LDAP を介した接続

キャンペーンとLDAPの設定

メモ

LDAP設定は、オンプレミスインストールまたはハイブリッドインストールでのみ可能です。

LDAP設定は、デプロイウィザードで実行されます。 最初の設定手順で、LDAP integration​オプションを選択する必要があります。 デプロイウィザードを参照してください。

ウィンドウでは、指定したLDAPディレクトリを介したAdobe CampaignユーザーのIDを設定できます。

  • LDAP server​フィールドにLDAPサーバーのアドレスを指定します。 ポート番号を追加できます。 デフォルトでは、使用されるポートは389です。

  • ドロップダウンリストで、ユーザーの認証方法を選択します。

    • 暗号化されたパスワード(md5)

      デフォルトモード。

    • プレーンテキストのパスワード+ SSL (TLS)

      認証手順全体(パスワードを含む)が暗号化されます。 セキュアポート636は、このモードでは使用できません。Adobe Campaignは自動的にセキュアモードに切り替わります。

      この認証モードを使用すると、Linuxでは、証明書はopenLDAPクライアントライブラリによって検証されます。 認証手順が暗号化されるように、有効なSSL証明書を使用することをお勧めします。 そうしないと、情報はプレーンテキストになります。

      証明書はWindowsでも検証されます。

    • Windows NT LAN Manager (NTLM)

      独自のWindows認証。 一意の識別子​はドメイン名にのみ使用されます。

    • 分散パスワード認証(DPA)

      独自のWindows認証。 一意の識別子​は、ドメイン名(domain.com)にのみ使用されます。

    • プレーンテキストのパスワード

      暗号化なし(テストフェーズでのみ使用)。

  • ユーザー認証モードを選択します。一意のユーザー識別子​を自動的に計算する(手順識別名の計算を参照)か、ディレクトリ内で一意のユーザー識別子を検索します(手順識別子の検索を参照)。

互換性

互換性のあるシステムは、選択した認証メカニズムによって異なります。 次に、オペレーティングシステムとLDAPサーバーの互換性マトリックスを示します。

OpenLDAP
Active Directory
md5
Windows、Linux
Linux
TLS
Linux
Windows、Linux
NTLMおよびDPA
Windows
プレーンテキスト
Windows、Linux
Windows、Linux

識別名の計算

識別名(DN)識別子を計算する場合は、デプロイウィザードの次の手順で計算モードを設定できます。

  • 識別名​フィールドに、ディレクトリ内のユーザーの一意の識別子(識別名 — DN)を指定します。

    (ログイン) は、Adobe CampaignオペレーターのIDに置き換えられます。

    注意

    dc​の設定は小文字にする必要があります。

  • LDAPディレクトリ内のグループとユーザーの関連付け、およびAdobe Campaign内のグループとユーザーの関連付けを同期するには、「Enable synchronization of user rights from authorizations and groups in the directory」オプションを選択します。

    このオプションを選択すると、検索​に使用する​​アプリケーションレベルDNと、アプリケーションログイン​​の​パスワードが有効になります。

    これら2つのフィールドに値を入力すると、Adobe Campaignは独自のログインとパスワードを使用してLDAPサーバーに接続します。 空の場合、Adobe Campaignは匿名でサーバーに接続します。

識別子の検索

識別子の検索を選択した場合、デプロイウィザードで検索を設定できます。

  • 検索​および​​アプリケーションログイン​​フィールドの検索に使用する​アプリケーションレベルDNに、Adobe Campaignが識別子を検索するために接続する識別子とパスワードを指定します。 空の場合、Adobe Campaignは匿名でサーバーに接続します。

  • 検索を開始するLDAPディレクトリのサブセットを決定するために、基本識別子​および​検索範囲​フィールドを指定します。

    ドロップダウンリストで必要なモードを選択します。

    1. 繰り返し(デフォルトモード)

      LDAPディレクトリは、指定されたレベルから始まり、完全に検索されます。

    2. ベースに限定.

      すべての属性が検索に含まれます。

    3. ベース​の最初のサブレベルに制限されます。

      検索は、ディレクトリのすべての属性に対して、属性の第1レベルから開始して実行されます。

  • フィルター」フィールドを使用して、検索範囲を絞り込むための要素を指定できます。

LDAP認証の設定

このウィンドウは、「ディレクトリ内の権限およびグループのユーザー権限の同期を有効にする」オプションを選択すると表示されます。

ユーザーが属するグループまたはグループと、対応する権限を検索するために、複数のパラメーターを指定する必要があります。例:

  • データベース識別子​フィールド

  • 検索範囲​フィールド

    メモ

    DNの検索を選択した場合は、「DN検索パラメーター​を再利用して、前の画面からDNと検索範囲の選択した値を引き継ぐ」を選択できます。

  • 権限検索フィルター​フィールド(ログイン名とユーザーの識別名に基づく)

  • ユーザーに関するグループまたは認証名​フィールドを含む​属性

  • 関連付けマスク​フィールド。Adobe Campaignでのグループ名とそれに関連する権限を抽出できます。 正規表現を使用して、名前を検索できます。

  • オペレーターがAdobe Campaign で宣言されていない場合は、「 LDAPディレクトリで宣言されたユーザーの接続を有効にする」を選択し、接続時にユーザーにアクセス権が自動的に付与されるようにします。

保存」をクリックして、インスタンスの設定を終了します。

オペレーターの管理

設定を確認したら、LDAPディレクトリを使用して、管理するAdobe Campaignオペレーターを定義する必要があります。

LDAPディレクトリを使用してオペレーターを認証するには、対応するプロファイルを編集し、「アクセスパラメーター​を編集」リンクをクリックします。 「認証にLDAPを使用」オプションを選択します。パスワード​フィールドは、この演算子では灰色表示になっています。

ユースケース

この節では、ニーズに基づいて最も適切な設定を実現するのに役立つ、簡単な使用例をいくつか示します。

  1. ユーザーがLDAPディレクトリに作成されたが、Adobe Campaignには作成されていない。

    Adobe Campaign のプラットフォームにアクセスするユーザーを、LDAP で認証することができます。Adobe CampaignでオペレーターをオンザフライでAdobe Campaignで作成できるように、LDAPディレクトリ内のIDとパスワードの組み合わせの有効性を制御できる必要があります。 これをおこなうには、「Adobe Campaign で演算子が宣言されていない場合、LDAPディレクトリで宣言されたユーザーの接続を有効にする」オプションをオンにします。​この場合、グループの同期も設定する必要があります。ディレクトリ​のオプションで、認証およびグループからのユーザー権限の同期を有効にする必要があります。

  2. ユーザーがAdobe Campaignに作成されたが、LDAPディレクトリには作成されていない。

    Adobe Campaignにログオンできなくなります。

  3. LDAPディレクトリに、Adobe Campaignに存在しないグループがあります。

    このグループはAdobe Campaignでは作成されません。 ​ディレクトリ内の認証とグループからのユーザー権限の同期を有効にする」オプションを使用して一致を有効にするには、グループを作成し、グループを同期する必要があります。

  4. グループはAdobe Campaignに存在し、イベントの後にLDAPディレクトリがアクティブ化されます。Adobe Campaignのユーザーグループは、LDAPグループのコンテンツに自動的に置き換えられません。 同様に、Adobe Campaignにのみグループが存在する場合、LDAPでグループが作成および同期されるまで、LDAPユーザーを追加できません。

    グループは、Adobe CampaignでもLDAPでも、その場で作成されることはありません。 これらは、Adobe CampaignとLDAPディレクトリの両方で、個別に作成する必要があります。

    LDAPディレクトリ内のグループの名前は、Adobe Campaignグループの名前と一致する必要があります。 関連付けマスクは、デプロイウィザードの最後の設定段階で定義されます。Adobe Campaign_(.*)を使用します。

このページ