...
YellowfinにLDAPパラメーターを設定する前に、以下の手順を完了しなくてはいけません。
...
- Active Directoryに、ユーザーグループフォルダーを作成します。
- YellowfinインスタンスでLDAP認証を有効化します。
- Yellowfinサーバと、LDAPサーバ間の接続を確立します。
- LDAPユーザーのデフォルトYellowfinロールを定義します。
Active Directoryでの設定
- ドメインコントローラーにドメインを設定します。
- このドメインを含めたフォルダーを作成し、Yellowfinへのアクセスを許可するユーザーやグループを追加します。
デフォルトロールの定義
Yellowfinで自動的にユーザーを使用できるようにするためには、ユーザーにロールを割り当てなくてはいけません。このロールは、Yellowfin「デフォルト」ロールとして定義されます。ロール項目で、ひとつのロールをデフォルトとして定義します。
...
注意:ユーザーにデフォルトロールが設定されていない場合、ユーザーはYellowfinに正しく設定されず、プロセスは失敗します。
LDAP認証の有効化
Yellowfin LDAP構成
LDAPディレクトリのユーザーを設定して、LDAP認証に使用するためには、システム構成ページで必要な属性を定義しなくてはいけません。Yellowfinに設定が必要な属性は、以下の通りです。
| プロパティ | 説明 |
LDAP Host | LDAPサーバーのホスト名、またはIPアドレスです。 |
LDAP Port | LDAPサーバーがリッスンしている、TCP/IPポートです。 |
| 暗号化 | LDAPサーバにより実装される暗号化方法です(なし、TLS、SSL)。 |
LDAP Base DN | すべてのユーザー、およびグループを含むLDAPノードです。 |
LDAP Group | Yellowfinにログインできるユーザーを識別するLDAPグループ名です。このグループは、Yellowfin内ではなく、LDAPディレクトリ内に存在します。こちらグループのメンバーのみ、Yellowfinにログインすることができます。 |
LDAP Bind User | Yellowfinアプリケーションが、LDAPディレクトリに接続して検索アクセスを行うために使用するLDAPユーザーです。こちらのユーザーには、LDAPディレクトリを検索する権限が付与されていなくてはいけません。 |
LDAP Bind User Password | 上記で定義されたLDAP Bind Userに関連する、YellowfinアプリケーションがLDAPディレクトリに接続するために必要なLDAPパスワードです。 |
LDAP Search Attribute | LDAPユーザーが、Yellowfinにログインするための固有のユーザー名フィールドです。 |
LDAP First Name Attribute | LDAPディレクトリ内のユーザーの名属性にマッピングします。マッピングすることで、Yellowfinは、ユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。 |
LDAP Surname Attribute | LDAPディレクトリ内のユーザーの姓属性にマッピングします。マッピングすることで、Yellowfinは、ユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。 |
LDAP Email Attribute | LDAPディレクトリ内のユーザーの電子メールアドレス属性にマッピングします。マッピングすることで、Yellowfinはユーザーとブロードキャストレポート用の電子メールアドレスを一致させることができます。 |
LDAP Role Attribute | デフォルトロールの代わりにユーザーに割り当てられるYellowfinロールにマッピングします。組織ロールテーブルの、ロールコードを参照してください。 |
| LDAPグループ条件 | LDAPグループ一覧をフィルターする際に使用する条件です。フィルターが適用された一覧に返されたグループのみ、Yellowfinへ渡されます。 |
| 順序 | こちらの順序に従い、内部認証が実行されます(LDAP認証を優先、内部認証を優先)。 |
上述の項目を定義すると、Yellowfinは、ユーザーが初めてYellowfinへのログインを試みた際に、自動的にユーザーを設定します。
注意:LDAP内のユーザー数が、購入したライセンス数を超過した場合は、新しいユーザーはシステムに設定されません。
例
| 設定 | パラメーター |
| LDAP Host | 192.168.4.241 |
| LDAP Port | 389 |
| LDAP Base DN | cn=Users,dc=i4,dc=local |
| LDAP Group | CN=Yellowfin Users,CN=Users, CD=i4,CD=local |
| LDAP Bind User | cn=Administrator,cn=Users,dc=i4,dc=local |
| LDAP Bind Password | ********* |
| LDAP Search Attribute | employeeID |
| LDAP First Name Attribute | givenName |
| LDAP Surname Attribute | lastName |
| LDAP Email Attribute | userPrincipleName |
| LDAP Role Attribute | Writer |
| 順序 | LDAP認証を優先 |
説明
上記の設定は、以下のように動作します。
- LDAP Host
192.168.4.241に、ポート389を使用して接続します。 - ユーザーは、
cn=Users,dc=i4,dc=localから検索されます。 - ユーザーは、
cn=Yellowfin Users,cn=Users,dc=i4,dc=localのメンバーである場合、Yellowfinへアクセスすることができます。 - ユーザー検索は、LDAPサーバーにバインドされたユーザー名
cn=Administrator,cn=Users,dc=i4,dc=local、定義されたパスワードを使用して実行されます。 - ユーザーは、
employeeIDをログインIDに使用し、Yellowfinはユーザーの名、姓、および電子メールアドレスを、それぞれLDAPディレクトリ属性のgivenName、LastName、およびuserPrincipalNameからロードします。
注意:ユーザーがLDAPディレクトリ内に存在しない場合は、標準的なYellowfinユーザーとして、ユーザー名を検索します。
YellowfinのセキュリティとLDAP
LDAP認証を有効化すると、「LDAP」と呼ばれる新しいグループオプションがグループ管理画面に表示されます。これは、LDAPディレクトリからのグループ参照して、標準的なYellowfinグループとして使用します。Yellowfinグループは、LDAPとYellowfinグループとの混ぜ合わせを含め、様々なソースを基に作成することができます。この場合、新しいグループにはLDAPグループを含めることも、排除することもできます。
- 「LDAPグループの追加」ドロップダウンを開きます。
- LDAPグループの一覧が表示されます。Yellowfinグループのメンバーを作成するために使用するグループを選択します。
- 「追加」をクリックし、YellowfinグループにLDAPグループのメンバーを追加します。
Yellowfinインスタンスで、LDAP認証機能を有効化しなくてはいけません。
- 「システム構成」ページに移動します。(「レフトサイドメニュー」>「管理コンソール」>「システム構成」)
- 「認証」アイコンをクリックします。
- 「認証方法」項目を展開し、「LDAP認証」を選択します。
- 「LDAP設定」項目が表示されます。設定詳細を入力します。項目内容の詳細については、以下で説明しています。
- 設定詳細の入力が完了したら、「テスト接続」をクリックして、接続の確認をします。
- 接続が確立されたら、画面右上の「保存」ボタンをクリックして、これを保存します。