LDAPクエリフィルターと動的グループ

この記事では、LDAPクエリ言語を使用してユーザーをフィルタリングし、動的グループを作成する方法についての情報を提供します。

概要

Catoを使用すると、LDAPディレクトリから関連するユーザーのみをLDAPクエリ言語でインポートし、ユーザー管理を合理化できます。 LDAPディレクトリフィルターを使用すると、Catoに同期されるユーザーを制御するための正確なLDAPクエリを定義できます。さらに、LDAPクエリを使用して、CMA内でユーザーを動的グループに整理できます。 LDAP属性を使用して、元のフィルタのサブセットまたはすべてのユーザーとして動的グループを作成できます。

ディレクトリサービスのページを使用して、組織のLDAPディレクトリをCatoと統合し、ユーザーのインポート設定を構成できます。

ユースケース - クエリフィルタ

ABC社は、フルタイムの従業員と契約社員、およびインターンと協力しています。管理者としてCMAにユーザーをインポートする際、フルタイムの従業員のみをインポートしたいと考えています。 Azure LDAPインスタンス用に、次のクエリフィルタを作成して関連のある従業員のみをインポートします。

(&(objectCategory=person)(objectClass=user)(employeeType=full-time))

ユースケース - 動的グループ

ABC社には全国に営業担当者がおり、全員が営業部門に所属しています。 employeeType属性を使用して、営業部門のすべての管理者向けに営業担当者のサブセットを作成します。ユーザーが昇進してemployeeTypeのマネージャーに割り当てられ、部門が営業に設定されると、自動的に動的グループに含まれます。

前提条件

LDAPディレクトリフィルターや動的ユーザーグループを構成する前に、次を確認してください。

CMAで既存のLDAPディレクトリ統合が設定されています。
ディレクトリサービス設定を変更する権限を持つCato管理者です。

既知の制限

LDAPディレクトリフィルターはユーザーのみをインポートします。 LDAPユーザグループはインポートされません。
各アカウントはすべての動的グループにわたって10個のユニークなLDAP属性をサポートします。

同じ属性を異なる値で再利用する場合（たとえば、memberOf=管理者、memberOf=財務）は、1つの属性としてカウントされます。
各アカウントは最大50の動的ユーザグループをサポートします。
動的グループはLDAPからのネストされたグループメンバーシップをサポートしていません。

LDAPクエリフィルターを使用したユーザーのインポート

従来のグループ選択または新しいLDAPクエリフィルターを使用してユーザーをインポートすることを選択できます。ディレクトリからの属性に基づいてユーザーを自動的にグループ化する動的ユーザグループを定義することもできます。

注意

注: LDAPクエリ言語はCatoによって開発または維持されていません。組織の要件を満たすクエリの作成と検証はあなたの責任です。

LDAPディレクトリフィルタを構成するには:

ナビゲーションメニューからアクセス > ディレクトリサービスを選択します。
既存のLDAP構成を選択するか、新規をクリックして作成します。
フィルターの下のフィルターメソッドフィールドで、LDAPクエリを選択します。
クエリフィールドに、ベンダーのディレクトリプレフィックスとLDAP属性を使用してLDAPクエリを入力します。クエリは有効なベンダー固有のプレフィックスで始まる必要があります。
- Azure: (&(objectCategory=person)(objectClass=user))
- OKTA + OpenLDAP: (&(objectClass=inetOrgPerson))
- JumpCloud + OneLogin: (&(objectClass=person))
以下にいくつかのクエリフィルターの例を示します。
保存をクリックしてください。

クエリフィルターの例

以下は、使用可能ないくつかの異なるフィルターの例です。 LDAPベンダーのドキュメントを参照して、詳細情報を入手してください。

特定のグループからユーザーをフェッチ (Azure)

次の例は、memberOf属性を使用して特定のグループからユーザーをインポートし、Azure用にフォーマットされています。

(&(objectCategory=person)(objectClass=user)(memberOf=CN=Developers,OU=Groups,DC=catonetworks,DC=com))

2つのグループからユーザーをフェッチ (Okta)

次の例は、Okta用にフォーマットされた2つのグループからすべてのユーザーをインポートします。

(&(objectClass=inetOrgPerson)(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com))

いずれかの2つのグループからユーザーをフェッチ (Jumpcloud)

次の例は、定義された2つのグループのいずれかに属するすべてのユーザーをインポートし、Jumpcloud用にフォーマットされています。

(&(objectClass=person)(|(memberOf=CN=Admins,OU=Groups,DC=catonetworks,DC=com)(memberOf=CN=VPNUsers,OU=Groups,DC=catonetworks,DC=com)))

動的グループを構成する

ユーザーグループの選択やLDAPフィルターでユーザーをインポートした後、LDAP属性に基づいて動的グループを作成できます。

動的グループを構成するには:

ナビゲーションメニューからアクセス > ディレクトリサービスを選択します。
既存のLDAP構成を選択するか、新規をクリックして作成します。
動的グループ: の下にグループの名前を入力し、クエリを定義します。
- 動的グループにはプレフィックスは必要ありません。
- LDAPクエリフィルターを定義した場合、動的グループはそのフィルターのサブセットです。それ以外の場合、動的グループはすべてのユーザーのサブセットです。
保存をクリックしてください。

例

動的グループを定義するための例をいくつか示します。

単一の属性を使用して動的グループを定義する
```
(department=財務)
```
```
(title=*管理者)
```
AND演算子を使用して複数の属性を持つ動的グループを定義する:
```
(&(department=営業)(title=役員*))
```
OR演算子を使用して複数の属性を持つ動的グループを定義する:
```
(|(appRole=管理者)(appRole=サポート))
```

フィルタークエリと動的グループのトラブルシューティング

可能性のあるエラーメッセージとその説明の一覧を以下に示します。

グループDNフィルターまたはLDAPクエリフィルターのいずれかを定義できます。

グループフィルターとLDAPクエリフィルターの両方を定義したときに表示されます。一方またはどちらも定義できますが、両方を定義することはできません。
LDAPクエリフィルターが無効です。エラーは '<ERROR MESSAGE FROM SDK>'です。

さまざまな理由から表示され、個々のエラーメッセージがより詳細な情報を提供します。例えば、文字列 '(&(objectClass=group)(cn=*)' を解析できません。このメッセージは閉じ括弧が欠落しているときに表示されます。

ベンダー固有のLDAPドキュメントを参照して、詳細情報を入手してください。
LDAPクエリフィルターに必要なユーザーオブジェクトフィルターが欠落しています。

必要なobjectClass属性を含めていないときに表示されます。
LDAPクエリフィルターにサポートされていないオブジェクトフィルターが含まれています。

サポートされていない属性にフィルタを含めた場合に表示されます。例えば、ユーザーではなくグループ。
動的グループに過剰なLDAP属性が必要です（デフォルトの属性に加えて最大10個許可）。

すべてのリクエスト属性の合計がデフォルトで取得するものに加えて10の追加属性を超えないときに表示されます。
動的グループが多すぎます（最大50許可）。

アカウントの動的グループが最大50に達したときに表示されます。
動的グループ名 '<GROUP_NAME>' は既に存在します

グループ名がユニークでないときに表示されます。
動的グループ '<GROUP_NAME>' に無効なLDAPクエリ構文があります。

動的グループのLDAP構文が間違っているときに表示されます。ベンダー固有のLDAPドキュメントを参照して、詳細情報を入手してください。
動的グループ '<GROUP_NAME>' には、すでに自動的に適用され、動的グループクエリに含めるべきではないユーザーオブジェクト属性が含まれています。

LDAPクエリ構文にCatoによってデフォルトで適用される属性が含まれているときに表示されます。