1. 版本
1.1 バージョン
サーババージョン | プラグインバージョン | 機能変更 |
11.0 | V1.1 | - |
11.0.1 | V1.2 | 重複検証フィールドのデフォルト方式を「氏名」から「ID」に変更 |
V2.0 | ユーザ属性、部署属性、役割属性は検索をサポート、手動入力をサポート、一括貼り付けをサポート |
1.2 応用シーン
ユーザはLDAPサーバからユーザを同期したいと考えていますが、LDAPサーバのデータを別のテーブルにロールオーバーする必要があり、安全ではなく、非常に面倒です。
ユーザは、LDAPサーバー内のユーザをFineReportポータルに直接同期させたいと考えており、関連する設定はLDAP認証の設定を直接再利用できます。
1.3 機能紹介
「LDAPドメインユーザ同期」プラグインをインストールすることで、ユーザーの同期設定時に「LDAPサーバから同期」を直接選択できます。
2. プラグイン紹介
2.1 プラグインインストール
クリックしてプラグインをダウンロード:LDAPドメインユーザ同期
プラグインインストール方法:プラグインのインストール
2.2 プラグイン概要
プラグインのインストールが完了したら、ユーザを同期する際に、ユーザソースには「LDAPサーバから同期」を選択できます。次の図のようになります。
3. 例
3.1 LDAP認証設定
管理者はFineReportポータルにログイン、「システム>ユーザ管理>グローバル設定」をクリックし、ユーザ同期の認証方法は「LDAP認証」を選択し、設定情報を記入します。次の図のようになります。
LDAP認証の設定方法については、「LDAP認証」を参照してください。
変数の記入が完了したら、「接続テスト」をクリックし、接続に成功したら、「保存」をクリックして、認証方法の設定に成功します。
3.2 ユーザ同期編集ページに入る
1)管理者が初めてユーザ同期を使用する場合
管理者はFineReportポータルにログイン、「システム>ユーザ管理>全てのユーザ」をクリックしてから「ユーザ同期」をクリックします。
次の図に示すように、「既存非同期データ(追加済みユーザ、部署、役職、役割)をキープしますか?」という表示ボックスが表示されます。
異なる選択に対応する更新ロジックは以下の通り:
選択 | 定義 |
キープ | 既存ユーザが同期したデータセットに含まれない場合、そのユーザ情報と権限は変更されずにキープされます。 既存ユーザが同期したユーザソースに含まれる場合(ユーザ名が同じ場合)
|
クリア | ポータル既存の「手動で追加/インポートしたユーザ」のユーザ名、氏名、パスワード、携帯、メールボックス、部署、役職、役割、権限が全て削除され、ユーザが再同期されます。 |
注:選択した更新ロジックによって、最初の同期後に一部のユーザ情報が更新されます。
その後に自動更新されるのは、同期タイプに変更したユーザしかありません。
その後の同期では、データセットが組み込みデータを上書きして更新することはできません。そうしないと、競合エラーが発生します。
2)FineReportポータルがユーザ同期を設定したことがある場合
管理者は「同期ユーザー管理」を直接クリックし、「編集」ボタンを選択すると、ユーザ同期の設定ページに入ることができます。
3.3 ユーザ同期設定
ユーザソース「LDAPサーバから同期」を選択すると、システムは自動的に3.1節のLDAP認証の設定を読み込み、接続をテストします。ユーザ同期の設定は次の図のようになります。
注1:前に「ユーザ同期」を設定したことがあり、ユーザソースが「サーバデータセット」の場合、切り替え時に「ユーザソースを切り替えた後、ユーザとその部署、役職、役割、権限などを含めて、元の同期データがクリアされ、切り替えを確認しますか?」というメッセージが表示されます。「確定」をクリックすると、LDAPユーザ同期が完了します。
注2:3.1節のLDAP認証接続に失敗した場合、このステップでは「ヒント:LDAP接続失敗、同期ユーザ-LDAP認証で関係の設定を確認してください」という赤いヒントが表示されます。
注3:FineReport11.0.1 以前のバージョンでは、デフォルトの重複検証フィールドは氏名。
FineReport11.0.1 以降のバージョンでは、デフォルトの重複検証フィールドはID。
3.3.1 同期頻度
ユーザ同期操作を2つの方法で実行することができ:単純な繰り返し実行、表現式設定。
1)単純な繰り返し実行
LDAPサーバからユーザを自動的に同期する間隔はデフォルトで43200秒。
ユーザ同期は同期頻度を設定し、自動的に複数回の同期を行うことができ、設定頻度に達すると自動的に同期を行います。LDAPサーバで変化するデータを管理ポータルに絶えず同期し続けます。
注:同期頻度が高すぎてはいけません、さもなければバックグラウンドログを絶えず更新して、ログの体積が無限に膨張します。
2)表現式設定
Cron式によるタスク実行タイミングの設定をサポートします。このタスクは、毎日繰り返し実行するか、翌日繰り返し実行するか、又は単発実行するかなど、さまざまな組み合わせのトリガタイミングとすることができます。
3.3.2 ユーザ編集可能
「ユーザ編集可能」ボタンはデフォルトではチェックされていません。チェックすると、同期状態において、ユーザ情報は編集可能になります。
ユーザは氏名、携帯、Eメールを編集できます。既存ユーザの上記フィールドは、自動同期/手動同期時に更新されません。具体的な機能は次の表の通り:
注:同期ユーザLDAP認証が有効になっているため、スーパー管理者と組み込みユーザを除き、全ての同期ユーザーのパスワード関連操作は使用できません。暗号化方式の設定、パスワードの忘れ、パスワードの変更、パスワードのリセットなどが含まれます。
ユーザID | 説明 |
スーパー管理者 | 1)再同期すると、管理ポータルの既存ユーザの氏名、携帯、Eメールのフィールドは更新されなくなります。 2)管理ポータルの全ての既存ユーザの氏名、携帯、Eメールを編集でき、役割を編集できません。 3)スーパー管理者は「アカウント設定」で自分の氏名、パスワード、携帯、Eメールを編集できます。 |
同期ユーザタイプの 二次管理者 | 1)権限のある同期ユーザの氏名、携帯、Eメールを変更でき、役割、パスワードを編集できない。 2)権限のある組み込みユーザの氏名、パスワード、携帯、Eメールを変更でき、役割を編集できない。 2)二次管理者は「アカウント設定」で自分の氏名、携帯、Eメールを編集できます。 |
同期ユーザタイプの 一般ユーザ | 同期ユーザは「アカウント設定」で自分の氏名、携帯、Eメールを編集できます。 |
3.3.3 ユーザ属性
ユーザ属性フィールドに対して、まずObjectClassを選択し、次にObjectClass内の属性値を選択します。
注1:「ユーザ同期」を設定する場合、パスワードを設定する必要はありません。実際の認証はLDAPパスワード認証を使用します。
注2:V2.0 以降のプラグインは、ユーザ属性は検索、手動入力、一括貼り付け、改行による貼り付け値の認識をサポートしています。
設定項目 | 説明 | 必須かどうか |
ObjectClass | ユーザ属性を保存するObjectClassを選択 | 必須 |
ユーザ重複検証フィールド | ユーザ名又はユーザIDによるユーザ重複認証を選択できます。 1)ユーザIDを選択すると、「ユーザID+ユーザ名」フィールドが同期され、テーブル内のIDフィールドの値は、ユーザが同期された時のLDAPサーバ内のユーザIDになります。 2)ユーザ名を選択すると、「ユーザ名」フィールドが同期され、テーブル内のユーザIDフィールドの値がランダムに生成されます。 | 必須 |
ユーザID | 「ユーザ重複検証フィールド」で「ユーザID」を選択した場合のみ記入する必要があります。 ユーザ属性のUID(ユーザID)を選択 | 必須 |
ユーザ名 | ユーザ属性のユーザ名を選択 LDAPサーバに記憶されているユーザ名には、日本語、繁体字中国語、韓国語の2バイト文字を使用できません。そうしないと、管理ポータルにログインする際に「ユーザ名又はパスワードが間違っています」というメッセージが表示されます。 | 必須 |
氏名 | ユーザ属性の氏名を選択 | 必須 |
携帯 | ユーザ属性の携帯を選択 | 必須ではない |
Eメール | ユーザ属性のEメールを選択 | 必須ではない |
3.3.4 部署属性
部署属性フィールドに対して、まずObjectClassを選択し、次にObjectClass内の属性値を選択します。
部署属性は設定できませんが、ObjectClassを選択した場合は、部署名/部署IDを設定する必要があります。
注:V2.0 以降のプラグインでは、部署属性の検索、手動入力、一括貼り付け、改行による貼り付け値の認識がサポートされています。
設定項目 | 説明 | 必須かどうか |
ObjectClass | 部署属性を記憶するObjectClassを選択 | 必須ではない。 何も記入しないか、全て記入してください。 |
部署重複検証フィールド | 部署名又は部署IDによる部署重複認証を選択できます。 1)IDを選択すると、「ID+氏名」フィールドが同期され、テーブル内のIDフィールドの値はユーザーが同期されたときのLDAPサーバー内のIDになります。 2)氏名を選択すると、「氏名」フィールドが同期され、テーブル内のIDフィールドの値がランダムに生成されます。 | |
部署ID | 「部署重複検証フィールド」で「部署ID」が選択されている場合のみ記入が必要です。 部署属性のUID(部署ID)を選択 | |
部署名称 | 部署属性の部署名称を選択 |
3.3.5 役割属性
役割属性フィールドに対して、まずObjectClassを選択し、次にObjectClass内の属性値を選択します。
役割属性は設定しなくてもかまいませんが、ObjectClassを選択した場合は役割名/役割IDを設定する必要があります。
注:V2.0 以降のプラグインでは、役割属性の検索、手動入力、一括貼り付け、改行による貼り付け値の認識がサポートされています。
設定項目 | 説明 | 必須かどうか |
ObjectClass | 役割属性を記憶するObjectClassを選択 | 必須ではない。 何も記入しないか、全て記入してください。 |
役割重複検証フィールド | 役割名または役割IDによる役割の重複認証を選択できます。 1)IDを選択すると、「ID+氏名」フィールドが同期され、テーブル内のIDフィールドの値はユーザが同期された時のLDAPサーバ内のIDになります。 2)氏名を選択すると、「氏名」フィールドが同期され、テーブル内のIDフィールドの値がランダムに生成されます。 | |
役割ID | 「役割重複検証フィールド」で「役割ID」を選択した場合のみ記入が必要です。 役割属性のUID(役割ID)を選択 | |
役割名称 | 役割属性の役割名称を選択 |
3.4 効果確認
LDAPシステム認証が成功し、LDAPドメインユーザの同期が成功した場合。
ユーザは、LDAPサーバに記憶されているユーザ名、LDAPサーバのパスワードを入力すると、FineReportポータルにアクセスし、そのユーザのポータルでの権限に応じて操作を行うことができます。次の図のようになります。
注1:入力したユーザ名が管理ポータルに存在しない場合、又は管理ポータルで対応するユーザが無効になっている場合、又は管理ポータルの使用ユーザ制限が有効になっていてユーザが含まれていない場合、LDAPサーバと通信せず、「ユーザ名又はパスワードが間違っています」又は「ユーザが使用できません」というメッセージが表示されます。
注2:LDAPサーバに記憶されているユーザ名には、日本語、繁体字中国語、韓国語の2バイト文字を使用できません。そうしないと、管理ポータルにログインする際に「ユーザ名又はパスワードが間違っています」というメッセージが表示されます。
LDAPサーバに記憶されているパスワードには、日本語、繁体字中国語、簡体字中国語、韓国語の2バイト文字を使用できません。そうしないと、管理ポータルにログインする際に「ユーザ名又はパスワードが間違っています」というメッセージが表示されます。