LDAPのグループの設定
LDAPの設定の一環として、グループを設定する必要があります。
組織管理者がユーザのロールと権限を設定したら、それぞれのアプリケーションがデータに対するロールとアクセスをそのアプリケーション内で処理します。ユーザを設定するときは、ログイン時にユーザをアクセスグループに追加するよう選択することができます。ただし、この機能が有効になっていない場合でも、ContrastはLDAPディレクトリを使用して、そのユーザが適切なグループに割り当てられるようにします。
グループを設定するには:
以下の値を入力します。
オプション
説明
デフォルト
グループタイプ
グループタイプは、サーバの機能と設定によって異なります。グループは以下のいずれかになります。
静的:
uniqueMemberなどのオブジェクトの属性を通じて、グループがメンバーを追跡します。この表の残り4つのオプションは、静的グループにのみ適用されます。
動的:ユーザオブジェクトが自身のメンバーシップを追跡します。ユーザがグループのメンバーになると、ユーザオブジェクトに対してグループが動的に追加されます。
静的
グループサブツリー
ディレクトリ内でグループを検索するときに、ベースDNのサブツリーを含めるかどうかを設定します。
有効
ベースDN
これは、(ユーザベースDNと同様に)アプリケーションがLDAPサーバ内のグループを見つけるための識別名(DN)です。
ou=Groupsオブジェクトクラス
空欄のままにすると、アプリケーションでは「
group」、「groupOfUsers」、「groupOfUniqueUsers」のデフォルト値が使用されます。これはLDAP環境において標準的であるため、必須のフィールドではありません。N/A
グループメンバーの属性
ディレクトリのグループオブジェクト内の属性であり、そのグループのメンバーを含めます。これはLDAP環境によって異なる場合があるため、LDAP管理者に確認して適切な属性を使用していることを確認してください。
グループの各メンバーは、相対識別名(RDN)ではなく、完全識別名(DN)として、列挙する必要があります(例:"cn=smith,ou=Users,cn=support,dc=test,dc=org")。
RDNを使用すると、ContrastではLDAPグループでそのユーザが認識されません。
uniqueMember外部LDAPサーバで事前に作成したグループを使用して、ユーザを以下のいずれかのグループに割り当てます。
SuperAdminグループ:このグループでは、ユーザはSuperAdmin権限でログインできます。
ユーザグループ:このグループを使用すると、ユーザは組織に追加され、標準インターフェイスにログインできます。このグループは、他の全てのユーザに適しています。
重要
ユーザが両方のグループに属していて、プロビジョニングが無効な場合、このユーザはSuperAdminとして作成されます。プロビジョニングが有効な場合は、ユーザはSuperAdmin権限なしで作成されます。
グループのクエリを選択すると、 入力フィールドに入力する際に既存のグループをライブ検索できます。