Active Directory ユーザー
このトピックでは、プロビジョニングからロックアウトのシナリオまで、Active Directory ユーザーに関して必要な知識について説明します。
ユーザープロビジョニング
ユーザープロビジョニングでは、ThingWorx でユーザーを自動的に作成、修正、および削除するオプションを使用できます。
|
名前
|
説明
|
XML 属性名
|
デフォルト値
|
注記
|
|---|---|---|---|---|
|
ユーザー作成有効
|
ログインリクエストを処理する Active Directory サーバーでユーザー資格証明が正しく検証された場合に、ThingWorx ユーザーの自動作成/プロビジョニングを行うかどうかを制御します。
このフィールドがオンの場合は、指定されたログインユーザー名と、「User Default Settings」コンフィギュレーションテーブルに指定されたデフォルト値を使用して、ユーザーが作成されます。
このフィールドがオフまたは false (デフォルト) の場合、ユーザーがログインを試みる前に ThingWorx に存在していなければなりません。
ログインを正常に実行するには、ユーザーが ThingWorx に存在している必要があります。「ユーザープロビジョニング除外リスト」コンフィギュレーションテーブルにユーザーが含まれている場合、このフィールドはユーザーの自動作成に影響を及ぼしません。
|
userCreationEnabled
|
false
|
ThingWorx でディレクトリサービスによるユーザーの自動作成を可能にする場合は、true に設定します。
|
|
ユーザー修正有効
|
ログインリクエストを処理する Active Directory サーバーでユーザー資格証明が正しく検証された場合に、ThingWorx ユーザーの自動更新/プロビジョニングを行うかどうかを制御します。
このフィールドがオンまたは true の場合、ユーザーはログインが試行されるたびに更新されます。ユーザーの更新は、「User Default Settings」コンフィギュレーションテーブルに指定されているデフォルト値を使用して行われます。
このフィールドがオフまたは false の場合は (デフォルト)、ユーザーが自動作成/プロビジョニングされたときにログインが最初に試行された後には、ログインの試行のたびにユーザーが更新されることはありません。ログインを正常に実行するには、ユーザーが ThingWorx に存在している必要があります。
「ユーザープロビジョニング除外リスト」コンフィギュレーションテーブルにユーザーが含まれている場合、このフィールドはユーザーの自動更新に影響を及ぼしません。
|
userModificationEnabled
|
false
|
ThingWorx でディレクトリサービスによるユーザーの更新を可能にする場合は、true に設定します。
|
|
ユーザー削除有効
|
ログインリクエストを処理する Active Directory サーバーにユーザーが存在しない場合に、ThingWorx ユーザーの自動削除/プロビジョニング解除を行うかどうかを制御します。
フィールドがオンまたは true の場合、ユーザーはログイン試行時に削除されます。
フィールドがオフまたは偽の場合、ユーザーはログイン試行時に削除されません。ログインと削除を正常に実行するには、ユーザーが ThingWorx に存在する必要があります。ユーザープロビジョニング除外リストコンフィギュレーションテーブルにユーザーが含まれている場合、このフィールドはユーザーの自動削除に影響を及ぼしません。
|
userDeletionEnabled
|
false
|
ThingWorx でディレクトリサービスによるユーザーの削除を可能にする場合は、true に設定します。
|
ユーザーのデフォルト設定
次の表に、ユーザーに対して使用可能なデフォルト設定の説明を示します。これらのフィールドはオプションです。
|
名前
|
説明
|
XML 属性名
|
有効な値
|
注記
|
||||||
|---|---|---|---|---|---|---|---|---|---|---|
|
プロビジョニングされたユーザーのデフォルトのドメインプレフィックス
|
ドメインサーバー Y のユーザー X と、ドメインサーバー Z のユーザー X を区別するために、ユーザー名のプレフィックスとして付けられることが想定される文字列の値。
これにより、設定された Active Directory ディレクトリサービスは、検証対象のユーザーを管理の対象としていることを明示的に認識できます。値が設定されている場合、Active Directory ディレクトリサービスはユーザーの検証やプロビジョニングは行わず、代わりにセキュリティメッセージをログに記録して、ユーザーのログイン試行を、チェーン内で次の ThingWorx ディレクトリサービスに渡します。
|
userDefaultDomainPrefix
|
空の文字列、または有効なエンティティ名の文字を含む任意の文字列
|
設定されているドメインサーバーが複数ある場合は、このコンフィギュレーションを使用してください。たとえば、NA または EUR をドメインプレフィックスとして使用できます。
|
||||||
|
プロビジョニングされたユーザーのデフォルトの説明
|
プロビジョニングされたすべてのユーザーの説明として設定される、説明文字列の値。これは、たとえば「ドメインサーバー Y によって自動プロビジョニング」のように、ユーザーにコンテキスト情報を追加できる便利な設定です。
|
userDefaultDescription
|
空の文字列、または任意の説明の文字列
|
プロビジョニングされたすべてのユーザー (つまり、自動作成/更新されたユーザー) にデフォルトの説明を付ける場合は、このオプションを使用する必要があります。
|
||||||
|
プロビジョニングされたユーザーのデフォルトのホームマッシュアップ
|
プロビジョニングされたすべてのユーザーのデフォルトマッシュアップとして設定される、ホームマッシュアップ名の値。この設定により、プロビジョニングされたすべてのユーザーが、ThingWorx へのログイン時に共通のホームマッシュアップから開始できます。これらのマッシュアップの例としては、ゲストホームマッシュアップ、セルフサービスホームマッシュアップ、オペレータホームマッシュアップなどがあります。
|
userDefaultHomeMashupName
|
設定を解除する場合は空の文字列、それ以外の場合は有効な既存のマッシュアップ名
|
プロビジョニングされたすべてのユーザー (つまり、自動作成/更新されたユーザー) にデフォルトのホームマッシュアップを使用する場合は、このオプションを使用する必要があります。
たとえば、すべてのユーザーに対して、ThingWorx アプリケーションに入るときに同じ GuestMashup、SelfServiceMashup、または LandingPageMashup を初期に指定する場合に、このオプションが便利です。
|
||||||
|
プロビジョニングされたユーザーのデフォルトのモバイルマッシュアップ
|
モバイルデバイスで使用される、プロビジョニングされたすべてのユーザーに対して設定されたモバイルマッシュアップ名の値。この設定により、プロビジョニングされたすべてのユーザーが、ThingWorx へのログイン時に共通のモバイルマッシュアップから開始できます。これらのマッシュアップの例としては、ゲストモバイルマッシュアップ、セルフサービスモバイルマッシュアップ、オペレータモバイルマッシュアップなどがあります。
|
userDefaultMobileMashupName
|
設定を解除する場合は空の文字列、それ以外の場合は有効な既存のマッシュアップ名
|
プロビジョニングされたすべてのユーザー (つまり、自動作成/更新されたユーザー) にデフォルトのモバイルマッシュアップを使用する場合は、このオプションを使用します。
たとえば、すべてのユーザーに対して、ThingWorx アプリケーションに入るときに同じ GuestMashup、SelfServiceMashup、または LandingPageMashup を初期に指定する場合に、このオプションが便利です。
|
||||||
|
プロビジョニングされたユーザーのデフォルトのタグ
|
プロビジョニングされたすべてのユーザーに対して設定されるモデルタグのセット。この設定を使用すると、プロビジョニングされたすべてのユーザーに対して、サーチ/コンテキストの識別に使用できる共通のタグを指定できます。これらのタグの例としては、オペレータタグ、ProvisionedByDomainServerY、ProvisionedByDomainServerZ などがあります。
|
userDefaultTags
|
設定を解除する場合は空の文字列、それ以外の場合は有効な既存のタグ名
|
プロビジョニングされたすべてのユーザー (つまり、自動作成/更新されたユーザー) にモデルタグのデフォルトセットを指定する場合は、このオプションを使用する必要があります。
|
ユーザープロビジョニング除外リスト
Active Directory ディレクトリサービスの管理者が、このコンフィギュレーションテーブルを使用して特定の ThingWorx ユーザーを除外することにより、そのユーザーは Active Directory ディレクトリサービスのユーザープロビジョニング機能の対象外になります。
ユーザープロビジョニング機能には、ユーザーの作成、修正、および削除が含まれます。Active Directory ディレクトリサービスを使用して ThingWorx を設定する際に、既存のユーザーについてはコンフィギュレーションと存在を Active Directory によって管理せずに、資格証明の検証にのみ使用する場合があります。これらのタイプのユーザーは、「ユーザープロビジョニング除外リスト」コンフィギュレーションに追加しなければなりません。
 |
管理者ユーザーはこのリストに自動的に追加されます。除去することはできません。
|
管理者ユーザーは、作成または破棄できないデフォルトの ThingWorx ユーザーです。管理者ユーザーを自動的に修正することはできません。自動修正が行われると、ログイン時に不要なコンフィギュレーションの変更が生じる可能性があります。
ユーザーのログインのシナリオ
以下の表は、ThingWorx 内の Active Directory ディレクトリサービスで設定されたコンフィギュレーションオプションに応じた、ThingWorx へのログイン試行時のユーザーの実行前と実行後の状態を示しています。
|
|
以下のシナリオによって、Active Directory サーバー内のユーザーの状態/構成が変更されることはありません。
太字の項目は、ThingWorx 内でユーザーの実行後状態を決定する主な要因です。
|
|
AD サーバーでのユーザーの状態
|
ThingWorx でのユーザーの実行前状態
|
コンフィギュレーションオプション
|
ThingWorx でのユーザーの実行後状態
|
|---|---|---|---|
|
存在しない
|
存在しない
|
すべてのコンフィギュレーション
|
• 存在しない
• ログインには使用不可
|
|
存在しない
|
• 存在する (ThingWorx 管理者によって手動で作成される)
• ThingWorx でパスワードが設定された/存在している
|
• ユーザープロビジョニングの作成が有効
• ユーザープロビジョニングの修正が有効
• ユーザープロビジョニングの削除が有効
• 「ユーザープロビジョニング除外リスト」にリストされている
|
• 存在する
• 修正または削除されない
• ログインに使用可能
|
|
存在しない
|
• 存在する (ThingWorx 管理者によって手動で作成される)
• ThingWorx でパスワードが設定されていなかった、または存在しない
|
• ユーザープロビジョニングの作成が有効
• ユーザープロビジョニングの修正が有効
• ユーザープロビジョニングの削除が有効
• 「ユーザープロビジョニング除外リスト」にリストされている
|
• 存在する
• 修正または削除されない
• ログインには使用不可
|
|
存在しない
|
存在する (ThingWorx 管理者によって手動で作成される)
|
• ユーザープロビジョニングの作成が有効
• ユーザープロビジョニングの修正が有効
• ユーザープロビジョニングの削除が有効
• 「ユーザープロビジョニング除外リスト」にリストされていない
|
• 存在しない
• ログインには使用不可
|
|
存在しない
|
• 存在する (ThingWorx 管理者によって手動で作成される)
|
• ユーザープロビジョニングの作成が有効
• ユーザープロビジョニングの修正が有効
• ユーザープロビジョニングの削除が無効
• 「ユーザープロビジョニング除外リスト」にリストされていない
|
• 存在しない
• ログインには使用不可
|
|
存在する
|
存在しない
|
• ユーザープロビジョニングの作成が有効
• ユーザープロビジョニングの修正が有効
• ユーザープロビジョニングの削除が有効
• 「ユーザープロビジョニング除外リスト」にリストされている
|
• 存在しない
• ログインには使用不可
|
|
• 存在する
• 無効
|
存在しない
|
• ユーザープロビジョニングの作成が有効
• ユーザープロビジョニングの修正が有効
• ユーザープロビジョニングの削除が有効
• 「ユーザープロビジョニング除外リスト」にリストされていない
|
• 存在しない
• ログインには使用不可
|
|
• 存在する
• ロック済み
|
存在しない
|
• ユーザープロビジョニングの作成が有効
• ユーザープロビジョニングの修正が有効
• ユーザープロビジョニングの削除が有効
• 「ユーザープロビジョニング除外リスト」にリストされていない
|
• 存在しない
• ログインには使用不可
|
|
存在する
|
存在しない
|
• ユーザープロビジョニングの作成が無効
• ユーザープロビジョニングの修正が有効
• ユーザープロビジョニングの削除が有効
• 「ユーザープロビジョニング除外リスト」にリストされていない
|
• 存在しない
• ログインには使用不可
|
|
存在する
|
存在しない
|
• ユーザープロビジョニングの作成が有効
• ユーザープロビジョニングの修正が有効
• ユーザープロビジョニングの削除が有効
• 「ユーザープロビジョニング除外リスト」にリストされていない
|
• 存在する (作成される)
• マッピングされたグループにメンバーとして追加される
• デフォルトのユーザー設定が追加される
• ログインに使用可能
|
|
存在する
|
存在する
|
• ユーザープロビジョニングの作成が有効
• ユーザープロビジョニングの修正が有効
• ユーザープロビジョニングの削除が有効
• 「ユーザープロビジョニング除外リスト」にリストされていない
• ユーザーのデフォルト設定が構成されている
|
• ユーザーが修正される
• マッピングされたグループのメンバーとして追加/除去される
• デフォルトのユーザー設定が追加される
• ログインに使用可能
|
|
存在する
|
存在する
|
• ユーザープロビジョニングの作成が有効
• ユーザープロビジョニングの修正が有効
• ユーザープロビジョニングの削除が有効
• 「ユーザープロビジョニング除外リスト」にリストされている
• ユーザーのデフォルト設定が構成されている
|
• ユーザーは修正されない
• ログインに使用可能
|
|
• 存在する
• ロック済み
|
存在する
|
すべてのコンフィギュレーション
|
• ユーザーはロックされている
• ログインには使用不可
|
|
• 存在する
• 無効
|
存在する
|
すべてのコンフィギュレーション
|
• ユーザーは無効
• ログインには使用不可
|
ユーザーのロックアウトのシナリオ
アカウントのロックアウト設定は、ThingWorx のユーザー管理サブシステムで構成されます。
ロックアウトマネージャは、ロックの評価に基づいてロックアウトを決定するシステム (ThingWorx または Active Directory) として定義されています。
以下の表では、次に示すキーが使用されます。
• ThingWorx のロックアウト試行のコンフィギュレーション: TLA
• Active Directory のロックアウト試行のコンフィギュレーション: ADL
|
ロックの評価
|
ロックアウトマネージャ
|
ロックアウトマネージャの最大試行回数のコンフィギュレーション例
|
操作
|
結果
|
||
|---|---|---|---|---|---|---|
|
TLA > ADL
|
ADL
|
2 回の試行
|
ThingWorx が Active Directory 内でロックされているユーザーを検出する
|
ThingWorx ユーザーはすぐにロックされる
|
||
|
TLA > ADL
|
ADL
|
2 回の試行
|
ユーザーがログインを 2 回間違える
|
2 回の試行後に ThingWorx ユーザーがロックされる
|
||
|
TLA = ADL
|
ADL
|
2 回の試行
|
ユーザーがログインを 2 回間違える
|
2 回の試行後に ThingWorx ユーザーがロックされる
|
||
|
TLA < ADL
|
ADL
|
2 回の試行
|
ユーザーがログインを 2 回間違える
|
2 回の試行後に ThingWorx ユーザーがロックされる
|