InSight

SMART/InSightのセキュリティ機能と設計
ウチダスペクトラム株式会社
SMART/InSight ソリューショングループ
©2013 Uchida Spectrum, Inc. All rights reserved.
SMART/InSigtのセキュリティ 機能概要
SMART/InSightは、以下の要素にユーザーのアクセス制限をかけることが
出来ます。
 データ(コンテンツ)
 機能(ウィジェット、ファンクション)
 コンテンツセット、ページ
 マスタ(コンテンツタイプ、MIMEタイプ)
例:「ログイン許可」ファンクションを設定することが出来ます。
ログイン可能なユーザーやグループ等を
設定することが出来ます。
©2013 Uchida Spectrum, Inc. All rights reserved.
Page-2
SMART/InSigtのセキュリティ 機能概要
アクセス制限は Directory Server (Active Directory/Open LDAP)のオブジェ
クト(User,Group ,OU)を利用して行います。
SMART/InSightは、起動時等にDirectory Serverから「Group,OUの階層構造」を取得し、
アクセス権の設定時に利用します。
また、ログイン時に「ユーザーが所属するGroup,OU情報」を取得し、ユーザーのアクセ
ス権有無判定に利用します。
InSightは起動時等にDirectory Serverから
Group, OUの階層情報を取得します。
SMART/InSight
Directory Server
OU
Group
【注意】
ログインするとユーザーが所属
するGroup, OUを取得します。
お客様のセキュリティポリシーによりSMART/InSightからDirectory Serverへのアクセス
が出来ない場合や、Group,OUで会社の組織構造が保たれていない場合、
SMART/InSightのセキュリティ機能を利用することが難しくなります。
©2013 Uchida Spectrum, Inc. All rights reserved.
Page-3
アクセス制限を設定する単位
SMART/InSightでは、アクセス制限を以下の単位で設定することが出来ます。
種別
利用場面
子オブジェクト
1
エンタープライズ
ユーザー
(User)
ユーザー個別にアクセス制限を行う場合に利用します。運
用が煩雑になるため、基本的にはユーザー単位の設定は
推奨しませんが、「このユーザーだけ特別な権限を与えた
い」場合等に利用します。
なし
2
エンタープライズ
グループ
(Security Group/
Group)
社内の組織構造がGroupで管理・維持されている場合、ア
クセス制御の単位として利用します。
エンタープライズユーザー
3
エンタープライ
ズユニット
(Organization Unit)
社内の組織構造がOUで管理・維持されている場合、アク
セス制御の単位として利用します。
エンタープライズユニット
エンタープライズユーザー
4
InSight グループ
(InSight Group)
Group,OUにない組合せでアクセス制御を行う場合、アク
セス制御の単位として利用します。
また、組織構造(Group,OU構造)が複雑なお客様環境で
は、User,Group,OUとのマッピングをInSightグループに
集約し、アクセス権の設定はInSightグループで行うことを
お勧めします。
※人事異動や組織変更時にメンテナンスを行う対象を
InSightグループに限定することが出来ます。
エンタープライズユーザー
エンタープライズグループ
エンタープライズユニット
#
©2013 Uchida Spectrum, Inc. All rights reserved.
Page-4
アクセス制限を設定する単位
Directory Server(AD)
エンタープライズ
グループ
OU
エンタープライズ
ユニット
InSightグループ
Group
エンタープライズユーザー
©2013 Uchida Spectrum, Inc. All rights reserved.
Page-5
アクセス制限のポリシー
SMART/InSightのアクセス制限は、基本的に「許可するユーザー・グループ
等を設定」します。上位のGroup,OUで、異なるアクセス権が設定されている
場合は、OR条件で「アクセスを許可する範囲が拡大」されます。
※特定ユーザー・グループ等のアクセスを拒否する設定は出来ません。(ACL
を除く)
©2013 Uchida Spectrum, Inc. All rights reserved.
Page-6
データ(コンテンツ)のセキュリティ
ユーザーに参照権限があるデータ(レコード)のみ検索結果に表示する方法は、
以下の2種類があります。

1. コンテンツタイプでのセキュリティ実現
インデックス作成時に、データの種類を表すID(コンテンツタイプ)をインデックスに
登録します。また、SMART/InSightでコンテンツタイプをマスタとして定義し、コンテン
ツタイプ毎にどのユーザー・グループ等で参照可能とするかを設定します。
g2データベース:m_contents_typeテーブル
SMART/InSight
検索エンジン
データソース
コンテンツタイプ項目の値
contents_type_id
contents_type_name
ファイルサーバー(総務部)
“FSSoumu”
FSSoumu
ファイルサーバー(総務部)
ファイルサーバー(営業部)
“FSEigyo”
FSEigyo
ファイルサーバー(営業部)
Notes(技術部)
“NotesGijutsuDB”
NotesGijutsuDB
Notes(技術部)
DB(売上データ)
“UriageDB”
UriageDB
DB(売上データ)
検索時SMART/InSightは、ユーザー自身やユーザーが所属するグループ等が、
どのコンテンツタイプを参照できるかの定義情報を取り出し、検索クエリーに検索条
件として付加します。
©2013 Uchida Spectrum, Inc. All rights reserved.
Page-7
データ(コンテンツ)のセキュリティ

2. ファイルACLでのセキュリティ実現
ファイルサーバー上のファイルをクロールする時、ファイルに設定されているACL情
報をインデックスに登録します。
また、検索時SMART/InSightは「ログイン時に取得したユーザーが所属するグループ
のSID、及びユーザーのSID」を、検索クエリーに検索条件として付加します。
※ユーザー認証をActive Directory以外のDirectory Serverで行う場合、ファイルACLで
のセキュリティ機能はご利用いただけません。
※SMART/InSight標準機能では、複数のActive Directoryが存在する環境には対応して
おりません。
※LWSのクローラーにもファイルACL情報をインデックスに登録する機能がありますが、
G2FileCrawlerのACL情報取得&インデックス登録機能とは互換性がありません。
(G2FileCrawlerのACL情報取得&インデックス登録機能の利用をお勧めします。)
※LWSの「Search Filter」機能は、SMART/InSightからご利用いただけません。
( 「Search Filter」機能は、基本的にLWSの管理画面からのみ利用可能です。)
©2013 Uchida Spectrum, Inc. All rights reserved.
Page-8