1.概要
1.1 バージョン
サーババージョン |
11.0 |
1.3 応用シーン
ユーザはLDAP認証サーバに比較的完全なスタッフ情報を保存し、複数のオンラインシステムの認証に使用しています。
ユーザはFineReportポータルで同じ認証方法を使用する必要があり、FineReportポータルの「システム>ユーザ管理>グローバル設定」でLDAP認証を有効にすることができます。
1.3 機能紹介
プラットフォームはLDAP認証を提供し、ユーザーは本文の方法に従ってFineReportポータルにLDAP認証を設定することができます。
LDAP認証では、ユーザがログインする時、システムは入力されたユーザ名情報を設定されたLDAPシステムに認証します。
LDAPシステムの認証が失敗した場合、システムは認証が失敗したと判断します;
LDAPシステム認証が成功したが、対応するユーザが管理ポータルユーザに存在しない場合、システムは認証が失敗したと判断します;
LDAPシステムの認証が成功するほか、対応するユーザが管理ポータルユーザに存在する場合、システムは認証が成功したと判断し、FineReportポータルに入ることができ、そのユーザのFineReportポータルにおける権限に応じて相応の操作を行います。
注:スーパー管理者はLDAP認証の影響を受けず、FineReportポータルのビルドイン認証を使用します。
2.例
2.1 LDAP認証の設定
1)管理者としてFineReportポータルに入り、「システム>ユーザ管理>グローバル設定」をクリックして、それぞれ「同期されたユーザ」と「インポート/追加されたユーザ」に認証方法を選択することができます。次の図のようになります。
2)認証方法の「LDAP認証」を選択し、各パラメータを入力し、「保存」ボタンをクリックします。FineReportポータルをログアウトして再登録する必要があります。次の図のようになります。
LDAP認証時の各パラメーター説明は次の表の通り:
パラメータ項目 | 説明 |
URL | URLは、LDAPサーバへの入り口です。URLは、ドメイン名又はIPとポート番号で構成されます。通常、ポート番号はデフォルトで389。URLの形式:LDAP://ドメイン名又はIP+ポート番号 |
検索位置 | LDAPはツリー構造でデータを保存するサーバであり,URLによってサーバにアクセスし、ユーザ名とパスワードによって認証された後、関連する登録情報を検索し、「検索位置」はその登録情報を保存する位置です。
|
認証方法 | LDAPディレクトリサーバで使用する認証タイプを指定し、LDAPサーバの設定に応じて選択し、一般認証方法では「simple」を選択します。
|
前後関係 | 初期コンテキストファクトリのクラス名 LDAPサーバに基づいたディレクトリサービスに対して通常「com.sun.jndi.ldap.LdapCtxFactory」を選択します。 |
転診 | LDAPサーバの設定によって選択します。通常は「ignore」を選択します。 |
ユーザ名の拡張子 | ユーザ名のサフィックスは追加してもしなくてもよく、追加すると、ログイン時に自動的に対応するドメイン名が追加されます。 例えば、LDAPサーバにAlice@fanruan.comというユーザがいて、ユーザ名のサフィックスが@fanruan.comに設定されているとします。 では、FineReportポータルにおけるユーザ名はAliceであり、FineReportポータルにログインする際のユーザ名もAliceです。 |
管理者名/パスワード | ここでの管理者名とは、LDAPサーバの管理者名ではなく、LDAPサーバの検索権限を持つユーザを指します。このユーザがLDAPサーバに入って検索位置をログイン情報検索することで認証が行われます。 通常、ここでは「ドメイン名/ユーザ名」という方式で識別します。uidでもcnでもどちらでも構いませんが、DNドメイン名を使わない書き方が一般的です。
|
3)パラメータの記入が完了したら、「接続テスト」をクリックし、接続に成功したら、「保存」をクリックして、認証方式の設定に成功します。
注:接続に失敗した場合は、「LDAP認証にアクセスできない、関係設定を確認してからもう一度試してください。」というメッセージが表示されます。次の図のようになります。
2.2 ユーザ追加
LDAPサーバには一般的にユーザのスタッフリストが保存されており、その中のあるユーザが管理ポータルでLDAP認証を使用してログインできるようにするには、管理ポータルにも同名のユーザを追加する必要があります。メールボックスのバインド、権限の付与などのポータル操作は、管理ポータルユーザを対象としているからです。
管理ポータルに対応するユーザが存在する場合、LDAP認証を有効にするのは、そのポータルのユーザのパスワード認証をデフォルトの管理ポータルビルドイン認証からLDAPサーバ認証に変更しただけと考えられます。
次の図に示すように、「システム>ユーザ管理>ユーザ追加」をクリックして、ユーザ「test001」を追加します。
注1:LDAP認証で「ユーザ追加」を設定する場合、パスワードの設定は不要です。FanRuanでは123456のデフォルトパスワードで記憶し、実際の認証はLDAPパスワード認証を行います。
注2:同期されたユーザ、インポート/追加されたユーザは、それぞれ異なる認証方式を選択できます。
2.3 効果確認
ユーザはLDAPサーバに記憶されたユーザ名、LDAPサーバのパスワードを入力し、LDAPシステムの認証が成功し、かつ対応するユーザが管理ポータルユーザの中に存在すれば、認証が成功したと判断され、FineReportポータルに入ることができ、そのユーザの管理ポータルにおける権限によって相応の操作を行います。次の図のようになります。
注1:入力したユーザ名が管理ポータルに存在しない場合、又は管理ポータルで対応するユーザが無効になっている場合、又は管理ポータルの使用ユーザ制限が有効になっていてユーザが含まれていない場合、LDAPサーバと通信せず、「ユーザ名又はパスワードが間違っています」又は「ユーザが使用できません」というメッセージが表示されます。
注2:LDAPサーバに記憶されているユーザ名には、日本語、繁体字中国語、韓国語の2バイト文字を使用できません。そうしないと、管理ポータルにログインする際に「ユーザ名又はパスワードが間違っています」というメッセージが表示されます。
LDAPサーバに記憶されているパスワードには、日本語、繁体字中国語、簡体字中国語、韓国語の2バイト文字を使用できません。そうしないと、管理ポータルにログインする際に「ユーザ名又はパスワードが間違っています」というメッセージが表示されます。
3.LDAP認証ユーザ名ログイン検索フィールドの設定
スーパー管理者は、「fine_conf_entity可視化設定プラグイン」を使用して、LDAP認証ユーザ名ログイン検索フィールドをカスタマイズできます。サーバを再起動すると設定が有効になります。
設定項目 | ルール変更 |
FSConfig.loginConfig.fWords | パラメータ値のフォーマットは、["値1","値2"] パラメータ値を空にすることはできません。パラメータの長さは0にすることはできません。 パラメータのデフォルト値は["sAMAccountName","cn","userPrincipalName","uid","displayName","name","sn"] |