30日間の無料評価版をお試しいただけます。

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

概要

Yellowfinには、管理コンソールから構成可能な認証方法が二つあり、それは「Yellowfin認証」または、「LDAP認証」です。Yellowfin認証とは、ユーザーの資格情報(ユーザーID、およびパスワード)はYellowfinに保存され、システムへのユーザーログインを認証するために確認されます。LDAP認証とは、Yellowfinは認証をするために、外部のディレクトリ(LDAP)や、データベースを参照します。ユーザーは、自身のユーザーIDとパスワードを入力することで(または、シングルサインオンから渡されることで)、YellowfinはLDAPディレクトリを使用して、これらの詳細情報を認証します。

LDAPを使用することで、Yellowfinへのアクセスは外部から制御可能になり、組織全体に渡り、シンプルで素早くなります。ユーザーは、既存のイントラネットのパスワードをYellowfinへのログインに使用することができ、特定のLDAPグループのユーザーを含めたり、排除したりすることで、レポートへのアクセスを制限することができます。さらに、LDAPディレクトリ内で削除やロックアウトをしたユーザーは、自動的にYellowfinにも反映されます。これは、Yellowfinが、手動でのユーザー管理を最小化するために、すべてのログインリクエストを、ディレクトリを介して認証しなくてはいけないからです。

LDAPの準備

YellowfinにLDAPパラメーターを設定する前に、以下の手順を完了しなくてはいけません。

  1. LDAPディレクトリ内で、Yellowfinユーザーを作成し(または、既存ユーザーを指定し)、Yellowfinに接続と、ユーザーやグループの検索を許可します。
  2. LDAPディレクトリ内に、「Yellowfinユーザー」グループを作成します(または、既存のグループを指定します)。こちらのグループは、どのユーザーにYellowfinへのアクセス権を付与するかを決める際に使用されます。
  3. Yellowfinサーバと、LDAPサーバ間の接続を確立します。
  4. LDAPユーザーのデフォルトYellowfinロールを定義します。

デフォルトロールの定義

Yellowfinで自動的にユーザーを使用できるようにするためには、ユーザーにロールを割り当てなくてはいけません。このロールは、Yellowfin「デフォルト」ロールとして定義されます。ロール項目で、ひとつのロールをデフォルトとして定義します。

  1. 管理コンソール」>「ロール」に移動します。
  2. デフォルトに設定するロールを選択します。

  3. ロール詳細の項目で、「デフォルトロール」にチェックを入れて、「保存」します。

注意:ユーザーにデフォルトロールが設定されていない場合、ユーザーはYellowfinに正しく設定されず、プロセスは失敗します。

Yellowfin LDAP構成

LDAPディレクトリのユーザーを設定して、LDAP認証に使用するためには、システム構成ページで必要な属性を定義しなくてはいけません。Yellowfinに設定が必要な属性は、以下の通りです。

プロパティ説明

LDAP Host

LDAPサーバーのホスト名、またはIPアドレスです。

LDAP Port

LDAPサーバーがリッスンしている、TCP/IPポートです。

暗号化LDAPサーバにより実装される暗号化方法です(なし、TLS、SSL)。

LDAP Base DN

すべてのユーザー、およびグループを含むLDAPノードです。

LDAP Group

Yellowfinにログインできるユーザーを識別するLDAPグループ名です。このグループは、Yellowfin内ではなく、LDAPディレクトリ内に存在します。こちらグループのメンバーのみ、Yellowfinにログインすることができます。

LDAP Bind User

Yellowfinアプリケーションが、LDAPディレクトリに接続して検索アクセスを行うために使用するLDAPユーザーです。こちらのユーザーには、LDAPディレクトリを検索する権限が付与されていなくてはいけません。

LDAP Bind User Password

上記で定義されたLDAP Bind Userに関連する、YellowfinアプリケーションがLDAPディレクトリに接続するために必要なLDAPパスワードです。

LDAP Search Attribute

LDAPユーザーが、Yellowfinにログインするための固有のユーザー名フィールドです。

LDAP First Name Attribute

LDAPディレクトリ内のユーザーの名属性にマッピングします。マッピングすることで、Yellowfinは、ユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。

LDAP Surname Attribute

LDAPディレクトリ内のユーザーの姓属性にマッピングします。マッピングすることで、Yellowfinは、ユーザーと名前を一致させて内部ユーザーアカウントを作成することができます。

LDAP Email Attribute

LDAPディレクトリ内のユーザーの電子メールアドレス属性にマッピングします。マッピングすることで、Yellowfinはユーザーとブロードキャストレポート用の電子メールアドレスを一致させることができます。

LDAP Role Attribute

デフォルトロールの代わりにユーザーに割り当てられるYellowfinロールにマッピングします。組織ロールテーブルの、ロールコードを参照してください。

LDAPグループ条件

LDAPグループ一覧をフィルターする際に使用する条件です。フィルターが適用された一覧に返されたグループのみ、Yellowfinへ渡されます。

順序こちらの順序に従い、内部認証が実行されます(LDAP認証を優先、内部認証を優先)。

上述の項目を定義すると、Yellowfinは、ユーザーが初めてYellowfinへのログインを試みた際に、自動的にユーザーを設定します。

注意:LDAP内のユーザー数が、購入したライセンス数を超過した場合は、新しいユーザーはシステムに設定されません。

設定パラメーター
LDAP Host192.168.4.241
LDAP Port389
LDAP Base DNcn=Users,dc=i4,dc=local
LDAP GroupCN=Yellowfin Users,CN=Users, CD=i4,CD=local
LDAP Bind Usercn=Administrator,cn=Users,dc=i4,dc=local
LDAP Bind Password*********
LDAP Search AttributeemployeeID
LDAP First Name AttributegivenName
LDAP Surname AttributelastName
LDAP Email AttributeuserPrincipleName
LDAP Role AttributeWriter
順序LDAP認証を優先

説明

上記の設定は、以下のように動作します。

  • LDAP Host 192.168.4.241に、ポート389を使用して接続します。
  • ユーザーは、cn=Users,dc=i4,dc=localから検索されます。
  • ユーザーは、cn=Yellowfin Users,cn=Users,dc=i4,dc=localのメンバーである場合、Yellowfinへアクセスすることができます。
  • ユーザー検索は、LDAPサーバーにバインドされたユーザー名cn=Administrator,cn=Users,dc=i4,dc=local、定義されたパスワードを使用して実行されます。
  • ユーザーは、employeeIDをログインIDに使用し、Yellowfinはユーザーの名、姓、および電子メールアドレスを、それぞれLDAPディレクトリ属性のgivenNameLastName、およびuserPrincipalNameからロードします。

注意:ユーザーがLDAPディレクトリ内に存在しない場合は、標準的なYellowfinユーザーとして、ユーザー名を検索します。

YellowfinのセキュリティとLDAP

LDAP認証を有効化すると、「LDAP」と呼ばれる新しいグループオプションがグループ管理画面に表示されます。これは、LDAPディレクトリからのグループ参照して、標準的なYellowfinグループとして使用します。Yellowfinグループは、LDAPとYellowfinグループとの混ぜ合わせを含め、様々なソースを基に作成することができます。この場合、新しいグループにはLDAPグループを含めることも、排除することもできます。

  1. LDAPグループの追加」ドロップダウンを開きます。
  2. LDAPグループの一覧が表示されます。Yellowfinグループのメンバーを作成するために使用するグループを選択します。
  3. 追加」をクリックし、YellowfinグループにLDAPグループのメンバーを追加します。

 

  • No labels