SMART/InSightのセキュリティ機能と設計 ウチダスペクトラム株式会社 SMART/InSight ソリューショングループ ©2013 Uchida Spectrum, Inc. All rights reserved. SMART/InSigtのセキュリティ 機能概要 SMART/InSightは、以下の要素にユーザーのアクセス制限をかけることが 出来ます。 データ(コンテンツ) 機能(ウィジェット、ファンクション) コンテンツセット、ページ マスタ(コンテンツタイプ、MIMEタイプ) 例:「ログイン許可」ファンクションを設定することが出来ます。 ログイン可能なユーザーやグループ等を 設定することが出来ます。 ©2013 Uchida Spectrum, Inc. All rights reserved. Page-2 SMART/InSigtのセキュリティ 機能概要 アクセス制限は Directory Server (Active Directory/Open LDAP)のオブジェ クト(User,Group ,OU)を利用して行います。 SMART/InSightは、起動時等にDirectory Serverから「Group,OUの階層構造」を取得し、 アクセス権の設定時に利用します。 また、ログイン時に「ユーザーが所属するGroup,OU情報」を取得し、ユーザーのアクセ ス権有無判定に利用します。 InSightは起動時等にDirectory Serverから Group, OUの階層情報を取得します。 SMART/InSight Directory Server OU Group 【注意】 ログインするとユーザーが所属 するGroup, OUを取得します。 お客様のセキュリティポリシーによりSMART/InSightからDirectory Serverへのアクセス が出来ない場合や、Group,OUで会社の組織構造が保たれていない場合、 SMART/InSightのセキュリティ機能を利用することが難しくなります。 ©2013 Uchida Spectrum, Inc. All rights reserved. Page-3 アクセス制限を設定する単位 SMART/InSightでは、アクセス制限を以下の単位で設定することが出来ます。 種別 利用場面 子オブジェクト 1 エンタープライズ ユーザー (User) ユーザー個別にアクセス制限を行う場合に利用します。運 用が煩雑になるため、基本的にはユーザー単位の設定は 推奨しませんが、「このユーザーだけ特別な権限を与えた い」場合等に利用します。 なし 2 エンタープライズ グループ (Security Group/ Group) 社内の組織構造がGroupで管理・維持されている場合、ア クセス制御の単位として利用します。 エンタープライズユーザー 3 エンタープライ ズユニット (Organization Unit) 社内の組織構造がOUで管理・維持されている場合、アク セス制御の単位として利用します。 エンタープライズユニット エンタープライズユーザー 4 InSight グループ (InSight Group) Group,OUにない組合せでアクセス制御を行う場合、アク セス制御の単位として利用します。 また、組織構造(Group,OU構造)が複雑なお客様環境で は、User,Group,OUとのマッピングをInSightグループに 集約し、アクセス権の設定はInSightグループで行うことを お勧めします。 ※人事異動や組織変更時にメンテナンスを行う対象を InSightグループに限定することが出来ます。 エンタープライズユーザー エンタープライズグループ エンタープライズユニット # ©2013 Uchida Spectrum, Inc. All rights reserved. Page-4 アクセス制限を設定する単位 Directory Server(AD) エンタープライズ グループ OU エンタープライズ ユニット InSightグループ Group エンタープライズユーザー ©2013 Uchida Spectrum, Inc. All rights reserved. Page-5 アクセス制限のポリシー SMART/InSightのアクセス制限は、基本的に「許可するユーザー・グループ 等を設定」します。上位のGroup,OUで、異なるアクセス権が設定されている 場合は、OR条件で「アクセスを許可する範囲が拡大」されます。 ※特定ユーザー・グループ等のアクセスを拒否する設定は出来ません。(ACL を除く) ©2013 Uchida Spectrum, Inc. All rights reserved. Page-6 データ(コンテンツ)のセキュリティ ユーザーに参照権限があるデータ(レコード)のみ検索結果に表示する方法は、 以下の2種類があります。 1. コンテンツタイプでのセキュリティ実現 インデックス作成時に、データの種類を表すID(コンテンツタイプ)をインデックスに 登録します。また、SMART/InSightでコンテンツタイプをマスタとして定義し、コンテン ツタイプ毎にどのユーザー・グループ等で参照可能とするかを設定します。 g2データベース:m_contents_typeテーブル SMART/InSight 検索エンジン データソース コンテンツタイプ項目の値 contents_type_id contents_type_name ファイルサーバー(総務部) “FSSoumu” FSSoumu ファイルサーバー(総務部) ファイルサーバー(営業部) “FSEigyo” FSEigyo ファイルサーバー(営業部) Notes(技術部) “NotesGijutsuDB” NotesGijutsuDB Notes(技術部) DB(売上データ) “UriageDB” UriageDB DB(売上データ) 検索時SMART/InSightは、ユーザー自身やユーザーが所属するグループ等が、 どのコンテンツタイプを参照できるかの定義情報を取り出し、検索クエリーに検索条 件として付加します。 ©2013 Uchida Spectrum, Inc. All rights reserved. Page-7 データ(コンテンツ)のセキュリティ 2. ファイルACLでのセキュリティ実現 ファイルサーバー上のファイルをクロールする時、ファイルに設定されているACL情 報をインデックスに登録します。 また、検索時SMART/InSightは「ログイン時に取得したユーザーが所属するグループ のSID、及びユーザーのSID」を、検索クエリーに検索条件として付加します。 ※ユーザー認証をActive Directory以外のDirectory Serverで行う場合、ファイルACLで のセキュリティ機能はご利用いただけません。 ※SMART/InSight標準機能では、複数のActive Directoryが存在する環境には対応して おりません。 ※LWSのクローラーにもファイルACL情報をインデックスに登録する機能がありますが、 G2FileCrawlerのACL情報取得&インデックス登録機能とは互換性がありません。 (G2FileCrawlerのACL情報取得&インデックス登録機能の利用をお勧めします。) ※LWSの「Search Filter」機能は、SMART/InSightからご利用いただけません。 ( 「Search Filter」機能は、基本的にLWSの管理画面からのみ利用可能です。) ©2013 Uchida Spectrum, Inc. All rights reserved. Page-8
© Copyright 2024 ExpyDoc