Title: ユーザーディレクトリの変更とプリンシパルの移行

TeamPage のユーザーアカウントやログイン認証を、標準の内蔵ユーザー管理機能(ユーザーディレクトリ機能)を使って行うことも、LDAP や Microsoft Active Directory などの外部ディレクトリを使って行うこともできます。

これらの設定は、「プリンシパル」と呼ばれる方法で管理されており、後から別の認証方式へ変更(移行)できます。

ここでは認証方式の変更やプリンシパルの移行について説明します。



概要



TeamPage には、「Traction User ID」として管理されている、各ユーザーの「プロフィール」があります。「Traction User ID」は、TeamPage サーバーによって割り振られたユーザー番号です。「ユーザー名」は、このユーザー番号に結び付けられた属性で、TeamPage にログインするときに使用されます。

例)
ユーザー番号 = 1
ユーザー名 = admin

加えて、ユーザーは「プリンシパル」を持ちます。権限は、アクセスコントロールリスト(ACL)を使ってプリンシパルに結び付けられています。

ユーザーのプリンシパルは、TeamPage 内蔵のユーザーディレクトリ、または LDAP や Active Directory のような外部ディレクトリに登録されたユーザーの識別に使用されます。異なるディレクトリへのプリンシパル同士は別々のものになります。例えば、Active Directory のプリンシパルはユーザーの GUID を参照するのに対し、LDAP のプリンシパルは一般的にユーザーのコモンネーム(CN)を参照し、TeamPage 内蔵ユーザーディレクトリのプリンシパルは Traction User ID を参照します。

TeamPage の「サーバー管理者」権限(「サーバーセットアップ」権限)が付与されたユーザーは、ユーザーに結び付けられたプリンシパルを変更することができます。

ユーザーのプリンシパルを変更したとき、そのユーザーを管理するシステムも変更されます。例えば、Active Directory のプリンシパルに結び付けられたユーザーは、Active Directory を使って認証されます。

プリンシパルの変更を行うとき、既存の ACL 中の、そのプリンシパルへのすべての参照を自動的に更新します。そのため、プリンシパルが別のシステムへ切り替わったとき、ユーザーの権限が変更されることはありません。

TeamPage には、次の2つのプリンシパル変更機能があります。

  1. 複数ユーザーの一括変更
  2. 各ユーザーごとの変更


あるディレクトリシステムから別のものへ切り替えるには、プリンシパル「移行」作業を行います。この作業を行うと、ユーザーは新しいディレクトリシステム中のユーザーIDに基づいたプリンシパルに結び付けられます。

TeamPage は、TeamPage に登録済みのディレクトリならば、どんなものからどんなものへもプリンシパルの移行が可能です。例えば、TeamPage 内蔵のユーザーディレクトリから Active Directory へ、Active Directory から LDAP へ、LDAP から TeamPage 内蔵ディレクトリへ…など。

また、TeamPage は、ユーザーによって別々のディレクトリで認証を行うような、複数のディレクトリの組み合わせることもできます。これにより、社員を社内ディレクトリで認証し、取引先顧客のような社外ユーザーを TeamPage の内蔵のディレクトリで認証するような運用が可能になります。

以下、移行作業の手順を例で示します。

TeamPage 内蔵ユーザーディレクトリから Active Directory への移行



サーバーセットアップ | 一般 タブ | 現在のジャーナル タブ を開き、[ユーザーディレクトリの変更] ボタンをクリックします。

ユーザーディレクトリの変更ボタン

移行先のユーザーディレクトリ設定を選択してください。外部ディレクトリサービスの使用や設定方法については、ユーザーディレクトリの選択と設定 を参照してください。

ユーザーディレクトリの変更

[プリンシパルの移行(トグル動作)] チェックボックスがオンになったことを確認し、[次へ] ボタンをクリックします。

プリンシパルの移行チェックボックスをチェック

TeamPageは、指定されたディレクトリサーバーへアクセスし、それぞれのユーザーに合致する新しいプリンシパル情報を検索します。ユーザー数その他の要因によって、次の画面(下図)が表示されるまで暫く時間がかかることがあります。

「プリンシパルの移行」画面には、それぞれのユーザーに最も適切と思われる新しいプリンシパルが割り当てられて表示されます。検索の結果、合致するものが見つかったユーザーは、黄色い「新しいエンコーディング」欄にActive Directory上のGUIDが表示されます。合致するものが見つからなかったユーザーの背景色は薄い赤になり、「新しいエンコーディング」欄に元のユーザーIDが表示されます。

注意:ユーザー「admin」はActive Directoryの「Administrator」に割り当てられます。したがって、そのまま移行を行った場合、TeamPageへ「admin」でログインするには、WindowsにActive Directoryの「Administrator」としてログオンしておく必要が生じます。



検索して見つかったユーザーと見つからなかったユーザー

TeamPageのどのユーザーがActive Directoryのどのユーザーへ移行されるのか、エンコーディング情報を確認してください。



合致するものが見つからなかったユーザーに対してマッピングを行う場合、あるいはTeamPageによる自動割り当てを修正する場合は、[ルックアップ] ボタンをクリックします。[ルックアップ] ボタンをクリックすると、ユーザーディレクトリのテストを行ったときと同じ検索が行われます。ユーザーID、フルネーム、メールアドレスの一部あるいはすべてを入力し、[ルックアップ] ボタンをクリックしてください。

ルックアップ

「名前のルックアップ」画面には、合致した名前のリストが表示されます。

この例では、「sano」で検索が行われたため、下図のActive Directoryの「sano」を含むユーザー2名が合致し、TeamPageはどちらのプリンシパルが「sano」に対して適切なのか判別できず、ユーザー「sano」に新しいプリンシパルが自動的に割り振られませんでした。

リストの中に適切なプリンシパルがある場合、それを選択し、[OK] ボタンをクリックしてください。

リストの中に適切なものが見つからない場合は、「アカウント名の入力」欄を修正してから再度 [ルックアップ] をクリックし、合致するものを検索してください。

名前のルックアップ

ユーザーの「新しいエンコーディング」欄に選択されたプリンシパルのGUIDが表示されます。

新しいプリンシパル

プリンシパルの詳細を確認するには、「新しいエンコーディング」欄の [詳細] リンクをクリックします。

詳細の確認

選択されたユーザーのプリンシパルの詳細が表示されます。

詳細

すべてのユーザーの移行情報を確認したら、[完了] ボタンをクリックします。

完了ボタンをクリック

再起動の確認ダイアログが表示されます。[OK] ボタンをクリックします。

再起動の確認ダイアログ

TeamPageが再起動します。

再起動中

移行作業が完了すると「サーバー オンライン」メッセージが表示されます。

[ホーム] リンクをクリックすると、Active DirectoryのユーザーとしてTeamPageに(Internet Explorerの場合は自動的に)ログインします。

サーバーオンライン

すべてのユーザーを移行した場合は、これで作業は完了です。移行していないユーザーが残っている場合は、以下の手順で個別に移行させることができます。

パーソナルセットアップからのプリンシパル設定



TeamPageのサーバー管理者は、パーソナルセットアップ | 権限 タブ の [プリンシパルの編集] リンクから、各ユーザーのプリンシパルを設定することができます。

パーソナルセットアップからプリンシパルの設定

「プリンシパルの編集」画面が表示されます。[ルックアップ] ボタンをクリックして、合致するユーザーのルックアップを行います。

ユーザーのルックアップ

ディレクトリから正しいユーザーが選択されたことを確認し、[適用] ボタンをクリックし、[閉じる] ボタンで画面を閉じてください。

合致ユーザーがルックアップされた

パーソナルセットアップ | 権限 タブ をリロード(再読み込み)することで、ユーザーの更新されたプリンシパル情報を確認できます。

更新されたプリンシパル情報の確認



Attachments:
migration01.png
migration02.png
migration03.png
migration04.png
migration05.png
migration06.png
migration07.png
migration08.png
migration09.png
migration10.png
migration11.png
migration12.png
migration13.png
personal_migration01.png
personal_migration02.png
personal_migration03.png
personal_migration04.png
関連記事
参照されている (7)
FAQ2255: アクセスしたら必ずログイン画面が表示されるようにしたいFAQ2154: OpenLDAPとX.509クライアント認証でシングルサインオンするにはDocJp1735: LDAPS 設定DocJp705: パーソナルセットアップ | 権限 タブDocJp240: 現在のジャーナルDocJp166: LDAP 設定DocJp68: インストール&セットアップ ガイド
Article: DocJp187 (permalink)
Date: 2009/10/19; 15時02分03秒 JST

Author Name: TeamPage サポート
Author ID: jpbo