Versions Compared

Version Old Version 9 New Version Current
Changes made by

YUKA SAITO

YUKA SAITO

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Migration of unmigrated content due to installation of a new plugin

...

  1. システム構成」ページに移動します。(「レフトサイドメニュー」>「管理コンソール」>「システム構成」)
  2. 認証」アイコンをクリックします。



  3. 認証方法」項目を展開し、「LDAP認証」を選択します。



  4. LDAP設定」項目が表示されます。設定詳細を入力します。項目内容の詳細については、以下で説明しています。
  5. 設定詳細の入力が完了したら、「テスト接続」をクリックして、接続の確認をします。
  6. 接続が確立されたら、画面右上の「保存」ボタンをクリックして、これを保存します。


Yellowfin LDAP構成

LDAPディレクトリのユーザーを設定して、LDAP認証に使用するためには、システム構成ページで必要な属性を定義しなくてはいけません。Yellowfinに設定が必要な属性は、以下の通りです。

...

LDAP Host

...

LDAPサーバーのホスト名、またはIPアドレスです。

...

LDAP Port

...

LDAPサーバーがリッスンしている、TCP/IPポートです。通常のLDAP接続の場合は389、暗号化された接続の場合は636に設定します。(LDAP構成にカスタマイズ設定がされていない場合)

...

LDAP Base DN

...

すべてのユーザー、およびグループを含むLDAPノードです。すべてのユーザーがひとつのグループに含まれていないかもしれないので、こちらでbaseドメインを設定します。YellowfinはこちらからLDAPディレクトリの検索を開始します。

...

LDAP Group

...

Yellowfinにアクセスできるユーザーを識別するLDAPグループ名です。このグループは、Yellowfin内ではなく、LDAPディレクトリ内に存在します。こちらのグループのメンバーのみ、Yellowfinにログインすることができます。「|」を使用して区切ることで、複数のLDAPグループにアクセスを許可することができます。例:LDAP_Consumers | LDAP_Writers

ヒント:こちらで定義するグループは、大文字と小文字を区別する必要がありません。

...

LDAP Bind User

...

LDAPディレクトリを検索する権利を有したユーザーのユーザー名です。ユーザー名の形式は、NETBIOS、またはフルドメインのいずれかでなくてはいけません。例:admin@Yellowfin.bi、またはYELLOWFIN\admin

注意:管理ユーザーの使用は推奨されません。

...

LDAP Bind User Password

...

Yellowfinアプリケーションが、LDAPディレクトリに接続するために必要なLDAPパスワードです。これは、上記で定義したLDAP Bind Userを認証します。設定のテストをする前には必ず、「パスワード更新」をクリックしてください。

...

LDAP Search Attribute

...

LDAPユーザーが、Yellowfinにログインするための固有のユーザー名フィールドです。LDAP属性は、LDAPオブジェクトのプロパティボックスを開き、「Attribute Editor」タブをクリックすることで確認することができます。これらの属性の大部分は、選択した値に設定することができます。LDAP Attribute項目に入力したものが、属性名になります。

...

LDAP First Name Attribute

...

LDAPディレクトリ内のユーザーの名属性にマッピングします。マッピングすることで、Yellowfinは、ユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。

...

LDAP Surname Attribute

...

LDAPディレクトリ内のユーザーの姓属性にマッピングします。マッピングすることで、Yellowfinは、ユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。

...

LDAP Email Attribute

...

LDAPディレクトリ内のユーザーの電子メールアドレス属性にマッピングします。マッピングすることで、Yellowfinはユーザーとブロードキャストレポート用の電子メールアドレスを一致させることができます。

...

LDAP Role Attribute

...

デフォルトロールの代わりに、YellowfinロールをLDAPユーザーにマッピングする代替方法です。デフォルトでは、LDAP経由で取り込まれたユーザーには「Consumer & Collaborator」ロールが設定されますが、これはLDAPディレクトリに従い、ログイン前にユーザーのYellowfinロールを設定します。組織ロールテーブルの、ロールコードを参照してください。

Role Attributeは、ユーザーのLDAPレコードの属性であることに注意してください。例えば、LDAPディレクトリ内でYellowfinロールの名前を含む「YellowfinRole」という属性を割り当てられた場合、ユーザーはその後Yellowfinにログインする時に、このロールを割り当てられます。

...

LDAPグループ一覧をフィルターする際に使用する条件です。フィルターが適用された一覧に返されたグループのみ、Yellowfinへ渡されます。

...

上述の項目を定義すると、Yellowfinは、ユーザーが初めてYellowfinへのログインを試みた際に、自動的にユーザーを設定します。

注意:LDAP内のユーザー数が、購入したライセンス数を超過した場合は、新しいユーザーはシステムに設定されません。

設定パラメーター
LDAP Host192.168.4.241
LDAP Port389
LDAP Base DNcn=Users,dc=i4,dc=local
LDAP GroupCN=Yellowfin Users,CN=Users,DC=i4,DC=local
LDAP Bind Useradmin@Yellowfin.bi、またはYELLOWFIN\admin
LDAP Bind Password*********
LDAP Search AttributeemployeeID
LDAP First Name AttributegivenName
LDAP Surname AttributelastName
LDAP Email AttributeuserPrincipleName
LDAP Role AttributeWriter
順序LDAP認証を優先

説明

上記の設定は、以下のように動作します。

  • LDAP Host 192.168.4.241に、ポート389を使用して接続します。
  • ユーザーは、cn=Users,dc=i4,dc=localから検索されます。
  • ユーザーは、cn=Yellowfin Users,cn=Users,dc=i4,dc=localのメンバーである場合、Yellowfinへアクセスすることができます。
  • ユーザー検索は、提供されたbindパスワードに基づき認証されるユーザー「admin」を使用して実行されます。
  • ユーザーは、employeeIDをログインIDに使用し、Yellowfinはユーザーの名、姓、および電子メールアドレスを、それぞれLDAPディレクトリ属性のgivenNameLastName、およびuserPrincipalNameからロードします。

注意:ユーザーがLDAPディレクトリ内に存在しない場合は、標準的なYellowfinユーザーとして、ユーザー名を検索します。

YellowfinのセキュリティとLDAP

LDAP認証を有効化すると、「LDAP」と呼ばれる新しいグループオプションがグループ管理画面に表示されます。これは、LDAPディレクトリからのグループ参照して、標準的なYellowfinグループとして使用します。Yellowfinグループは、LDAPとYellowfinグループとの混ぜ合わせを含め、様々なソースを基に作成することができます。この場合、新しいグループにはLDAPグループを含めることも、排除することもできます。

  1. LDAPグループの追加」ドロップダウンを開きます。
  2. LDAPグループの一覧が表示されます。Yellowfinグループのメンバーを作成するために使用するグループを選択します。
  3. 追加」をクリックし、YellowfinグループにLDAPグループのメンバーを追加します。

LDAPグループに基づくロール

Yellowfinアプリケーションでは、ユーザーのロールを、関連付けられたLDAPグループ一覧内のグループメンバーシップにより、動的に決定することができます。これにより、ユーザーのロールをYellowfinではなく、LDAPサーバーに集約して定義することができます。Yellowfinは、LDAPユーザーがログインする度に、適切なロールを決定します。

LDAPグループをYellowfinロールに関連付けるには、以下の手順に従います。

...

注意:

  • LDAP グループをYellowfinのロールにマッピングする、が無効の場合、Yellowfinは、新規Yellowfinユーザーセッションのために保存されたロールを継続して使用します。
  • ログインに成功する度に、ユーザーのロールはYellowfinリポジトリ内で更新されます。再ログインをするユーザーが複数のロール関連グループ、またはどのグループのメンバーでもない場合、Yellowfinはそのユーザーのセッションに対して、最後に更新されたロールを使用します。
  • (Yellowfinに初めてログインする)新規LDAPユーザーが、ロール関連グループのメンバーでない場合や、複数のLDAPグループのメンバーの場合、このユーザーのアクセスは許可されません。
  • Yellowfinインターフェース内でユーザーに明示的なロールが与えられている場合、このユーザーがログインし、かつロール関連LDAPグループのメンバーである場合、これは上書きされます。ユーザーが、ロール関連グループのメンバーでない場合は、明示的に与えられたロールが保持されます。