承認マネージャーでは、承認ポリシーの受信者は次のような異なる種類のグループによって表されます。
-
Windows ユーザーとグループ。これらのグループには、セキュリティ プリンシパルのユーザー、コンピューター、およびビルトイン グループが含まれます。Windows ユーザーとグループは、承認マネージャーだけで使用されるのではなく、Windows 全体で使用されます。
-
アプリケーション グループ。これらのグループには、基本アプリケーション グループとライトウェイト ディレクトリ アクセス プロトコル (LDAP) クエリ グループが含まれます。アプリケーション グループは、承認マネージャーの役割ベースの管理に固有のものです。
重要 | |
アプリケーション グループは、ユーザー、コンピューター、またはその他のセキュリティ プリンシパルの集まりです。アプリケーション グループは、アプリケーションの集まりではありません。 |
-
LDAP クエリ グループ。これらのグループのメンバーシップは、必要に応じて LDAP クエリから動的に計算されます。LDAP クエリ グループは、アプリケーション グループの一種です。
-
基本アプリケーション グループ。これらのグループは、LDAP クエリ グループ、Windows ユーザーとグループ、およびその他の基本アプリケーション グループに基づいて定義されます。基本アプリケーション グループは、アプリケーション グループの一種です。
-
ビジネス規則アプリケーション グループ。これらのグループは、VBScript または JScript のいずれかで記述されたスクリプトによって定義され、グループのメンバーシップは、ユーザーが定義する条件に従って実行時に動的に決定されます。
Windows ユーザーとグループ
Active Directory ドメイン サービス (AD DS) のグループの詳細については、
アプリケーション グループ
新しいアプリケーション グループを作成する場合、LDAP クエリ グループにするか、基本アプリケーション グループにするかを決定する必要があります。承認マネージャーの役割ベースのアプリケーションの場合、Windows ユーザーとグループで行える承認は、アプリケーション グループでも可能です。
循環するメンバーシップ定義は許可されず、エラー メッセージ [<グループ名> を追加できません。次の問題が発生しました : ループが検出されました] が表示されます。
LDAP クエリ グループ
承認マネージャーでは、LDAP クエリを使って、Active Directory ドメイン サービス (AD DS)、Active Directory ライトウェイト ディレクトリ サービス (AD LDS) やその他の LDAP 準拠ディレクトリのオブジェクトを検索できます。
LDAP クエリを使って、アプリケーション グループの [プロパティ] ダイアログ ボックスの [クエリ] タブにあるスペースに必要な LDAP クエリを入力すると、LDAP クエリ グループを指定することができます。
承認マネージャーで、LDAP クエリ グループの定義に使用できる LDAP クエリとして、承認マネージャー バージョン 1 のクエリと LDAP URL クエリの 2 種類がサポートされます。
-
承認マネージャー バージョン 1 の LDAP クエリ
バージョン 1 の LDAP クエリは、RFC 2255 で説明されている LDAP URL クエリ構文を限定的にサポートします。サポートされるクエリは、現在のクライアント コンテキストで指定されているユーザー オブジェクトの属性一覧に対するクエリに限られます。
たとえば、次のクエリは Andy 以外の全員を検索します。
(&(objectCategory=person)(objectClass=user)(!cn=andy)).
このクエリでは、クライアントが、northwindtraders.com でエイリアスが StatusReports であるメンバーであるかどうかが評価されます。
(memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)
承認マネージャーでは、以前のバージョンの承認マネージャーを使用して開発されたソリューションを少ない労力でアップグレードできるように、バージョン 1 のクエリが引き続きサポートされます。
-
LDAP URL クエリ
検索できるオブジェクトや属性についての制限をなくすため、承認マネージャーでは、RFC 2255 に基づく LDAP URL クエリ構文がサポートされています。これにより、現在のユーザー オブジェクト以外のディレクトリ オブジェクトを検索のルートとして使用する、LDAP クエリ グループを作成できます。
LDAP URL は、プロトコル プレフィックス "ldap" で始まり、次の形式に従います。
注 | |
識別名は DN とも呼ばれます。 |
ldap://<サーバー:ポート>/<基本オブジェクト DN>?<属性>?<クエリのスコープ>?<フィルター>
特に、以下の文法がサポートされます。
ldapurl = scheme "://" [hostport] ["/"
[dn ["?" [attributes] ["?" [scope]
["?" [filter]]]]]]
scheme = "ldap"
attributes = attrdesc *("," attrdesc)
scope = "base" / "one" / "sub"
dn = distinguishedName
hostport = hostport
attrdesc = AttributeDescription
filter = filter
たとえば、次のクエリは、ホスト "fabserver" のポート 389 上で実行している LDAP サーバーから、会社属性が "FabCo" に設定されているユーザーを返します。
ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))
LDAP URL クエリを使用する場合、特殊なプレースホルダー値 %AZ_CLIENT_DN% を使用できます。このプレースホルダーには、アクセスをチェックするクライアントの識別名 (DN) を指定します。これにより、要求を行うクライアントの識別名との関連に基づいてディレクトリからオブジェクトを返すクエリを作成できます。
次の例は、ユーザーが "Customers" 組織単位のメンバーであるかどうかをテストする LDAP クエリです。
ldap://<サーバー:ポート>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))
次の例は、ユーザーが "SomeManager" という名前のマネージャーに直接レポートを行うユーザーかどうかをテストし、SomeManager の "searchattribute" が固有の値 "searchvalue" と同じになっていることをテストする LDAP クエリです。
ldap://<サーバー:ポート>/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))
LDAP URL クエリの構文の詳細については、「共通の LDAP RFC」の
重要 | |
LDAP クエリが "ldap" で始まる場合、そのクエリは LDAP URL クエリとして扱われます。その他の文字で始まる場合は、バージョン 1 のクエリとして扱われます。 |
基本アプリケーション グループ
基本アプリケーション グループは、承認マネージャーに固有のものです。
基本アプリケーション グループのメンバーシップを定義するには、次の手順を実行する必要があります。
-
だれがメンバーであるかを定義します。
-
だれがメンバーでないかを定義します。
これらの手順はどちらも同じように実行します。
-
まず、0 以上の数の Windows ユーザーとグループ、既に定義された基本アプリケーション グループ、または LDAP クエリ グループを指定します。
-
次に、グループからメンバー以外を削除して、基本アプリケーション グループのメンバーシップを計算します。承認マネージャーでは、これを実行時に自動的に行います。
重要 | |
基本アプリケーション グループの非メンバーシップは、メンバーシップよりも優先されます。 |
ビジネス規則アプリケーション グループ
ビジネス規則アプリケーション グループは、承認マネージャーに固有のものです。
ビジネス規則アプリケーション グループのメンバーシップを定義するには、VBScript または JScript のいずれかでスクリプトを記述する必要があります。スクリプトのソース コードは、ビジネス規則アプリケーション グループの [プロパティ] ページにあるテキスト ファイルから読み込まれます。