Project

General

Profile

QA #295

複数のLDAP情報からグループ作成

Added by Tamura Shinji about 4 years ago. Updated about 4 years ago.

Status:
新規
Priority:
通常
Assignee:
-
Category:
-
Target version:
-
Start date:
01/31/2017
Due date:
% Done:

0%

Estimated time:

Description

Active Directoryを使った認証を行っています。
認証時には、departmentの情報を用いてグループ作成・登録を行っています( Redmine LDAP Sync を使用)。

現状のActive Directoryには、まだ情報としてないのですが、同じようにして職務権限(一般社員、幹部社員とか)の情報を取得できるようにしたいと思っています。

ただ、仮にjob titleの様なものが取得できたとしても、ロールまで割り振ることはできないのでプロジェクトへのメンバー登録時に簡易に登録できるように、
  • グループ名として、"所属 - 職務権限" といったグループの作成
  • ユーザのカスタムフィールドに職務権限を登録して、メンバー登録時に検索できるようにする

個人的には一つ目の方が人事異動が発生した時も対応しやすいのでいいのではないかと思っていますが、何か良い方法お持ちの方はいらっしゃらないでしょうか?
(一つ目の方法であれば、プラグインの改造だけで済むと思ってますが。。。手を入れる範囲が多いなぁと想像しています)

#1

Updated by 奈良 裕記 about 4 years ago

自分だったら、前者のグループ作成ですね。
RedmineのRole割当に直接反映できますし。

以下、私見です。(部門所属admin視点)

プラグインの中の処理、見切るのはそれなりの手間が掛かり、
殆どの人はブラックボックスとして利用している筈。

全社AD様には、見も知らない人が大量に登録されている訳で、
触って事故ったら目も当てられません。
(deleteで無く誤登録メールなどでも、、)

ブラックボックスに処理を行わせるのは、怖くて出来ません。

自分だったら、
LDAP直接の処理は単純なCSVデータ出力程度とし、
後は自前でデータ処理してSQL登録します。

これなら何かあっても、自分の目が届く範囲の事故-バックアップ復旧程度で済むでしょうから。。

#2

Updated by Tamura Shinji about 4 years ago

自分も似たような考えをしていたので安心しました。
jobtitle相当だけADに登録してもらって、あとは全社ADからローカルLDAPを立ててそっちで対応しようかなと。

ADへのアクセスはRead権限でしか見ていないのでプラグイン側で対応というのもありっちゃありですが、後々のことを考えると得策ではないですよね。

#3

Updated by 奈良 裕記 about 4 years ago

>全社ADからローカルLDAPを立ててそっちで対応しようかなと。

↓の手法ですね。まとまった時間取れたらやりたい。。
http://www.slideshare.net/ryousoda/redmine-69559249

#4

Updated by Tamura Shinji about 4 years ago

参考URLありがとうございます。
他の裏事情も似たような。。。(笑)

先の情報に、ローカル側での情報統合ができればやりたいことはできますねぇ
一応、情シスからは前向きな回答得られているので
  • グループ名として、"所属 - 職務権限" といったグループの作成
    でできそうです。

Also available in: Atom PDF