この節では,DocumentBrokerの文書空間の構成を定義する文書空間構成定義ファイル(docspace.properties)およびユーザ権限定義ファイル(userperm.properties)について説明します。設定内容については,「4. 環境設定で必要なファイル」を参照してください。
ここでは,ログインするときに生成されて値が設定されるユーザ情報の取得方法について説明します。
ユーザ情報は,DocumentBrokerオブジェクトに対するアクセス権を判定する場合に使用されます。ユーザ情報には,「ユーザ識別子」および「グループ識別子」があります。これらの情報は,ログインしたときに生成されます。
ユーザを識別する情報です。ユーザ識別子については,「3.6.1(5)(a) ユーザ識別子」を参照してください。
ユーザ識別子として取得される情報は,文書空間構成定義ファイルで任意に指定できます。ユーザ識別子を取得する場合に文書空間構成定義ファイルで指定するプロパティを次に示します。
これらのプロパティの値は,ユーザ識別子として取得する情報および取得方法に従って指定してください。各プロパティの指定方法については,「4.3 文書空間構成定義ファイル(docspace.properties)」を参照してください。
ユーザが所属するグループを識別する情報です。グループ識別子については,「3.6.1(5)(b) グループ識別子」を参照してください。
グループ識別子の取得方法は,文書空間構成定義ファイルで定義します。グループ情報の取得方法について,次に説明します。なお,DocumentBrokerにログインする場合のログイン名を,属性として登録してあるユーザエントリのことを,ログインユーザエントリと呼ぶことにします。
グループ識別子を取得する場合に,文書空間構成定義ファイルで指定するプロパティを次の図に示します。
図3-3 LDAPディレクトリサーバのツリー構成例
図3-4 グループエントリの属性から取得する場合の定義例
表3-1 グループエントリの属性から取得する場合の定義例で指定するプロパティ
指定するプロパティ | 指定するユーザ識別子 | 取得するグループ識別子 |
---|---|---|
LdapGroup=Yes LdapGroupRoot=ou=Groups,DC=hitachi,DC=jp LdapGroupClass=groupOfUniqueNames LdapGroupId=cn | tanaka | Group1 |
表3-2 グループの階層がDITのエントリ位置で関連付いている場合
指定するプロパティ | 指定するユーザ識別子 | 取得するグループ識別子 |
---|---|---|
LdapGroup=Yes LdapGroupRoot=ou=Groups,DC=hitachi,DC=jp LdapGroupClass=groupOfUniqueNames LdapGroupId=cn LdapGroupFromGroupDn=Yes | tanaka | Group1 Sales |
階層グループの場合で,グループの階層がグループエントリの属性値で関連付いているときのプロパティの取得例を次の表に示します。
表3-3 グループの階層がグループエントリの属性値で関連付いている場合
指定するプロパティ | 指定するユーザ識別子 | 取得するグループ識別子 |
---|---|---|
LdapGroup=Yes LdapGroupRoot=ou=Groups,DC=hitachi,DC=jp LdapGroupClass=groupOfUniqueNames LdapGroupId=cn LdapGroupFromGroupMember=Yes | tanaka | Group1 Group2 |
図3-5 ログインユーザエントリの属性から取得する場合の定義例
表3-4 ログインユーザエントリの属性から取得する場合の定義例で指定するプロパティ
指定するプロパティ | 指定するユーザ識別子 | 取得するグループ識別子 |
---|---|---|
LdapGroupFromUserAttr=Yes LdapGroupIdFromUserAttr=ou | tanaka | Sales Group1 |
図3-6 組織エントリの属性から取得する場合の定義例
表3-5 組織エントリの属性から取得する場合の定義例で指定するプロパティ
指定するプロパティ | 指定するユーザ識別子 | 取得するグループ識別子 |
---|---|---|
LdapGroupFromUserAttr=Yes LdapGroupIsDnFromUserAttr=Yes LdapGroupIdFromUserAttr=ou LdapGroupIdAttrFromUserAttr=dn | tanaka | ou=Sales,ou=Unit,DC=hitachi,DC=jp ou=Group1,ou=Unit,DC=hitachi,DC=jp |
図3-7 ログインユーザエントリのDNから取得する場合の定義例
表3-6 ログインユーザエントリのDNから取得する場合の定義例で指定するプロパティ
指定するプロパティ | 指定するユーザ識別子 | 取得するグループ識別子 |
---|---|---|
LdapGroupFromUserDn=Yes LdapGroupIdFromUserDn=ou | tanaka | Group1 Sales |
これらのグループ識別子を取得する方法は,選択して使用したり,組み合わせて使用したりできます。ただし,「ログインユーザエントリの属性から取得する方法」と「組織エントリの属性から取得する方法」を組み合わせることはできません。また,取得するグループ識別子はLDAPディレクトリサーバ上でユニークとなる値を取得する必要があります。
オブジェクトの識別子名(DN)に次の文字が含まれる場合,グループエントリの属性から取得する方法を使用するとグループ情報が取得できません。
ログインユーザエントリの属性から取得する方法,または組織エントリの属性から取得する方法,またはログインユーザエントリのDNから取得する方法を使用して取得してください。
文書空間構成定義ファイルで指定した方法に従って,グループ識別子の取得方法ごとに,指定する必要があるプロパティを次の表に示します。
表3-7 グループ識別子の取得方法ごとに指定する必要があるプロパティの一覧
グループ情報の取得方法 | 指定するプロパティ |
---|---|
グループエントリの属性から取得する方法 |
|
ログインユーザエントリの属性から取得する方法 |
|
組織エントリの属性から取得する方法 |
|
ログインユーザエントリのDNから取得する方法 |
|
各プロパティの指定方法については,「4.3 文書空間構成定義ファイル(docspace.properties)」を参照してください。
ユーザ管理機能としてLDAP対応のディレクトリサービスに連携していない場合や運用中のLDAP対応のディレクトリサービスがDocumentBrokerの運用形態に合わない場合,DocumentBrokerは,ユーザが作成したアクセスルーチンを組み込む機能を提供しています。
ユーザ管理システムへのアクセスルーチンとして,ユーザが作成したアクセスルーチンを使用する場合は,文書空間構成定義ファイルのUserAuthenticationプロパティで「UOC」を指定する必要があります。この場合,UOCClassプロパティの値として,ユーザが作成したアクセスルーチンのクラス名で指定します。UserAuthenticationプロパティで「UOC」を指定した場合に生成されるユーザ情報には,ユーザ識別子とグループ識別子があります。ユーザ識別子については,「3.6.2(2)(a) ユーザ識別子」をグループ識別子については,「3.6.2(2)(b) グループ識別子」を参照してください。
文書空間にオブジェクトを作成する権限や文書空間内のオブジェクトに対する操作の範囲を定義するためにユーザ権限定義ファイルを作成します。
セキュリティ管理者は,このユーザ権限定義ファイルを更新することでユーザ権限を変更できます。ユーザ権限定義プロパティファイルの設定内容については,「4.4 ユーザ権限定義ファイル(userperm.properties)」を参照してください。