Oak LDAP IdentityProvider が AEMaaCS でユーザーとグループを同期できない
Adobe Experience Manager as a Cloud Service(AEMaaCS)のOak LDAP IdentityProvider で、外部の LDAP (Lightweight Directory Access Protocol)ディレクトリからユーザーとグループを同期できません。 その結果、ユーザーとグループのエントリが欠落し、適切な認証とプロビジョニングがブロックされます。 この問題を解決するには、LDAP 設定を更新し、再トリガーの同期を行います。
説明 description
環境
Adobe Experience Manager as a Cloud Service(AEMaaCS)
問題/症状
- 外部 LDAP ディレクトリからのグループの同期がアプリケーションで失敗します。
- グループエントリが解決されず、承認マッピングが見つかりません。
- ユーザー検索は、一致するエントリを返さず、プロビジョニングとアクセスをブロックします。
解決策 resolution
問題を解決するには、次の手順に従います。
-
ユーザーエントリの正しい LDAP パスに
userConfig.baseDNを設定します。 例:OU=EndUsers,OU=Corporate,OU=Accounts,DC=example,DC=com or DC=example,DC=com。 -
userConfig.extraFilterの設定を確認して調整します。- 不要な場合は
extraFilterを削除します。 - 必要に応じて、
(memberOfFilterTemplate = "(|(memberOf=CN=Group1,...)(memberOf=CN=Group2,...))")のようにハードコーディングされたユーザー名の代わりに、グループメンバーシップに基づくフィルターを使用します。
- 不要な場合は
-
グループエントリの正しい LDAP パスに
groupConfig.baseDNを設定します。 例:OU=Global,OU=Unmanaged,OU=Groups,DC=example,DC=com。 -
グループ設定の指定:
groupConfig.objectClasses = [ group]を設定します。groupMemberAttribute = memberを設定します。
-
user.membershipNestingDepthを 1 以上に設定して、ネストされたグループメンバーシップの同期を有効にします。 -
JMX コンソールから、またはテストアカウントでログインして、ユーザー同期を再実行します。
-
/home/groups/<IDP name>の下にグループが表示され、ユーザーに正しいメンバーシップが割り当てられていることを確認します。
その他のメモ:
-
Active Directory 環境で、次の操作を行います。
sAMAccountName、objectClass、membership 属性などの属性がディレクトリ構造と一致していることを確認します。- グループは、AEM as a Cloud Serviceの
/home/groups/ldapの下に保持されない場合がありますが、承認のために正しく解決されます。
-
Adobe IMSは、AEM as a Cloud Serviceでの作成者認証に対応した id プロバイダーです。 その他のプロバイダーでは、更新間の信頼性が維持されない場合があります。