| Anchor | ||||
|---|---|---|---|---|
|
| Table of Contents | ||
|---|---|---|
|
概要
Yellowfinは、ユーザー認証およびグループ管理を行うためにLDAPソースに接続できます。これによって簡単および迅速に、Yellowfinへのアクセスを組織的に外部から制御できます。ユーザーは、既存のイントラネットパスワードをYellowfin認証に使用でき、レポートに対してLDAPグループ内のユーザーを含む、含まないといったアクセス権限を付与することができます。
Yellowfinには、外部ディレクトリ(LDAP)またはデータベースを参照して認証を実行するか、シングルサインオンを使用せずに入力されたユーザーIDを参照するオプションがあります。これは、同じディレクトリを使用しているアプリケーション間では同じユーザーIDとパスワードが使用できることを意味します。さらに、ディレクトリ上でユーザーを削除/ロックアウトすると、その情報は自動的にYellowfinに反映されるため、ユーザーの手動管理の労力が最小化されます。
LDAPインテグレーションの準備
YellowfinでLDAPのパラメーターを設定する前に、以下の作業を完了する必要があります。
- LDAP内でYellowfinユーザーを作成(または既存のユーザーを指定)して、Yellowfinがユーザーやグループに接続したりこれらを検索したりできるようにします。
- LDAP内で「Yellowfinユーザー」グループを作成(または指定)します。これにより、YellowfinにアクセスできるLDAP内のユーザーが決定されます。
- YellowfinサーバーとLDAPサーバー間のネットワーク接続を確立します。
- LDAPユーザー用に、Yellowfinのデフォルトロールを定義します。
デフォルトロールの定義
Yellowfinでユーザーを自動的に使えるように設定するには、ユーザーにロールを割り当てる必要があります。このロールは、Yellowfinのデフォルトロールとして定義します。「ロール」ページで、1つのロールをデフォルトとして定義します。
- 「管理」>「管理コンソール」>「ロール管理」の順に選択します。
- デフォルトとするロールを選択します。
- 「デフォルトロール」チェックボックスをオンにして、保存します。
注意:デフォルトとして設定されたロールが存在しない場合、ユーザーはYellowfinに正しく設定されず、プロセスは失敗します。
ユーザーのプロビジョニングとサインオン
LDAPディレクトリのユーザーを設定してLDAP認証を使用するには、「システム設定」ページで必要な属性を設定する必要があります。Yellowfinで設定が必要な属性は次のとおりです。Yellowfinには、管理コンソールから構成可能な認証方法が二つあり、それは「Yellowfin認証」または、「LDAP認証」です。Yellowfin認証とは、ユーザーの資格情報(ユーザーID、およびパスワード)はYellowfinに保存され、システムへのユーザーログインを認証するために確認されます。LDAP認証とは、Yellowfinは認証をするために、外部のディレクトリ(LDAP)や、データベースを参照します。ユーザーは、自身のユーザーIDとパスワードを入力することで(または、シングルサインオンから渡されることで)、YellowfinはLDAPディレクトリを使用して、これらの詳細情報を認証します。
LDAPを使用することで、Yellowfinへのアクセスは外部から制御可能になり、組織全体に渡り、シンプルで素早くなります。ユーザーは、既存のイントラネットのパスワードをYellowfinへのログインに使用することができ、特定のLDAPグループのユーザーを含めたり、排除したりすることで、レポートへのアクセスを制限することができます。さらに、LDAPディレクトリ内で削除やロックアウトをしたユーザーは、自動的にYellowfinにも反映されます。これは、Yellowfinが、手動でのユーザー管理を最小化するために、すべてのログインリクエストを、ディレクトリを介して認証しなくてはいけないからです。
LDAPの準備
YellowfinにLDAPパラメーターを設定する前に、以下の手順を完了しなくてはいけません。
- LDAPディレクトリ内で、Yellowfinユーザーを作成し(または、既存ユーザーを指定し)、Yellowfinに接続と、ユーザーやグループの検索を許可します。
- LDAPディレクトリ内に、「Yellowfinユーザー」グループを作成します(または、既存のグループを指定します)。こちらのグループは、どのユーザーにYellowfinへのアクセス権を付与するかを決める際に使用されます。
- Yellowfinサーバと、LDAPサーバ間の接続を確立します。
- LDAPユーザーのデフォルトYellowfinロールを定義します。
デフォルトロールの定義
Yellowfinで自動的にユーザーを使用できるようにするためには、ユーザーにロールを割り当てなくてはいけません。このロールは、Yellowfin「デフォルト」ロールとして定義されます。ロール項目で、ひとつのロールをデフォルトとして定義します。
- 「管理コンソール」>「ロール」に移動します。
デフォルトに設定するロールを選択します。
- ロール詳細の項目で、「デフォルトロール」にチェックを入れて、「保存」します。
注意:ユーザーにデフォルトロールが設定されていない場合、ユーザーはYellowfinに正しく設定されず、プロセスは失敗します。
Yellowfin LDAP構成
LDAPディレクトリのユーザーを設定して、LDAP認証に使用するためには、システム構成ページで必要な属性を定義しなくてはいけません。Yellowfinに設定が必要な属性は、以下の通りです。
| プロパティ | 説明 |
LDAP Host | LDAPサーバーのホスト名またはIPアドレスLDAPサーバーのホスト名、またはIPアドレスです。 |
LDAPポートLDAP Port | LDAPサーバーで受信を待機しているTCP/IPポートLDAPサーバーがリッスンしている、TCP/IPポートです。 |
| 暗号化 | LDAPサーバにより実装される暗号化方法です(なし、TLS、SSL)。 |
LDAP Base Distinguishing NameDN | すべてのYellowfinユーザーおよびグループの接続の基本となるベースDNすべてのユーザー、およびグループを含むLDAPノードです。 |
LDAP Yellowfin User Group | Yellowfinにログインできるユーザーを識別するLDAPグループ名。このグループはLDAPディレクトリ内に存在します。Yellowfin内には存在しません。Yellowfinにログインできるユーザーを識別するLDAPグループ名です。このグループは、Yellowfin内ではなく、LDAPディレクトリ内に存在します。こちらグループのメンバーのみ、Yellowfinにログインすることができます。 |
LDAP Binding Bind User | YellowfinアプリケーションがLDAPディレクトリに接続して検索アクセスを行うために使用するLDAPユーザーYellowfinアプリケーションが、LDAPディレクトリに接続して検索アクセスを行うために使用するLDAPユーザーです。こちらのユーザーには、LDAPディレクトリを検索する権限が付与されていなくてはいけません。 |
LDAP Binding Bind User Password | YellowfinアプリケーションがLDAPディレクトリに接続するために必要なLDAPパスワード上記で定義されたLDAP Bind Userに関連する、YellowfinアプリケーションがLDAPディレクトリに接続するために必要なLDAPパスワードです。 |
LDAP Search Attribute | LDAPユーザーがYellowfinにログインするために使用するユニークなユーザー名フィールドLDAPユーザーが、Yellowfinにログインするための固有のユーザー名フィールドです。 |
LDAP First Name Attribute | LDAPディレクトリ内のユーザーの名前属性にマッピングします。マッピングすることで、Yellowfinはユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。LDAPディレクトリ内のユーザーの名属性にマッピングします。マッピングすることで、Yellowfinは、ユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。 |
LDAP Surname Attribute | LDAPディレクトリ内のユーザーの姓属性にマッピングします。マッピングすることで、Yellowfinはユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。LDAPディレクトリ内のユーザーの姓属性にマッピングします。マッピングすることで、Yellowfinは、ユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。 |
LDAP Email Attribute | LDAPディレクトリ内のユーザーの電子メールアドレス属性にマッピングします。マッピングすることで、Yellowfinはユーザーとブロードキャストレポート用の電子メールアドレスを一致させることができます。 |
LDAP Role Attribute | デフォルトロールの代わりにユーザーに割り当てられるYellowfinロールにマッピングします。 |
...
| LDAPグループ条件 | LDAPグループ一覧をフィルターする際に使用する条件です。フィルターが適用された一覧に返されたグループのみ、Yellowfinへ渡されます。 |
| 順序 | こちらの順序に従い、内部認証が実行されます(LDAP認証を優先、内部認証を優先)。 |
上述の項目を定義すると、Yellowfinは、ユーザーが初めてYellowfinへのログインを試みた際に、自動的にユーザーを設定します。
注意:LDAP内のユーザー数が購入したライセンス数を超過した場合、新しいユーザーはシステムに設定されません。
例
次の例は、Yellowfinの「システム設定」ページからの抜粋です。
この設定では、以下のように動作します。LDAP内のユーザー数が、購入したライセンス数を超過した場合は、新しいユーザーはシステムに設定されません。
例
| 設定 | パラメーター |
| LDAP Host | 192.168.4.241 |
| LDAP Port | 389 |
| LDAP Base DN | cn=Users,dc=i4,dc=local |
| LDAP Group | CN=Yellowfin Users,CN=Users, CD=i4,CD=local |
| LDAP Bind User | cn=Administrator,cn=Users,dc=i4,dc=local |
| LDAP Bind Password | ********* |
| LDAP Search Attribute | employeeID |
| LDAP First Name Attribute | givenName |
| LDAP Surname Attribute | lastName |
| LDAP Email Attribute | userPrincipleName |
| LDAP Role Attribute | Writer |
| 順序 | LDAP認証を優先 |
説明
上記の設定は、以下のように動作します。
- LDAP Host
192.168.4.241にポートに、ポート389を使用して接続します。 - ユーザーは、
cn=Users,dc=i4,dc=localから検索されます。 - ユーザーがユーザーは、
cn=Yellowfin Users,cn=Users,dc=i4,dc=localのメンバーである場合、このユーザーはYellowfinへのアクセスが許可されます。のメンバーである場合、Yellowfinへアクセスすることができます。 - ユーザーの検索は、LDAPサーバーにバインドされたユーザー名ユーザー検索は、LDAPサーバーにバインドされたユーザー名
cn=Administrator,cn=Users,dc=i4,dc=local、パスワードpasswordを使用して実行されます。、定義されたパスワードを使用して実行されます。 - ユーザーはユーザーは、
employeeIDをログインIDに使用し、Yellowfinは名前、姓、および電子メールアドレスをそれぞれLDAPディレクトリ属性のをログインIDに使用し、Yellowfinはユーザーの名、姓、および電子メールアドレスを、それぞれLDAPディレクトリ属性のgivenName、LastName、およびuserPrincipalNameから読み込みます。からロードします。
注意:ユーザーがLDAPディレクトリで見つからない場合、標準Yellowfinユーザーとしてのユーザー名を探します。ユーザーがLDAPディレクトリ内に存在しない場合は、標準的なYellowfinユーザーとして、ユーザー名を検索します。
...
YellowfinのセキュリティとLDAP
LDAP認証が有効化されると、「グループ管理」画面に「LDAP認証を有効化すると、「LDAP」という新しいグループオプションが含まれます。このオプションでは、LDAPディレクトリからグループを参照して、通常のYellowfinグループとして使用します。Yellowfinグループは、LDAPグループとYellowfinグループの混成など、さまざまなソースに基づいて作成できます。この場合、新しいグループでLDAPグループを含めたり、LDAPグループを排除したりすることができます。」と呼ばれる新しいグループオプションがグループ管理画面に表示されます。これは、LDAPディレクトリからのグループ参照して、標準的なYellowfinグループとして使用します。Yellowfinグループは、LDAPとYellowfinグループとの混ぜ合わせを含め、様々なソースを基に作成することができます。この場合、新しいグループにはLDAPグループを含めることも、排除することもできます。
- 「LDAPグループの追加」ドロップダウンを開きます。
- LDAPグループの一覧が表示されます。Yellowfinグループのメンバーを作成するために使用するグループを選択します。
- 「追加」をクリックして、YellowfinグループにLDAPグループのメンバーを追加します。
...
- 」をクリックし、YellowfinグループにLDAPグループのメンバーを追加します。