Communities
A collaborative platform to connect and grow with like-minded Informaticans across the globe
Product Communities
Connect and collaborate with Informatica experts and champions
Discussions
Have a question? Start a Discussion and get immediate answers you are looking for
User Groups
Customer-organized groups that meet online and in-person. Join today to network, share ideas, and get tips on how to get the most out of Informatica
Get Started
Community Guidelines
Knowledge Center
Troubleshooting documents, product guides, how to videos, best practices, and more
Knowledge Base
One-stop self-service portal for solutions, FAQs, Whitepapers, How Tos, Videos, and more
Support TV
Video channel for step-by-step instructions to use our products, best practices, troubleshooting tips, and much more
Documentation
Information library of the latest product documents
Velocity (Best Practices)
Best practices and use cases from the Implementation team
Learn
Rich resources to help you leverage full capabilities of our products
Trainings
Role-based training programs for the best ROI
Certifications
Get certified on Informatica products. Free, Foundation, or Professional
Product Learning Paths
Free and unlimited modules based on your expertise level and journey
Resources
Library of content to help you leverage the best of Informatica products
Tech Tuesdays Webinars
Most popular webinars on product architecture, best practices, and more
Product Availability Matrix
Product Availability Matrix statements of Informatica products
SupportFlash
Monthly support newsletter
Support Documents
Informatica Support Guide and Statements, Quick Start Guides, and Cloud Product Description Schedule
Product Lifecycle
End of Life statements of Informatica products
Ideas
Events
Change Request Tracking
Marketplace
日本語
  • Informatica Data Quality 10.1.1
  • 所有产品

目次

Search

  1. セキュリティガイドについて
  2. Informaticaセキュリティ入門
  3. ユーザー認証
  4. LDAPセキュリティドメイン
  5. Kerberos認証のセットアップ
  6. ドメインセキュリティ
  7. Informatica Webアプリケーションへのシングルサインオン
  8. Informatica Administratorのセキュリティ管理
  9. ユーザーおよびグループ
  10. 特権およびロール
  11. 権限
  12. 監査レポート
  13. powercenterhelp
  14. コマンドラインの特権および権限
  15. カスタムロール
  16. 暗号スイートのデフォルトリスト

セキュリティガイド

セキュリティガイド

前へ 次へ

手順2.セキュリティドメインの設定

手順2.セキュリティドメインの設定

LDAPディレクトサービスからインポートするユーザーアカウントおよびグループの組ごとに、セキュリティドメインを作成します。検索ベースおよびフィルタを設定して、セキュリティドメインに入れるユーザーアカウントおよびグループのセットを定義します。サービスマネージャは、ユーザー検索ベースおよびフィルタを使用して、グループをインポートするために、ユーザーアカウントとグループ検索ベースおよびフィルタをインポートします。サービスマネージャは、グループと、グループに属するユーザーのリストをインポートします。グループフィルタに含まれるグループと、ユーザーフィルタに含まれるユーザーアカウントがインポートされます。
LDAPディレクトリサービスからインポートするユーザーおよびグループの名前は、ネイティブのユーザーおよびグループの名前と同じ規則に従う必要があります。サービスマネージャは、名前がネイティブのユーザーおよびグループ名の規則に準拠していない場合、LDAPユーザーまたはグループをインポートしません。
ネイティブユーザー名と異なり、LDAPユーザー名は大文字と小文字を区別できます。
LDAPディレクトリサービスを設定するとき、一意のID(UID)に対して異なる属性を使用できます。サービスマネージャでは、各LDAPディレクトリサービスのユーザーを識別するために、固有のUIDが必要になります。セキュリティドメインを設定する前に、LDAPディレクトリサービスで必要なUIDが使用されていることを確認します。
次の表に、各LDAPディレクトリサービスに対して必要なUIDを示します。
LDAPディレクトリサービス
UID
IBM Tivoli Directory Server
uid
Microsoft Active Directory
sAMAccountName
Novell eDirectory
uid
OpenLDAP
uid
Sun Java System Directory Server
uid
サービスマネージャでは、ユーザーアカウントが有効であるか無効であるかを示すLDAP属性がインポートされません。Administratorツールで、LDAPユーザーアカウントを有効または無効にする必要があります。 LDAPディレクトリサービスでのユーザーアカウントのステータスは、アプリケーションクライアントでのユーザー認証に影響します。 例えば、Informaticaドメインでは有効であるが、LDAPディレクトリサービスでは無効であるユーザーアカウントがあるとします。 LDAPディレクトリサービスで、無効なユーザーアカウントのログインを許可する場合、そのユーザーはアプリケーションクライアントにログイン可能になります。 LDAPディレクトリサービスで、無効なユーザーアカウントのログインを許可しない場合、そのユーザーはアプリケーションクライアントにログインできません。
LDAP接続プロパティを変更して別のLDAPサーバーに接続する場合、サービスマネージャは既存のセキュリティドメインを削除しません。LDAPセキュリティドメインが新規LDAPサーバーに対して適切であることを確認する必要があります。セキュリティドメインのユーザーおよびグループのフィルタを変更するか、追加のセキュリティドメインを作成することで、Informaticaドメイン内で使用するユーザーおよびグループをサービスマネージャが適切にインポートできるようにします。
LDAPセキュリティドメインを設定するには、次の手順を実行します。
  1. Administratorツールで、
    [セキュリティ]
    タブをクリックします。
  2. [アクション]
    メニューをクリックし、
    [LDAP設定]
    を選択します。
  3. [LDAPの設定]
    ダイアログボックスで、
    [セキュリティドメイン]
    タブをクリックします。
  4. [追加]
    をクリックします。
  5. LDAPクエリの構文を使用して、作成中のセキュリティドメインに含めるユーザーとグループを指定するフィルタを作成します。
    場合によってはLDAP管理者に問い合わせて、LDAPディレクトリサービスで使用可能なユーザーおよびグループに関する情報を取得する必要があります。
    次の表で、セキュリティドメインに対して設定可能なフィルタプロパティについて説明します。
    プロパティ
    説明
    セキュリティドメイン
    ドメインの名前。この名前では、大文字と小文字が区別されず、ドメイン内で一意にする必要があります。128文字を超えたり、以下の特殊文字を含めたりすることはできません。
    , + / < > @ ; \ % ?
    名前の最初および最後の文字以外で、ASCIIのスペース文字を使用できます。その他のスペース文字は許可されません。
    ユーザ検索ベース
    LDAPディレクトリサービス内のユーザ名検索の基点となるエントリの識別名(Distinguished Name:DN)。検索により、オブジェクトの識別名のパスに従ってディレクトリ内のオブジェクトが見つかります。
    たとえば、Microsoft Active Directoryでは、ユーザオブジェクトの識別名は、cn=UserName、ou=OrganizationalUnit、dc=DomainNameとなり、dc=DomainNameにより示される一連の相対識別名は、オブジェクトのDNSドメインを識別します。
    ユーザーフィルタ
    ディレクトリサービス内のユーザ検索の基準を指定するLDAPクエリー文字列。このフィルタでは、属性タイプ、アサーション値、マッチング基準が指定できます。
    たとえば、<>(objectclass=*)</>はすべてのオブジェクトを検索します。
    (&(objectClass=user)(!
    )(!(cn=susan)))</>は、「susan」以外のすべてのユーザオブジェクトを検索します。検索フィルタの詳細については、LDAPサーバのマニュアルを参照してください。検索フィルタの詳細については、LDAPディレクトリサービスのマニュアルを参照してください。
    グループ検索ベース
    LDAPディレクトリツリー内のグループ名検索の基点となるエントリの識別名(Distinguished Name:DN)。
    グループフィルタ
    ディレクトリサービス内のグループ検索の基準を指定するLDAPクエリー文字列。
  6. [プレビュー]
    をクリックすると、フィルタパラメータに該当するユーザーとグループのリストのサブセットを表示します。
    プレビューで適切なユーザーおよびグループのセットが表示されない場合は、ユーザーおよびグループのフィルタおよび検索ベースを変更して、適切なユーザーおよびグループを取得します。
  7. 別のLDAPセキュリティドメインを追加するには、手順46を繰り返します。
  8. セキュリティドメイン内のユーザーとグループをLDAPディレクトリサービス内のユーザーとグループと今すぐ同期化するには、
    [今すぐ同期]
    をクリックします。
    サービスマネージャは、すべてのLDAPセキュリティドメイン内のユーザーを、LDAPディレクトリサービス内のユーザーと同期化します。同期処理が完了するまでの時間は、インポートするユーザーおよびグループの数によって異なります。
  9. [OK]
    をクリックして、セキュリティドメインを保存します。