LDAP 統合機能

LDAP 統合による認証

IBM® Marketing Software アプリケーションは、ユーザー権限情報を得るために Marketing Platform への照会を実行します。LDAP 統合が実装されている場合、ユーザーは、有効な LDAP ユーザー名およびパスワードを認証のために IBM Marketing Software アプリケーションに入力します。

内部ユーザーと外部ユーザーの管理

統合が構成されると、Marketing Platform で、インポートされたユーザー・アカウントの追加、変更、および削除ができなくなります。これらの管理タスクは LDAP 側で行って、同期が実行されるときに変更内容がインポートされるようにする必要があります。Marketing Platform でインポートされたユーザー・アカウントを変更すると、ユーザーの認証で問題が生じることがあります。

LDAP 側で削除するユーザー・アカウントは Marketing Platform からは削除されません。それらのアカウントは、Marketing Platform で手動で無効にする必要があります。それら削除されたユーザー・アカウントは、削除するよりも無効にする方が安全です。 それは、ユーザーには Campaign でのフォルダーの所有特権があるため、 フォルダーを所有するユーザー・アカウントを削除するとそのフォルダー内のオブジェクトが使用不可になるためです。

同期化

IBM Marketing Software を LDAP サーバーと統合するように構成した場合、ユーザーおよびグループは事前定義された間隔で自動的に同期化されます。

自動同期の機能は制限されています。

• 自動同期では、ユーザー属性のみが更新されます。グループ・メンバーの追加、削除、変更などのグループ・メンバーシップの変更は管理者が管理する必要があるため、それらの変更をインポートするには、デフォルトでは、手動同期プロセスを使用するしかありません。
• LDAP サーバーから削除されたユーザーは、自動同期では削除されません。

IBM Marketing Software の「ユーザー」領域で同期化機能を使用して、すべてのユーザーおよびグループの完全同期を強制することができます。あるいは、IBM サービスに連絡を取り、自動同期で完全同期を実行するための隠し構成プロパティーを設定するように依頼することもできます。

グループまたは属性に基づくユーザーのインポート

2 つのタイプのフィルタリングのいずれかを選択して、LDAP サーバーから Marketing Platform にインポートされたユーザー・アカウントを選定できます。

グループに基づくインポートまたは属性に基づくインポートから選択する必要があります。 複数の方式が同時にサポートされることはありません。

グループに基づくインポート

Marketing Platform は、ディレクトリー・サーバーから自動的に情報を取得する定期的な同期化タスクによって、ディレクトリー・サーバー・データベースからグループとそのユーザーをインポートします。Marketing Platform によってユーザーとグループがサーバー・データベースからインポートされる場合に、グループ・メンバーシップは変更されません。それらの変更を反映するには、手動同期を実行する必要があります。

LDAP グループを IBM Marketing Software グループにマップすることによって、IBM Marketing Software の特権を割り当てることができます。このマッピングによって、マップされる LDAP グループに追加された新規ユーザーは、対応する IBM Marketing Software グループに指定されている特権を引き継ぐことができます。

Marketing Platform 内のサブグループは、その親に割り当てられた LDAP マッピングやユーザー・メンバーシップを継承しません。

グループに基づくインポートを構成する方法について詳しくは、本章の続く箇所を参照してください。

属性に基づくインポート

IBM Marketing Software 製品に固有のグループを LDAP サーバー内に作成するのが適切でない場合は、属性を指定することによって、インポートされるユーザーを制御することが可能です。そうするには、LDAP 設定プロセスの際に以下を行います。

1. LDAP サーバーで、フィルター対象となる属性に使われている文字列を判別します。
2. 「IBM Marketing Platform | セキュリティー | LDAP 同期 | LDAP ユーザー参照属性名」プロパティーを DN に 設定します。

   これにより、メンバー参照を伴うグループに基づく同期ではなく、組織単位または組織に基づいていることが Marketing Platform に対して示されます。

3. 「LDAP 参照マップ」プロパティーを構成するとき、値の「フィルター」部分を、検索対象となる属性に設定します。フィルターには、ステップ 1 で判別した文字列を使用します。

属性に基づく同期を使用する場合、定期的な同期は、グループに基づく同期で行われる部分同期ではなく、常に完全同期となります。属性に基づく同期では、「LDAP 同期間隔」プロパティーを高い値に設定する必要があります。 または値を 0 に設定して自動同期をオフにし、ユーザーがディレクトリーに追加されるときの手動による完全同期に依存する必要があります。

LDAP とパーティションについて

マルチパーティション環境では、ユーザーが属しているグループがパーティションに割り当てられている場合、ユーザーのパーティション・メンバーシップはそのグループによって決定されます。1 人のユーザーは、1 つのパーティションにのみ属することができます。したがって、1 人のユーザーが複数の LDAP グループに属していて、それらのグループが別のパーティションに割り当てられた IBM Marketing Software グループに割り当てられている場合、システムはそのユーザーに対して 1 つのパーティションを選択する必要があります。

この状態を回避するよう努力する必要があります。しかし、万一この状態が起こってしまった場合、直前に LDAP グループにマップされた IBM Marketing Software グループのパーティションが、ユーザーの所属先になります。直前にマップされたのがどの LDAP なのか判別するには、「構成」領域に表示される LDAP グループ・マッピングを見てください。これらのマッピングは日時順に表示されるので、最新マッピングが最後にリストされています。

内部ユーザーと外部ユーザーのサポート

IBM Marketing Software は、2 つのタイプのユーザー・アカウントおよびグループをサポートしています。

• 内部 - IBM Marketing Software セキュリティー・ユーザー・インターフェースを使用して IBM Marketing Software 内部で作成されるユーザー・アカウントおよびグループ。これらのユーザーは Marketing Platform によって認証されます。
• 外部 - サポートされる LDAP サーバーとの同期化によって IBM Marketing Software にインポートされるユーザー・アカウントおよびグループ。この同期化が行われるのは、IBM Marketing Software が LDAP サーバーと統合されるよう構成されている場合のみです。これらのユーザーは、LDAP サーバーによって認証されます。

例えば、顧客を LDAP サーバーに完全な企業ユーザーとして追加せずに IBM Marketing Software アプリケーションへのアクセス権限を顧客に与えたい場合、両方のタイプのユーザーおよびグループを作成することができます。

このハイブリッド認証モデルを使用する際は、純粋な LDAP 認証モデルの場合より多くのメンテナンスが必要になります。

ログイン名での特殊文字

ログイン名に使用できる特殊文字は、ドット (.)、アンダースコアー ( _ )、およびハイフン (-) の 3 つだけです。LDAP サーバーから Marketing Platform にインポートする予定のユーザーのログイン名にその他の特殊文字 (スペースを含む) が使用されている場合、ユーザーがログアウトするときや管理タスクを実行するとき (ユーザーに管理特権がある場合) に問題が生じないように、ログイン名を変更する必要があります