Cognos BI & AnalyticsでLDAP接続をセットアップする際に、前提として理解しておいた方が良い情報をまとめました。
今回は、LDAPとしてApacheDSを例として説明していますが、他の一般的なLDAPであれば考え方や確認箇所は同じですので、LDAP使用時には是非ご参考にしてください。
Cognos Configurationのネームスペースでの指定箇所
Cognos Configurationのネームスペースで指定する、以下の7箇所がLDAPのどこに結びつくのかを説明します。
①基本識別名
②ユーザー検索、外部IDマッピング
③バインド・ユーザーDNとパスワード
④フォルダー・マッピングのオブジェクト・クラス、名前
⑤グループ・マッピングのオブジェクト・クラス
⑥グループ・マッピングのメンバー
⑦アカウント・マッピングのアカウント・オブジェクト・クラス
LDAPでの指定箇所
①基本識別名
設定値:dc=example,dc=com
ユーザー情報の検索を行う、ツリーの層を指定します。
ユーザー検索する場合、ここの場所より下の階層を検索する、という指定です。
今回の場合、dc=example,dc=comの下に様々なouが存在し、ログイン用ユーザー(ou=CognosUsers配下)のみならず、バインド用ユーザー(ou=systemの下のuid=admin)も検索対象なので、両方のouの上の階層のこの場所が基本識別名になります。
例えば、バインド用ユーザーもou=CognosUsers配下の場合、基本識別名は ou=CognosUsers,dc=example,dc=com で大丈夫という事になります。
②ユーザー検索、外部IDマッピング
設定値:ユーザー検索:(uid=${userID})、外部IDマッピング:(uid=${environment("REMOTE_USER")})
ログインに使用するユーザーの、この属性を確認してuid という文字を使用しています。
一般的には cn か uid の指定になります。
③バインド・ユーザーDNとパスワード
設定値:ユーザーID:uid=admin,ou=system
全ユーザーを参照する権限を持ったユーザーを指定します。
基本識別名まで含めて指定する必要はありません。
④フォルダー・マッピングのオブジェクト・クラス、名前
設定値:オブジェクト・クラス:organizationalunit、名前:ou
LDAPツリーの階層構造を作っているオブジェクトのオブジェクト・クラスと名前を指定します。
一般的には、このorganizationalunit と ou になります。
⑤グループ・マッピングのオブジェクト・クラス
設定値:オブジェクト・クラス:groupofuniquenames
グループとして使用するオブジェクトの、オブジェクト・クラスを指定します。
一般的には、groupofuniquenames か groupofnames が使われます。
時々、④で説明したouをグループとして使用できるかという質問を受けますが、これはCognosではできません。
確かにCognosUsersというouがグループとして扱えると便利なのですが、残念ながらできませんのでご注意ください。
⑥グループ・マッピングのメンバー
設定値:メンバー:uniquemember
グループに所属するユーザーを指定する属性名を記載します。
一般的には、uniquemember か member になります。
ここの指定がずれているだけで、Cognosへのログインができなくなりますのでご注意ください。
⑦アカウント・マッピングのアカウント・オブジェクト・クラス
設定値:オブジェクト・クラス:inetorgperson
ログインユーザーのオブジェクト・クラスを指定します。
ユーザーのEメールやロケールなどの属性は、適宜このアカウント・マッピングの下にある属性で行います。
Cognosデフォルトに無い属性は、一番したのカスタム・プロパティで作成できます。
