入れ子グループの効果

このセクションでは、ログインと権限、ユーザーとグループの表示と更新で入れ子グループが持つ効果について説明しています。

ログイン

ユーザーがログインする時、認証済みグループまたはそのサブグループに属している場合、アプリケーションへのアクセスが許可されます。

権限

ユーザーが必要な権限を持つグループに属している場合、またはそのサブグループに属している場合、機能へのアクセスが許可されます。

グループ メンバーのリストを表示する

グループのメンバーを表示しようとする場合、グループの全ユーザー、およびそのサブグループに属するすべてのユーザーが1つのリストにまとめられて表示されます。このリストを「フラット」リストと呼びます。

ネストされたグループ自体を表示または編集したり、1 つのグループが別のグループのメンバーであるかどうかを確認したりすることはできません。

グループ メンバーシップを追加、更新する

グループにユーザーを追加する場合、ユーザーは指定したグループに追加され、他のグループには追加されません。

If you try to remove a user from a flattened list, the following will happen:

  • ユーザーが、フラットリストに含まれるグループのヒエラルキー (ツリー) の一番上のグループのメンバーである場合、ユーザーはグループから削除されます。
  • そうでない場合、ユーザーがグループの直接のメンバーではないことを示すエラー メッセージが表示されます。

例1:ユーザーがサブグループのメンバーである

ディレクトリ サーバー内に次の 2 つのサーバーが存在すると想像してください。

  • staff
  • マーケティング

メンバーシップ:

  • marketing グループは staff グループのメンバーです。
  • ユーザー jsmithmarketing グループのメンバーです。

jsmithmarketing グループと staff グループの両方のメンバーに見えます。2つのグループが入れ子になっていることは確認できません。staff グループに権限を割り当てると、ユーザー jsmith は権限を得ます。

例 2:「jira-developers」グループのメンバーとしてのサブグループ

LDAP ディレクトリ サーバーに、「engineering-group」と「techwriters-group」の2つのグループがあります。両グループに JIRA サイトへの開発者レベル アクセスを許可したいと考えています。開発者レベルのアクセスの権限を持つ「jira-developers」というグループを作成します。

  • jira-developers」というグループを追加します。
  • jira-developers」のサブグループとして「engineering-group」を追加します。
  • jira-developers」のサブグループとして「techwriters-group」を追加します。

グループのメンバーシップは現在、以下のようになっています。

  • jira-developers — サブグループ: engineering-grouptechwriters-group
  • engineering-group — サブグループ: dev-adev-b、ユーザ: pblack
  • dev-a — ユーザー: jsmithsbrown
  • dev-b — ユーザー: jsmithdblue
  • techwriters-group — ユーザー:rgreen

JIRA アプリケーションが「jira-developers」グループのユーザー一覧をリクエストした場合、以下の一覧を受け取ります。

  • pblack
  • jsmith
  • sbrown
  • dblue
  • rgreen


図: jira-developers」グループのメンバーとしてのサブグループ

入れ子グループ GliffyDiagram-JIRA

注意

  • パフォーマンスに影響を与える可能性。入れ子グループを有効にすると、ユーザー検索が遅くなる可能性があります。

  • LDAP 内のネスト グループの定義。LDAP ディレクトリのネスト グループは、親グループ エントリに含まれる属性で参照される DN (識別名) を持つ子グループ エントリです。たとえば親グループ "Group 1" は、objectClass=group 属性と 1 つ以上の member=DN 属性 (ユーザーのものまたはLDAP 内のほかのグループのもの) を持つことができます。

    member=CN=John Smith,OU=Users,OU=OrgUnitA,DC=sub,DC=domain
member=CN=Group Two,OU=OrgUnitBGroups,OU=OrgUnitB,DC=sub,DC=domain
  • ラベルなし