LoginSignup
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@cotflow

CP4D の LDAP と連携したユーザー管理

Last updated at Posted at 2024-06-20

Cloud Pak for Data では、LDAP プロバイダーと連携してユーザー管理を行うことが可能です。
例えば、LDAP 側でユーザーを一括管理しているような環境において、LDAP 側で登録したユーザーを CP4D へのログイン・ユーザーとして使用することで、ユーザー管理の一元化が実現できます。
この場合、LDAP 側で登録した個々のユーザーごとにログイン設定を行うことも可能ですし、LDAP 側で登録したグループに対してログイン設定を行う(グループ配下の全ユーザーをログイン可能にする)こともできます。
これにより、ユーザーのユーザー名やパスワード、属性といった設定を、全て LDAP 側で設定/管理することができます。

ID プロバイダー構成

CP4D を LDAP と連携するためには、CP4D 側で ID プロバイダー構成を行います。ここで、LDAP のサーバーやポート、LDAP 認証のための設定などを行っておきます。
参考:[CP4D v4.8 マニュアル] ID プロバイダーへの接続

image.png

CP4D ユーザー・グループを作成

次に、CP4D ユーザー・グループを作成します。その際、ユーザー・グループに追加する対象として、LDAP で作成したグループないしはユーザーを指定し、Role をアサインします。

例えば以下のように、LDAP(今回は、LDAP として Active Directory を使用)側に登録されている、groupA 配下の全ユーザー、およびユーザー「sally 」で CP4D にログインできるようにするためには、以下のような CP4D ユーザー・グループを作成します。

image.png

  • Active Directory 側のグループ/ユーザー
    • グループ「groupA」
    • グループ「groupA」配下にユーザー「christine」、「michael」
    • グループに属さないユーザー「sally」
  • CP4D 側でユーザー・グループ「BAgroup」を作成
    • 対象:Active Directory 側で作成したグループ「groupA」を選択
    • Role:「Business Analyst」をアサイン
  • CP4D 側でユーザー・グループ「ADgroup」を作成
    • 対象:Active Directory 側で作成したユーザー「sally」を選択
    • Role:「Administrator」をアサイン

ユーザー・グループ作成は、CP4Dの「アクセス制御」画面にて実施します。
以下は、ユーザー・グループ「BAgroup」作成時の例です。

  • 「アクセス制御」の「ユーザー・グループ」タブで、「新しいユーザー・グループ」をクリック
    image.png
     
  • 「名前」を入力し、「次へ」をクリック
    image.png
     
  • 「IDプロバイダーグループ」として該当するグループを選択して「次へ」をクリック
    image.png
     
  • ロールをアサインして「次へ」をクリック
    image.png
     
  • 要約内容を確認し、「作成」をクリック
    image.png
     
  • ユーザー・グループ「BAgroup」が作成されました。
    image.png

他のユーザー・グループも同様に作成します。

これにより、Active Directory 側に登録されている christine、michael、sally での CP4D へのログインが可能となります。

image.png

image.png

CP4D 側には、最初にそのユーザーで CP4D にログインしたタイミングで、自動でユーザーが作成されます。

image.png

また、christine には、ユーザー・グループ「BAgroup」にアサインされたRole「Business Analyst」がアサインされます。

image.png

同様に、michael や sally でもログインできます。尚、michael には Role「Business Analyst」が、sally には Role「Administrator」がアサインされます。

また、この環境で、Active Directory 側でグループ「groupA」配下にさらにユーザーを追加した場合、CP4D 側でユーザー追加作業を行う必要はありません。christine や michael 同様、Active Directory 側で追加したユーザー名、パスワードで、CP4D にログインすることが可能となります。

今回は、LDAP(Active Directory)側で登録したグループ/ユーザーを CP4D 側で指定してログイン可能とする設定をご紹介しましたが、それ以外にも、ユーザー属性(ユーザーのロケーションや所属する組織、役職など)に応じて、CP4D リソースへのアクセス制御(属性ベースのアクセス制御(ABAC:Attribute Based Access Control))をおこなうこともできます。
ABAC につきましては、以下をご参照下さい。
[CP4D で属性ベースのアクセス制御(ABAC)をしてみた]
参考:[Qiita] CP4D で属性ベースのアクセス制御(ABAC)をしてみた

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?