LDAPドメインのグループの操作
LDAPドメインからTDVにグループを追加するときは、LDAPサーバーからグループまたはユーザーを選択し、それらをTDV Serverに追加します。これにより、LDAP認証ユーザーとしてのTDVリソースへの差別化されたグループおよびユーザーのアクセス、使用、作成、および変更が可能になります。
LDAPドメインユーザーは、認証されたユーザーとしてTDV Serverを使用するために選択された少なくとも1つのLDAPグループに属している必要があります。これにより、定義されたリソースの権限、特権、および所有権を暗黙的に割り当てることができます。
同様に、LDAPドメイングループがTDV Serverでの使用から選択解除されると、そのグループとそのグループによって排他的に定義されたすべてのユーザーがTDVからローカルに削除され、認証されたユーザーとしてのアクセスが削除されます。外部LDAPサーバーは、これらのTDV定義の変更による影響を受けません。
LDAPグループをTDVに追加した後、そのグループのメンバーをLDAPサーバーで認証できます。メンバーに権限を割り当てることができ、データソースは、グループまたはそのメンバーがリソース定義とデータを使用するための特権を定義できます。
ユーザーの権利と特権のセキュリティチェックは、TDVアプリケーションまたは定義されたリソースに対して要求が行われるたびに行われます。 LDAPドメインでの認証ステータスは、非永続セッションでチェックおよび維持されます。
認証されたユーザーは、個人として明示的に、またはグループメンバーシップによって暗黙的に割り当てられた権限と特権によって定義されたリソースを所有し、使用できます。 TDV内で使用するために定義されたグループのメンバーは、そのグループに定義されたすべての権限と特権を継承します。
[外部グループの編集または追加]ウィンドウが表示されると、現在使用可能なLDAPグループが表示され、TDV内で使用するために既に選択されているグループがチェックボックスでマークされて表示されます。
LDAPドメインへのグループの追加
LDAPドメインから外部グループを追加すると、TDVシステムは、差別化されたアクセスをサポートし、ドメイン全体を含めずに、選択したグループに対してTDV定義のリソースを使用できるようになります。
注:グループを追加することは、LDAPサーバーからTDVにユーザーを追加する唯一の方法です。
ユーザーとグループの管理はLDAPサーバーで実行され、TDVの権限と特権がLDAPグループとユーザーに割り当てられます。
LDAPユーザーには、それらのメンバーが属するグループを明示的に追加することにより、TDVリソースを使用するための権限と特権が与えられます。 LDAP Managerは、ユーザーの適切なグループがTDVリソースを使用できるようになっていることを確認する必要があります。
TDVグループとユーザーに割り当てられた権利と特権を取得するのと同じ方法で、LDAPグループに適切な権利と特権を設定します。純粋なエンドユーザーは権限を受け取る必要はありませんが、JDBC、ODBC、またはWebサービスクライアントを介してデータにアクセスするために、グループおよびユーザーに個々のリソースレベルで割り当てられる権限を取得します。認証されていないユーザー、匿名ユーザー、およびパススルー認証を持つ動的ユーザーには、データリソースのプロシージャを表示、アクセス、および実行する権限を付与できますが、TDVの定義と設定を変更する権限を取得することはできません。
開発者、運用ユーザー、および管理者のグループには、ツールにアクセスするための明示的な権限と、設計時にTDVリソースを読み取りまたは変更するための権限が必要です。
TDVを最初に使用した後、LDAPドメインユーザーを特別に定義されたTDVグループに直接追加して、暗黙的な権限と特権を付与するか、個別の権限と特権を明示的に付与することができます。グループごとに権限と特権を管理する(役割ベースのアクセス制御)と、大規模なユーザーグループの制御が容易になります。
詳細については、
TDVリソースのセキュリティの管理を参照してください。
LDAPドメインおよびグループにユーザーを追加するには、
LDAPドメインからTDVにユーザーを追加するおよび
グループにユーザーを追加するを参照してください。
LDAPドメインからグループを追加するには
1. Managerで、[セキュリティ] > [ドメイン管理]を選択し、ドメインテーブルの左側にある行セレクターを使用してLDAPドメインを選択します。
2. 表の下部にある[外部グループの編集]をクリックします。
[外部グループの追加]ウィンドウには、LDAPドメイン内のすべてのグループが表示されます。
3. TDVリソースへのアクセスを許可するグループを選択します。
ウィンドウの下部にあるナビゲーション矢印とページ番号を使用して、追加のグループを表示できます。並べ替えアイコンをクリックして、並べ替え順序を変更することもできます。
4. [OK]をクリックします。
最初は、選択したグループのメンバーとしてユーザーは表示されません。グループのユーザーは、TDVリソースを最初に使用した後にTDVシステムに表示されます。
LDAPドメインからのグループの削除
LDAPドメインからグループを削除すると、LDAPグループ、そのすべてのユーザー、およびTDV Server上のすべての暗黙の権限と特権が削除されます。
削除されたグループのユーザーが所有する/sharedリソースのリソース定義は、それらが属する残りのLDAPグループのアクセス権限を保持します。リソースの所有権は、nobodyという名前の特別なシステムユーザーに移されます。これらのデータソースには新しい所有者を割り当てる必要があり、これらのデータソースへの接続をテストして再イントロスペクトし、リソースにアクセスできる状態を維持する必要があります。
グループを削除すると、削除されたグループとそのメンバーのすべてのアクセス権が削除されます。グループを削除すると、/usersノードのユーザーの個人用ワークスペースもクリアされます。ただし、外部LDAPサーバーは、これらのTDV定義の変更による影響を受けません。
LDAPドメインからグループを削除するには
1. Managerで、[セキュリティ] > [ドメイン管理]を選択し、[ドメイン]テーブルの左側にある行セレクターを使用してLDAPドメインを選択します。
2. [外部グループの編集]をクリックします。
ウィンドウには、LDAPドメイン内のすべてのグループが表示されます。
3. 削除するグループを選択します。
ウィンドウの下部にあるナビゲーション矢印とページ番号を使用して、追加のグループを表示します。
4. [OK]をクリックします。
グループメンバーシップの表示
[すべてのユーザーを読み取る]権限を持つTDV管理者は、Managerからユーザーグループのメンバーシップを確認および監視できます。
LDAPドメインでユーザーのグループメンバーシップを表示するには
1. Managerで、[セキュリティ] > [ユーザー管理]を選択します。
ユーザーのテーブルは、ドメインとグループでフィルタリングし、複数の属性で並べ替えることができます。
2. [グループ]列で[+]アイコンをクリックして、選択したLDAPユーザーが属するグループのリストを展開します。
グループからのLDAPユーザーの追加と削除
LDAPユーザーは、所属するグループからすべての権利と特権を継承します。
TDV ServerとManagerはLDAPグループメンバーシップを管理しません。 LDAPユーザーは上記のようにTDVグループに追加できますが、LDAPグループはManagerから変更できません。
LDAPユーザーをグループに追加またはグループから削除するには
1. Managerで、[セキュリティ] > [グループ管理]を選択します。
2. [ユーザー]列で、グループの[ユーザーの編集]アイコンを選択します。
「グループメンバーシップの編集」ウィンドウが表示されます。
3. ユーザーをチェックまたはクリアして、ユーザーを追加または削除します。
4. [OK]をクリックします。