承認マネージャーのアプリケーション グループとは

承認マネージャーでは、LDAP クエリを使って、Active Directory ドメイン サービス (AD DS)、Active Directory ライトウェイト ディレクトリ サービス (AD LDS) やその他の LDAP 準拠ディレクトリのオブジェクトを検索できます。

LDAP クエリを使って、アプリケーション グループの [プロパティ] ダイアログ ボックスの [クエリ] タブにあるスペースに必要な LDAP クエリを入力すると、LDAP クエリ グループを指定することができます。

承認マネージャーで、LDAP クエリ グループの定義に使用できる LDAP クエリとして、承認マネージャー バージョン 1 のクエリと LDAP URL クエリの 2 種類がサポートされます。

• 承認マネージャー バージョン 1 の LDAP クエリ
  
  バージョン 1 の LDAP クエリは、RFC 2255 で説明されている LDAP URL クエリ構文を限定的にサポートします。サポートされるクエリは、現在のクライアント コンテキストで指定されているユーザー オブジェクトの属性一覧に対するクエリに限られます。
  
  たとえば、次のクエリは Andy 以外の全員を検索します。
  
  (&(objectCategory=person)(objectClass=user)(!cn=andy)).
  
  このクエリでは、クライアントが、northwindtraders.com でエイリアスが StatusReports であるメンバーであるかどうかが評価されます。
  
  (memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)
  
  承認マネージャーでは、以前のバージョンの承認マネージャーを使用して開発されたソリューションを少ない労力でアップグレードできるように、バージョン 1 のクエリが引き続きサポートされます。
  
  
• LDAP URL クエリ
  
  検索できるオブジェクトや属性についての制限をなくすため、承認マネージャーでは、RFC 2255 に基づく LDAP URL クエリ構文がサポートされています。これにより、現在のユーザー オブジェクト以外のディレクトリ オブジェクトを検索のルートとして使用する、LDAP クエリ グループを作成できます。
  
  LDAP URL は、プロトコル プレフィックス "ldap" で始まり、次の形式に従います。
  
  

	注
	識別名は DN とも呼ばれます。

ldap://<サーバー:ポート>/<基本オブジェクト DN>?<属性>?<クエリのスコープ>?<フィルター>

特に、以下の文法がサポートされます。

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName 
       hostport   = hostport 
       attrdesc   = AttributeDescription 
       filter     = filter 

たとえば、次のクエリは、ホスト "fabserver" のポート 389 上で実行している LDAP サーバーから、会社属性が "FabCo" に設定されているユーザーを返します。

ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

LDAP URL クエリを使用する場合、特殊なプレースホルダー値 %AZ_CLIENT_DN% を使用できます。このプレースホルダーには、アクセスをチェックするクライアントの識別名 (DN) を指定します。これにより、要求を行うクライアントの識別名との関連に基づいてディレクトリからオブジェクトを返すクエリを作成できます。

次の例は、ユーザーが "Customers" 組織単位のメンバーであるかどうかをテストする LDAP クエリです。

ldap://<サーバー:ポート>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

次の例は、ユーザーが "SomeManager" という名前のマネージャーに直接レポートを行うユーザーかどうかをテストし、SomeManager の "searchattribute" が固有の値 "searchvalue" と同じになっていることをテストする LDAP クエリです。

ldap://<サーバー:ポート>/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))

LDAP URL クエリの構文の詳細については、「共通の LDAP RFC」の RFC 2255 に関する記述 (https://go.microsoft.com/fwlink/?linkid=65973) を参照してください。

	重要
	LDAP クエリが "ldap" で始まる場合、そのクエリは LDAP URL クエリとして扱われます。その他の文字で始まる場合は、バージョン 1 のクエリとして扱われます。

基本アプリケーション グループは、承認マネージャーに固有のものです。

基本アプリケーション グループのメンバーシップを定義するには、次の手順を実行する必要があります。

1. だれがメンバーであるかを定義します。
   
   
2. だれがメンバーでないかを定義します。
   
   

これらの手順はどちらも同じように実行します。

• まず、0 以上の数の Windows ユーザーとグループ、既に定義された基本アプリケーション グループ、または LDAP クエリ グループを指定します。
  
  
• 次に、グループからメンバー以外を削除して、基本アプリケーション グループのメンバーシップを計算します。承認マネージャーでは、これを実行時に自動的に行います。
  
  

	重要
	基本アプリケーション グループの非メンバーシップは、メンバーシップよりも優先されます。

ビジネス規則アプリケーション グループは、承認マネージャーに固有のものです。

ビジネス規則アプリケーション グループのメンバーシップを定義するには、VBScript または JScript のいずれかでスクリプトを記述する必要があります。スクリプトのソース コードは、ビジネス規則アプリケーション グループの [プロパティ] ページにあるテキスト ファイルから読み込まれます。