フィードバックを送信
Connecting to a User Directory
ご覧のページは、お客様の利便性のために一部機械翻訳されています。また、ドキュメントは頻繁に更新が加えられており、翻訳は未完成の部分が含まれることをご了承ください。最新情報は都度公開されておりますため、必ず英語版をご参照ください。翻訳に問題がある場合は、 こちら までご連絡ください。

LDAPディレクトリへの接続

軽量ディレクトリアクセスプロトコル(LDAP)サーバーは、Liferay DXPで一般的に使用されるユーザーデータストアです。 LDAPの設定は、システム設定のシステムスコープ、またはインスタンス設定のインスタンススコープで行ってください。 LDAPとの間でユーザーをインポートまたはエクスポートできます。

新しいLDAPサーバー接続を追加する

インスタンスレベルで LDAP 構成設定にアクセスするには、

  1. グローバルメニュー (Applications Menu icon) を開き、 コントロールパネルインスタンス設定 に移動します。

    LDAPの設定は、インスタンスレベルとシステムレベルの両方で利用可能です。

  2. LDAPサーバー をクリックします。

  3. をクリックして を追加し、LDAPサーバー接続を追加します。

  4. LDAPサーバーの設定値を入力してください。 詳細については、 設定リファレンス を参照してください。

デフォルト値はあくまで出発点に過ぎません。 LDAPサーバーの設定に基づいて、それらを更新してください。 デフォルトのマッピングは通常、ユーザーがログインした際に同期するのに十分なデータを提供します。 保存する前に、テストオプションを使用して設定を検証してください。

LDAPサーバーが複数ある場合は、上下の矢印を使って優先順位を並べ替えてください。 各サーバーは同じ設定オプションを使用します。

システム設定スコープの使用

または、システム設定メニューからシステム設定スコープでLDAPサーバー接続を定義するか、OSGi .config ファイルを使用します。

ヒント

インスタンス設定 の LDAP 設定画面には、システム設定に適用する前に設定を検証するためのテストオプションが含まれています。

.config ファイルを使用する最も簡単な方法は、UI から構成をエクスポートすることです。 そうすれば、そのファイルを複数の環境(例えば、クラスタ環境)で再利用できます。

LDAP サーバー構成に .config ファイルを使用するには、サーバーはインスタンス スコープで定義されるため、エクスポートされたファイルで仮想インスタンス ID (companyId) を指定してください。 例えば、 companyId=1234

コントロール パネル設定仮想インスタンス で仮想インスタンス ID を見つけます。

チェックポイント

LDAPを設定する前に、以下の点を確認してください。

  1. LDAPが有効になっています。 必要に応じて、ユーザーはLDAP経由で認証を行いログインする必要があります。

  2. クラスタ環境では、起動時に各ノードで繰り返し大量インポートが行われるのを避けるため、 起動時のインポート/エクスポートを有効にする を無効にします。

  3. サーバー構成値(サーバー名デフォルト値、および 接続)を確認します。 保存する前に、テストオプション(LDAP接続のテスト、LDAPユーザーのテスト、LDAPグループのテスト)を使用して設定を検証してください。

SSLを使用してLDAPサーバーに接続する

LDAPディレクトリがSSLモードで動作し、ネットワーク上で認証情報を暗号化する場合は、システム間で暗号化キーと証明書を共有するための追加手順を実行してください。

Windows Server 上で Microsoft Active Directory の証明書を共有するには、

  1. スタート管理ツール証明機関 をクリックします。

  2. 証明機関マシンを選択し、右クリックして、 プロパティ をクリックします。

  3. [General ]メニューの[View Certificate]をクリックします。

  4. 詳細 ビューを開き、 ファイルにコピー をクリックします。 ウィザードを使用して証明書をエクスポートしてください。

  5. 証明書を cacerts キーストア にインポートします。

    keytool -import -trustcacerts -keystore /some/path/java-8-jdk/jre/lib/security/cacerts -storepass changeit -noprompt -alias MyRootCA -file /some/path/MyRootCA.cer

    keytool ユーティリティはJava SDKの一部として同梱されています。

  6. コントロールパネルのLDAP設定ページに戻ってください。

  7. ベースDNフィールドのLDAP URLを、プロトコルを ldaps に、ポートを 636に変更して、セキュアバージョンに変更します。

    ldaps://myLdapServerHostname:636

変更を保存します。 LDAPサーバーとの通信は暗号化されました。

Liferay が同期中にユーザーをどのように照合するかを設定するには、 インポートとエクスポートの設定 を参照してください。

Liferay SaaSでは、LDAPの代わりにSCIMを使用してください。 SCIMは、クラウドベースのユーザープロビジョニングにおいて推奨される手法です。

技術規格および仕様

Liferay DXPは、プロトコル仕様を直接実装するのではなく、標準化されたプラットフォームAPIを利用することで、公開されている仕様や標準との整合性を優先しています。 このアプローチは、ベンダー固有の動作を最小限に抑え、多様なIT環境への予測可能な統合を可能にします。

Liferay の LDAP 統合は、 javax.naming.ldap パッケージに依存しています。これは、LDAP ディレクトリにアクセスするための標準化されたインターフェイスを提供する Java API です。 LiferayはこのAPIを使用して、LDAPディレクトリからユーザー、グループ、およびメンバーシップデータをインポートおよびエクスポートします。

javax.naming.ldap パッケージは、 LDAPv3 技術仕様 で定義されている LDAPv3 拡張操作と制御をサポートします。 LiferayはLDAPプロトコル仕様を独自に実装していません。LDAPプロトコルの動作はすべて、基盤となるJavaプラットフォームとディレクトリサーバーによって提供されます。

そのため、Liferay DXPにおけるLDAP機能の利用可能性と動作は、ディレクトリサーバーの機能と使用されているJavaランタイム環境に依存します。

Capability:
Security
Resource Type:
Official Documentation
Feature:
Identity Management and Authentication
Deployment Approach:
Liferay PaaS
Liferay SaaS
Liferay Self-Hosted