LDAP 統合機能

IBM® EMM アプリケーションは、ユーザー権限情報を得るために Marketing Platform への照会を実行します。LDAP 統合が実装されている場合、ユーザーは、有効な LDAP ユーザー名およびパスワードを認証のために IBM® EMM アプリケーションに入力します。

ログイン名に使用できる特殊文字は、ドット (.)、アンダースコアー ( _ )、およびハイフン (-) の 3 つだけです。LDAP サーバーから Marketing Platform にインポートする予定のユーザーのログイン名にその他の特殊文字 (スペースを含む) が使用されている場合、ユーザーがログアウトするときや管理タスクを実行するとき (ユーザーに管理特権がある場合) に問題が生じないように、ログイン名を変更する必要があります

統合が構成されると、Marketing Platform で、インポートされたユーザー・アカウントの追加、変更、および削除ができなくなります。これらの管理タスクは LDAP 側で行って、同期が実行されるときに変更内容がインポートされるようにする必要があります。 Marketing Platform でインポートされたユーザー・アカウントを変更すると、ユーザーの認証で問題が生じることがあります。

LDAP 側で削除するユーザー・アカウントは Marketing Platform からは削除されません。それらのアカウントは、Marketing Platform で手動で無効にする必要があります。それら削除されたユーザー・アカウントは、削除するよりも無効にする方が安全です。それは、ユーザーには Campaign でのフォルダーの所有特権があるため、フォルダーを所有するユーザー・アカウントを削除するとそのフォルダー内のオブジェクトが使用不可になるためです。

3 つのタイプのフィルタリングのいずれかを選択して、LDAP サーバーから Marketing Platform にインポートされたユーザー・アカウントを選定できます。

グループに基づくインポート、属性に基づくインポート、または識別名に基づくインポートから選択する必要があります。複数の方式が同時にサポートされることはありません。

グループに基づくインポート

Marketing Platform は、ディレクトリー・サーバーから自動的に情報を取得する定期的な同期化タスクによって、ディレクトリー・サーバー・データベースからグループとそのユーザーをインポートします。 Marketing Platform がサーバー・データベースからユーザーとグループをインポートする際、グループ・メンバーシップは維持されます。

LDAP グループを IBM® EMM グループにマップすることによって、IBM® EMM の特権を割り当てることができます。このマッピングによって、マップされる LDAP グループに追加された新規ユーザーは、対応する IBM® EMM グループに指定されている特権を引き継ぐことができます。

Marketing Platform 内のサブグループは、その親に割り当てられた LDAP マッピングやユーザー・メンバーシップを継承しません。

グループに基づくインポートを構成する方法について詳しくは、本章の続く箇所を参照してください。

属性に基づくインポート

IBM® EMM 製品に固有のグループを LDAP サーバー内に作成するのが適切でない場合は、属性を指定することによって、インポートされるユーザーを制御することが可能です。そうするには、LDAP 設定プロセスの際に以下を行います。

3.	「LDAP 参照マップ」プロパティーを構成するとき、値の「フィルター」部分を、検索対象となる属性に設定します。フィルターには、ステップ 1 で判別した文字列を使用します。

属性に基づく同期を使用する場合、定期的な同期は、グループに基づく同期で行われる部分同期ではなく、常に完全同期となります。属性に基づく同期では、「LDAP 同期間隔」プロパティーを高い値に設定する必要があります。または値を 0 に設定して自動同期をオフにし、ユーザーがディレクトリーに追加されるときの手動による完全同期に依存する必要があります。

識別名に基づくインポート

大量のユーザーがある場合は、ベース識別名に基づいてユーザーをインポートできます。そうするには、LDAP 設定プロセスの際に以下を行います。

このプロパティーを True に設定すると、Marketing Platform は、「IBM EMM | Platform | セキュリティー | LDAP」カテゴリーの下の「ベース DN」プロパティーで設定された識別名を使用して LDAP 同期検索を実行します。

4.	「Platform \| セキュリティー \| LDAP 同期 \| IBM Marketing Platform グループ・マップの LDAP 参照 \| LDAP 参照マップ」プロパティーを構成するとき、値の「フィルター」部分を、検索対象となる属性に設定します。フィルターには、ステップ 1 で判別した文字列を使用します。

マルチパーティション環境では、ユーザーが属しているグループがパーティションに割り当てられている場合、ユーザーのパーティション・メンバーシップはそのグループによって決定されます。1 人のユーザーは、1 つのパーティションにのみ属することができます。したがって、1 人のユーザーが複数の LDAP グループに属していて、それらのグループが別のパーティションに割り当てられた IBM® EMM グループに割り当てられている場合、システムはそのユーザーに対して 1 つのパーティションを選択する必要があります。

この状態を回避するよう努力する必要があります。しかし、万一この状態が起こってしまった場合、直前に LDAP グループにマップされた IBM® EMM グループのパーティションが、ユーザーの所属先になります。直前にマップされたのがどの LDAP なのか判別するには、「構成」領域に表示される LDAP グループ・マッピングを見てください。これらのマッピングは日時順に表示されるので、最新マッピングが最後にリストされています。

IBM® EMM は、2 つのタイプのユーザー・アカウントおよびグループをサポートしています。

内部 – IBM® EMM セキュリティー・ユーザー・インターフェースを使用して IBM® EMM 内部で作成されるユーザー・アカウントおよびグループ。これらのユーザーは Marketing Platform によって認証されます。

外部 – サポートされる LDAP サーバーとの同期化によって IBM® EMM にインポートされるユーザー・アカウントおよびグループ。この同期化が行われるのは、IBM® EMM が LDAP サーバーと統合されるよう構成されている場合のみです。これらのユーザーは、LDAP サーバーによって認証されます。

例えば、顧客を LDAP サーバーに完全な企業ユーザーとして追加せずに IBM® EMM アプリケーションへのアクセス権限を顧客に与えたい場合、両方のタイプのユーザーおよびグループを作成することができます。

このハイブリッド認証モデルを使用する際は、純粋な LDAP 認証モデルの場合より多くのメンテナンスが必要になります。

IBM® EMM を LDAP サーバーと統合するように構成した場合、ユーザーおよびグループは事前定義された間隔で自動的に同期化されます。

この自動同期化中は、前回の同期化以降に作成または変更されたユーザーおよびグループ (構成で指定されているもの) のみが IBM® EMM に組み込まれます。IBM® EMM の「ユーザー」領域の同期化機能を使用して、すべてのユーザーおよびグループを強制的に同期化することができます。

外部ユーザーの同期化の強制に説明されているように、完全同期を強制することもできます。