Active Directory のロール マッピングの管理
管理者、またはロールの表示と管理を行う権限を持つユーザーは、利用可能な Active Directory のロール マッピングの詳細を表示できます。
前提条件
Control Room に管理者としてログインしていることを確認します。
デフォルトでは、Control Room は、Users ディレクトリからすべてのセキュリティ グループを取得します。
Users ディレクトリとその他の組織単位 (OU) に対してフィルタを使用したロール マッピングを作成するには、um.properties ファイルを更新する必要があります。Control Room では、Users ディレクトリは OU に類似するものと考えられています。そのため、um.properties ファイルでフィルタを定義する必要があります。
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'- ドメイン mydomain.com に移動します。
- 組織ユニット OU1 から、グループ名が groupFilter で始まるセキュリティ グループをすべて取得します。
- 組織ユニット OU2 から、グループ名が groupFilter で始まるセキュリティ グループをすべて取得します。
- Users ディレクトリから、グループ名が groupFilter で始まるセキュリティ グループをすべて取得します。
この設定によって、Users ディレクトリに加えて、組織ユニット OU1 および OU2 のユーザーも取得されます。
複数ドメインのマッピング
マッピングは、コンマで区切られた複数のドメインに対応しています。
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'- ドメイン mydomain2.com に移動します。
- 組織ユニット OU3 から、すべてのセキュリティ グループを取得します。
- 組織ユニット OU4 から、すべてのセキュリティ グループを取得します。
ネストされた OU からのセキュリティ グループの取得
ネストされた OU からセキュリティ グループを取得する例を示します。
以下の組織 example では、「Marketing」を親 OU とし、そこからさらにネストされた OU と、そのネストされた各 OU に配置されたセキュリティ グループが存在します。
- マーケティング
- グループ 1
- グループ 2
- US_OU
- グループ 3
- California_OU
- グループ 4
- NoCal_OU
- グループ 5
- SoCal_OU
- グループ 6
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'Active Directory のロール マッピング
の順に移動すると、Control Room で作成されたロール マッピングがページに表示されます。ここから、各ロール マッピングを確認したり、編集したりできます。また、新しいロール マッピングを作成したり、Control Room と AD の間でロールの同期プロセスを再開したりすることもできます。
この同期プロセスは、一度有効にすると、デフォルトで 1 日 (1,440 分) に 1 回起動されます。分数を変更することで、任意の間隔で同期をトリガーできます。間隔はデフォルトよりも長めに設定することをお勧めします。