ID登録をルール化してIDライフサイクル管理を自動化
schedule 2018/06/29 refresh 2023/11/08
複数のシステムやサービス(SaaS)が混在する最近の環境では、ユーザのIDや権限を管理するのに多くの労力を必要とします。
SeciossLinkでは、IDを一元的に管理して各システムやサービスにIDの同期を行うことでID管理の労力を削減していますが、さらにID登録のルールを設定することでIDライフサイクルを自動化することで、さらに運用負荷を削減する”自動登録ルール”という機能がございます。
今回はこの”自動登録ルール”について紹介させていただきます。
自動登録ルールとは
自動登録ルールとは、ユーザの属性や値を条件として、ユーザやグループに決まった値を登録したり、グループに所属させることができる機能です。
自動登録ルールの設定は、SeciossLinkの管理画面にログインして、「システム」->「自動登録ルール」から行います。
属性値”のルールは、”属性名”に指定した属性に”値”で設定した値を登録します。
”登録方法”は、”デフォルト値”を指定した場合は、ユーザやグループを新規追加したときに値が登録され、”置換”を指定した場合は、新規追加に加えて変更のときも指定した値が登録されます。
”置換”の場合、この属性に対して別の値で変更を行っても、このルールで指定した値で上書きされますので、注意して下さい。
また、このルールを適用するユーザ、グループの条件としてフィルタを設定することができます。フィルタはLDAPの検索フィルタ形式の記述になっており、この条件に一致したユーザ、またはグループのみにこのルールが適用されます。
例えば、メールアドレスのドメインが”secioss.co.jp”のユーザにのみ適用させたい場合は、”(mail=@secioss.co.jp)”と設定します。
次に”グループ”のルールは、”グループ名”で設定したグループに、ユーザやグループをメンバとして登録します。
”登録方法”は、”属性値”のルールの場合と同じです。
ルールを適用する条件には”属性値”のルールと同様にフィルタを指定することができます。さらに”グループ”のルールには、”正規表現”による条件指定も可能で、ユーザ、グループのLDAPデータ(LDIF形式)に対して正規表現にマッチするものにルールが適用されます。
例えば、地域が日本という条件を指定したい場合には、"^seciossLocaleCode: ja_(JP)$”と設定します。
正規表現の条件指定の特徴として、パターンマッチの値を”グループ名”の値に使用することができます。
例えば、上記の例の場合、グループ名を”group_%1”とした場合、実際にメンバとして登録されるグループは”group_JP”になります。
属性の拡張
ルールを作成する際に、条件として使用する属性がSeciossLinkの標準のものだけでは足りない場合があるかと思います。
そういう場合は、「システム」->「追加属性」から新しい属性を追加することができます。
”属性”からLDAP形式の属性名を選択し、”表示名”で管理画面上に表示する名前を設定して下さい。これにより、ユーザやグループに設定した属性が追加され、自動登録ルールの条件として利用できるようになります。
以下は、ユーザに”employeeType”という属性を”従業員タイプ”という表示名で設定した場合のユーザ情報の画面です。
プロファイルの初期設定
自動登録ルールの例として、プロファイルの初期設定について、説明したいと思います。
プロファイルとは、ユーザに割り当てられる権限で、プロファイルに利用サービス(許可するサービス)を割り当てたり、パスワードポリシーを設定しておき、そのプロファイルをユーザに割り当てることで、プロファイルの利用サービスとパスワードポリシーをユーザに引き継がさせることができます。
ユーザ毎に利用サービスを設定する必要がなくなるため、運用が楽になりますが、自動登録ルールと組み合わせることで、プロファイルの割り当ても自動化でき、さらに運用の手間を省くことができます。
今回は従業員タイプが”正社員”のユーザにプロファイル”profile0001”、”profile0002”を割り当てたい場合について説明します。
以下のように”自動登録ルール”の設定画面でユーザの”属性”に”プロファイル”、”登録方法”に”デフォルト”、”フィルタ”に”(employeeType=正社員)”、”値”に”profile0001;profile0002”を設定します。
複数の値を設定したい場合は、";"で連結した値を設定して下さい。
グループへの自動登録
次にグループへの自動登録について説明したいと思います。
例えば、社内の組織毎にグループがあり、その組織に所属するユーザはその組織のグループのメンバにしたいという場合があるかと思います。
そういう場合は、ユーザの”グループ”の”登録方法”に”置換”、”正規表現”に”ou: .*?([^\/ ]+)$”、”グループ名”に”GRP_%1”(グループ名が組織名の前に"GRP_”を付加する命名規則とした場合)を設定することで、自動的に自分が所属する組織のグループにメンバ登録されます。
正規表現”ou: .*?([^\/ ]+)$”は、組織のパスの最下層の組織名をパターンマッチで取得します。例えば、組織”Tech/Dev/D01"の場合、D01が取得され、グループ名はGR_D01となります。
また、”登録方法”に”置換”を設定しているので、組織が変わった場合でも、古い組織のグループから新しい組織のグループにユーザは移動します。
今回説明した例のようにID登録時のルールを作成して、データの登録を自動化することで、扱うデータ項目を必要最小限に抑えることができ、運用担当者の手間を削減して、業務を効率化することができます。