LDAP 統合

概要

QueryPie サービスを LDAP サーバと統合して、ユーザー認証、ユーザーおよびグループ管理を行うことができます。

QueryPie での LDAP 統合および同期の設定

[管理者]→[全般]→[ユーザー管理]→[認証] に移動します。認証タイプフィールドから、LDAP を選択して、LDAP 統合に必要な設定を入力します。

警告

認証タイプを選択し、ユーザーを同期すると、認証タイプを変更することはできません。認証方法を変更する場合は、カスタマーポータルからご連絡ください。

LDAP 統合に必要な認証情報と属性の詳細を入力します。
1. 属性マッピングの場合、フィールド名は QueryPie のユーザー属性を指し、値は LDAP から参照される属性名を指定します。
2. 各フィールドについては、以下の「LDAP 認証およびユーザ属性マッピング情報」のセクションを参照してください。
グループを使用します：LDAP からユーザーグループ情報と所属を同期するには、「グループを使用」オプションを有効にして必要な情報を入力します。詳細については、以下の「LDAP グループ属性マッピング」セクションを参照してください。
匿名：匿名ユーザー認証を許可するかどうかを設定します（True または False）。
認証システムとの同期を使用します：このオプションを有効にすると、LDAP サーバからユーザー情報の同期が開始されます。
1. レプリケーション頻度：自動同期を有効にするかどうかを設定します。
  1. 手動：同期は手動でのみ実行されます。現在のページで同期ボタンをクリックした場合のみ、LDAP サーバーからユーザー情報が取得されます。
  2. スケジューリング：同期は定期的に実行されます。Use cron expression フィールドが有効になっています。
2. 追加設定：同期に関する追加設定を入力します。
  1. 新規ユーザをデフォルトで非アクティブにします：同期中に新規ユーザーを非アクティブとして追加するかどうかを選択します。
    - 同期するユーザーが多い場合、または個々の LDAP 認証を通じて QueryPie へのユーザ・アクセスを管理したい場合は、このオプションを有効にします。
  2. 特権の失効に属性を使用します：同期中に特定の属性に基づいて権限を取り消すかどうかを選択します。
    - 特定の LDAP 属性の変更に基づいて DAC 権限を自動的に失効させる場合は、このオプションを有効にします。
    - LDAP 属性入力フィールドに、変更を監視する属性名を入力します。

ドライ実行（Dry Run）ボタンをクリックすると、現在入力されている設定に基づいて同期の結果をプレビューできます（入力した情報は保存されません）。

変更を保存ボタンをクリックすると、入力した設定が QueryPie に保存されます。

Synchronize（同期）ボタンをクリックすると、現在入力されている設定に基づいて同期が実行されます（このボタンは、設定が保存された後にのみ有効になります）。

をクリックします。ボタンをクリックすると、以前の同期履歴を表示できます。

個々の同期中に失敗があった場合、プログレスバーは黄色で表示されます。
失敗したログはアイコンで表示されます。アイコンをクリックすると、詳細なエラーメッセージが表示されます。

お知らせ

ユーザーとグループは、LDAP から QueryPie への一方向の同期をサポートしています。同期されたユーザおよびグループは、QueryPie 内で変更または削除できません。
バージョン 10.2.1以降、ユーザ同期が改善され、ユーザーとグループを個別に処理できるようになりました。

LDAP 認証およびユーザ属性マッピング情報

LDAP からユーザ情報を同期するために必要な認証情報と属性の詳細を以下に示します。

属性名	必須項目	説明
サーバ URL	必須	設定する LDAP サーバーの URL 値を入力します。例）`ldaps://ldap.example.com`
バインド DN	必須	LDAP サーバー認証用のバインド DN を入力します。例）`cn=admin,dc=Idap,dc=querypie,dc=io`
パスワード	必須	LDAP サーバー認証用のパスワードを入力します。
ユーザーベース DN	必須	LDAP サーバーのユーザーのベース DN を入力します。例：`dc=example, dc=com`
ユーザー検索フィルター	必須	ユーザーを検索するためのフィルター値を入力します。例）`objectclass=inetOrgPerson`
ユーザー名（旧ユーザー ID）	必須	ユーザーのログイン ID として使用する LDAP 属性を入力します。重複する値や空の値が見つかると、同期は失敗します。例：`uid、cn`
電子メール（旧ユーザ電子メール）	必須	ユーザーの電子メールとして使用する LDAP 属性を入力してください。重複する値や空の値が見つかると、同期は失敗します。例：`mail`
表示名	任意	ユーザー名として使用する LDAP 属性を入力します。フィールドが空白の場合、システムはdisplayName → cnの順に検索して値を取得します。フィールドに値が入力されている場合、システムは指定された属性から値を取得します。重複は許可されます。空の値が見つかった場合、同期は失敗します。

LDAP グループ属性マッピング

LDAP からユーザーグループ情報と所属を同期するには、グループを使用オプションを有効にし、以下の情報を入力します。

属性	必須	説明
グループベース DN	必須	LDAP サーバーのグループベース DN 値を入力します。例：`dc=example, dc=com`
グループ検索フィルター	必須	グループを検索するフィルタ値を入力します。例）`objectclass=posixGroup`
会員タイプ	必須	ユーザーエントリーにグループ情報が含まれる場合は、[`ユーザーエントリーにグループ情報を含める`]を選択し、下のフィールドに参照属性を入力します。例：`member`、`uniqueMember`、`memberUid`
会員タイプ	必須	グループエントリーにユーザー情報が含まれる場合は、「`グループエントリーにユーザー情報を含める`」を選択し、以下のフィールドに参照属性を入力してください。例）`gIdNumber`
グループ ID	必須	グループ識別子として使用する属性値を入力します。例）`gidnumber`

QueryPie の LDAP 認証によるログイン

[管理者]→[全般]→[ユーザー管理]→[ユーザまたはグループ] メニューに移動して、同期化されたユーザーとグループを表示します。

ログインページの ID およびパスワード・フィールドに LDAP 認証情報を入力してログインできます。