Active Directory 統合機能

Active Directory 統合による認証

IBM® Marketing Software アプリケーションは、ユーザー権限情報を得るために Marketing Platform への照会を実行します。

• Marketing Platform の旧バージョンでは、NTLMv1 ベースの Microsoft Windows 統合ログインがサポートされていました。Microsoft Windows 2008 サーバーおよび Microsoft Windows 7 の登場により、デフォルトの最小標準が変更され、NTLMv2 プロトコルが必要になりました。NTLMv2 は、Marketing Platform でネイティブにはサポートされていません。

  しかし、NTLMv2 認証を構成すると、企業ネットワークにログインしたユーザーは、すべての IBM Marketing Software アプリケーションで認証されるため、IBM Marketing Software アプリケーションにログインするためのパスワードが不要になります。ユーザーの認証は Windows ログインに基づいて行われ、アプリケーションのログイン画面はバイパスされます。

  NTLMv2 認証を構成するには、この章で説明する手順を実行し、さらに、以下の developerWorks の記事で説明されている追加の構成を行います。

  https://www.ibm.com/developerworks/community/wikis/home?lang=en#!/wiki/W3a9d2a3c495a_47b6_97a9_e2b8f68b2e88/page/NTLMv2%20authentication%20with%20IBM%20Unica%20Marketing%20Platform.

  この記事では、Microsoft Internet Information Services (IIS)、Microsoft Internet Information Services のアプリケーション・サーバー・プラグイン、および ISAPI Rewrite Lite エディションなどの URL 再書き込みプログラムを使用して NTLMv2 認証を実装する方法について詳しく説明します。

• NTLMv2 認証を有効にしない場合は、通常どおり、ユーザーは自分の Windows 資格情報を使用して、IBM Marketing Software ログイン画面でログインする必要があります。

内部ユーザーと外部ユーザーの管理

NTLMv2 認証を有効にする場合は、すべてのユーザーを、Active Directory サーバーで作成し、保守します。(本書で内部ユーザーと呼ぶ一部のユーザーを Marketing Platform に作成するオプションはありません。) 内部ユーザーを作成する機能が必要な場合は、NTLMv2 認証を有効にしないでください。

統合が構成されると、Marketing Platform で、インポートされたユーザー・アカウントの追加、変更、および削除ができなくなります。これらの管理タスクは LDAP 側で行って、同期が実行されるときに変更内容がインポートされるようにする必要があります。Marketing Platform でインポートされたユーザー・アカウントを変更すると、ユーザーの認証で問題が生じることがあります。

LDAP 側で削除するユーザー・アカウントは Marketing Platform からは削除されません。それらのアカウントは、Marketing Platform で手動で無効にする必要があります。それら削除されたユーザー・アカウントは、削除するよりも無効にする方が安全です。 それは、ユーザーには Campaign でのフォルダーの所有特権があるため、 フォルダーを所有するユーザー・アカウントを削除するとそのフォルダー内のオブジェクトが使用不可になるためです。

同期化

IBM Marketing Software を Active Directory サーバーと統合するように構成した場合、ユーザーおよびグループは事前定義された間隔で自動的に同期化されます。

自動同期の機能は制限されています。

• 自動同期では、ユーザー属性のみが更新されます。グループ・メンバーの追加、削除、変更などのグループ・メンバーシップの変更は管理者が管理する必要があるため、それらの変更をインポートするには、デフォルトでは、手動同期プロセスを使用するしかありません。
• LDAP サーバーから削除されたユーザーは、自動同期では削除されません。

IBM Marketing Software の「ユーザー」領域で同期化機能を使用して、すべてのユーザーおよびグループの完全同期を強制することができます。あるいは、IBM サービスに連絡を取り、自動同期で完全同期を実行するための隠し構成プロパティーを設定するように依頼することもできます。

グループまたは属性に基づくユーザーのインポート

2 つのタイプのフィルタリングのいずれかを選択して、LDAP サーバーから Marketing Platform にインポートされたユーザー・アカウントを選定できます。

グループに基づくインポートまたは属性に基づくインポートから選択する必要があります。 複数の方式が同時にサポートされることはありません。

グループに基づくインポート

Marketing Platform は、ディレクトリー・サーバーから自動的に情報を取得する定期的な同期化タスクによって、ディレクトリー・サーバー・データベースからグループとそのユーザーをインポートします。Marketing Platform によってユーザーとグループがサーバー・データベースからインポートされる場合に、グループ・メンバーシップは変更されません。それらの変更を反映するには、手動同期を実行する必要があります。

Active Directory グループを IBM Marketing Software グループにマップすることによって、IBM Marketing Software の特権を割り当てることができます。このマッピングによって、マップされる Active Directory グループに追加された新規ユーザーは、対応する IBM Marketing Software グループに設定されている特権を引き継ぐことができます。

Marketing Platform 内のサブグループは、その親に割り当てられた Active Directory マッピングやユーザー・メンバーシップを継承しません。

グループに基づくインポートを構成する方法について詳しくは、本章の続く箇所を参照してください。

属性に基づくインポート

IBM Marketing Software 製品に固有のグループを Active Directory サーバー内に作成するのが適切でない場合は、属性を指定することによって、インポートされるユーザーを制御することが可能です。そうするには、設定プロセスの際に以下を行います。

1. Active Directory サーバーで、フィルター対象となる属性に使われている文字列を判別します。
2. 「IBM Marketing Platform | セキュリティー | LDAP 同期 | LDAP ユーザー参照属性名」プロパティーを DN に 設定します。

   これにより、メンバー参照を伴うグループに基づく同期ではなく、組織単位または組織に基づいていることが Marketing Platform に対して示されます。

3. 「LDAP 参照マップ」プロパティーを構成するとき、値の「フィルター」部分を、検索対象となる属性に設定します。フィルターには、ステップ 1 で判別した文字列を使用します。

属性に基づく同期を使用する場合、定期的な同期は、グループに基づく同期で行われる部分同期ではなく、常に完全同期となります。属性に基づく同期では、「LDAP 同期間隔」プロパティーを高い値に設定する必要があります。 または値を 0 に設定して自動同期をオフにし、ユーザーがディレクトリーに追加されるときの手動による完全同期に依存する必要があります。

本章の続く箇所に示されている手順に従って、構成プロパティーを設定した上記のステップの手順を使用しながら、統合を構成します。

Active Directory とパーティションについて

マルチパーティション環境では、ユーザーが属しているグループがパーティションに割り当てられている場合、ユーザーのパーティション・メンバーシップはそのグループによって決定されます。1 人のユーザーは、1 つのパーティションにのみ属することができます。そのため、あるユーザーが複数の Active Directory グループに属していて、それらのグループが別のパーティションに割り当てられた IBM Marketing Software グループにマップされている場合、 システムはそのユーザーのために 1 つのパーティションを選択する必要があります。

この状態を回避するよう努力する必要があります。しかし、この状態が生じた場合には、 直前に Active Directory グループにマップされた IBM Marketing Software グループのパーティションが、ユーザーの所属先になります。直前にマップされた Active Directory グループを判別するには、「構成」領域に表示される LDAP グループ・マッピングを確認してください。これらのマッピングは日時順に表示されるので、最新マッピングが最後にリストされています。

ログイン名での特殊文字

ログイン名に使用できる特殊文字は、ドット (.)、アンダースコアー ( _ )、およびハイフン (-) の 3 つだけです。Active Directory サーバーから Marketing Platform にインポートする予定のユーザーのログイン名にその他の特殊文字 (スペースを含む) が使用されている場合、 ユーザーがログアウトするときや管理タスクを実行するとき (ユーザーに管理特権がある場合) に問題が生じないように、ログイン名を変更する必要があります。