LDAP サーバーでグループ・メンバーシップ関係を検索するように、Virtual member manager で memberAttributes および membershipAttribute を構成できます。
グループとそのメンバー (例: PersonAccount エンティティー) は、主に次の 2 通りの方法で保管できます。
- 例えば、PersonAccount エンティティーに memberof という属性があり、この memberof 属性が、このユーザーが属するグループを指しているとします。この例の memberof 属性は、グループ・メンバーシップ属性と呼ばれます。
- 例えば、Group エンティティーに、member という属性があり、この member 属性がグループのメンバーを指しているとします。この例の member 属性は、グループ・メンバー属性と呼ばれます。
LDAP サーバーでのグループ・メンバーシップを次の例に示します。
- Group
cn=grp1,dc=com with attribute 'member' value: uid=usr1,dc=com
- PersonAccount
uid=usr1,dc=com with attribute 'memberof' value: cn=grp1,dc=com
wimconfig.xml で対応するメンバーとメンバーシップの構成は次のようになります。
<config:groupConfiguration>
<config:memberAttributes name="member" objectClass="group" scope="direct"/>
<config:membershipAttribute name="memberof" scope="direct"/>
</config:groupConfiguration>
- memberAttributes
- memberAttributes 構成を使用して、LDAP に Group エンティティーのメンバーを保管する LDAP 属性を指定します。
- membershipAttribute
- membershipAttribute 構成を使用して、LDAP に PersonAccount エンティティーのグループを保管する LDAP 属性を指定します。
パフォーマンスに関するヒント: LDAP サーバーに複数のグループがある場合、グループ・メンバーシップ関係の検索時のパフォーマンスを向上させるため、Virtual member manager の membershipAttribute を構成します。memberAttributes と membershipAttribute の両方が同時に構成される場合、ユーザーが属するグループを取得する際には membershipAttribute が優先されます (例えば、グループ・ユーザーの取得時に memberAttribute が優先されるログイン・シナリオなど)。