ユーザーのインポートとエクスポートを設定する
インポート/エクスポート設定は、LDAPとLiferay間のマッピングを設定し、2つのシステム間でユーザーをマッチングさせます。
LDAPディレクトリのユーザーを検索する
Authentication Search Filter(認証検索フィルター): この検索フィルターボックスを使用して、ユーザーログインの検索条件を決定します。 デフォルトでは、Liferayはユーザーのメールアドレスをログイン名に使用します。 ここでの値は、使用する 認証タイプ を使用する必要があります。 例えば、Liferayの認証方法をメールアドレスの代わりにスクリーンネームを使うように変更した場合、入力されたログイン名とマッチングできるように検索フィルタを修正することになります:
(cn=@screen_name@)
インポート検索フィルター: LDAPスキーマによって、ユーザーを識別する方法は異なります。 通常は初期設定で問題ありません:
(objectClass=inetOrgPerson)
ユーザーのサブセットのみを検索したい場合や、LDAPオブジェクトクラスが異なるユーザーを検索したい場合は、これを変更することができます。
LDAPユーザー属性とLiferayフィールドのマッピング
次に、LDAPの属性からLiferayのフィールドへのマッピングを定義することができます。 LDAPユーザー属性はLDAPサーバーによって異なる場合がありますが、Liferayがユーザーを認識するためにマッピングする必要があるフィールドは5つあります:
- スクリーンネーム(例:
uid
またはcn
) - パスワード(例:
userPassword
) - メールアドレス(例:
メール
またはメール
) - ファーストネーム(例)
名前
またはgivenName
) - 姓(例:
sn
)
メールアドレスを持たないユーザーを作成またはインポートする場合は、portal-ext.properties
で users.email.address.required=false
を設定する必要があります。 この設定をすると、LiferayはユーザーIDに加えて、プロパティusers.email.address.auto.suffix=
で定義されたサフィックスを組み合わせたメールアドレスを自動生成します。 最後に、LiferayとLDAPの認証をメールアドレス以外に設定することを確認してください。
LDAPグループをLiferayのユーザーグループとしてインポートしたい場合は、メンバーシップ情報が保持されるように、Liferayのグループフィールドのマッピングを定義するようにしてください:
- グループ(例: メンバー)
その他のLDAPユーザーマッピングのフィールドはオプションです。
コントロールパネルは、一般的に使用されるLDAP属性のデフォルトマッピングを提供します。 また、独自のマッピングを追加することも可能です。
Test LDAP Users: 属性マッピングを設定した後(上記を参照)、 [Test LDAP Users] ボタンをクリックすると、LiferayはLDAPユーザーをプルし、プレビューとしてマッピングと照合します。
LDAPグループとLiferayユーザーグループのマッピング
LDAP のグループを Liferay のユーザーグループにマッピングするための設定項目です。
インポート検索フィルターです: LDAPグループをLiferayのユーザーグループにマッピングするためのフィルターです。 例:
(objectClass=groupOfNames)
このマッピングで取得したいLDAPグループ属性を入力します。 マッピングできる属性は以下の通りです。 [Group Name] および [User] フィールドは必須です。 [Description] はオプションです。
- グループ名(例:
cn
またはo
) - 説明(例:
説明
) - ユーザー(例:
メンバー
)
Test LDAP Groups:[Test LDAP Groups] ボタンをクリックすると、検索フィルターによって返されたグループのリストが表示されます。
エクスポート
Liferay のユーザーデータを LDAP にエクスポートするための設定を記載します。
Users DN: LDAPツリーの中で、ユーザーが保存されている場所を入力します。 Liferay はユーザーをこの場所にエクスポートします。
ユーザーのデフォルト・オブジェクト・クラス: ユーザーは、リストされたデフォルトのオブジェクトクラスでエクスポートされます。 デフォルトのオブジェクト・クラスを確認するには、Apache Directory StudioなどのLDAPブラウザ・ツールを使用してユーザーを探し、そのユーザーのLDAPに保存されているオブジェクト・クラス属性を表示します。
Groups DN: LDAPツリーの中で、グループが保存されている場所を入力します。 Liferayがエクスポートを行う際、グループはこの場所にエクスポートされます。
グループのデフォルト・オブジェクト・クラス: グループをエクスポートすると、リストされたデフォルトのオブジェクトクラスでグループが作成されます。 デフォルトのオブジェクト・クラスを調べるには、 Apache Directory Studio などの LDAP ブラウザ・ツールを使用してグループを探し、そのグループの LDAP に保存されているオブジェクト・クラス属性を表示します。
すべてのオプションを設定して接続をテストしたら、 [保存] をクリックします。
ユーザーがLiferayでパスワードのような値を変更した場合、Liferayがその変更を行うのに十分なスキーマアクセスを持っていれば、その変更はLDAPサーバーに渡されます。
LDAPサーバーをLiferayに接続する方法と、ユーザーのインポート動作、エクスポート動作、その他のLDAP設定の方法はお分かりいただけたと思います。 その他にも設定可能なオプションがあります。 Configuring LDAP では、それらについて説明しています。