14.12.2 ユーザアカウントのマッピングルールの設定

TeamWARE Office 200X V2.0 管理者ガイド

目次索引

> 14.12 Interstage Application Serverを利用したシングルサインオン

14.12.2 ユーザアカウントのマッピングルールの設定

ユーザアカウントのマッピングルールとは、TeamWARE OfficeのユーザアカウントをInterstage Application Serverのユーザ属性を使って、どのように特定するかの取り決めです。マッピングルールは、システム管理者とSSO管理者とで相談して取り決める必要があります。

TeamWARE Webサービスでは、TeamWARE Officeで作成・管理しているユーザアカウントを使用します。

シングルサインオンを行う場合、TeamWARE Officeと、連携するInterstage Application Serverの両方にユーザアカウントが必要です。シングルサインオンを行うTeamWARE Officeのユーザアカウントは、Interstage Application Serverのユーザアカウントと１対１に対応しなければなりません。システム管理者は、SSO管理者と、この対応の規則(マッピングルール)を取り決めなければなりません。Interstage Application Serverのユーザアカウントは、"uid(ユーザID)"、"employeeNumber(従業員番号)"、"mail(メールアドレス)"などの属性を含んでいます。

マッピングルールの例を以下に示します。

Interstage Application Serverのユーザアカウントに含まれる従業員番号を、TeamWARE Officeのユーザアカウントのログイン名にする
Interstage Application Serverのユーザアカウントに含まれるメールアドレスを、TeamWARE Officeのユーザアカウントのログイン名にする

"従業員番号"、"メールアドレス"などの、ユーザアカウントに含まれる利用者の属性を、ユーザ属性と呼びます。

ユーザアカウントのマッピングルールには、以下に示すInterstage Application Serverのユーザ属性が使用できます。標準値は、"uid"です。

cn：利用者の名前(姓と名前)
sn：利用者の姓
givenName：利用者の名前
uid：利用者を特定するユーザID
employeeNumber：利用者の従業員番号
mail：利用者の電子メールアドレス

なお、マッピングルールの初期値として、以下が設定されています。

SSOMapKey = LOGON_NAME
SSOMapFormat = %uid

これは、「Interstage Application Server のユーザアカウントのuid属性(InterstageでのユーザID)を、TeamWARE Officeのユーザアカウントのログイン名とする」という設定です。標準値を変更する場合は、TeamWARE Officeのインストールディレクトリにある、初期化ファイルで定義している[SSO]セクションを設定します。標準値でかまわない場合、初期化ファイルの設定は不要です。

uid以外のユーザアカウント属性をマッピングに使用する場合、Interstage Application Serverのリポジトリサーバで、定義ファイルの[credential-additional-attribute]項目に、使用する属性を定義する必要があります。詳細はSSO管理者に確認してください。
TeamWARE Webサービスではログイン名の大文字・小文字が区別されますが、Interstage Application Serverでは大文字・小文字を区別しない属性があります。cn, uid, employeeNumber, mail属性は区別されません。そのため、cn, uid、employeeNumber、mailをマッピングルールで使用するときは、TeamWARE Office はリポジトリサーバで定義されたとおりの文字列を、大文字・小文字を区別して使用することをSSO管理者に伝えてださい。"リポジトリサーバ"とは、認証サーバのユーザアカウントを管理しているサーバです。詳細は、"Interstage Application Server シングル・サインオン運用ガイド"を参照してください。

[tximport]コマンドを使うと、新規にTeamWARE Webサービスのユーザを登録するときに、Interstage Application Serverのユーザアカウントから、TeamWARE Officeのユーザアカウントを作成することができます。また、[tximport]コマンドで、Interstage Application ServerとTeamWARE Webサービスのユーザアカウントの同期をとることもできます。[tximport]コマンドについての詳細は、"付録L [tximport]コマンド"を参照してください。

初期化ファイル（http.ini）の[SSO]セクションの設定例

[SSO]
SSOMapFormat = %employeeNumber

[SSO]セクションの説明

[SSO]セクションのSSOMapFormatキーにユーザアカウントのマッピングルールを指定します。指定形式を以下に示します。"[　]"は省略可能であることを示します。"|"はどちらかを指定できることを示します。

指定形式には以下の2種類があります。

属性値またはその一部をマッピングルールに指定する
%X500AttributeName[+N|-N]
X500AttributeName：SN、uid、employeeNumberなどの属性を指定します。これらの属性は、Interstage Application Serverのリポジトリに定義されています。
+N：直前のX500AttributeNameの先頭Nバイトを削除したものがユーザアカウントになります。
-N：直前のX500AttributeNameの末尾Nバイトを削除したものがユーザアカウントになります。

employeeNumber(利用者の従業員番号)が0001234の場合の例を以下に示します。

%employeeNumber → ユーザアカウントは 0001234
%employeeNumber+3 → ユーザアカウントは 1234
%employeeNumber-2 → ユーザアカウントは 00012
任意の文字列(コロン":"を除く1バイト文字だけからなる文字列)と属性値を組み合わせたものをマッピングルールに指定する
"format"　 X500AttributeName[+N|-N]
"format"には文字列と"%"を指定できます。"%"は、X500AttributeNameで指定された属性に置き換えられます。
"format"内には複数個の"%"を指定できます。この場合、必ず"format"内の"%"の個数分、"format"の後ろにカンマ","で区切ってX500AttributeNameを指定してください。"format"と最初のX500AttributeName間の区切り文字には、以下のものが指定できます。

半角スペース
タブ
区切り文字なし(区切り文字は省略することもできます)
employeeNumber(利用者の従業員番号)が0001234、uidがtakahashiの場合の例を以下に示します。

マッピングルール

ユーザアカウント

"F%"employeeNumber
"IT%"employeeNumber+3
"%CE"employeeNumber-2
"%FJ %"employeeNumber,uid

F0001234
IT1234
00012CE
01234FJ takahashi

"format"に、2バイト文字やコロン":"を指定した場合、TeamWARE Webサービスにログインできなくなります。

目次索引

マッピングルール	ユーザアカウント
"F%"employeeNumber "IT%"employeeNumber+3 "%CE"employeeNumber-2 "%FJ %"employeeNumber,uid	F0001234 IT1234 00012CE 01234FJ takahashi