3.7.3 文書空間の定義

この節では,DocumentBrokerの文書空間の構成を定義する文書空間構成定義ファイル(docspace.properties)およびユーザ権限定義ファイル(userperm.properties)について説明します。設定内容については,「4. 環境設定で必要なファイル」を参照してください。

<この項の構成>
(1) ユーザ情報の取得方法
(2) ユーザ権限定義ファイルの設定

(1) ユーザ情報の取得方法

ここでは,ログインするときに生成されて値が設定されるユーザ情報の取得方法について説明します。

(a) ログインするときに生成されるユーザ情報(LDAPディレクトリサーバを使用する場合)

ユーザ情報は,DocumentBrokerオブジェクトに対するアクセス権を判定する場合に使用されます。ユーザ情報には,「ユーザ識別子」および「グループ識別子」があります。これらの情報は,ログインしたときに生成されます。

ユーザ識別子

ユーザを識別する情報です。ユーザ識別子については,「3.6.1(5)(a) ユーザ識別子」を参照してください。

ユーザ識別子として取得される情報は,文書空間構成定義ファイルで任意に指定できます。ユーザ識別子を取得する場合に文書空間構成定義ファイルで指定するプロパティを次に示します。

これらのプロパティの値は,ユーザ識別子として取得する情報および取得方法に従って指定してください。各プロパティの指定方法については,「4.3 文書空間構成定義ファイル(docspace.properties)」を参照してください。

グループ識別子

ユーザが所属するグループを識別する情報です。グループ識別子については,「3.6.1(5)(b) グループ識別子」を参照してください。

グループ識別子の取得方法は,文書空間構成定義ファイルで定義します。グループ情報の取得方法について,次に説明します。なお,DocumentBrokerにログインする場合のログイン名を,属性として登録してあるユーザエントリのことを,ログインユーザエントリと呼ぶことにします。

グループ識別子を取得する場合に,文書空間構成定義ファイルで指定するプロパティを次の図に示します。

図3-3 LDAPディレクトリサーバのツリー構成例

[図データ]

グループエントリの属性から取得する方法
グループ管理用のエントリの属性に,ユーザが所属するグループ名称が登録されている場合に使用する方法です。定義例を次の図に示します。

図3-4 グループエントリの属性から取得する場合の定義例

[図データ]

表3-1 グループエントリの属性から取得する場合の定義例で指定するプロパティ

指定するプロパティ指定するユーザ識別子取得するグループ識別子
LdapGroup=Yes
LdapGroupRoot=ou=Groups,DC=hitachi,DC=jp
LdapGroupClass=groupOfUniqueNames
LdapGroupId=cn
tanakaGroup1
階層グループの場合で,グループの階層がDITのエントリ位置で関連付いているときのプロパティの取得例を次の表に示します。

表3-2 グループの階層がDITのエントリ位置で関連付いている場合

指定するプロパティ指定するユーザ識別子取得するグループ識別子
LdapGroup=Yes
LdapGroupRoot=ou=Groups,DC=hitachi,DC=jp
LdapGroupClass=groupOfUniqueNames
LdapGroupId=cn
LdapGroupFromGroupDn=Yes
tanakaGroup1
Sales

階層グループの場合で,グループの階層がグループエントリの属性値で関連付いているときのプロパティの取得例を次の表に示します。

表3-3 グループの階層がグループエントリの属性値で関連付いている場合

指定するプロパティ指定するユーザ識別子取得するグループ識別子
LdapGroup=Yes
LdapGroupRoot=ou=Groups,DC=hitachi,DC=jp
LdapGroupClass=groupOfUniqueNames
LdapGroupId=cn
LdapGroupFromGroupMember=Yes
tanakaGroup1
Group2
ログインユーザエントリの属性から取得する方法
ログインユーザエントリの属性に,そのユーザが所属する組織名称が登録されている場合に使用する方法です。定義例を次の図に示します。

図3-5 ログインユーザエントリの属性から取得する場合の定義例

[図データ]

表3-4 ログインユーザエントリの属性から取得する場合の定義例で指定するプロパティ

指定するプロパティ指定するユーザ識別子取得するグループ識別子
LdapGroupFromUserAttr=Yes
LdapGroupIdFromUserAttr=ou
tanakaSales
Group1
組織エントリの属性から取得する方法
ログインユーザエントリの属性に,そのユーザが所属する組織エントリのDNが登録されている場合に使用する方法です。定義例を次の図に示します。

図3-6 組織エントリの属性から取得する場合の定義例

[図データ]

表3-5 組織エントリの属性から取得する場合の定義例で指定するプロパティ

指定するプロパティ指定するユーザ識別子取得するグループ識別子
LdapGroupFromUserAttr=Yes
LdapGroupIsDnFromUserAttr=Yes
LdapGroupIdFromUserAttr=ou
LdapGroupIdAttrFromUserAttr=dn
tanakaou=Sales,ou=Unit,DC=hitachi,DC=jp
ou=Group1,ou=Unit,DC=hitachi,DC=jp
ログインユーザエントリのDNから取得する方法
ログインユーザエントリのDNの構成要素(RDN)の属性値を,グループ識別子として使用する方法です。定義例を次の図に示します。

図3-7 ログインユーザエントリのDNから取得する場合の定義例

[図データ]

表3-6 ログインユーザエントリのDNから取得する場合の定義例で指定するプロパティ

指定するプロパティ指定するユーザ識別子取得するグループ識別子
LdapGroupFromUserDn=Yes
LdapGroupIdFromUserDn=ou
tanakaGroup1
Sales

これらのグループ識別子を取得する方法は,選択して使用したり,組み合わせて使用したりできます。ただし,「ログインユーザエントリの属性から取得する方法」と「組織エントリの属性から取得する方法」を組み合わせることはできません。また,取得するグループ識別子はLDAPディレクトリサーバ上でユニークとなる値を取得する必要があります。

オブジェクトの識別子名(DN)に次の文字が含まれる場合,グループエントリの属性から取得する方法を使用するとグループ情報が取得できません。

ログインユーザエントリの属性から取得する方法,または組織エントリの属性から取得する方法,またはログインユーザエントリのDNから取得する方法を使用して取得してください。

文書空間構成定義ファイルで指定した方法に従って,グループ識別子の取得方法ごとに,指定する必要があるプロパティを次の表に示します。

表3-7 グループ識別子の取得方法ごとに指定する必要があるプロパティの一覧

グループ情報の取得方法指定するプロパティ
グループエントリの属性から取得する方法
  • LdapGroup=Yes(必須)
  • LdapGroupRoot=<DN>(必須)
  • LdapGroupScopeプロパティ
  • LdapGroupTimeoutプロパティ
  • LdapGroupClassプロパティ
  • LdapGroupIdプロパティ
  • LdapGroupFilterLeftプロパティ
  • LdapGroupFilterRightプロパティ
  • LdapGroupMemberプロパティ
  • LdapGroupCaseプロパティ
  • LdapGroupFromGroupDnプロパティ
  • LdapGroupFromGroupMemberプロパティ
ログインユーザエントリの属性から取得する方法
  • LdapGroupFromUserAttr=Yes(必須)
  • LdapGroupIdFromUserAttrプロパティ
  • LdapGroupCaseプロパティ
組織エントリの属性から取得する方法
  • LdapGroupFromUserAttr=Yes(必須)
  • LdapGroupIsDnFromUserAttr=Yes(必須)
  • LdapGroupIdFromUserAttrプロパティ
  • LdapGroupIdAttrFromUserAttrプロパティ
  • LdapGroupCaseプロパティ
ログインユーザエントリのDNから取得する方法
  • LdapGroupFromUserDn=Yes(必須)
  • LdapGroupIdFromUserDnプロパティ
  • LdapGroupCaseプロパティ

各プロパティの指定方法については,「4.3 文書空間構成定義ファイル(docspace.properties)」を参照してください。

(b) ログインするときに生成されるユーザ情報(ユーザ作成のアクセスルーチンを使用する場合)

ユーザ管理機能としてLDAP対応のディレクトリサービスに連携していない場合や運用中のLDAP対応のディレクトリサービスがDocumentBrokerの運用形態に合わない場合,DocumentBrokerは,ユーザが作成したアクセスルーチンを組み込む機能を提供しています。

ユーザ管理システムへのアクセスルーチンとして,ユーザが作成したアクセスルーチンを使用する場合は,文書空間構成定義ファイルのUserAuthenticationプロパティで「UOC」を指定する必要があります。この場合,UOCClassプロパティの値として,ユーザが作成したアクセスルーチンのクラス名で指定します。UserAuthenticationプロパティで「UOC」を指定した場合に生成されるユーザ情報には,ユーザ識別子とグループ識別子があります。ユーザ識別子については,「3.6.2(2)(a) ユーザ識別子」をグループ識別子については,「3.6.2(2)(b) グループ識別子」を参照してください。

(2) ユーザ権限定義ファイルの設定

文書空間にオブジェクトを作成する権限や文書空間内のオブジェクトに対する操作の範囲を定義するためにユーザ権限定義ファイルを作成します。

セキュリティ管理者は,このユーザ権限定義ファイルを更新することでユーザ権限を変更できます。ユーザ権限定義プロパティファイルの設定内容については,「4.4 ユーザ権限定義ファイル(userperm.properties)」を参照してください。