してください。

LDAP 構造の例

結果として得られる Insight オブジェクト タイプ構造


定義済みの設定

事前定義済みの設定では LDAP サーバーがクエリされて、上記の構造と同じ条件に基づいて設定のマッピングが作成されます。検出されたすべての属性は、CN (共通名) と DN (識別名) を追加することでデータ ロケーターとして選択可能になります。

LDAP サーバーの各オブジェクトを一意に識別するため、各オブジェクトの DN に識別子が設定されます。

事前定義済みの設定は接続されている LDAP サーバーによって異なるため、上の例で示した Employees をマッピングする例を次に示します。

LDAP インポートがユーザーをインポートするように設定されている場合は、複数のユーザーを作成するために REGEX 設定によってユーザーを分割できます。

作成されたインポート設定

これでインポート設定を表示できるようになりましたが、まだ準備が完了していません。引き続き、オブジェクト タイプと属性のマッピングを作成または確認して、インポート設定に問題がないことを確実にする必要があります。

準備できたら「2. オブジェクト タイプと属性マッピングを作成する」に進みます。

最後に一言

次のステップでは、オブジェクト マッピングの設定を作成します。LDAP インポート タイプに固有の設定をいくつか紹介します。

オブジェクト タイプ マッピング

名前

説明

セレクター

LDAP インポート タイプでは、LDAP の検索が実行される前にベース DN 値の直前にセレクターが追加されます。この値は、LDAP の構造化ツリーを特定のノードに絞り込むために使用されます。

検索フィルターは一般設定で指定されたものと同じになりますが、このセレクターによって検索フィルターの適用範囲が絞り込まれます。

例:

ベース DN が dc=ad,dc=example,dc=com でセレクターが cn=users の場合、結果として得られる LDAP 検索ベースは cn=users,dc=ad,dc=example,dc=com になります。

最終更新日 2022 年 8 月 19 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.