Active Directory 統合機能

Marketing Platform は、Windows™ Active Directory との統合により、このセクションで説明する機能を提供します。

IBM® EMM アプリケーションは、ユーザー権限情報を得るために Marketing Platform への照会を実行します。Active Directory サーバー統合が実装され、Windows™ 統合ログインが有効になっている場合、ユーザーは企業ネットワークにログインした時点ですべての IBM® EMM アプリケーションに対して認証され、IBM® EMM アプリケーションにログインするためのパスワードが不要になります。ユーザーの認証は Windows™ ログインに基づいて行われ、アプリケーションのログイン画面はバイパスされます。

Windows™ 統合ログインが有効になっていない場合、ユーザーは、各自の Windows™ 資格情報を使用して IBM® EMM ログイン画面でログインする必要があります。

ログイン名に使用できる特殊文字は、ドット (.)、アンダースコアー ( _ )、およびハイフン (-) の 3 つだけです。Active Directory サーバーから Marketing Platform にインポートする予定のユーザーのログイン名にその他の特殊文字 (スペースを含む) が使用されている場合、ユーザーがログアウトするときや管理タスクを実行するとき (ユーザーに管理特権がある場合) に問題が生じないように、ログイン名を変更する必要があります。

Windows™ 統合ログインが有効になっている場合、すべてのユーザーは Active Directory サーバーに維持されます。 (本書で内部ユーザーと呼ぶ一部のユーザーを Marketing Platform に作成するオプションはありません。) 内部ユーザーを作成する機能が必要な場合は、Windows™ 統合ログインを有効にしないでください。

Windows™ 統合ログインを有効にしない場合は、LDAP サーバーとの統合についての手順に従ってください。詳しくは、構成プロセスのチェックリスト (LDAP の統合)を参照してください。

統合が構成されると、Marketing Platform で、インポートされたユーザー・アカウントの追加、変更、および削除ができなくなります。これらの管理タスクは LDAP 側で行って、同期が実行されるときに変更内容がインポートされるようにする必要があります。 Marketing Platform でインポートされたユーザー・アカウントを変更すると、ユーザーの認証で問題が生じることがあります。

LDAP 側で削除するユーザー・アカウントは Marketing Platform からは削除されません。それらのアカウントは、Marketing Platform で手動で無効にする必要があります。それら削除されたユーザー・アカウントは、削除するよりも無効にする方が安全です。それは、ユーザーには Campaign でのフォルダーの所有特権があるため、フォルダーを所有するユーザー・アカウントを削除するとそのフォルダー内のオブジェクトが使用不可になるためです。

3 つのタイプのフィルタリングのいずれかを選択して、LDAP サーバーから Marketing Platform にインポートされたユーザー・アカウントを選定できます。

グループに基づくインポート、属性に基づくインポート、または識別名に基づくインポートから選択する必要があります。複数の方式が同時にサポートされることはありません。

グループに基づくインポート

Marketing Platform は、ディレクトリー・サーバーから自動的に情報を取得する定期的な同期化タスクによって、ディレクトリー・サーバー・データベースからグループとそのユーザーをインポートします。 Marketing Platform がサーバー・データベースからユーザーとグループをインポートする際、グループ・メンバーシップは維持されます。

Active Directory グループを IBM® EMM グループにマップすることによって、IBM® EMM の特権を割り当てることができます。このマッピングによって、マップされる Active Directory グループに追加された新規ユーザーは、対応する IBM® EMM グループに設定されている特権を引き継ぐことができます。

Marketing Platform 内のサブグループは、その親に割り当てられた Active Directory マッピングやユーザー・メンバーシップを継承しません。

グループに基づくインポートを構成する方法について詳しくは、本章の続く箇所を参照してください。

属性に基づくインポート

IBM® EMM 製品に固有のグループを Active Directory サーバー内に作成するのが適切でない場合は、属性を指定することによって、インポートされるユーザーを制御することが可能です。そうするには、設定プロセスの際に以下を行います。

3.	「LDAP 参照マップ」プロパティーを構成するとき、値の「フィルター」部分を、検索対象となる属性に設定します。フィルターには、ステップ 1 で判別した文字列を使用します。

属性に基づく同期を使用する場合、定期的な同期は、グループに基づく同期で行われる部分同期ではなく、常に完全同期となります。属性に基づく同期では、「LDAP 同期間隔」プロパティーを高い値に設定する必要があります。または値を 0 に設定して自動同期をオフにし、ユーザーがディレクトリーに追加されるときの手動による完全同期に依存する必要があります。

本章の続く箇所に示されている手順に従って、構成プロパティーを設定した上記のステップの手順を使用しながら、統合を構成します。

識別名に基づくインポート

大量のユーザーがある場合は、ベース識別名に基づいてユーザーをインポートできます。そうするには、LDAP 設定プロセスの際に以下を行います。

このプロパティーを True に設定すると、Marketing Platform は、「IBM EMM | Platform | セキュリティー | LDAP」カテゴリーの下の「ベース DN」プロパティーで設定された識別名を使用して LDAP 同期検索を実行します。

4.	「Platform \| セキュリティー \| ログイン方法の詳細 \| LDAP 同期 \| IBM Marketing Platform グループ・マップの LDAP 参照 \| LDAP 参照マップ」プロパティーを構成するとき、値の「フィルター」部分を、検索対象となる属性に設定します。フィルターには、ステップ 1 で判別した文字列を使用します。

本章の続く箇所に示されている手順に従って、構成プロパティーを設定した上記のステップの手順を使用しながら、統合を構成します。

マルチパーティション環境では、ユーザーが属しているグループがパーティションに割り当てられている場合、ユーザーのパーティション・メンバーシップはそのグループによって決定されます。1 人のユーザーは、1 つのパーティションにのみ属することができます。そのため、あるユーザーが複数の Active Directory グループに属していて、それらのグループが別のパーティションに割り当てられた IBM® EMM グループにマップされている場合、システムはそのユーザーのために 1 つのパーティションを選択する必要があります。

この状態を回避するよう努力する必要があります。しかし、この状態が生じた場合には、直前に Active Directory グループにマップされた IBM® EMM グループのパーティションが、ユーザーの所属先になります。直前にマップされた Active Directory グループを判別するには、「構成」領域に表示される LDAP グループ・マッピングを確認してください。これらのマッピングは日時順に表示されるので、最新マッピングが最後にリストされています。

IBM® EMM を Active Directory サーバーと統合するように構成した場合、ユーザーおよびグループは事前定義された間隔で自動的に同期化されます。この自動同期化中は、前回の同期化以降に作成または変更されたユーザーおよびグループ (構成で指定されているもの) のみが IBM® EMM に組み込まれます。IBM® EMM の「ユーザー」領域の同期化機能を使用して、すべてのユーザーおよびグループを強制的に同期化することができます。