LDAP サーバーを接続する際の考慮事項

組織の要件に従い、以下の項目について判断し、情報を収集することが推奨されます。

LDAP サーバーで接続プールを使用するかどうかを決定します。接続プールにより、開いている LDAP サーバーへの接続を後の操作で再利用することができます。LDAP サーバーへの接続において処理中の操作がない場合でも、その接続は開いたままになります（プールとも呼ばれます）。接続プールを設定することにより、各操作で LDAP サーバーへの接続を開いたり閉じたりするための処理時間がかからなくなるため、パフォーマンスを改善することができます。
接続プールの背景情報は、接続を使用するかどうかの決定プールを参照してください。
データベースパススルー実行を使用するかどうかを決定します。MicroStrategy では、データベースへの接続とデータベースに対するジョブの実行に、ユーザー名とパスワードの単一の組み合わせが頻繁に使用されます。このほか、MicroStrategy へのログインに使用する LDAP ユーザー名とパスワードをデータベースに渡すこともできます。その場合、データベースへのアクセスとジョブの実行が、LDAP ユーザー名とパスワードを使用して行われます。これにより、MicroStrategy にログインした各ユーザーが、ほかのユーザーとは異なる権限のセットを割り当てることができる一意のユーザー名とパスワードを使用して、データベースに対するジョブを実行できるようになります。
データベースのパススルー実行に関する詳細は、データベースを有効化するかどうかを決定中 LDAP によるパススルー実行を参照してください。

LDAP のユーザーおよびグループ情報を MicroStrategy のメタデータにインポートするかどうかを決定します。MicroStrategy グループが LDAP グループごとに作成されます。
LDAP ユーザーおよびグループ情報を MicroStrategy にインポートする利点と考慮事項の詳細は、 LDAP ユーザーをMicroStrategyにインポートするかどうかの決定を参照してください、
ユーザーおよびグループ情報を LDAP サーバーと自動的に同期するかどうかを決定します。これにより、MicroStrategy にインポートしたユーザーまたは既存の MicroStrategy アカウントにリンクされているユーザーのグループメンバーに変更があった場合、ユーザーのログイン時または決定したスケジュールで LDAP ディレクトリの変更が MicroStrategy に確実に適用されます。
ユーザーおよびグループ情報を同期させる利点と考慮事項は、 LDAP ユーザー情報とグループ情報を自動的に同期するかどうかの決定を参照してください。

LDAP のユーザーおよびグループ情報を MicroStrategy のメタデータにインポートする場合、以下の項目を決定します。
- ユーザーがログインするときに LDAP ユーザーおよびグループ情報を MicroStrategy メタデータにインポートするかどうか、およびユーザーがログインするたびに情報を同期させるかどうかを決定します。
- LDAP ユーザーおよびグループ情報を MicroStrategy メタデータに一括してインポートするかどうか、およびスケジュールに従って情報を同期させるかどうかを決定します。
- LDAP のユーザーとグループの情報を一括してインポートする場合は、ユーザーとグループをインポートするための検索フィルターを提供する必要があります。たとえば、LDAP ディレクトリに 1,000 人のユーザーがおり、そのうち 150 人が MicroStrategy を使用する必要がある場合、150 人のユーザーを MicroStrategy メタデータにインポートする検索フィルターを提供する必要があります。検索フィルターの定義については、ログイン時にユーザーとグループを確認およびインポートするための LDAP 検索フィルターを定義を参照してください。
- LDAP 組織構造でグループ内にさらにグループが含まれている場合は、MicroStrategy にユーザーまたはグループをインポートするときに、インポートする再帰的なグループ数を決定します。

MicroStrategy が LDAP グループをインポートするときに、ネストしたグループを 2 つインポートするように選択した場合、各ユーザーに関連するグループは、ユーザーの 2 レベル上までインポートされます。この場合は、ユーザー 1 については、"Domestic" および "Marketing" グループがインポートされます。ユーザー 3 については、"Developers" および "Employees" グループがインポートされます。

Windows 認証や統合認証などのシングルサインオン (SSO) 認証システムを使用している場合、シングルサインオンシステムのユーザーの LDAP ユーザー情報およびグループ情報をインポートするかどうかを決定します。
以下の追加情報をインポートするかどうかを決定します。
- ユーザーのメールアドレス。MicroStrategy Distribution Services のライセンスを持っている場合は、LDAP ユーザーをインポートするときに、これらのユーザーに関連付けられた連絡先としてメールアドレスをインポートすることができます。
- サードパーティユーザーの信頼認証済要求ユーザー ID。サードパーティユーザーがログインする際、この信頼認証済要求ユーザー ID を使用して、リンクされた MicroStrategy ユーザーを検索します。
- インポートする追加 LDAP アトリビュート。たとえば、LDAP ディレクトリには、 accountExpires。これには、ユーザーのアカウントの有効期限に関する情報が含まれています。LDAP ディレクトリのアトリビュートは、使用する LDAP サーバーと LDAP の構成によって決まります。
  インポートした LDAP のアトリビュートに基づいて、セキュリティフィルターを作成できます。例えば、LDAP アトリビュートをインポートすると countryName、その LDAP アトリビュートに基づいたセキュリティフィルターを作成し、すべての LDAP ユーザーにそのセキュリティフィルターを割り当てます。これで、ブラジルのユーザーが国別に売上を分類したレポートを表示すると、ブラジルの売上のみが表示されるようになります。

上記の情報を収集したら、Workstation に移動し、LDAP 接続を設定します。

LDAP SDK 接続を設定

LDAP サーバーから見て、Intelligence Server はクリアテキストまたは暗号化された SSL を使用し、以下を介してLDAP サーバーに接続する LDAP クライアントです。 LDAP SDK

LDAP SDK は、MicroStrategy が LDAP サーバーとの通信に使用する接続ファイルライブラリ（DLL）の集合です。最新の認定およびサポート対象の LDAP SDK ファイルについては、README を参照してください。

Intelligence Server は、使用している LDAP SDK のバージョンが以下をサポートしていることを要件とします。

LDAP v. 3
SSL 接続
Linux プラットフォームの 64 ビットアーキテクチャ
LDAP が Intelligence Server とうまく連携するには、64 ビット LDAP ライブラリを使用する必要があります。

Intelligence Server と LDAP SDK 間の動作は、使用する LDAP SDK によって若干異なります。README では、これらの動作の概要を提供しています。
LDAP SDK と LDAP サーバー間の動作は、どの LDAP SDK でも同じです。

Intelligence Server を実行しているオペレーティングシステムベンダーに対応する LDAP SDK ベンダーを利用することをお勧めします。具体的な推奨事項は README に示されています。これには、最新の認定済みでサポート対象の LDAP SDK、バージョン固有の詳細が説明されている MicroStrategy Tech Note の紹介、SDK のダウンロード場所の情報も示されています。

LDAP SDK DIL をインストールするためのハイレベルステップ

Intelligence Server がインストールされているコンピューターに LDAP SDK DLL をダウンロードします。
LDAP SDK をインストールします。
LDAP SDK ファイルの場所を次のように登録します。
- Windows 環境:LDAP SDK ライブラリのパスをシステム環境変数として追加し、Intelligence Server がそれらを検出できるようにします。
- Linux 環境:変更: LDAP.sh ファイルの場所: env LDAP SDK ライブラリの場所を指している必要がありMicroStrategy詳細な手順は、下記の LDAP SDK パスを UNIX の環境変数に追加するにはで説明します。
Intelligence Server を再起動します。

LDAP SDK パスを UNIX の環境変数に追加するには

この手順 LDAP SDK がインストール済みであることを前提としています。LDAP SDK をインストールするおおまかな手順は、 LDAP SDK DIL をインストールするためのハイレベルステップを参照してください。

Linuxコンソールウィンドウで、HOME_PATHどこHOME_PATHインストール時に指定されたホームディレクトリです。フォルダー / を参照env 有効です
追加 Write に対する権限 LDAP.sh ファイルを開く chmod u+w LDAP.sh 押した状態で Enter。
を開く LDAP.sh ファイルをテキストエディターで編集し、ライブラリパスを MSTR_LDAP_LIBRARY_PATH 環境変数。次にその例を示します。 MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'
すべてのライブラリを同じパスに保管することを推奨します。複数のパスがある場合は、すべてのパスを MSTR_LDAP_LIBRARY_PATH コロン (:) で区切ります次にその例を示します。 MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'
から書き込み権限を削除 LDAP.sh ファイルを開く chmod a-w LDAP.sh 押した状態で Enter。
Intelligence Server を再起動して、変更を有効にします。

ログイン時にユーザーとグループを確認およびインポートするための LDAP 検索フィルターを定義

Intelligence Server で LDAP ディレクトリ内のユーザー情報を効率的に検索するには、特定のパラメーターをいくつか設定する必要があります。

ユーザーが MicroStrategy にログインしようとすると、Intelligence Server は LDAP ディレクトリを検索してユーザーの識別名 (LDAP ディレクトリ構造内でユーザーを識別する固有の方法) を検索し、ユーザーを認証します。

効率的に検索するには、Intelligence Server が検索開始位置を認識している必要があります。LDAP 認証の設定時に、検索ルートの識別名を指定して、Intelligence Server がすべてのユーザーとグループの検索を開始するディレクトリ位置を設定することを推奨します。検索ルートが設定されていない場合、Intelligence Server は LDAP ディレクトリ全体を検索します。

さらに、検索するユーザーやグループを絞り込む検索フィルターを指定できます。

以下のセクションでは、構成可能な検索設定について説明します。

LDAP 検索を開始する最高レベル:検索ルートには、これらパラメーターの例、および各パラメーターの追加詳細と LDAP サーバー固有の注意点が記載されています。
ユーザーを検索:ユーザー検索フィルターでは、LDAP ユーザー検索フィルターの概要について説明しています。
グループを検索:グループ検索フィルターでは、LDAP グループ検索フィルターの概要について説明しています。

LDAP 検索を開始する最高レベル:検索ルート

次の図と表では、社内および LDAP ディレクトリ内のユーザー構成に基づいて、可能な検索ルートの例をいくつか示しています。

上図に基づいて、MicroStrategy にインポートするユーザーの一般的な検索シナリオを次の表に示します。検索ルートは、MicroStrategy で LDAP ディレクトリに定義するルートです。

シナリオ	検索ルート
Operations に属するすべてのユーザーとグループを含める。	Operations
Operations、Consultants、および Sales に属するすべてのユーザーとグループを含める。	Sales
Operations、Consultants、および Technology に属するすべてのユーザーとグループを含める。	Departments（[ユーザー/グループ] 検索フィルターの除外条件で Marketing および Administration に属するユーザーを除外）
Technology および Operations に属するすべてのユーザーとグループを含め、Consultants に属するユーザーとグループを除く。	Departments（[ユーザー/グループ] 検索フィルターの除外条件で Consultants に属するユーザーを除外）

一部の LDAP ベンダーの場合、検索ルートを LDAP ツリーのルートにすることはできません。たとえば、Microsoft Active Directory および Sun ONE の場合はいずれも、ドメインコントローラー RDN（dc）から検索を開始する必要があります。

ユーザーを検索:ユーザー検索フィルター

ログイン時にユーザーの認証またはインポートを行うために、MicroStrategy では、ユーザー検索フィルターを使用して効率的に LDAP ディレクトリを検索することができます。

Intelligence Server により LDAP ディレクトリでユーザーが見つかると、検索結果としてユーザーの完全修飾区別名が返され、ユーザーログイン時に入力されたパスワードが LDAP ディレクトリと照合されます。Intelligence Server では、認証ユーザーを使用して LDAP ディレクトリにアクセスし、その中で検索し、そこから情報を取得します。

また、Intelligence Server では、ユーザーの完全修飾区別名を使用して、ユーザーがメンバーである LDAP グループを検索します。ユーザー検索フィルターのパラメーターとは別に、グループ検索フィルターのパラメーターを入力する必要があります (グループを検索:グループ検索フィルターを参照)。

ユーザー検索フィルターは通常、 (&(objectclass=LDAP_USER_OBJECT_CLASS)(LDAP_LOGIN_ATTR=#LDAP_LOGIN#)) 各要素の意味は次のとおりです。

LDAP_USER_OBJECT_CLASS LDAP ユーザーのオブジェクトクラスを示します。たとえば、 (&(objectclass=person)(cn=#LDAP_LOGIN#))。
LDAP_LOGIN_ATTR LDAP ログインの保存に使用する LDAP アトリビュートを示します。たとえば、 (&(objectclass=人)(cn=#LDAP_LOGIN#))。
#LDAP_LOGIN# LDAP ユーザーログインを表すために、このフィルターでを使用できます。

LDAP サーバーベンダーおよび LDAP ツリー構造によっては、上述の検索フィルター構文内に別の属性が必要な場合もあります。次に例を示します。 (&(objectclass=person) (uniqueID=#LDAP_LOGIN#))、ここで uniqueID 会社が認証に使用する LDAP アトリビュート名です

グループを検索:グループ検索フィルター

グループ検索フィルターを使用すると、 MicroStrategy はLDAP を効率的に検索できますディレクトリにアクセスできますこれらのフィルターは、サーバー構成エディターの [LDAP] カテゴリで構成することができます。

グループ検索フィルターの形式は、一般的には以下のいずれかになります（形式を分割するパイプ | 記号を使用して以下の形式を組み合わせることも可能）。

(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_LOGIN_ATTR=#LDAP_LOGIN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_DN_ATTR=#LDAP_DN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (gidNumber=#LDAP_GIDNUMBER#))

上述のグループ検索フィルター形式のプレースホルダーは以下のとおりです。

LDAP_GROUP_OBJECT_CLASS LDAP グループのオブジェクトクラスを示します。たとえば、 (&(objectclass=groupOfNames)(member=#LDAP_DN#))。
LDAP_MEMBER_[LOGIN or DN]_ATTR LDAP ユーザーの LDAP ログイン/DN の保存に、LDAP グループのどの LDAP アトリビュートが使用されるかを示します。たとえば、 (&(objectclass=groupOfNames)(member=#LDAP_DN#))。
#LDAP_DN# は、LDAP ユーザーの識別名を表すためにこのフィルターで使用できます。
#LDAP_LOGIN# は、LDAP ユーザーのログインを表すためにこのフィルターで使用できます。
#LDAP_GIDNUMBER# は、このフィルターで UNIX または Linux のグループ ID 番号を表すために使用できます。これは、LDAP アトリビュートに対応します gidNumber。

追加基準を加えることにより、明確な検索パターンを実装することができます。たとえば、20 の異なるユーザーグループがあり、そのうちの 5 グループだけが MicroStrategy にアクセスし、操作するとします。それらの 5 グループだけをインポートする基準をグループ検索フィルターに追加できます。

接続を使用するかどうかの決定プール

接続プールにより、開いている LDAP サーバーへの接続を後の操作で再利用することができます。LDAP サーバーへの接続において処理中の操作がない場合でも、その接続は開いたままになります（プールとも呼ばれます）。接続プールを設定することにより、各操作で LDAP サーバーへの接続を開いたり閉じたりするための処理時間がかからなくなるため、パフォーマンスを改善することができます。

接続プールを使用しない場合、LDAP サーバーへの接続は各要求の後に閉じられます。LDAP サーバーへ要求が送信される頻度が低い場合、ネットワークリソースの使用量を削減することができます。

クラスター化された LDAP サーバーを使用した接続プール

LDAP サーバーのクラスターとして連携して機能する複数の LDAP サーバーを使用する場合があります。

接続プールが無効になっている場合、LDAP 接続を開く要求が出されると、要求の時点で最も負荷が少ない LDAP サーバーへのアクセスが行われます。LDAP ディレクトリに対する操作が完了したら、接続プールが行われない環境では LDAP サーバーへの接続が閉じられます。LDAP 接続を開く次の要求が出されると、最も負荷が少ない LDAP サーバーが再度特定され、選択されます。

クラスター化された LDAP 環境で接続プールを有効化している場合、動作は変化します。LDAP 接続を開く最初の要求が出されたときに、要求の時点で最も負荷が少ない LDAP サーバーへのアクセスが行われます。ただし、接続プールが有効化されているため、LDAP サーバーへの接続は開いたままになります。したがって、LDAP を開く次の要求が出された時点で最も負荷の少ない LDAP サーバーが特定されるのではなく、現在開いている接続が再利用されます。

データベースを有効化するかどうかを決定中 LDAP によるパススルー実行

MicroStrategy では、データベースへの接続とデータベースに対するジョブの実行に、ユーザー名とパスワードの単一の組み合わせが頻繁に使用されます。このほか、MicroStrategy へのログインに使用する LDAP ユーザー名とパスワードをデータベースに渡すこともできます。その場合、データベースへのアクセスとジョブの実行が、LDAP ユーザー名とパスワードを使用して行われます。これにより、MicroStrategy にログインした各ユーザーが、ほかのユーザーとは異なる権限のセットを割り当てることができる一意のユーザー名とパスワードを使用して、データベースに対するジョブを実行できるようになります。

データベースパススルー実行は、各ユーザーに対して個別に選択されます。MicroStrategy のセッション中にユーザーのパスワードが変更された場合、データベースパススルー実行を使用すると、スケジュールタスクの実行に失敗する可能性があります。

次のシナリオについて検討します。

ユーザーログイン UserA、パスワード PassA のユーザーが、MicroStrategy に 9:00 A.M. にログインし、新規レポートを作成します。このユーザーは、レポートをその日の 3:00 P.M. に実行されるようスケジュールします。レポートキャッシュがないため、レポートはデータベースに対して実行されます。正午に、アドミニストレーターが UserA のパスワードを PassB に変更します。UserA は MicroStrategy に再度ログインしていません。データベースに渡された認証情報 UserA と PassA を使用して、スケジュールされたレポートが 3:00 P.M. に実行されます。これらの認証情報は無効になっているため、スケジュールされたレポートの実行は失敗します。

このような問題を防ぐため、スケジュールされたレポートをユーザーが実行する可能性が低い時間にパスワード変更をスケジュールします。データベースパススルー実行を使用するユーザーがスケジュールされたレポートを定期的に実行する場合は、パスワードが変更されたときにすべてのレポートのスケジュールを変更するようそのユーザーに伝えます。

LDAP ユーザーをMicroStrategyにインポートするかどうかの決定

LDAP ユーザーおよびグループを MicroStrategy のユーザーおよびグループに接続するには、LDAP ユーザーおよびグループを MicroStrategy メタデータにインポートするか、または LDAP ディレクトリと MicroStrategy のユーザーおよびグループを関連付けます。ユーザーをインポートすると、LDAP ディレクトリの既存ユーザーに基づき、MicroStrategy で新規ユーザーが作成されます。ユーザーを関連付けると、LDAP ユーザーの情報が MicroStrategy の既存ユーザーに接続されます。LDAP ユーザーが、関連付けられた MicroStrategy ユーザーがなくても、MicroStrategy システムに匿名でログインすることを許可することもできます。それぞれの方法の利点および考慮事項は、下の表に記載されてます。

接続タイプ	利点	考慮すべき事項
LDAP ユーザーおよびグループのインポート	ユーザーとグループがメタデータ内に作成される。 MicroStrategy でユーザーとグループに追加の権限と許可を割り当てることができる。 MicroStrategy にユーザー各自の履歴と個人フォルダーがある。	多数の LDAP ユーザーがいる環境では、インポートすることにより、LDAP ユーザーとその関連情報でメタデータのデータ量が急激に増加する場合がある。 MicroStrategy への初回インポート時に、ユーザーとグループの許可および権限が正しくない可能性がある。
匿名またはゲストユーザーの許可	ユーザーは、新しい MicroStrategy ユーザーを作成する必要なく、すぐにログインできる。	権限は、Public/Guest グループと LDAP Public グループの権限に限られる。ユーザーのログアウト後、ユーザーの個人フォルダーおよび履歴がシステムから削除される。

接続タイプ

利点

考慮すべき事項

LDAP ユーザーおよびグループのインポート

ユーザーとグループがメタデータ内に作成される。

MicroStrategy でユーザーとグループに追加の権限と許可を割り当てることができる。

MicroStrategy にユーザー各自の履歴と個人フォルダーがある。

多数の LDAP ユーザーがいる環境では、インポートすることにより、LDAP ユーザーとその関連情報でメタデータのデータ量が急激に増加する場合がある。

MicroStrategy への初回インポート時に、ユーザーとグループの許可および権限が正しくない可能性がある。

匿名またはゲストユーザーの許可

ユーザーは、新しい MicroStrategy ユーザーを作成する必要なく、すぐにログインできる。

権限は、Public/Guest グループと LDAP Public グループの権限に限られる。

ユーザーのログアウト後、ユーザーの個人フォルダーおよび履歴がシステムから削除される。

MicroStrategy にユーザーをインポートするオプションは、以下のセクションで詳しく説明します。

LDAP ユーザーとグループをMicroStrategyにインポート
LDAP 認証で匿名/ゲストユーザーを許可

たとえば、最初はユーザーをインポートしないものの、将来のある時点でインポートしたいと考えている場合、いつでもインポート設定を変更できます。

LDAP ユーザーとグループをMicroStrategyにインポート

LDAP ユーザーおよびグループのインポートは、ログイン時に行うか、バッチ処理で行うか、またはその 2 つを組み合わせて行うかを選択することができます。インポートされたユーザーは自動的に MicroStrategy の LDAP Users グループのメンバーになり、そのグループのアクセスコントロールリスト（ACL）と権限が割り当てられます。ユーザーに異なる ACL または権限を割り当てるには、ユーザーを別の MicroStrategy ユーザーグループに移動します。

LDAP ユーザーの MicroStrategy へのインポート時には、そのユーザーの LDAP グループをインポートすることもできます。ユーザーが複数のグループに属している場合は、そのユーザーのすべてのグループがインポートされ、メタデータに作成されます。インポートされた LDAP グループは、MicroStrategy の LDAP Users フォルダーおよび MicroStrategy のユーザーマネージャーで作成されます。

LDAP ユーザーと LDAP グループは、すべて、MicroStrategy LDAP Users グループ内の同じレベルに作成されます。ユーザーとその関連グループとの LDAP 関係は MicroStrategy メタデータに存在しますが、その関係は Develper には表示されません。

MicroStrategy でユーザーのグループを表示させるには、これらを適切なグループに手動で移動させる必要があります。

インポートされた LDAP ユーザーまたはグループとMicroStrategyユーザーまたはグループの間のリレーションシップは、識別名の形式になっているMicroStrategyメタデータ内のリンクによって維持されます。完全修飾区別名（DN）は、LDAP ディレクトリにおけるエントリ（この場合はユーザーまたはグループ）の一意の識別子です。

MicroStrategy ユーザーの完全修飾区別名は、認証ユーザーに割り当てられた完全修飾区別名とは異なります。認証ユーザーの完全修飾区別名は、LDAP サーバーとの接続および LDAP ディレクトリの検索に使用される MicroStrategy アカウントの完全修飾区別名です。認証ユーザーは、LDAP サーバーにおける検索権限を持った人物で、一般的には LDAP アドミニストレーターです。

LDAP ディレクトリからユーザーを削除しても、MicroStrategy メタデータ内のユーザーには影響しません。削除された LDAP ユーザーが、同期中に MicroStrategy メタデータから自動的に削除されるわけではありません。これに対処するには、MicroStrategy でのユーザーの権限を取り消すか、ユーザーを手動で削除することができます。

ユーザーまたはグループを MicroStrategy から LDAP ディレクトリにエクスポートすることはできません。

LDAP 認証で匿名/ゲストユーザーを許可

LDAP 匿名ログインとは、ログイン名やパスワードが空の LDAP ログインのことです。LDAP 匿名ログインに成功すると、LDAP Public グループおよび Public/Guest グループの権限とアクセス権が認証されます。LDAP サーバーは、MicroStrategy からの匿名/ゲスト認証要求を許可するように構成されている必要があります。

ゲストユーザーはメタデータ内に存在しないため、MicroStrategy で実行できない操作があります。これは、関連付けられた権限と許可が明示的に割り当てられた場合でも同じです。実行できない操作には、ほとんどの管理操作が含まれます。

ユーザーが匿名/ゲストユーザーとしてログインした場合の特徴:

ユーザーは、メタデータ内に物理的に存在しないため、履歴を持ちません。
ユーザーは、オブジェクトの作成およびレポートのスケジュールを行うことができません。
ユーザー接続モニターが、LDAP ユーザーのユーザー名を記録します。
Intelligence Server 統計のユーザー名 [LDAP USER] に、セッション情報が記録されます。

LDAP ユーザー情報とグループ情報を自動的に同期するかどうかの決定

どのような会社のセキュリティモデルでも、変化する従業員のグループに対応するための措置を取る必要があります。新規ユーザーの追加と、会社を退職したユーザーの削除は、単純な作業です。ユーザー名やグループメンバーシップの変更は、対応がより複雑になる場合があります。このプロセスを容易にするため、MicroStrategy はユーザー名/ログインおよびグループの LDAP ディレクトリに含まれる情報との同期をサポートしています。

LDAP ユーザーおよびグループを MicroStrategy で自動的に同期させる場合、LDAP サーバーで行われた LDAP グループの変更はすべて、LDAP ユーザーが MicroStrategy に次回ログインしたときに MicroStrategy 内で適用されます。これにより、LDAP ディレクトリと MicroStrategy メタデータが常に同期されます。

LDAP サーバーと MicroStrategy 間でユーザーとグループを同期することで、MicroStrategy メタデー内のインポートされた LDAP ユーザーおよびグループを、以下の変更によって更新することができます。

ユーザー同期:MicroStrategy におけるユーザー名などのユーザー詳細が、LDAP ディレクトリにおける最新の定義によって更新されます。
グループ同期:MicroStrategy におけるグループ名などのグループ詳細が、LDAP ディレクトリにおける最新の定義によって更新されます。

MicroStrategy において LDAP ユーザーおよびグループを同期する場合には、以下の状況を考慮する必要があります。

LDAP ユーザーまたはグループに対し、MicroStrategy へのインポートまたは MicroStrategy 内のグループへの関連付けが行われていないグループの新規メンバーシップが与えられており、インポートオプションがオフになっている場合は、そのグループを MicroStrategy にインポートできないため、そのグループの権限は MicroStrategy で適用することはできません。
たとえば User1 は LDAP ディレクトリで Group1 のメンバーであり、User1 と Group1 の両方が MicroStrategy にインポートされたとします。そこで、LDAP ディレクトリで、User1 を Group1 から削除し、Group2 へのメンバーシップを与えます。ただし、Group2 は MicroStrategy のグループにインポートもリンクもされていません。同期すると、MicroStrategy では、User1 は Group1 から削除され、Group2 のメンバーとして認識されます。ただし、Group2 が MicroStrategy グループにインポートされるかリンクされるまで、Group2 の権限はユーザーには適用されません。当面は、User1 には LDAP Users グループの権限が与えられます。
LDAP ディレクトリからユーザーとグループを削除しても、LDAP ディレクトリからインポートされた対応する MicroStrategy ユーザーとグループは MicroStrategy メタデータに残ります。MicroStrategy におけるユーザーとグループの権限を取り消し、そのユーザーとグループを手動で削除することができます。
LDAP ディレクトリでユーザーのパスワードが変更された場合、同期設定には関係なく、ユーザーは新規パスワードを使用して MicroStrategy にログインする必要があります。LDAP パスワードは MicroStrategy メタデータには保存されません。MicroStrategy は、ユーザーが提示した認証情報を使用して LDAP ディレクトリ内のユーザーを検索し、検証します。

Sales グループに属する Joe Doe という名前のユーザーが、MicroStrategy にインポートされる場合について考えて見ましょう。彼は、後に LDAP ディレクトリにおいて Marketing グループに移動されます。LDAP ユーザー Joe Doe と LDAP グループ Sales および Marketing は、既に MicroStrategy にインポートされています。最後に、Joe Doe のユーザー名が Joseph Doe に、Marketing のグループ名が MarketingLDAP に変更されます。

下の表は、ユーザー、グループ、またはユーザーとグループの両方が同期された場合の、MicroStrategy におけるユーザーとグループの変化を示したものです。

ユーザーの同期	グループの同期	同期後のユーザー名	同期後のグループ名
×	×	Joe Doe	Marketing
×	○	Joe Doe	MarketingLDAP
○	×	Joseph Doe	Marketing
○	○	Joseph Doe	MarketingLDAP