LDAP サーバーを接続する際の考慮事項

組織の要件に従い、以下の項目について判断し、情報を収集することが推奨されます。

LDAP サーバーで接続プールを使用するかどうかを決定します。接続プールにより、開いている LDAP サーバーへの接続を後の操作で再利用することができます。LDAP サーバーへの接続において処理中の操作がない場合でも、その接続は開いたままになります（プールとも呼ばれます）。接続プールを設定することにより、各操作で LDAP サーバーへの接続を開いたり閉じたりするための処理時間がかからなくなるため、パフォーマンスを改善することができます。
見る接続を使用するかどうかの決定プーリング接続プールの背景情報については、
データベースパススルー実行を使用するかどうかを決定します。MicroStrategy では、データベースへの接続とデータベースに対するジョブの実行に、ユーザー名とパスワードの単一の組み合わせが頻繁に使用されます。このほか、MicroStrategy へのログインに使用する LDAP ユーザー名とパスワードをデータベースに渡すこともできます。その場合、データベースへのアクセスとジョブの実行が、LDAP ユーザー名とパスワードを使用して行われます。これにより、MicroStrategy にログインした各ユーザーは、他のユーザーとは異なる権限セットを付与できる固有のユーザー名とパスワードを使用して、データベースに対してジョブを実行できるようになります。
見るデータベースを有効にするかどうかの決定 LDAP によるパススルー実行データベースパススルー実行に関する追加情報については、

LDAP のユーザーおよびグループ情報を MicroStrategy のメタデータにインポートするかどうかを決定します。MicroStrategy グループが LDAP グループごとに作成されます。
見るLDAP ユーザーを MicroStrategy にインポートするかどうかの決定 LDAP ユーザーおよびグループ情報を MicroStrategy にインポートする場合の利点と考慮事項については、こちらをご覧ください。
ユーザーおよびグループ情報を LDAP サーバーと自動的に同期するかどうかを決定します。これにより、MicroStrategy にインポートしたユーザーまたは既存の MicroStrategy アカウントにリンクされているユーザーのグループメンバーに変更があった場合、ユーザーのログイン時または決定したスケジュールで LDAP ディレクトリの変更が MicroStrategy に確実に適用されます。
見るLDAP ユーザーとグループ情報を自動的に同期するかどうかの決定ユーザーとグループ情報を同期することの利点と考慮事項については、

LDAP のユーザーおよびグループ情報を MicroStrategy のメタデータにインポートする場合、以下の項目を決定します。
- ユーザーがログインしたときに LDAP ユーザーとグループの情報を MicroStrategy メタデータにインポートするかどうか、およびユーザーがログインするたびに情報を同期するかどうかを決定します。
- LDAP ユーザーおよびグループ情報を MicroStrategy メタデータに一括でインポートするかどうか、およびスケジュールに従って情報を同期するかどうかを決定します。
- LDAP ユーザーおよびグループ情報を一括でインポートする場合は、ユーザーおよびグループをインポートするための検索フィルターを指定する必要があります。たとえば、LDAP ディレクトリに 1,000 人のユーザーがおり、そのうち 150 人が MicroStrategy を使用する必要がある場合、150 人のユーザーを MicroStrategy メタデータにインポートする検索フィルターを提供する必要があります。見るログイン時にユーザーとグループを検証およびインポートするための LDAP 検索フィルターの定義検索フィルタの定義については、
- LDAP 組織構造にグループ内に含まれるグループが含まれている場合は、ユーザーまたはグループを MicroStrategy にインポートするときに、インポートする再帰グループの数を決定します。

MicroStrategy が LDAP グループをインポートするときに、ネストしたグループを 2 つインポートするように選択した場合、各ユーザーに関連するグループは、ユーザーの 2 レベル上までインポートされます。この場合は、ユーザー 1 については、"Domestic" および "Marketing" グループがインポートされます。ユーザー 3 については、"Developers" および "Employees" グループがインポートされます。

Windows 認証や統合認証などのシングルサインオン (SSO) 認証システムを使用している場合、シングルサインオンシステムのユーザーの LDAP ユーザー情報およびグループ情報をインポートするかどうかを決定します。
以下の追加情報をインポートするかどうかを決定します。
- ユーザーのメールアドレス。MicroStrategy Distribution Services のライセンスを持っている場合は、LDAP ユーザーをインポートするときに、これらのユーザーに関連付けられた連絡先としてメールアドレスをインポートすることができます。
- サードパーティユーザーの信頼できる認証済みリクエストユーザー ID。サードパーティユーザーがログインする際、この信頼認証済要求ユーザー ID を使用して、リンクされた MicroStrategy ユーザーを検索します。
- インポートする追加の LDAP 属性。たとえば、LDAPディレクトリには次のような属性が含まれている場合があります。accountExpiresこれには、ユーザーのアカウントの有効期限に関する情報が含まれています。LDAP ディレクトリのアトリビュートは、使用する LDAP サーバーと LDAP の構成によって決まります。
  インポートした LDAP 属性に基づいてセキュリティフィルターを作成できます。たとえば、LDAP属性をインポートするとcountryName、その LDAP 属性に基づいてセキュリティフィルターを作成し、そのセキュリティフィルターをすべての LDAP ユーザーに割り当てます。これで、ブラジルのユーザーが国別の売上収益の内訳を示すレポートを表示すると、ブラジルの売上データのみが表示されます。

上記の情報を収集したら、Workstation に移動し、LDAP 接続を設定します。

LDAP SDK 接続の設定

LDAPサーバーの観点から見ると、Intelligence Serverは、クリアテキストまたは暗号化されたSSLを使用してLDAPサーバーに接続するLDAPクライアントです。 LDAP SDK。

LDAP SDK は、MicroStrategy が LDAP サーバーとの通信に使用する接続ファイルライブラリ（DLL）の集合です。認定およびサポートされている最新のLDAP SDKファイルについては、README。

Intelligence Server は、使用している LDAP SDK のバージョンが以下をサポートしていることを要件とします。

LDAP v. 3
SSL 接続
Linux プラットフォーム上の 64 ビットアーキテクチャ
LDAP が Intelligence Server で適切に動作するには、64 ビット LDAP ライブラリを使用する必要があります。

Intelligence Server と LDAP SDK 間の動作は、使用する LDAP SDK によって若干異なります。のREADMEこれらの動作の概要を示します。
LDAP SDK と LDAP サーバー間の動作は、どの LDAP SDK でも同じです。

Intelligence Server を実行しているオペレーティングシステムベンダーに対応する LDAP SDK ベンダーを利用することをお勧めします。具体的な推奨事項は、README、最新の認定およびサポートされている LDAP SDK セット、バージョン固有の詳細を含む MicroStrategy Tech Notes への参照、および SDK のダウンロード場所情報が含まれています。

LDAP SDK DLL をインストールするためのおおまかな手順

Intelligence Server がインストールされているコンピューターに LDAP SDK DLL をダウンロードします。
LDAP SDK をインストールします。
LDAP SDK ファイルの場所を次のように登録します。
- Windows 環境: Intelligence Server が見つけられるように、LDAP SDK ライブラリのパスをシステム環境変数として追加します。
- Linux環境: LDAP.shファイルはenv MicroStrategy インストールのフォルダーを、LDAP SDK ライブラリの場所を指すように変更します。詳細な手順はUNIX で LDAP SDK のパスを環境変数に追加するには下に。
Intelligence Server を再起動します。

UNIX で LDAP SDK のパスを環境変数に追加するには

この手順 LDAP SDK がインストールされていることを前提としています。LDAP SDKをインストールする手順の概要については、LDAP SDK DLL をインストールするためのおおまかな手順。

Linuxコンソールウィンドウで、HOME_PATHどこHOME_PATHインストール時に指定されたホームディレクトリです。フォルダを参照します / envこの道で。
追加Write特権をLDAP.shコマンドを入力してファイルを開くchmod u+w LDAP.shそして押すEnter。
開くLDAP.shファイルをテキストエディタで開き、ライブラリパスをMSTR_LDAP_LIBRARY_PATH環境変数。例えば：MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'
すべてのライブラリを同じパスに保管することを推奨します。複数のパスがある場合は、すべてのパスをMSTR_LDAP_LIBRARY_PATH環境変数を入力し、コロン (:) で区切ります。例えば：MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'
書き込み権限を削除するLDAP.shコマンドを入力してファイルを開くchmod a-w LDAP.shそして押すEnter。
Intelligence Server を再起動して、変更を有効にします。

ログイン時にユーザーとグループを検証およびインポートするための LDAP 検索フィルターの定義

Intelligence Server で LDAP ディレクトリ内のユーザー情報を効率的に検索するには、特定のパラメーターをいくつか設定する必要があります。

ユーザーが MicroStrategy にログインしようとすると、Intelligence Server は LDAP ディレクトリを検索してユーザーの識別名 (LDAP ディレクトリ構造内でユーザーを識別する固有の方法) を検索し、ユーザーを認証します。

効率的に検索するには、Intelligence Server が検索開始位置を認識している必要があります。LDAP 認証の設定時に、検索ルートの識別名を指定して、Intelligence Server がすべてのユーザーとグループの検索を開始するディレクトリ位置を設定することを推奨します。検索ルートが設定されていない場合、Intelligence Server は LDAP ディレクトリ全体を検索します。

さらに、検索するユーザーやグループを絞り込む検索フィルターを指定できます。

以下のセクションでは、構成可能な検索設定について説明します。

LDAP 検索を開始する最高レベル: 検索ルートこれらのパラメータの例と、各パラメータの詳細、および LDAP サーバー固有の注意事項を示します。
ユーザーの検索: ユーザー検索フィルター LDAP ユーザー検索フィルターの概要を示します。
グループの検索: グループ検索フィルター LDAP グループ検索フィルターの概要を示します。

LDAP 検索を開始する最高レベル: 検索ルート

次の図と表では、社内および LDAP ディレクトリ内のユーザー構成に基づいて、可能な検索ルートの例をいくつか示しています。

上図に基づいて、MicroStrategy にインポートするユーザーの一般的な検索シナリオを次の表に示します。検索ルートは、MicroStrategy で LDAP ディレクトリに定義するルートです。

シナリオ	検索ルート
Operations に属するすべてのユーザーとグループを含める。	Operations
Operations、Consultants、および Sales に属するすべてのユーザーとグループを含める。	Sales
Operations、Consultants、および Technology に属するすべてのユーザーとグループを含める。	Departments（[ユーザー/グループ] 検索フィルターの除外条件で Marketing および Administration に属するユーザーを除外）
Technology および Operations に属するすべてのユーザーとグループを含め、Consultants に属するユーザーとグループを除く。	Departments（[ユーザー/グループ] 検索フィルターの除外条件で Consultants に属するユーザーを除外）

一部の LDAP ベンダーの場合、検索ルートを LDAP ツリーのルートにすることはできません。たとえば、Microsoft Active Directory および Sun ONE の場合はいずれも、ドメインコントローラー RDN（dc）から検索を開始する必要があります。

ユーザーの検索: ユーザー検索フィルター

ログイン時にユーザーの認証またはインポートを行うために、MicroStrategy では、ユーザー検索フィルターを使用して効率的に LDAP ディレクトリを検索することができます。

Intelligence Server により LDAP ディレクトリでユーザーが見つかると、検索結果としてユーザーの完全修飾区別名が返され、ユーザーログイン時に入力されたパスワードが LDAP ディレクトリと照合されます。Intelligence Server では、認証ユーザーを使用して LDAP ディレクトリにアクセスし、その中で検索し、そこから情報を取得します。

また、Intelligence Server では、ユーザーの完全修飾区別名を使用して、ユーザーがメンバーである LDAP グループを検索します。グループ検索フィルタパラメータは、ユーザー検索フィルタパラメータとは別に入力する必要があります（グループの検索: グループ検索フィルター）。

ユーザー検索フィルターは通常、 (&(objectclass=LDAP_USER_OBJECT_CLASS)(LDAP_LOGIN_ATTR=#LDAP_LOGIN#))どこ：

LDAP_USER_OBJECT_CLASS LDAP ユーザーのオブジェクトクラスを示します。例えば、次のように入力できます。(&(objectclass=person)(cn=#LDAP_LOGIN#))。
LDAP_LOGIN_ATTR LDAP ログインを保存するために使用する LDAP 属性を示します。例えば、次のように入力できます。(&(objectclass=人)(cn=#LDAP_LOGIN#))。
#LDAP_LOGIN#このフィルターでは、LDAP ユーザーログインを表すために使用できます。

LDAP サーバーベンダーおよび LDAP ツリー構造によっては、上述の検索フィルター構文内に別の属性が必要な場合もあります。例えば、(&(objectclass=person)(uniqueID=#LDAP_LOGIN#))、どこuniqueID会社が認証に使用する LDAP 属性名です。

グループの検索: グループ検索フィルター

グループ検索フィルタにより、MicroStrategyはLDAPを効率的に検索できます。ユーザーが所属するグループのディレクトリ。これらのフィルターは、サーバー構成エディターの [LDAP] カテゴリで構成することができます。

グループ検索フィルターの形式は、一般的には以下のいずれかになります（形式を分割するパイプ | 記号を使用して以下の形式を組み合わせることも可能）。

(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_LOGIN_ATTR=#LDAP_LOGIN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_DN_ATTR=#LDAP_DN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (gidNumber=#LDAP_GIDNUMBER#))

上述のグループ検索フィルター形式のプレースホルダーは以下のとおりです。

LDAP_GROUP_OBJECT_CLASS LDAP グループのオブジェクトクラスを示します。例えば、次のように入力できます。(&(objectclass=groupOfNames)(member=#LDAP_DN#))。
LDAP_MEMBER_[LOGIN or DN]_ATTR LDAP ユーザーの LDAP ログイン/DN を格納するために使用される LDAP グループの LDAP 属性を示します。例えば、次のように入力できます。(&(objectclass=groupOfNames)(member=#LDAP_DN#))。
#LDAP_DN#このフィルターでは、LDAP ユーザーの識別名を表すために使用できます。
#LDAP_LOGIN#このフィルターでは、LDAP ユーザーのログインを表すために使用できます。
#LDAP_GIDNUMBER#このフィルタではUNIXまたはLinuxのグループID番号を表すために使用できます。これはLDAP属性に対応します。gidNumber。

追加基準を加えることにより、明確な検索パターンを実装することができます。たとえば、20 の異なるユーザーグループがあり、そのうちの 5 グループだけが MicroStrategy にアクセスし、操作するとします。それらの 5 グループだけをインポートする基準をグループ検索フィルターに追加できます。

接続を使用するかどうかの決定プーリング

接続プールにより、開いている LDAP サーバーへの接続を後の操作で再利用することができます。LDAP サーバーへの接続において処理中の操作がない場合でも、その接続は開いたままになります（プールとも呼ばれます）。接続プールを設定することにより、各操作で LDAP サーバーへの接続を開いたり閉じたりするための処理時間がかからなくなるため、パフォーマンスを改善することができます。

接続プールを使用しない場合、LDAP サーバーへの接続は各要求の後に閉じられます。LDAP サーバーへ要求が送信される頻度が低い場合、ネットワークリソースの使用量を削減することができます。

クラスター化された LDAP サーバーによる接続プール

LDAP サーバーのクラスターとして連携して機能する複数の LDAP サーバーを使用する場合があります。

接続プールが無効になっている場合、LDAP 接続を開く要求が出されると、要求の時点で最も負荷が少ない LDAP サーバーへのアクセスが行われます。LDAP ディレクトリに対する操作が完了したら、接続プールが行われない環境では LDAP サーバーへの接続が閉じられます。LDAP 接続を開く次の要求が出されると、最も負荷が少ない LDAP サーバーが再度特定され、選択されます。

クラスター化された LDAP 環境で接続プールを有効化している場合、動作は変化します。LDAP 接続を開く最初の要求が出されたときに、要求の時点で最も負荷が少ない LDAP サーバーへのアクセスが行われます。ただし、接続プールが有効化されているため、LDAP サーバーへの接続は開いたままになります。したがって、LDAP を開く次の要求が出された時点で最も負荷の少ない LDAP サーバーが特定されるのではなく、現在開いている接続が再利用されます。

データベースを有効にするかどうかの決定 LDAP によるパススルー実行

MicroStrategy では、データベースへの接続とデータベースに対するジョブの実行に、ユーザー名とパスワードの単一の組み合わせが頻繁に使用されます。このほか、MicroStrategy へのログインに使用する LDAP ユーザー名とパスワードをデータベースに渡すこともできます。その場合、データベースへのアクセスとジョブの実行が、LDAP ユーザー名とパスワードを使用して行われます。これにより、MicroStrategy にログインした各ユーザーが、ほかのユーザーとは異なる権限のセットを割り当てることができる一意のユーザー名とパスワードを使用して、データベースに対するジョブを実行できるようになります。

データベースパススルー実行は、各ユーザーに対して個別に選択されます。MicroStrategy のセッション中にユーザーのパスワードが変更された場合、データベースパススルー実行を使用すると、スケジュールタスクの実行に失敗する可能性があります。

次のシナリオについて検討します。

ユーザーログイン UserA、パスワード PassA のユーザーが、MicroStrategy に 9:00 A.M. にログインし、新規レポートを作成します。このユーザーは、レポートをその日の 3:00 P.M. に実行されるようスケジュールします。レポートキャッシュがないため、レポートはデータベースに対して実行されます。正午に、アドミニストレーターが UserA のパスワードを PassB に変更します。UserA は MicroStrategy に再度ログインしていません。データベースに渡された認証情報 UserA と PassA を使用して、スケジュールされたレポートが 3:00 P.M. に実行されます。これらの認証情報は無効になっているため、スケジュールされたレポートの実行は失敗します。

このような問題を防ぐため、スケジュールされたレポートをユーザーが実行する可能性が低い時間にパスワード変更をスケジュールします。データベースパススルー実行を使用するユーザーがスケジュールされたレポートを定期的に実行する場合は、パスワードが変更されたときにすべてのレポートのスケジュールを変更するようそのユーザーに伝えます。

LDAP ユーザーを MicroStrategy にインポートするかどうかの決定

LDAP ユーザーおよびグループを MicroStrategy のユーザーおよびグループに接続するには、LDAP ユーザーおよびグループを MicroStrategy メタデータにインポートするか、または LDAP ディレクトリと MicroStrategy のユーザーおよびグループを関連付けます。ユーザーをインポートすると、LDAP ディレクトリの既存ユーザーに基づき、MicroStrategy で新規ユーザーが作成されます。ユーザーを関連付けると、LDAP ユーザーの情報が MicroStrategy の既存ユーザーに接続されます。LDAP ユーザーが、関連付けられた MicroStrategy ユーザーがなくても、MicroStrategy システムに匿名でログインすることを許可することもできます。それぞれの方法の利点および考慮事項は、下の表に記載されてます。

接続タイプ	利点	考慮すべき事項
LDAP ユーザーおよびグループのインポート	ユーザーとグループがメタデータ内に作成される。 MicroStrategy でユーザーとグループに追加の権限と許可を割り当てることができる。 MicroStrategy にユーザー各自の履歴と個人フォルダーがある。	多数の LDAP ユーザーがいる環境では、インポートすることにより、LDAP ユーザーとその関連情報でメタデータのデータ量が急激に増加する場合がある。 MicroStrategy への初回インポート時に、ユーザーとグループの許可および権限が正しくない可能性がある。
匿名またはゲストユーザーの許可	ユーザーは、新しい MicroStrategy ユーザーを作成する必要なく、すぐにログインできる。	権限は、Public/Guest グループと LDAP Public グループの権限に限られる。ユーザーのログアウト後、ユーザーの個人フォルダーおよび履歴がシステムから削除される。

接続タイプ

利点

考慮すべき事項

LDAP ユーザーおよびグループのインポート

ユーザーとグループがメタデータ内に作成される。

MicroStrategy でユーザーとグループに追加の権限と許可を割り当てることができる。

MicroStrategy にユーザー各自の履歴と個人フォルダーがある。

多数の LDAP ユーザーがいる環境では、インポートすることにより、LDAP ユーザーとその関連情報でメタデータのデータ量が急激に増加する場合がある。

MicroStrategy への初回インポート時に、ユーザーとグループの許可および権限が正しくない可能性がある。

匿名またはゲストユーザーの許可

ユーザーは、新しい MicroStrategy ユーザーを作成する必要なく、すぐにログインできる。

権限は、Public/Guest グループと LDAP Public グループの権限に限られる。

ユーザーのログアウト後、ユーザーの個人フォルダーおよび履歴がシステムから削除される。

MicroStrategy にユーザーをインポートするオプションは、以下のセクションで詳しく説明します。

LDAP ユーザーおよびグループの MicroStrategy へのインポート
LDAP 認証での匿名/ゲストユーザーの許可

たとえば、最初はユーザーをインポートしないものの、将来のある時点でインポートしたいと考えている場合、いつでもインポート設定を変更できます。

LDAP ユーザーおよびグループの MicroStrategy へのインポート

LDAP ユーザーおよびグループのインポートは、ログイン時に行うか、バッチ処理で行うか、またはその 2 つを組み合わせて行うかを選択することができます。インポートされたユーザーは自動的に MicroStrategy の LDAP Users グループのメンバーになり、そのグループのアクセスコントロールリスト（ACL）と権限が割り当てられます。ユーザーに異なる ACL または権限を割り当てるには、ユーザーを別の MicroStrategy ユーザーグループに移動します。

LDAP ユーザーの MicroStrategy へのインポート時には、そのユーザーの LDAP グループをインポートすることもできます。ユーザーが複数のグループに属している場合は、そのユーザーのすべてのグループがインポートされ、メタデータに作成されます。インポートされた LDAP グループは、MicroStrategy の LDAP Users フォルダーおよび MicroStrategy のユーザーマネージャーで作成されます。

LDAP ユーザーと LDAP グループは、すべて、MicroStrategy LDAP Users グループ内の同じレベルに作成されます。ユーザーとその関連グループとの LDAP 関係は MicroStrategy メタデータに存在しますが、その関係は Develper には表示されません。

MicroStrategy でユーザーのグループを表示させるには、これらを適切なグループに手動で移動させる必要があります。

インポートされた LDAP ユーザーまたはグループと MicroStrategy ユーザーまたはグループとの関係は、完全修飾区別名形式の MicroStrategy メタデータ内のリンクによって維持されます。あ識別名 (DN) LDAP ディレクトリ内のエントリ (この場合はユーザーまたはグループ) の一意の識別子です。

MicroStrategy ユーザーの完全修飾区別名は、認証ユーザーに割り当てられた完全修飾区別名とは異なります。認証ユーザーの完全修飾区別名は、LDAP サーバーとの接続および LDAP ディレクトリの検索に使用される MicroStrategy アカウントの完全修飾区別名です。認証ユーザーは、LDAP サーバーにおける検索権限を持った人物で、一般的には LDAP アドミニストレーターです。

LDAP ディレクトリからユーザーを削除しても、MicroStrategy メタデータ内のユーザーには影響しません。削除された LDAP ユーザーが、同期中に MicroStrategy メタデータから自動的に削除されるわけではありません。これに対処するには、MicroStrategy でのユーザーの権限を取り消すか、ユーザーを手動で削除することができます。

ユーザーまたはグループを MicroStrategy から LDAP ディレクトリにエクスポートすることはできません。

LDAP 認証での匿名/ゲストユーザーの許可

LDAP 匿名ログインとは、ログイン名やパスワードが空の LDAP ログインのことです。LDAP 匿名ログインに成功すると、LDAP Public グループおよび Public/Guest グループの権限とアクセス権が認証されます。LDAP サーバーは、MicroStrategy からの匿名/ゲスト認証要求を許可するように構成されている必要があります。

ゲストユーザーはメタデータ内に存在しないため、MicroStrategy で実行できない操作があります。これは、関連付けられた権限と許可が明示的に割り当てられた場合でも同じです。実行できない操作には、ほとんどの管理操作が含まれます。

ユーザーが匿名/ゲストユーザーとしてログインした場合の特徴:

ユーザーは、メタデータ内に物理的に存在しないため、履歴を持ちません。
ユーザーは、オブジェクトの作成およびレポートのスケジュールを行うことができません。
ユーザー接続モニターが、LDAP ユーザーのユーザー名を記録します。
Intelligence Server 統計のユーザー名 [LDAP USER] に、セッション情報が記録されます。

LDAP ユーザーとグループ情報を自動的に同期するかどうかの決定

どのような会社のセキュリティモデルでも、変化する従業員のグループに対応するための措置を取る必要があります。新規ユーザーの追加と、会社を退職したユーザーの削除は、単純な作業です。ユーザー名やグループメンバーシップの変更は、対応がより複雑になる場合があります。このプロセスを容易にするため、MicroStrategy はユーザー名/ログインおよびグループの LDAP ディレクトリに含まれる情報との同期をサポートしています。

LDAP ユーザーおよびグループを MicroStrategy で自動的に同期させる場合、LDAP サーバーで行われた LDAP グループの変更はすべて、LDAP ユーザーが MicroStrategy に次回ログインしたときに MicroStrategy 内で適用されます。これにより、LDAP ディレクトリと MicroStrategy メタデータが常に同期されます。

LDAP サーバーと MicroStrategy 間でユーザーとグループを同期することで、MicroStrategy メタデー内のインポートされた LDAP ユーザーおよびグループを、以下の変更によって更新することができます。

ユーザー同期 : MicroStrategy のユーザー名などのユーザー詳細は、LDAP ディレクトリの最新の定義で更新されます。
グループ同期 : MicroStrategy のグループ名などのグループ詳細は、LDAP ディレクトリの最新の定義で更新されます。

MicroStrategy において LDAP ユーザーおよびグループを同期する場合には、以下の状況を考慮する必要があります。

LDAP ユーザーまたはグループに対し、MicroStrategy へのインポートまたは MicroStrategy 内のグループへの関連付けが行われていないグループの新規メンバーシップが与えられており、インポートオプションがオフになっている場合は、そのグループを MicroStrategy にインポートできないため、そのグループの権限は MicroStrategy で適用することはできません。
たとえば、User1 は LDAP ディレクトリ内の Group1 のメンバーであり、両方とも MicroStrategy にインポートされています。そこで、LDAP ディレクトリで、User1 を Group1 から削除し、Group2 へのメンバーシップを与えます。ただし、Group2 は MicroStrategy のグループにインポートもリンクもされていません。同期すると、MicroStrategy では、User1 は Group1 から削除され、Group2 のメンバーとして認識されます。ただし、Group2 が MicroStrategy グループにインポートされるかリンクされるまで、Group2 の権限はユーザーには適用されません。その間、User1 には LDAP ユーザーグループの権限とアクセス許可が与えられます。
LDAP ディレクトリからユーザーとグループを削除しても、LDAP ディレクトリからインポートされた対応する MicroStrategy ユーザーとグループは MicroStrategy メタデータに残ります。MicroStrategy におけるユーザーとグループの権限を取り消し、そのユーザーとグループを手動で削除することができます。
LDAP ディレクトリでユーザーのパスワードが変更された場合、同期設定には関係なく、ユーザーは新規パスワードを使用して MicroStrategy にログインする必要があります。LDAP パスワードは MicroStrategy メタデータには保存されません。MicroStrategy は、ユーザーが提示した認証情報を使用して LDAP ディレクトリ内のユーザーを検索し、検証します。

Sales グループに属する Joe Doe という名前のユーザーが、MicroStrategy にインポートされる場合について考えて見ましょう。彼は、後に LDAP ディレクトリにおいて Marketing グループに移動されます。LDAP ユーザー Joe Doe と LDAP グループ Sales および Marketing は、既に MicroStrategy にインポートされています。最後に、Joe Doe のユーザー名が Joseph Doe に、Marketing のグループ名が MarketingLDAP に変更されます。

下の表は、ユーザー、グループ、またはユーザーとグループの両方が同期された場合の、MicroStrategy におけるユーザーとグループの変化を示したものです。

ユーザーの同期	グループの同期	同期後のユーザー名	同期後のグループ名
×	×	Joe Doe	Marketing
×	○	Joe Doe	MarketingLDAP
○	×	Joseph Doe	Marketing
○	○	Joseph Doe	MarketingLDAP