...
| プロパティ | 説明 |
LDAP Host | LDAPサーバーのホスト名、またはIPアドレスです。 |
LDAP Port | LDAPサーバーがリッスンしている、TCP/IPポートです。通常のLDAP接続の場合は389、暗号化された接続の場合は636に設定します。(LDAP構成にカスタマイズ設定がされていない場合) |
| 暗号化 | LDAPサーバにより実装される暗号化方法です(なし、TLS、SSLから選択します)。これは、LDAP接続を暗号化する必要があるかどうかを決定します。 |
LDAP Base DN | すべてのユーザー、およびグループを含むLDAPノードです。すべてのユーザーがひとつのグループに含まれていないかもしれないので、こちらでbaseドメインを設定します。YellowfinはこちらからLDAPディレクトリの検索を開始します。 |
LDAP GroupYellowfinにアクセスできるユーザーを識別するLDAPグループ名です。このグループは、Yellowfin内ではなく、LDAPディレクトリ内に存在します。こちらグループのメンバーのみ、Yellowfinにログインすることができます。 | Yellowfinにアクセスできるユーザーを識別するLDAPグループ名です。このグループは、Yellowfin内ではなく、LDAPディレクトリ内に存在します。こちらのグループのメンバーのみ、Yellowfinにログインすることができます。「|」を使用して区切ることで、複数のLDAPグループにアクセスを許可することができます。例:LDAP_Consumers | LDAP_Writers ヒント:こちらで定義するグループは、大文字と小文字を区別する必要がありません。 |
LDAP Bind User | LDAPディレクトリを検索する権利を有したユーザーのユーザー名です。ユーザー名の形式は、NETBIOS、またはフルドメインのいずれかでなくてはいけません。例:admin@Yellowfin.bi、またはYELLOWFIN\admin 注意:管理ユーザーの使用は推奨されません。 |
LDAP Bind User Password | Yellowfinアプリケーションが、LDAPディレクトリに接続するために必要なLDAPパスワードです。これは、上記で定義したLDAP Bind Userを認証します。設定のテストをする前には必ず、「パスワード更新」をクリックしてください。 |
LDAP Search Attribute | LDAPユーザーが、Yellowfinにログインするための固有のユーザー名フィールドです。LDAP属性は、LDAPオブジェクトのプロパティボックスを開き、「Attribute Editor」タブをクリックすることで確認することができます。これらの属性の大部分は、選択した値に設定することができます。LDAP Attribute項目に入力したものが、属性名になります。 |
LDAP First Name Attribute | LDAPディレクトリ内のユーザーの名属性にマッピングします。マッピングすることで、Yellowfinは、ユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。 |
LDAP Surname Attribute | LDAPディレクトリ内のユーザーの姓属性にマッピングします。マッピングすることで、Yellowfinは、ユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。 |
LDAP Email Attribute | LDAPディレクトリ内のユーザーの電子メールアドレス属性にマッピングします。マッピングすることで、Yellowfinはユーザーとブロードキャストレポート用の電子メールアドレスを一致させることができます。 |
LDAP Role Attribute | デフォルトロールの代わりにユーザーに割り当てられるYellowfinロールにマッピングします。このように、ユーザーのロールは、ログイン前にYellowfinで設定することができます。デフォルトでは、LDAPを介してYellowfinにアクセスするユーザーには「Consumer & Collaborator」ロールが設定されます。組織ロールテーブルの、ロールコードを参照してください。デフォルトロールの代わりに、YellowfinロールをLDAPユーザーにマッピングする代替方法です。デフォルトでは、LDAP経由で取り込まれたユーザーには「Consumer & Collaborator」ロールが設定されますが、これはLDAPディレクトリに従い、ログイン前にユーザーのYellowfinロールを設定します。組織ロールテーブルの、ロールコードを参照してください。 Role Attributeは、ユーザーのLDAPレコードの属性であることに注意してください。例えば、LDAPディレクトリ内でYellowfinロールの名前を含む「YellowfinRole」という属性を割り当てられた場合、ユーザーはその後Yellowfinにログインする時に、このロールを割り当てられます。 |
| LDAPグループ条件 | LDAPグループ一覧をフィルターする際に使用する条件です。フィルターが適用された一覧に返されたグループのみ、Yellowfinへ渡されます。 |
| 順序 | こちらの順序に従い、内部認証が実行されます(LDAP認証を優先、内部認証を優先から選択します。デフォルトは、LDAP認証を優先です。)。この設定は、ログインを試行するユーザーを、Yellowfinがどのように認証するかを決定するため重要です。 |
...
- 「LDAPグループの追加」ドロップダウンを開きます。
- LDAPグループの一覧が表示されます。Yellowfinグループのメンバーを作成するために使用するグループを選択します。
- 「追加」をクリックし、YellowfinグループにLDAPグループのメンバーを追加します。
LDAPグループに基づくロール
Yellowfinアプリケーションでは、ユーザーのロールを、関連付けられたLDAPグループ一覧内のグループメンバーシップにより、動的に決定することができます。これにより、ユーザーのロールをYellowfinではなく、LDAPサーバーに集約して定義することができます。Yellowfinは、LDAPユーザーがログインする度に、適切なロールを決定します。
LDAPグループをYellowfinロールに関連付けるには、以下の手順に従います。
- まずは、LDAP設定ページで、この機能を有効にします。「管理」>「システム構成」>「認証」ページに移動し、「LDAP設定」項目を展開します(「認証方法」で忘れずに「LDAP認証」を選択してください)。
- LDAP設定項目で、「LDAPグループをYellowfinのロールにマッピングする」を有効にします。
- 変更を保存します。
- 管理コンソールに移動し、ロール項目を展開して、LDAPグループを関連付けるロールを選択します。
- ロール詳細ページで、「LDAPグループの紐付け」項目までスクロールします(これは、LDAP設定でLDAPグループをYellowfinのロールにマッピングする項目を有効にすることで表示されます)。
- 選択したロールに関連付けるLDAPグループを追加します。
- 設定内容を保存します。
- これで、追加したLDAPグループのユーザーは、Yellowfinログイン時に、こちらで直接定義されたすべてのロール権限を継承することになります。
注意:
- LDAP グループをYellowfinのロールにマッピングする、が無効の場合、Yellowfinは、新規Yellowfinユーザーセッションのために保存されたロールを継続して使用します。
- ログインに成功する度に、ユーザーのロールはYellowfinリポジトリ内で更新されます。再ログインをするユーザーが複数のロール関連グループ、またはどのグループのメンバーでもない場合、Yellowfinはそのユーザーのセッションに対して、最後に更新されたロールを使用します。
- (Yellowfinに初めてログインする)新規LDAPユーザーが、ロール関連グループのメンバーでない場合や、複数のLDAPグループのメンバーの場合、このユーザーのアクセスは許可されません。
- Yellowfinインターフェース内でユーザーに明示的なロールが与えられている場合、このユーザーがログインし、かつロール関連LDAPグループのメンバーである場合、これは上書きされます。ユーザーが、ロール関連グループのメンバーでない場合は、明示的に与えられたロールが保持されます。