前回の続きです。
IDワークフローとは
ID情報を利用者による申請・承認の後メタディレクトリサーバに反映し、利用可能にするワークフローシステムです。
「IDワークフロー」 と呼ばれるWebアプリケーションと 「予約エントリ反映プラグイン」 の2つから成り立ちます。
IDワークフロー(Webアプリケーション)とは
申請書の作成と承認、ID情報を予約エントリに連携するWebアプリケーションです。利用者ごとの細かな権限付与や、代理承認機能、LDAPグループを使用した承認ルートの設定機能、催促メール機能などの多彩な機能を持ちます。
予約エントリ反映プラグインとは
IDワークフロー(Webアプリケーション)や、CSV→LDAP反映、ELMインターフェースなどによって追加された予約エントリのLDAP更新情報を指定日・指定条件で正規エントリに反映するプラグインです。
正規エントリへの反映後、連携プラグインとしてLDAP -> AD連携などを設定することで、ワークフローで追加されたID情報を他のシステムへ連携することが可能です。
事前準備
データベースの準備
PostgreSQLにIDワークフロー用のデータベースを用意します。
postgres=# create database idworkflow;
CREATE DATABASE
postgres=# create role idworkflow with login password 'idworkflow';
CREATE ROLE
postgres=# grant all on database idworkflow to idworkflow;
GRANT
postgres=# alter database idworkflow owner to idworkflow;
ALTER DATABASE
次に、テーブル作成用SQL(インストールメディア \webapps\Idworkflow\tools\PostgreSQL.SQL)を実行します。
$ psql -d idworkflow -f /tmp/postgreSQL.SQL -h 192.168.181.41 -U idworkflow -W
パスワード:
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
CREATE TABLE
予約エントリ用オブジェクトクラスとOUの追加
以下のような.ldifファイルを用意し、ldapaddコマンドを使って予約エントリ用オブジェクトクラスと予約エントリを格納するOUを追加します。
dn: cn=yoyakuEntry,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: yoyakuEntry
olcAttributeTypes: {0}( 1.3.6.1.4.1.45908.1.6001 NAME 'changeType' EQUALITY caseIgnoreMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
olcAttributeTypes: {1}( 1.3.6.1.4.1.45908.1.6002 NAME 'applyDate' EQUALITY caseIgnoreMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
olcObjectClasses: {0}( 1.3.6.1.4.1.45908.2.5 NAME 'yoyakuEntry' SUP top STRUCTURAL MUST ( changeType $ applyDate $ cn $ sn $ uid ) MAY ( ou $ givenName $ title ))
dn: ou=yoyaku,dc=itdo,dc=example,dc=com
objectclass: organizationalUnit
ou: yoyaku
LDAP Manager本体側の設定
予約エントリ用のディレクトリを追加します。
ディレクトリを追加したらディレクトリ属性を追加します。
「予約エントリ反映」プラグインは、正規エントリの検索範囲に予約エントリが入ってしまうと動作しないので、正規エントリ用のディレクトリも追加します。
こちらにもディレクトリ属性を追加します。
予約エントリ反映の初期設定
予約エントリ反映プラグインをインストールします。
LDAP Managerコンソール「環境設定」 > 「予約エントリ反映1」を選択し、設定画面を開きます。
「基本設定」では予約エントリ、正規エントリ別に接続情報等を設定します。
マッピングは下記の通りとしました。
連携プラグインは未設定とします。
IDワークフローの設定
<tomcat_home>\webapps\にidworkflowフォルダをコピーします。
https://(ホスト名):(ポート)/idworkflow/idwfsettingにアクセスし、LDAP Managerのローカルユーザでログインします。
次の画面に遷移します。
「LDAPサーバ情報」では、LDAPサーバへの接続情報を設定します。
予約エントリ専用LDAPサーバは使用していないのでスキップします。
「LDAP Manager情報」では、LDAP Managerへの接続情報を設定します。
「データベース情報設定」では、主にIDワークフロー用に作成したデータベースへの接続情報を設定します。
「メール情報」は使用しないため未設定としました。
「ディレクトリ暗号化バージョン」はLDAP Managerの同設定に合わせます。
「ログイン権限情報」はデフォルト(= 全ユーザが管理者権限)とします。
「多言語設定」は未設定としました。
「ユーザ情報」では、ログイン時や申請書などに表示するユーザ情報について設定します。
manager属性に設定されているユーザが承認者に、secretary属性に設定されているユーザが代理承認者となります。
また、businessCategory属性が可変パラメータとして申請書等に埋め込めるようになりました。
「グループ情報」は一旦未設定とします。
「予約エントリ情報」には予約エントリに関する情報を設定します。
今回、予約エントリ用のオブジェクトクラスにはIDワークフローの申請書番号が入るuid、反映日が入るapplydate、LDAP変更種別が入るchangeTypeとユーザ情報に関する属性のみ定義しているので、ここでは必須となる3つの属性のみの設定としました。
「共通表示情報」では一覧表示の制御が可能です。(今回はデフォルト)
「ユーザ選択画面情報設定」では、申請書の対象者選択時などに見る画面に表示する項目の設定や、各フィルタの設定が可能です。
「申請書検索画面情報」では、申請書検索画面の検索条件を設定できます。
「CSVインポート機能」では、CSVインポート時のCSVファイルの書式などについて設定できます。
「操作制御」からはIDワークフローの各動作についての制御が可能です。
削除ボタンを「削除」、期間代理承認、ダイナミック承認者リスト、一括承認を「使用する」としました。
「その他」の設定からは添付ファイルの一時保存先やCookieの有効期限、日付項目のプルダウンメニューで表示する最大値、User Agent判定文字列の設定が可能です。
User Agent判定文字列を持つUAからアクセスすると、モバイル版のページが表示されます。
「特権管理情報」の設定は「特権管理パック」プラグインが別途必要となるため行いませんでした。
「外部接続データベース情報」および「外部接続LDAP情報設定」では、申請書の項目に埋め込みたい・連携させたい情報を取得するDB/LDAPの情報を指定できます。
これでIDワークフローの初期設定は完了です。
次回は、IDワークフローを利用するための設定・検証を行います。