Latest前のバージョン :LDAPドメインユーザ同期 Back to Doc
編集時間: Doc Length:Image Number:Directory Number: 変更理由:

Catalog:

1. 版本编辑

1.1 バージョン

サーババージョン

プラグインバージョン

機能変更

11.0

V1.1

-

11.0.1

V1.2

重複検証フィールドのデフォルト方式を「氏名」から「ID」に変更

V2.0

ユーザ属性、部署属性、役割属性は検索をサポート、手動入力をサポート、一括貼り付けをサポート

1.2 応用シーン

ユーザはLDAPサーバからユーザを同期したいと考えていますが、LDAPサーバのデータを別のテーブルにロールオーバーする必要があり、安全ではなく、非常に面倒です。

ユーザは、LDAPサーバー内のユーザをFineReportポータルに直接同期させたいと考えており、関連する設定はLDAP認証の設定を直接再利用できます。

1.3 機能紹介

「LDAPドメインユーザ同期」プラグインをインストールすることで、ユーザーの同期設定時に「LDAPサーバから同期」を直接選択できます。

2. プラグイン紹介编辑

2.1 プラグインインストール

クリックしてプラグインをダウンロード:LDAPドメインユーザ同期

プラグインインストール方法:プラグインのインストール

2.2 プラグイン概要

プラグインのインストールが完了したら、ユーザを同期する際に、ユーザソースには「LDAPサーバから同期」を選択できます。次の図のようになります。

3. 例编辑

3.1 LDAP認証設定

管理者はFineReportポータルにログイン、「システム>ユーザ管理>グローバル設定」をクリックし、ユーザ同期の認証方法は「LDAP認証」を選択し、設定情報を記入します。次の図のようになります。

LDAP認証の設定方法については、「LDAP認証」を参照してください。

変数の記入が完了したら、「接続テスト」をクリックし、接続に成功したら、「保存」をクリックして、認証方法の設定に成功します。

3.2 ユーザ同期編集ページに入る

1)管理者が初めてユーザ同期を使用する場合

管理者はFineReportポータルにログイン、「システム>ユーザ管理>全てのユーザ」をクリックしてから「ユーザ同期」をクリックします。

次の図に示すように、「既存非同期データ(追加済みユーザ、部署、役職、役割)をキープしますか?」という表示ボックスが表示されます。

異なる選択に対応する更新ロジックは以下の通り:

選択

定義

キープ

既存ユーザが同期したデータセットに含まれない場合、そのユーザ情報と権限は変更されずにキープされます。

既存ユーザが同期したユーザソースに含まれる場合(ユーザ名が同じ場合)

  • このユーザのユーザ名は変更されず、権限はキープされます。

  • このユーザの氏名、パスワード、携帯番号、メールアドレスは上書きされます。

  • このユーザが現在所属している部署の役職、役割が同期したユーザソースに存在する場合、上書きします。

  • このユーザが現在所属している部署の役職、役割が同期したユーザソースに存在しない場合はそのままキープします。

クリア

ポータル既存の「手動で追加/インポートしたユーザ」のユーザ名、氏名、パスワード、携帯、メールボックス、部署、役職、役割、権限が全て削除され、ユーザが再同期されます。

注:選択した更新ロジックによって、最初の同期後に一部のユーザ情報が更新されます。

その後に自動更新されるのは、同期タイプに変更したユーザしかありません。

その後の同期では、データセットが組み込みデータを上書きして更新することはできません。そうしないと、競合エラーが発生します。

2)FineReportポータルがユーザ同期を設定したことがある場合

管理者は「同期ユーザー管理」を直接クリックし、「編集」ボタンを選択すると、ユーザ同期の設定ページに入ることができます。

3.3 ユーザ同期設定

ユーザソース「LDAPサーバから同期」を選択すると、システムは自動的に3.1節のLDAP認証の設定を読み込み、接続をテストします。ユーザ同期の設定は次の図のようになります。

注1:前に「ユーザ同期」を設定したことがあり、ユーザソースが「サーバデータセット」の場合、切り替え時に「ユーザソースを切り替えた後、ユーザとその部署、役職、役割、権限などを含めて、元の同期データがクリアされ、切り替えを確認しますか?」というメッセージが表示されます。「確定」をクリックすると、LDAPユーザ同期が完了します。

注2:3.1節のLDAP認証接続に失敗した場合、このステップでは「ヒント:LDAP接続失敗、同期ユーザ-LDAP認証で関係の設定を確認してください」という赤いヒントが表示されます。

注3:FineReport11.0.1 以前のバージョンでは、デフォルトの重複検証フィールドは氏名。

FineReport11.0.1 以降のバージョンでは、デフォルトの重複検証フィールドはID。

3.3.1 同期頻度

ユーザ同期操作を2つの方法で実行することができ:単純な繰り返し実行、表現式設定。

1)単純な繰り返し実行

LDAPサーバからユーザを自動的に同期する間隔はデフォルトで43200秒。

ユーザ同期は同期頻度を設定し、自動的に複数回の同期を行うことができ、設定頻度に達すると自動的に同期を行います。LDAPサーバで変化するデータを管理ポータルに絶えず同期し続けます。

注:同期頻度が高すぎてはいけません、さもなければバックグラウンドログを絶えず更新して、ログの体積が無限に膨張します。

2)表現式設定

Cron式によるタスク実行タイミングの設定をサポートします。このタスクは、毎日繰り返し実行するか、翌日繰り返し実行するか、又は単発実行するかなど、さまざまな組み合わせのトリガタイミングとすることができます。

3.3.2 ユーザ編集可能

「ユーザ編集可能」ボタンはデフォルトではチェックされていません。チェックすると、同期状態において、ユーザ情報は編集可能になります。

ユーザは氏名、携帯、Eメールを編集できます。既存ユーザの上記フィールドは、自動同期/手動同期時に更新されません。具体的な機能は次の表の通り:

注:同期ユーザLDAP認証が有効になっているため、スーパー管理者と組み込みユーザを除き、全ての同期ユーザーのパスワード関連操作は使用できません。暗号化方式の設定、パスワードの忘れ、パスワードの変更、パスワードのリセットなどが含まれます。

ユーザID

説明

スーパー管理者

1)再同期すると、管理ポータルの既存ユーザの氏名、携帯、Eメールのフィールドは更新されなくなります。

2)管理ポータルの全ての既存ユーザの氏名、携帯、Eメールを編集でき、役割を編集できません。

3)スーパー管理者は「アカウント設定」で自分の氏名、パスワード、携帯、Eメールを編集できます。

4)ログインページで パスワード忘れ 機能が使える

同期ユーザタイプの

二次管理者

1)権限のある同期ユーザの氏名、携帯、Eメールを変更でき、役割、パスワードを編集できない。

2)権限のある組み込みユーザの氏名、パスワード、携帯、Eメールを変更でき、役割を編集できない。

2)二次管理者は「アカウント設定」で自分の氏名、携帯、Eメールを編集できます。

同期ユーザタイプの

一般ユーザ

同期ユーザは「アカウント設定」で自分の氏名、携帯、Eメールを編集できます。

3.3.3 ユーザ属性

ユーザ属性フィールドに対して、まずObjectClassを選択し、次にObjectClass内の属性値を選択します。

注1:「ユーザ同期」を設定する場合、パスワードを設定する必要はありません。実際の認証はLDAPパスワード認証を使用します。

注2:V2.0 以降のプラグインは、ユーザ属性は検索、手動入力、一括貼り付け、改行による貼り付け値の認識をサポートしています。

設定項目

説明

必須かどうか

ObjectClass

ユーザ属性を保存するObjectClassを選択

必須

ユーザ重複検証フィールド

ユーザ名又はユーザIDによるユーザ重複認証を選択できます。

1)ユーザIDを選択すると、「ユーザID+ユーザ名」フィールドが同期され、テーブル内のIDフィールドの値は、ユーザが同期された時のLDAPサーバ内のユーザIDになります。

2)ユーザ名を選択すると、「ユーザ名」フィールドが同期され、テーブル内のユーザIDフィールドの値がランダムに生成されます。

必須

ユーザID

「ユーザ重複検証フィールド」で「ユーザID」を選択した場合のみ記入する必要があります。

ユーザ属性のUID(ユーザID)を選択

必須

ユーザ名

ユーザ属性のユーザ名を選択

LDAPサーバに記憶されているユーザ名には、日本語、繁体字中国語、韓国語の2バイト文字を使用できません。そうしないと、管理ポータルにログインする際に「ユーザ名又はパスワードが間違っています」というメッセージが表示されます。

必須

氏名

ユーザ属性の氏名を選択

必須

携帯

ユーザ属性の携帯を選択

必須ではない

Eメール

ユーザ属性のEメールを選択

必須ではない

3.3.4 部署属性

部署属性フィールドに対して、まずObjectClassを選択し、次にObjectClass内の属性値を選択します。

部署属性は設定できませんが、ObjectClassを選択した場合は、部署名/部署IDを設定する必要があります。

注:V2.0 以降のプラグインでは、部署属性の検索、手動入力、一括貼り付け、改行による貼り付け値の認識がサポートされています。

設定項目

説明

必須かどうか

ObjectClass

部署属性を記憶するObjectClassを選択

必須ではない。

何も記入しないか、全て記入してください。

部署重複検証フィールド

部署名又は部署IDによる部署重複認証を選択できます。

1)IDを選択すると、「ID+氏名」フィールドが同期され、テーブル内のIDフィールドの値はユーザーが同期されたときのLDAPサーバー内のIDになります。

2)氏名を選択すると、「氏名」フィールドが同期され、テーブル内のIDフィールドの値がランダムに生成されます。

部署ID

「部署重複検証フィールド」で「部署ID」が選択されている場合のみ記入が必要です。

部署属性のUID(部署ID)を選択

部署名称

部署属性の部署名称を選択

3.3.5 役割属性

役割属性フィールドに対して、まずObjectClassを選択し、次にObjectClass内の属性値を選択します。

役割属性は設定しなくてもかまいませんが、ObjectClassを選択した場合は役割名/役割IDを設定する必要があります。

注:V2.0 以降のプラグインでは、役割属性の検索、手動入力、一括貼り付け、改行による貼り付け値の認識がサポートされています。

設定項目

説明

必須かどうか

ObjectClass

役割属性を記憶するObjectClassを選択

必須ではない。

何も記入しないか、全て記入してください。

役割重複検証フィールド

役割名または役割IDによる役割の重複認証を選択できます。

1)IDを選択すると、「ID+氏名」フィールドが同期され、テーブル内のIDフィールドの値はユーザが同期された時のLDAPサーバ内のIDになります。

2)氏名を選択すると、「氏名」フィールドが同期され、テーブル内のIDフィールドの値がランダムに生成されます。

役割ID

「役割重複検証フィールド」で「役割ID」を選択した場合のみ記入が必要です。

役割属性のUID(役割ID)を選択

役割名称

役割属性の役割名称を選択

3.4 効果確認

LDAPシステム認証が成功し、LDAPドメインユーザの同期が成功した場合。

ユーザは、LDAPサーバに記憶されているユーザ名、LDAPサーバのパスワードを入力すると、FineReportポータルにアクセスし、そのユーザのポータルでの権限に応じて操作を行うことができます。次の図のようになります。

注1:入力したユーザ名が管理ポータルに存在しない場合、又は管理ポータルで対応するユーザが無効になっている場合、又は管理ポータルの使用ユーザ制限が有効になっていてユーザが含まれていない場合、LDAPサーバと通信せず、「ユーザ名又はパスワードが間違っています」又は「ユーザが使用できません」というメッセージが表示されます。

注2:LDAPサーバに記憶されているユーザ名には、日本語、繁体字中国語、韓国語の2バイト文字を使用できません。そうしないと、管理ポータルにログインする際に「ユーザ名又はパスワードが間違っています」というメッセージが表示されます。

LDAPサーバに記憶されているパスワードには、日本語、繁体字中国語、簡体字中国語、韓国語の2バイト文字を使用できません。そうしないと、管理ポータルにログインする際に「ユーザ名又はパスワードが間違っています」というメッセージが表示されます。