フィードバックを送信
Connecting to a User Directory
ご覧のページは、お客様の利便性のために一部機械翻訳されています。また、ドキュメントは頻繁に更新が加えられており、翻訳は未完成の部分が含まれることをご了承ください。最新情報は都度公開されておりますため、必ず英語版をご参照ください。翻訳に問題がある場合は、 こちら までご連絡ください。

LDAPディレクトリへの接続

軽量ディレクトリアクセスプロトコル(LDAP)サーバーは、Liferay DXPで一般的に使用されるユーザーデータストアです。 LDAPの設定は、システム設定のシステムスコープ、またはインスタンス設定のインスタンススコープで行うことができます。 ユーザーはLDAPからインポートしたり、LDAPにエクスポートしたりできます。

新しいLDAPサーバー接続を追加する

インスタンスレベルで LDAP 構成設定にアクセスするには、

  1. グローバルメニューApplications Menu icon)を開き、 コントロールパネルインスタンス設定に移動します。

    LDAPの設定は、インスタンスレベルとシステムレベルの両方で利用可能です。

  2. LDAP → をクリックし、 サーバー をクリックします。

  3. をクリックして を追加し、LDAPサーバー接続を追加します。

  4. LDAPサーバーの設定値を入力してください。 詳細については、 設定リファレンス を参照してください。

この設定は、正しいデフォルト値に関する「最善の推測」を表しているため、必要な値を使用してLDAPサーバーを設定する必要があります。 デフォルトの属性マッピングは通常、ユーザーがログインしようとした際にLiferayデータベースと同期するのに十分なデータを提供します。 LDAPサーバーへの接続をテストするには、[Test LDAP Connection]ボタンをクリックします。

LDAPサーバーが複数ある場合は、上下の矢印を使用してサーバーの優先順位を設定できます。 LDAPサーバーをいくつ追加しても、各サーバーの設定オプションは同じです。

システム設定スコープの使用

または、[System Settings]メニューから、またはOSGi .configファイルを使用して、システム設定スコープでLDAPサーバー接続を定義できます。

ヒント

インスタンス設定 のLDAPサーバー設定画面には、LDAP接続の設定を支援するユーティリティがあります。 このユーティリティを使用すると、システム設定の範囲で設定を入力する前に、設定内容を検証できます。

.config ファイルを使用する最も簡単な方法は、GUI を使用して構成をエクスポートすることです。 すると、生成された .config ファイルを必要な場所(クラスタ内の他のノードなど)で使用できます。

LDAP サーバー構成に 構成 ファイルを使用するには、サーバーはシステム スコープではなくインスタンス スコープで定義されるため、エクスポートされた構成ファイルで仮想インスタンス ID (ソースでは変数名は companyId) を指定する必要があります。 これを行うには、ファイル内のどこかに仮想インスタンスIDを次のように指定します。

companyId=1234

仮想インスタンス ID は、 コントロール パネル設定仮想インスタンス で確認できます。

チェックポイント

LiferayのLDAP接続を微調整する前に、以下の手順を完了していることを確認してください。

  1. LDAP接続が有効になっています。 ニーズによっては、LDAP認証が必要となる場合があります。これにより、バインドされたユーザーのみがログインできるようになります。

  2. エクスポート/インポート:クラスター環境のユーザーの場合は、起動時に各ノードに大量のインポートが発生しないように、[Enable Import/Export on Startup]を無効にする必要があります。

  3. LDAPサーバーを追加する際、 サーバー名デフォルト値接続 の値は正しいです。 保存する前に、[Test LDAP Connection]をクリックすることをお勧めします。

SSLを使用してLDAPサーバーに接続する

ネットワーク上で認証情報を暗号化するためにLDAPディレクトリをSSLモードで実行する場合、暗号化キーと証明書を2つのシステム間で共有するための追加手順を実行する必要があります。

Windows Server 上の Microsoft Active Directory で証明書を共有するには、

  1. スタート管理ツール証明機関 をクリックします。

  2. 証明機関であるマシンを強調表示し、それを右クリックして、[Properties]をクリックします。

  3. [General ]メニューの[View Certificate]をクリックします。

  4. 詳細ビューを選択し、[Copy To File]をクリックします。 表示されるウィザードを使用して、証明書をファイルとして保存してください。

  5. 証明書を cacerts キーストア に次のようにインポートします。

    keytool -import -trustcacerts -keystore /some/path/java-8-jdk/jre/lib/security/cacerts -storepass changeit -noprompt -alias MyRootCA -file /some/path/MyRootCA.cer

    keytool ユーティリティはJava SDKの一部として同梱されています。

  6. コントロールパネルのLDAPページに戻ってください。

  7. ベースDNフィールドのLDAP URLを、プロトコルを ldaps に、ポートを 636 に変更して、セキュアバージョンに変更します。例:

    ldaps://myLdapServerHostname:636

変更を保存します。 LDAPへの通信は暗号化されました。

Liferay DXP が同期のために LDAP 内のユーザーをどのように照合するかを調整または構成するには、 インポートとエクスポートの構成 を参照してください。

Liferay はまだ SCIM の提供を強化していますが、Liferay SaaS では LDAP の代わりに SCIM を使用することをお勧めします。

技術規格および仕様

Liferay DXPは、プロトコル仕様を直接実装するのではなく、標準化されたプラットフォームAPIを利用することで、公開されている仕様や標準との整合性を優先しています。 このアプローチは、ベンダー固有の動作を最小限に抑え、多様なIT環境への予測可能な統合を可能にします。

Liferay の LDAP 統合は、 javax.naming.ldap パッケージに依存しています。これは、LDAP ディレクトリにアクセスするための標準化されたインターフェイスを提供する Java API です。 LiferayはこのAPIを使用して、LDAPディレクトリからユーザー、グループ、およびメンバーシップデータをインポートおよびエクスポートします。

javax.naming.ldap パッケージは、 LDAPv3 技術仕様 で定義されている LDAPv3 拡張操作と制御をサポートします。 LiferayはLDAPプロトコル仕様を独自に実装していません。LDAPプロトコルの動作はすべて、基盤となるJavaプラットフォームとディレクトリサーバーによって提供されます。

そのため、Liferay DXPにおけるLDAP機能の利用可能性と動作は、ディレクトリサーバーの機能と使用されているJavaランタイム環境に依存します。

Capability:
Security
Resource Type:
Official Documentation
Feature:
Identity Management and Authentication
Deployment Approach:
Liferay PaaS
Liferay SaaS
Liferay Self-Hosted