2. アクセス権限を構成する

LDAP クライアントを追加したら、クライアントのアクセス権限を設定する必要があります。LDAP クライアントを追加すると自動的に表示される [アクセス権限] ページには、次の 3 つの項目があります。

  • ユーザー認証情報を確認するための LDAP クライアントのアクセスレベルを指定する—ユーザーがアプリケーションにログインする際に、ユーザーの認証情報を確認するために LDAP クライアントがアクセスできる組織部門を指定します。選択した組織部門に所属していないユーザーは、アプリケーションにログインできません。
  • ユーザー情報を読み取るための LDAP クライアントのアクセスレベルを指定する—LDAP クライアントが追加のユーザー情報を取得するためにアクセスできる組織部門とグループを指定します。
  • LDAP クライアントがグループ情報を読み取れるかどうかを指定する \- LDAP クライアントがグループ情報を読み取って、アプリケーション内のユーザーのロールなど、ユーザーのグループ メンバーシップを確認できるかどうかを指定します。

後から、[アクセス権限] ページに戻って設定を変更することもできます。詳細と手順については、以下のセクションをご覧ください。

重要: Atlassian Jira や SSSD などの特定の LDAP クライアントは、ユーザー認証中にユーザーに関する情報を取得するためにユーザーの検索を実行します。このような LDAP クライアントに対してユーザー認証が正しく機能するようにするには、[ユーザー認証情報の確認] がオンになっているすべての組織部門で [ユーザー情報の読み取り] をオンにする必要があります

ユーザー認証情報を確認するための LDAP クライアントのアクセスレベルを指定する

LDAP クライアントが Cloud Directory に対してユーザーを認証する必要がある場合は、この設定を使用します。

ユーザーがアプリケーションにログインしようとした際に、[**ユーザー認証情報の確認**] 設定では、LDAP クライアントがユーザー認証情報を確認するためにアクセスできる、選択された組織部門とグループ内のユーザー アカウントを指定します。選択された組織部門またはグループに属していないユーザー(または [グループを除外] カテゴリのユーザー)は、アプリケーションにログインできません(グループを追加 または除外 するようにアクセス権を設定できます)。

デフォルトでは、この設定は組織部門とグループに対して [**アクセス不可**] に設定されています。この LDAP クライアントを会社全体で使用する場合は、設定を [ドメイン全体] に変更してドメインの全ユーザーにアクセスを許可できます。特定の組織部門またはグループを選択することも可能です。

注: この設定を変更した場合、変更が有効になるまでに最大 24 時間かかることがあります。

LDAP クライアントがユーザー認証情報を確認するためにアクセスできる組織部門を選択するには:

  1. [ユーザー認証情報の確認 __] で、[**選択された組織部門、グループ、除外されたグループ**] をオンにします。
  2. [含まれる組織単位] で [**追加**] または [**編集**] をクリックします。
  3. [含まれる組織単位] ウィンドウで、追加したい特定の組織部門を選択します。
  4. [**保存**] をクリックします。

LDAP クライアントがユーザー認証情報を確認するためにアクセスできるグループを追加するには:

  1. [ユーザー認証情報の確認 __] で、[**選択された組織部門、グループ、除外されたグループ**] をオンにします。
  2. [含まれるグループ] で [**追加**] または [**編集**] をクリックします。
  3. [グループを検索して選択] ウィンドウで、追加したい特定のグループを選択します。
  4. [完了] をクリックします。

ユーザー認証情報の確認対象から特定のグループを除外するには:

  1. [ユーザー認証情報の確認 __] で、[**選択された組織部門、グループ、除外されたグループ**] をオンにします。
  2. [除外されたグループ] で [追加] または [編集] をクリックします。
  3. [グループを検索して選択] ウィンドウで、除外したい特定のグループを選択します。
  4. [完了] をクリックします。

注: 上記の設定にカーソルを合わせると、含まれる組織部門のリストや、含まれるグループまたは除外されたグループのリストが表示されます。

ユーザー情報を読み取るための LDAP クライアントのアクセスレベルを指定する

LDAP クライアントがユーザーの検索を実行するために読み取り専用権限を必要とする場合は、この設定を使用します。

[ユーザー情報の読み取り] 設定では、LDAP クライアントが追加のユーザー情報を取得するためにアクセスできる組織部門を指定します。デフォルトでは、この設定は [アクセス不可] に設定されています。設定を [ドメイン全体] に変更するか、[選択された組織部門] を選択できます。

追加のユーザー情報を取得するために LDAP クライアントがアクセスできる組織部門を選択するには:

  1. [ユーザー情報の読み取り] で、[**選択された組織部門**] をクリックします。

  2. 次のいずれかを行います。

    [**追加**] をクリックします。[含まれる組織単位] ウィンドウで目的の組織部門のチェックボックスをオンにします。また、ウィンドウの上部にある検索欄を使用して、組織部門を検索することもできます。

    --OR--

    [**[ユーザー認証情報の確認] からコピー**] をクリックします。

  3. (省略可)このクライアントがユーザー情報の読み取りのためにアクセスできる属性を指定します。[システム属性]、[公開カスタム属性]、[限定公開カスタム属性] のいずれかを選択します。詳しくは、LDAP クライアントで利用できるようにする属性を指定するをご覧ください。

  4. [**保存**] をクリックします。

LDAP クライアントで利用できるようにする属性を指定する

属性には次の 3 種類があります。

  • システム属性 \- すべてのユーザー アカウントで利用可能なデフォルトのユーザー属性(名前、メールアドレス、電話番号など)。

    注: このオプションは無効にできません。

  • 公開カスタム属性—組織に公開されているカスタム ユーザー属性。

  • 限定公開カスタム属性—ユーザー本人と管理者のみが表示できるカスタム ユーザー属性。個人情報を LDAP クライアントに開示することになるため、限定公開カスタム属性を使用するときは注意が必要です。

カスタム属性の名前付けに関する要件とガイドライン:

  • カスタム属性の名前に使用できるのは、英数字とハイフンのみです。
  • すべてのカスタム スキーマで属性名が重複しないようにしてください。
  • カスタム属性名が既存のシステム属性と一致する場合は、システム属性の値が返されます。

重要: 属性名が上記のガイドラインに準拠していない場合、該当する属性値は LDAP レスポンスから除外されます。

カスタム属性の設定の詳細と手順については、ユーザー プロフィールのカスタム属性を作成するをご覧ください。

LDAP クライアントがグループ情報を読み取れるかどうかを指定する

LDAP クライアントがグループの検索を実行するために読み取り専用権限を必要とする場合は、この設定を使用します。

[グループ情報の読み取り] の設定は、LDAP クライアントがアプリケーション内のユーザーの役割の承認などのために、ユーザーのグループ メンバーを確認できるかどうかを指定します。

重要: Atlassian Jira や SSSD などの特定の LDAP クライアントは、ユーザー認証中にユーザーのグループ メンバーに関する情報を取得するためにグループの検索を実行します。このような LDAP クライアントでユーザー認証を正しく機能させるには、[グループ情報の読み取り] を有効にする必要があります。

次のステップ

アクセス権限の設定が完了したら、[LDAP クライアントの追加] をクリックします。

次に、生成された証明書をダウンロードして LDAP クライアントをセキュア LDAP サービスに接続し、LDAP クライアントのサービスのステータスを [オン] に切り替えます。

次のステップについては、3. 生成された証明書をダウンロードするをご覧ください。