LDAP Management (v8.4.2 and up) (jp_LDAPの管理(v8.4.2以降))
LDAP(Lightweight Directory Access Protocol)はインターネットプロトコルです。Webアプリケーションは、このプロトコルを使用してLDAPサーバに登録されているユーやグループなどの情報を検索します。CxSASTアプリケーションでは、認証やユーザ/グループ管理を行うために、LDAPディレクトリにアクセスすることが可能です。CxSASTには、最も普及しているLDAPディレクトリサーバ(Active Directory、OpenLDAP、カスタマイズされたLDAPサーバ)に接続するためのコネクタが実装されています。ユーザグループがcompanyディレクトリに格納されている場合は、LDAPディレクトリサーバへの接続が効果的です。LDAPと同期することで、LDAPディレクトリでの変更に応じて、CxSASTにおけるユーザやグループの作成、更新、削除を自動的に実施することができます。
LDAPサーバの追加
新規LDAPサーバの追加方法は、以下のとおりです。
Management > Connection Settings > LDAP Serversの順に選択して、LDAP Server画面を表示します。
+ Add New Serverをクリックしてください。LDAP Server Authentication画面が表示されます(詳しくは、次のセクションで説明のLDAP認証の設定を参照)。
既存のLDAPサーバを削除するには、Deleteをクリックしてください。
LDAP認証の設定
LDAP認証の設定方法は、以下のとおりです。
+(アクティブディレクトリ)を選択して、既存LDAPサーバの設定を表示するか、+ Add New Serverをクリックしてください。LDAP Authentication画面が表示されます。
次の認証パラメータを定義してください。
パラメータ | 説明 |
Name | サーバ名 |
Directory Type | デフォルト設定に基づき、サーバパラメータの自動設定を提供(ActiveDirectory、OpenLDAP、LDAP Server)
SSOおよびDomainオプションは、ActiceDirectoryユーザのみ有効 |
Host Name | LDAPサーバのホスト名(例: ldap.company.com) |
Port | LDAPサーバのポート番号(例:389、636(SSLを使用する場合))
|
User Name | LDAPサーバ接続時にアプリケーションが使用するユーザ名 検索結果のページングにおける、LDAP制御の拡張機能を有効/無効にすることが可能。ページングを有効(デフォルト)にして検索を実行すると、一度に検索結果をすべて取得するのではなく、一連のデータを取得。このため、特定のユーザを検索する場合には、User Nameフィールドに一意の情報を指定しなければならない(完全なユーザDNの使用例: dn=myuser,ou=people,dc=company,dc=com) |
Password | 上で設定したユーザのパスワード |
Base DN | ユーザ検索に使用(例: cn=users, dc=example, dc=com) |
Additional User DN | ユーザ検索を特定のDNに制限(例: ou=People) |
User Object Schema | ユーザを読み込む際に使用するLDAPユーザオブジェクトクラスタイプ |
User Object Filter | ユーザオブジェクトの検索時に使用する検索フィルタの条件式(例: (objectCategory=Person)) |
User Name Attribute | ユーザオブジェクトで使用する属性フィールド(例: cn=sAMAccountName) |
User RDN Attribute | ユーザの識別名を読み込む際に使用する属性フィールド(例: cn) |
User First Name Attribute | ユーザの名前(ファーストネーム)を読み込む際に使用する属性フィールド(例: givenName) |
User Last Name Attribute | ユーザの名字(ラストネーム)を読み込む際に使用する属性フィールド(例: sn) |
User Email Attribute | ユーザのE-mailアドレスを読み込む際に使用する属性フィールド(例: mail) |
Saveを選択し、変更を保存します。
Test Connectionをクリックして、接続確認を行ってください。
LDAP同期の設定
同期を有効にすることで、ログイン時にLDAPユーザを自動的に作成/更新することが可能となります。無効の場合には、LDAPの使用はユーザ認証に限定されます。
LDAP同期の設定方法は、次のとおりです。
Enable Synchronizationにチェックを付けて、LDAP Synchronization画面を表示します。
次の同期パラメータを設定してください。
パラメータ | 説明 |
Additional Group DN | グループ検索を特定のDNに限定(例:ou=Groups) |
Group Object Schema | LDAPグループオブジェクトタイプ(例:group ) |
Group Object Filter | グループの検索時に使用するLDAP検索フィルタの条件式(例:(objectCategory=Person)) |
Group ID Attribute (CN) | グループのIDを定義するLDAP属性(例: cn) |
Group Name Attribute | グループの名前を定義するLDAP属性(例: name) |
Group Members Attribute (member) | LDAPのmember属性は、2つ以上の属性値を定義することが可能。各属性には、ユーザ、グループ、グループメンバーの連絡先オブジェクトなどから構成される識別名のリストを指定(例:member) |
User Membership Attribute (memberof) | LDAPのmemberof属性は、2つ以上の属性値を定義することが可能。ユーザが直接所属しているグループを指定(例:memberOf) |
ユーザ管理の定義(同期)
ユーザ管理(同期)では、LDAPに登録されているユーザ情報の取得や、それらのユーザ情報をCxSASTで定義することができます。同期のデフォルトパラメータは、同期オプションが有効な場合に限り、適用されます(詳しくは、上のセクションで説明の「LDAP同期の設定」を参照)。
適切な同期のデフォルトパラメータを選択してください。
パラメータ | 説明 |
Manual Role Authorization | ユーザの作成はLDAPを活用し、権限付与はCxSASTのユーザ管理を利用して手動で実行。デフォルトで、LDAPユーザは1つのチームに所属し、ログイン時にScannerあるいはReviewerのいずれかとして定義される。ログインしたユーザのCxSASTのチームとロールは、手動による変更が可能(詳しくはこちらを参照)。 |
LDAP Role Authorization | ロールの権限はLDAPで管理され、CxSASTのログイン時に自動的に更新される。ロールの権限/管理における定義は、LDAPでユーザ属性の作成時やマッピング時に定義。 |
Saveをクリックして、変更を保存してください。
ロールマッピングの設定
ロールマッピング設定では、LDAPに作成されたユーザのロール(例: Scanner、Reviewer)を指定します。設定されていない場合、CxSASTでロールが割り当てられません。ロールマッピングのパラメータは、Manual Role Authorizationオプションが有効な場合に限り、適用することが可能です(詳しくは、上のセクションで説明の「ユーザ管理の定義(同期)」を参照)。
次のロールマッピングパラメータを定義してください。
パラメータ | 説明 |
Default Role ID | ロールが割り当てられていないユーザにCxSASTのロールを指定。設定しない場合はCxSASTでロールが割り当てられない(例: Scanner、Reviewer)。
|
Advanced Role Mapping | CxSASTのロールマッピングは、Advanced Role Mappingチェックボックスにチェックをつけて、その下のパラメータを定義することで管理可能 LDAPで管理されるロールは、CxSASTのログイン時に自動的に更新される |
Scanner without authorities Group DN | LDAP Group DNのリストを定義。これらのグループに所属するメンバーは、「Apply Not Exploitable State」および「Delete Projects\Scan」オプションが無効のScannerロールが割り当てられる(例: cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org) |
Scanner with only Allow to apply not exploitable state option Group DN | LDAP Group DNのリストを定義。このグループに所属するメンバーには、「Apply Not Exploitable State」オプションのみが有効のScannerロールが割り当てられる(例: cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org) |
Scanner with only Allow to delete Project\Scans option Group DN | LDAP Group DNのリストを定義。このグループに所属するメンバーには、「Delete Project\Scans」オプションのみが有効のScannerロールが割り当てられる(例:cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org ) |
Scanner with all authorities Group DN | LDAP Group DNのリストを定義。このグループに所属するメンバーには、「Apply Not Exploitable State」および「Delete Projects\Scan」オプションが有効のScannerロールが割り当てられる(例: cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org) |
Reviewer without authorities Group DN | LDAP Group DNのリストを定義。このグループに所属するメンバーには、「Allow Severity/Status Change」オプションが無効のReviewerロールが割り当てられる(例: cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org) |
Reviewer with all authorities Group DN | LDAP Group DNのリストを定義。このグループに所属するメンバーには、「Allow Severity/Status Change」オプションが有効のReviewerロールが割り当てられる(例: cn=dev, ou=grp, dc=my, dc=org /cn=qa, ou=grp, dc=my, dc=org) |
Saveをクリックして、変更を保存します。
同期を活用して自動的にログインするには、こちらで説明の手順も実施してください。