2. アクセス権限を設定する

LDAP クライアントを追加したら、クライアントのアクセス権限を設定する必要があります。LDAP クライアントを追加すると自動的に表示される [アクセス権限] ページには、次の 3 つの項目があります。

• ユーザー認証情報を確認するための LDAP クライアントのアクセスレベルを指定する - ユーザーがアプリケーションにログインする際に、ユーザーの認証情報を確認するために LDAP クライアントがアクセスできる組織部門を指定します。選択した組織部門に所属していないユーザーは、アプリケーションにログインできません。
• ユーザー情報を読み取るための LDAP クライアントのアクセスレベルを指定する - LDAP クライアントが追加のユーザー情報を取得するためにアクセスできる組織部門とグループを指定します。
• LDAP クライアントがグループ情報を読み取れるかどうかを指定する - LDAP クライアントがグループ情報を読み取って、アプリケーション内のユーザーのロールなど、ユーザーのグループ メンバーシップを確認できるかどうかを指定します。

後から、[アクセス権限] ページに戻って設定を変更することもできます。詳細と手順については、下記をご覧ください。

重要: Atlassian Jira や SSSD などの特定の LDAP クライアントは、ユーザー認証中にユーザーに関する情報を取得するためにユーザーの検索を実行します。このような LDAP クライアントでユーザー認証を正しく機能させるには、[ユーザー認証情報の確認] が有効になっているすべての組織部門で [ユーザー情報の読み取り] を有効にする必要があります。

ユーザー認証情報を確認するための LDAP クライアントのアクセスレベルを指定する

LDAP クライアントが Cloud Directory に対してユーザーを認証する必要がある場合は、この設定を使用します。

[ユーザー認証情報の確認] 設定では、ユーザーがアプリケーションにログインしようとした際に LDAP クライアントがユーザー認証情報を確認するためにアクセスできる、選択された組織部門とグループ内のユーザー アカウントを指定します。選択された組織部門またはグループに属していないユーザー（または [グループを除外] カテゴリのユーザー）は、アプリケーションにログインできません（グループを追加または除外するようにアクセス権を設定できます）。

デフォルトでは、この設定は組織部門とグループに対して [アクセス不可] に設定されています。この LDAP クライアントを会社全体で使用する場合は、設定を [ドメイン全体] に変更してドメインの全ユーザーにアクセスを許可できます。特定の組織部門またはグループを選択することも可能です。

注: 設定の変更が反映されるまでに、最長で 24 時間ほどかかる場合があります。

LDAP クライアントがユーザー認証情報を確認するためにアクセスできる組織部門を選択するには:

1. [ユーザー認証情報の確認] で、[選択された組織部門、グループ、除外されたグループ] をオンにします。
2. [含まれる組織単位] で [追加] または [編集] をクリックします。
3. [含まれる組織単位] ウィンドウで、追加したい特定の組織部門を選択します。
4. [保存] をクリックします。

LDAP クライアントがユーザー認証情報を確認するためにアクセスできるグループを追加するには:

1. [ユーザー認証情報の確認] で、[選択された組織部門、グループ、除外されたグループ] をオンにします。
2. [含まれるグループ] で [追加] または [編集] をクリックします。
3. [グループを検索して選択] ウィンドウで、追加するグループを選択します。
4. [完了] をクリックします。

ユーザー認証情報の確認対象から特定のグループを除外するには:

1. [ユーザー認証情報の確認] で、[選択された組織部門、グループ、除外されたグループ] をオンにします。
2. [除外されたグループ] で [追加] または [編集] をクリックします。
3. [グループを検索して選択] ウィンドウで、除外するグループを選択します。
4. [完了] をクリックします。

注: 上記の設定にカーソルを合わせると、含まれる組織部門のリストや、含まれるグループまたは除外されたグループのリストが表示されます。

ユーザー情報を読み取るための LDAP クライアントのアクセスレベルを指定する

LDAP クライアントがユーザーの検索を実行するために読み取り専用権限を必要とする場合は、この設定を使用します。

[ユーザー情報の読み取り] 設定では、LDAP クライアントが追加のユーザー情報を取得するためにアクセスできる組織部門を指定します。デフォルトでは、この設定は [アクセス不可] に設定されています。設定を [ドメイン全体] に変更するか、[選択された組織部門] を選択できます。

追加のユーザー情報を取得するために LDAP クライアントがアクセスできる組織部門を選択するには:

1. [ユーザー情報の読み取り] で、[選択された組織部門] をクリックします。

2. 次のいずれかを行います。

   [追加] をクリックします。[含まれる組織単位] ウィンドウで目的の組織部門のチェックボックスをオンにします。また、ウィンドウの上部にある検索欄を使用して、組織部門を検索することもできます。

   -- または --

   [[ユーザー認証情報の確認] からコピー] をクリックします。

3. （省略可）このクライアントがユーザーの情報を読み取るためにアクセスできる属性を指定します。システム属性、公開カスタム属性、限定公開カスタム属性のいずれかを選択します。詳しくは、LDAP クライアントで利用できるようにする属性を指定するをご覧ください。

4. [保存] をクリックします。

LDAP クライアントで利用できるようにする属性を指定する

属性には次の 3 種類があります。

• システム属性 - すべてのユーザー アカウントで利用可能なデフォルトのユーザー属性（名前、メールアドレス、電話番号など）。

  注: このオプションを無効にすることはできません。

• 公開カスタム属性 - 組織に公開されているカスタム ユーザー属性。
• 限定公開カスタム属性 - ユーザー本人と管理者のみが表示できるカスタム ユーザー属性。個人情報を LDAP クライアントに開示することになるため、限定公開カスタム属性を使用するときは注意が必要です。

カスタム属性の命名要件とガイドライン:

• カスタム属性の名前に使用できるのは、英数字とハイフンのみです。
• カスタム スキーマ間で重複する属性名を使用してはいけません。
• カスタム属性名が既存のシステム属性と同じである場合は、システム属性の値が返されます。

重要: 属性名が上述のガイドラインに準拠していない場合、該当の属性値は LDAP 応答の対象から除外されます。

カスタム属性の設定の詳細と手順については、ユーザー プロフィールのカスタム属性を作成するをご覧ください。

LDAP クライアントがグループ情報を読み取れるかどうかを指定する

LDAP クライアントがグループの検索を実行するために読み取り専用権限を必要とする場合は、この設定を使用します。

[グループ情報の読み取り] の設定は、LDAP クライアントがアプリケーション内のユーザーの役割の承認などのために、ユーザーのグループ メンバーを確認できるかどうかを指定します。

重要: Atlassian Jira や SSSD などの特定の LDAP クライアントは、ユーザー認証中にユーザーのグループ メンバーに関する情報を取得するためにグループの検索を実行します。このような LDAP クライアントでユーザー認証を正しく機能させるには、[グループ情報の読み取り] を有効にする必要があります。

次の手順

アクセス権限の設定が完了したら、[LDAP クライアントの追加] をクリックします。

次に、生成された証明書をダウンロードして LDAP クライアントをセキュア LDAP サービスに接続し、LDAP クライアントのサービスのステータスを [オン] に切り替えます。

次の手順については、3. 生成された証明書をダウンロードするをご覧ください。

関連記事

• セキュア LDAP サービスについて
• セキュア LDAP のスキーマ
• LDAP クライアントを管理する
• セキュア LDAP の監査ログ
• セキュア LDAP サービス: エラーコードの説明
• よくある質問: セキュア LDAP サービス