LDAP サーバーを接続する際の考慮事項

組織の要件に従い、以下の項目について判断し、情報を収集することが推奨されます。

LDAP サーバーで接続プールを使用するかどうかを決定します。接続プールにより、開いている LDAP サーバーへの接続を後の操作で再利用することができます。LDAP サーバーへの接続において処理中の操作がない場合でも、その接続は開いたままになります（プールとも呼ばれます）。接続プールを設定することにより、各操作で LDAP サーバーへの接続を開いたり閉じたりするための処理時間がかからなくなるため、パフォーマンスを改善することができます。
接続プールの背景情報は、接続を使用するかどうかの決定プールを参照してください。
データベースパススルー実行を使用するかどうかを決定します。IN Strategy、データベースへの接続、データベースに対するジョブの実行には、ユーザー名とパスワードの組み合わせが頻繁に使用されます。ただし、ログインに使用するユーザーの LDAP ユーザー名とパスワードをデータベースに渡すこともできますStrategy。その場合、データベースへのアクセスとジョブの実行が、LDAP ユーザー名とパスワードを使用して行われます。これにより、にログインした各ユーザーがStrategy他のユーザーとは異なる権限を設定できます。
データベースのパススルー実行に関する詳細は、データベースを有効化するかどうかを決定中 LDAP によるパススルー実行を参照してください。

LDAP ユーザーとグループの情報をStrategyメタデータ。A Strategyグループは、LDAP グループごとに作成されます。
表示 LDAP ユーザーをにインポートするかどうかの決定Strategy LDAP ユーザーとグループの情報をインポートする利点と考慮事項については、Strategy。
ユーザーおよびグループ情報を LDAP サーバーと自動的に同期するかどうかを決定します。これにより、インポートしたユーザーのグループメンバーシップに変更があった場合でもStrategy、または既存のにリンクされているユーザーStrategy LDAP ディレクトリの変更はStrategy毎週のスケジュールで管理されます
ユーザーおよびグループ情報を同期させる利点と考慮事項は、 LDAP ユーザー情報とグループ情報を自動的に同期するかどうかの決定を参照してください。

LDAP ユーザーとグループの情報をStrategyメタデータ、以下を決定します:
- LDAP ユーザーとグループの情報をStrategyログイン時のメタデータ、およびユーザーがログインするたびに情報を同期するかどうかを確認できます
- LDAP ユーザーとグループの情報をStrategyスケジュールに従って情報を同期するかどうかを確認するかどうかを設定します
- LDAP のユーザーとグループの情報を一括してインポートする場合は、ユーザーとグループをインポートするための検索フィルターを提供する必要があります。たとえば、LDAP ディレクトリに 1,000 人のユーザーがいる場合は、この中から 150 人をStrategy、150 人のユーザーをStrategyメタデータ。検索フィルターの定義については、ログイン時にユーザーとグループを確認およびインポートするための LDAP 検索フィルターを定義を参照してください。
- LDAP 組織構造がグループに含まれるグループを含む場合、ユーザーまたはグループをインポートする際に再帰グループ数を決定Strategy。

2 つのネストしたグループをインポートする場合Strategy LDAP グループをインポートし、各ユーザーに関連するグループが、ユーザーの 2 つ上のレベルまでインポートされます。この場合は、ユーザー 1 については、"Domestic" および "Marketing" グループがインポートされます。ユーザー 3 については、"Developers" および "Employees" グループがインポートされます。

Windows 認証や統合認証などのシングルサインオン (SSO) 認証システムを使用している場合、シングルサインオンシステムのユーザーの LDAP ユーザー情報およびグループ情報をインポートするかどうかを決定します。
以下の追加情報をインポートするかどうかを決定します。
- ユーザーのメールアドレス。のライセンスをお持ちの場合Strategy Distribution Services により、LDAP ユーザーをインポートするときに、これらのメールアドレスを、そのユーザーに関連する連絡先としてインポートできます。
- サードパーティユーザーの信頼認証済要求ユーザー ID。サードパーティユーザーがログインすると、この信頼認証済要求ユーザー ID はリンクされているStrategyユーザー。
- インポートする追加 LDAP アトリビュート。たとえば、LDAP ディレクトリには、 accountExpires。これには、ユーザーのアカウントの有効期限に関する情報が含まれています。LDAP ディレクトリのアトリビュートは、使用する LDAP サーバーと LDAP の構成によって決まります。
  インポートした LDAP のアトリビュートに基づいて、セキュリティフィルターを作成できます。例えば、LDAP アトリビュートをインポートすると countryName、その LDAP アトリビュートに基づいたセキュリティフィルターを作成し、すべての LDAP ユーザーにそのセキュリティフィルターを割り当てます。これで、ブラジルのユーザーが国別に売上を分類したレポートを表示すると、ブラジルの売上のみが表示されるようになります。

上記の情報を収集したら、Workstation に移動し、LDAP 接続を設定します。

LDAP SDK 接続を設定

LDAP サーバーから見て、Intelligence Server はクリアテキストまたは暗号化された SSL を使用し、以下を介してLDAP サーバーに接続する LDAP クライアントです。 LDAP SDK

LDAP SDK は、データソースや認証ソースに接続する接続ファイルライブラリ (DLL) セットですStrategyは、LDAP サーバーとの通信に使用されます。最新の認定およびサポート対象の LDAP SDK ファイルについては、README を参照してください。

Intelligence Server は、使用している LDAP SDK のバージョンが以下をサポートしていることを要件とします。

LDAP v. 3
SSL 接続
Linux プラットフォームの 64 ビットアーキテクチャ
LDAP が Intelligence Server とうまく連携するには、64 ビット LDAP ライブラリを使用する必要があります。

Intelligence Server と LDAP SDK 間の動作は、使用する LDAP SDK によって若干異なります。README では、これらの動作の概要を提供しています。
LDAP SDK と LDAP サーバー間の動作は、どの LDAP SDK でも同じです。

Strategy LDAP SDK ベンダーは、Intelligence Server が動作しているオペレーティングシステムベンダーと一致することを推奨します。具体的な推奨事項は、README、認定済みでサポートされている最新の LDAP SDK を含みます。Strategyバージョン固有の詳細を含む技術ノート、およびSDKのダウンロードの場所情報。

LDAP SDK DIL をインストールするためのハイレベルステップ

Intelligence Server がインストールされているコンピューターに LDAP SDK DLL をダウンロードします。
LDAP SDK をインストールします。
LDAP SDK ファイルの場所を次のように登録します。
- Windows 環境:LDAP SDK ライブラリのパスをシステム環境変数として追加し、Intelligence Server がそれらを検出できるようにします。
- Linux 環境:変更: LDAP.sh ファイルの場所: env のフォルダーStrategy One LDAP SDK ライブラリの場所を示すためにインストールされます詳細な手順は、下記の LDAP SDK パスを UNIX の環境変数に追加するにはで説明します。
Intelligence Server を再起動します。

LDAP SDK パスを UNIX の環境変数に追加するには

この手順 LDAP SDK がインストール済みであることを前提としています。LDAP SDK をインストールするおおまかな手順は、 LDAP SDK DIL をインストールするためのハイレベルステップを参照してください。

Linux コンソールウィンドウから、HOME_PATH をブラウズします。HOME_PATH は、インストール時にホームディレクトリとして指定したディレクトリです。フォルダー / を参照env 有効です
追加 Write に対する権限 LDAP.sh ファイルを開く chmod u+w LDAP.sh 押した状態で Enter。
を開く LDAP.sh ファイルをテキストエディターで編集し、ライブラリパスを MSTR_LDAP_LIBRARY_PATH 環境変数。次にその例を示します。 MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library'
すべてのライブラリを同じパスに保管することを推奨します。複数のパスがある場合は、すべてのパスを MSTR_LDAP_LIBRARY_PATH コロン (:) で区切ります次にその例を示します。 MSTR_LDAP_LIBRARY_PATH='/path/LDAP/library:/path/LDAP/library2'
から書き込み権限を削除 LDAP.sh ファイルを開く chmod a-w LDAP.sh 押した状態で Enter。
Intelligence Server を再起動して、変更を有効にします。

ログイン時にユーザーとグループを確認およびインポートするための LDAP 検索フィルターを定義

Intelligence Server で LDAP ディレクトリ内のユーザー情報を効率的に検索するには、特定のパラメーターをいくつか設定する必要があります。

ユーザーがにログインしようとしたときStrategy Intelligence Server は、LDAP ディレクトリでユーザーの識別名を検索することでユーザーを認証します。これは、LDAP ディレクトリ構造内でユーザーを識別する独自の方法です。

効率的に検索するには、Intelligence Server が検索開始位置を認識している必要があります。LDAP 認証の設定時に、検索ルートの識別名を指定して、Intelligence Server がすべてのユーザーとグループの検索を開始するディレクトリ位置を設定することを推奨します。検索ルートが設定されていない場合、Intelligence Server は LDAP ディレクトリ全体を検索します。

さらに、検索するユーザーやグループを絞り込む検索フィルターを指定できます。

以下のセクションでは、構成可能な検索設定について説明します。

LDAP 検索を開始する最高レベル:検索ルートには、これらパラメーターの例、および各パラメーターの追加詳細と LDAP サーバー固有の注意点が記載されています。
ユーザーを検索:ユーザー検索フィルターでは、LDAP ユーザー検索フィルターの概要について説明しています。
グループを検索:グループ検索フィルターでは、LDAP グループ検索フィルターの概要について説明しています。

LDAP 検索を開始する最高レベル:検索ルート

次の図と表では、社内および LDAP ディレクトリ内のユーザー構成に基づいて、可能な検索ルートの例をいくつか示しています。

以下の表は、上記の図に基づくもので、インポートされるユーザーの一般的な検索シナリオをまとめたものですStrategy。検索ルートは、以下で定義するルートですStrategy LDAP ディレクトリについてです

シナリオ	検索ルート
Operations に属するすべてのユーザーとグループを含める。	Operations
Operations、Consultants、および Sales に属するすべてのユーザーとグループを含める。	Sales
Operations、Consultants、および Technology に属するすべてのユーザーとグループを含める。	Departments（[ユーザー/グループ] 検索フィルターの除外条件で Marketing および Administration に属するユーザーを除外）
Technology および Operations に属するすべてのユーザーとグループを含め、Consultants に属するユーザーとグループを除く。	Departments（[ユーザー/グループ] 検索フィルターの除外条件で Consultants に属するユーザーを除外）

一部の LDAP ベンダーの場合、検索ルートを LDAP ツリーのルートにすることはできません。たとえば、Microsoft Active Directory および Sun ONE の場合はいずれも、ドメインコントローラー RDN（dc）から検索を開始する必要があります。

ユーザーを検索:ユーザー検索フィルター

ユーザー検索フィルターで許可されたのはStrategyログイン時にユーザーを認証またはインポートするために、LDAP ディレクトリを効率的に検索できます。

Intelligence Server により LDAP ディレクトリでユーザーが見つかると、検索結果としてユーザーの完全修飾区別名が返され、ユーザーログイン時に入力されたパスワードが LDAP ディレクトリと照合されます。Intelligence Server では、認証ユーザーを使用して LDAP ディレクトリにアクセスし、その中で検索し、そこから情報を取得します。

また、Intelligence Server では、ユーザーの完全修飾区別名を使用して、ユーザーがメンバーである LDAP グループを検索します。ユーザー検索フィルターのパラメーターとは別に、グループ検索フィルターのパラメーターを入力する必要があります (グループを検索:グループ検索フィルターを参照)。

ユーザー検索フィルターは通常、 (&(objectclass=LDAP_USER_OBJECT_CLASS)(LDAP_LOGIN_ATTR=#LDAP_LOGIN#)) 各要素の意味は次のとおりです。

LDAP_USER_OBJECT_CLASS LDAP ユーザーのオブジェクトクラスを示します。たとえば、 (&(objectclass=person)(cn=#LDAP_LOGIN#))。
LDAP_LOGIN_ATTR LDAP ログインの保存に使用する LDAP アトリビュートを示します。たとえば、 (&(objectclass=人)(cn=#LDAP_LOGIN#))。
#LDAP_LOGIN# LDAP ユーザーログインを表すために、このフィルターでを使用できます。

LDAP サーバーベンダーおよび LDAP ツリー構造によっては、上述の検索フィルター構文内に別の属性が必要な場合もあります。次に例を示します。 (&(objectclass=person) (uniqueID=#LDAP_LOGIN#))、ここで uniqueID 会社が認証に使用する LDAP アトリビュート名です

グループを検索:グループ検索フィルター

グループ検索フィルターで許可されたのはStrategy LDAP を効率的に検索ディレクトリにアクセスできますこれらのフィルターは、サーバー構成エディターの [LDAP] カテゴリで構成することができます。

グループ検索フィルターの形式は、一般的には以下のいずれかになります（形式を分割するパイプ | 記号を使用して以下の形式を組み合わせることも可能）。

(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_LOGIN_ATTR=#LDAP_LOGIN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (LDAP_MEMBER_DN_ATTR=#LDAP_DN#))
(&(objectclass=LDAP_GROUP_OBJECT_CLASS) (gidNumber=#LDAP_GIDNUMBER#))

上述のグループ検索フィルター形式のプレースホルダーは以下のとおりです。

LDAP_GROUP_OBJECT_CLASS LDAP グループのオブジェクトクラスを示します。たとえば、 (&(objectclass=groupOfNames)(member=#LDAP_DN#))。
LDAP_MEMBER_[LOGIN or DN]_ATTR LDAP ユーザーの LDAP ログイン/DN の保存に、LDAP グループのどの LDAP アトリビュートが使用されるかを示します。たとえば、 (&(objectclass=groupOfNames)(member=#LDAP_DN#))。
#LDAP_DN# は、LDAP ユーザーの識別名を表すためにこのフィルターで使用できます。
#LDAP_LOGIN# は、LDAP ユーザーのログインを表すためにこのフィルターで使用できます。
#LDAP_GIDNUMBER# は、このフィルターで UNIX または Linux のグループ ID 番号を表すために使用できます。これは、LDAP アトリビュートに対応します gidNumber。

追加基準を加えることにより、明確な検索パターンを実装することができます。たとえば、20 個のユーザーグループがあり、この中でアクセスして作業するのは 5 グループだけですStrategy。それらの 5 グループだけをインポートする基準をグループ検索フィルターに追加できます。

接続を使用するかどうかの決定プール

接続プールにより、開いている LDAP サーバーへの接続を後の操作で再利用することができます。LDAP サーバーへの接続において処理中の操作がない場合でも、その接続は開いたままになります（プールとも呼ばれます）。接続プールを設定することにより、各操作で LDAP サーバーへの接続を開いたり閉じたりするための処理時間がかからなくなるため、パフォーマンスを改善することができます。

接続プールを使用しない場合、LDAP サーバーへの接続は各要求の後に閉じられます。LDAP サーバーへ要求が送信される頻度が低い場合、ネットワークリソースの使用量を削減することができます。

クラスター化された LDAP サーバーを使用した接続プール

LDAP サーバーのクラスターとして連携して機能する複数の LDAP サーバーを使用する場合があります。

接続プールが無効になっている場合、LDAP 接続を開く要求が出されると、要求の時点で最も負荷が少ない LDAP サーバーへのアクセスが行われます。LDAP ディレクトリに対する操作が完了したら、接続プールが行われない環境では LDAP サーバーへの接続が閉じられます。LDAP 接続を開く次の要求が出されると、最も負荷が少ない LDAP サーバーが再度特定され、選択されます。

クラスター化された LDAP 環境で接続プールを有効化している場合、動作は変化します。LDAP 接続を開く最初の要求が出されたときに、要求の時点で最も負荷が少ない LDAP サーバーへのアクセスが行われます。ただし、接続プールが有効化されているため、LDAP サーバーへの接続は開いたままになります。したがって、LDAP を開く次の要求が出された時点で最も負荷の少ない LDAP サーバーが特定されるのではなく、現在開いている接続が再利用されます。

データベースを有効化するかどうかを決定中 LDAP によるパススルー実行

IN Strategy、データベースへの接続、データベースに対するジョブの実行には、ユーザー名とパスワードの組み合わせが頻繁に使用されます。ただし、ログインに使用するユーザーの LDAP ユーザー名とパスワードを渡すこともできますStrategyデータベースに移行することができますその場合、データベースへのアクセスとジョブの実行が、LDAP ユーザー名とパスワードを使用して行われます。これにより、にログインした各ユーザーがStrategy他のユーザーとは異なる権限を設定できます。

データベースパススルー実行は、各ユーザーに対して個別に選択されます。のセッション中にユーザーのパスワードを変更した場合Strategyデータベースパススルー実行を使用する場合、スケジュールしたタスクの実行に失敗する可能性があります。

次のシナリオについて検討します。

ユーザーログイン UserA とパスワード PassA のユーザーがにログインします。Strategy午前 9 時に新しいレポートを作成します。このユーザーは、レポートをその日の 3:00 P.M. に実行されるようスケジュールします。レポートキャッシュがないため、レポートはデータベースに対して実行されます。正午に、アドミニストレーターが UserA のパスワードを PassB に変更します。UserA がにログインしないStrategy、および午後 3 時に、スケジュールされたレポートが、データベースに渡される資格情報 UserA および PassA で実行されます。これらの認証情報は無効になっているため、スケジュールされたレポートの実行は失敗します。

このような問題を防ぐため、スケジュールされたレポートをユーザーが実行する可能性が低い時間にパスワード変更をスケジュールします。データベースパススルー実行を使用するユーザーがスケジュールされたレポートを定期的に実行する場合は、パスワードが変更されたときにすべてのレポートのスケジュールを変更するようそのユーザーに伝えます。

LDAP ユーザーをにインポートするかどうかの決定Strategy

LDAP ユーザーおよびグループをStrategy LDAP ユーザーとグループをStrategy LDAP ディレクトリと LDAP 内のユーザーとグループの間にリンクを作成できますStrategy。ユーザーをインポートすると、以下に新しいユーザーが作成されますStrategy LDAP ディレクトリ内の既存ユーザーをベースとしています。ユーザーにリンクすると、LDAP ユーザーの情報がStrategy。LDAP ユーザーがへのログインを許可することもできますStrategyアナリティクス環境を実現し、Strategyユーザー。それぞれの方法の利点および考慮事項は、下の表に記載されてます。

接続タイプ	利点	考慮すべき事項
LDAP ユーザーおよびグループのインポート	ユーザーとグループがメタデータ内に作成される。ユーザーとグループは、以下の中で追加の権限や権限を割り当てることができます。Strategy。ユーザーは、以下の場所に独自の受信ボックスと個人用フォルダーを持っていますStrategy。	多数の LDAP ユーザーがいる環境では、インポートすることにより、LDAP ユーザーとその関連情報でメタデータのデータ量が急激に増加する場合がある。ユーザーやグループは、最初にインポートされた時点で、正しい権限や権限を持っていない場合があります。Strategy。
匿名またはゲストユーザーの許可	ユーザーは、新しいアプリケーションサービスを作成しなくても、すぐにログインできますStrategyユーザー。	権限は、Public/Guest グループと LDAP Public グループの権限に限られる。ユーザーのログアウト後、ユーザーの個人フォルダーおよび履歴がシステムから削除される。

接続タイプ

利点

考慮すべき事項

LDAP ユーザーおよびグループのインポート

ユーザーとグループがメタデータ内に作成される。

ユーザーとグループは、以下の中で追加の権限や権限を割り当てることができます。Strategy。

ユーザーは、以下の場所に独自の受信ボックスと個人用フォルダーを持っていますStrategy。

多数の LDAP ユーザーがいる環境では、インポートすることにより、LDAP ユーザーとその関連情報でメタデータのデータ量が急激に増加する場合がある。

ユーザーやグループは、最初にインポートされた時点で、正しい権限や権限を持っていない場合があります。Strategy。

匿名またはゲストユーザーの許可

ユーザーは、新しいアプリケーションサービスを作成しなくても、すぐにログインできますStrategyユーザー。

権限は、Public/Guest グループと LDAP Public グループの権限に限られる。

ユーザーのログアウト後、ユーザーの個人フォルダーおよび履歴がシステムから削除される。

にユーザーをインポートするためのオプションStrategyについては、次のセクションで詳細に説明します：

LDAP ユーザーとグループをStrategy
LDAP 認証で匿名/ゲストユーザーを許可

たとえば、最初はユーザーをインポートしないものの、将来のある時点でインポートしたいと考えている場合、いつでもインポート設定を変更できます。

LDAP ユーザーとグループをStrategy

LDAP ユーザーおよびグループのインポートは、ログイン時に行うか、バッチ処理で行うか、またはその 2 つを組み合わせて行うかを選択することができます。インポートされたユーザーは、自動的にのメンバーとなりますStrategyの LDAP ユーザーグループに属し、そのグループのアクセスコントロールリスト (ACL) と権限が割り当てられています。異なる ACL または権限をユーザーに割り当てる場合、ユーザーを別のアプリケーションに移動しますStrategyユーザーグループ。

LDAP ユーザーがにインポートされたときStrategy、そのユーザーの LDAP グループをインポートすることもできますユーザーが複数のグループに属している場合は、そのユーザーのすべてのグループがインポートされ、メタデータに作成されます。インポートされた LDAP グループは以下の中で作成されますStrategyの LDAP ユーザーフォルダーにありますStrategyのユーザーマネージャーです

LDAP ユーザーと LDAP グループはすべてStrategy LDAP ユーザーは同じレベルのグループです。ユーザーと関連するグループ間の LDAP 関係はStrategy Developer では関係が視覚的に表示されません。

ユーザーのグループをStrategy手動で適切なグループに移動する必要があります。

インポートされた LDAP ユーザーまたはグループとStrategyユーザーまたはグループは、Strategy識別名の形式になっているメタデータです完全修飾区別名（DN）は、LDAP ディレクトリにおけるエントリ（この場合はユーザーまたはグループ）の一意の識別子です。

選択: Strategyユーザーの識別名が、認証ユーザーに割り当てられた DN とは異なります。認証ユーザーの DN は、Strategy LDAP サーバーへの接続と LDAP ディレクトリの検索に使用するアカウントです認証ユーザーは、LDAP サーバーにおける検索権限を持った人物で、一般的には LDAP アドミニストレーターです。

LDAP ディレクトリからユーザーを削除しても、ディレクトリ内のユーザーの存在は影響を受けません。Strategyメタデータ。削除された LDAP ユーザーは、から自動的に削除されません。Strategy同期中のメタデータです。でユーザーの権限を無効にできますStrategy、またはユーザーを手動で削除します。

からユーザーやグループをエクスポートできませんStrategy LDAP ディレクトリに移行します

LDAP 認証で匿名/ゲストユーザーを許可

LDAP 匿名ログインとは、ログイン名やパスワードが空の LDAP ログインのことです。LDAP 匿名ログインに成功すると、LDAP Public グループおよび Public/Guest グループの権限とアクセス権が認証されます。LDAP サーバーは、以下からの匿名またはゲスト認証要求を許可するように構成されている必要があります。Strategy。

ゲストユーザーがメタデータに存在しないため、これらのユーザーがメタデータに実行できない特定の操作があります。Strategy、関連する権限や許可が明示的に割り当てられている場合でも見せてくれます実行できない操作には、ほとんどの管理操作が含まれます。

ユーザーが匿名/ゲストユーザーとしてログインした場合の特徴:

ユーザーは、メタデータ内に物理的に存在しないため、履歴を持ちません。
ユーザーは、オブジェクトの作成およびレポートのスケジュールを行うことができません。
ユーザー接続モニターが、LDAP ユーザーのユーザー名を記録します。
Intelligence Server 統計のユーザー名 [LDAP USER] に、セッション情報が記録されます。

LDAP ユーザー情報とグループ情報を自動的に同期するかどうかの決定

どのような会社のセキュリティモデルでも、変化する従業員のグループに対応するための措置を取る必要があります。新規ユーザーの追加と、会社を退職したユーザーの削除は、単純な作業です。ユーザー名やグループメンバーシップの変更は、対応がより複雑になる場合があります。このプロセスを簡略化するため、Strategyは、LDAP ディレクトリに含まれる情報とのユーザー名/ログインおよびグループの同期をサポートします。

選択した場合Strategy LDAP ユーザーとグループを自動的に同期するため、LDAP サーバー内で発生した LDAP グループの変更がStrategy次回、LDAP ユーザーがにログインした時刻Strategy。これにより、LDAP ディレクトリとStrategyメタデータを同期中です。

LDAP サーバーと LDAP 間でユーザーとグループを同期することでStrategy、以下でインポートされた LDAP ユーザーとグループを更新できます。Strategyメタデータに以下の変更を加えました:

ユーザー同期:ユーザーの詳細 (ユーザー名など) Strategyは、LDAP ディレクトリの最新の定義で更新されます。
グループ同期:のグループ名などのグループの詳細Strategyは、LDAP ディレクトリの最新の定義で更新されます。

LDAP ユーザーとグループを同期する場合Strategy、次の状況を認識する必要があります。

LDAP ユーザーまたはグループが、インポートされていない、またはグループにリンクされていないグループの新しいメンバーシップを付与された場合Strategyおよびインポートオプションが無効になっている場合、グループをにインポートできません。Strategyそのため、以下の中の権限を適用できません。Strategy。
たとえば、ユーザー 1 は LDAP ディレクトリ内のグループ 1 のメンバーであり、両方とも LDAP ディレクトリにインポートされています。Strategy。そこで、LDAP ディレクトリで、User1 を Group1 から削除し、Group2 へのメンバーシップを与えます。ただし、Group2 はインポートにもリンクしていません。Strategyグループ。同期時、内Strategy , ユーザー 1 はグループ 1 から削除され、グループ 2 のメンバーとして認識されます。ただし、グループ 2 がインポートされるかリンクされるまで、グループ 2 の権限はユーザーに適用されません。Strategyグループ。当面は、User1 には LDAP Users グループの権限が与えられます。
ユーザーとグループが LDAP ディレクトリから削除されると、対応するStrategy LDAP ディレクトリからインポートされたユーザーとグループは、Strategyメタデータ。でユーザーとグループの権限を無効にできますStrategy手動でユーザーとグループを削除できます
同期の設定に関係なく、ユーザーのパスワードが LDAP ディレクトリで変更された場合、ユーザーはにログインする必要があります。Strategy一括して新しいパスワードを適用しますLDAP パスワードはStrategyメタデータ。Strategyユーザーが提供した資格情報を使用して、LDAP ディレクトリ内のユーザーを検索および検証します。

インポート時に、特定のグループ Sales に属するJoe Doe というユーザーを考慮Strategy。彼は、後に LDAP ディレクトリにおいて Marketing グループに移動されます。LDAP ユーザー Join Doe と LDAP グループ Sales および Marketing がインポートされましたStrategy。最後に、Joe Doe のユーザー名が Joseph Doe に、Marketing のグループ名が MarketingLDAP に変更されます。

次の表は、内のユーザーとグループに何が起こるかをまとめたものですStrategy同期する場合、またはユーザーとグループの両方を同期する必要があります。

ユーザーの同期	グループの同期	同期後のユーザー名	同期後のグループ名
×	×	Joe Doe	Marketing
×	○	Joe Doe	MarketingLDAP
○	×	Joseph Doe	Marketing
○	○	Joseph Doe	MarketingLDAP