SMART/InSightのセキュリティ機能と設計

Presentation on theme: "SMART/InSightのセキュリティ機能と設計"— Presentation transcript:

1 SMART/InSightのセキュリティ機能と設計
ウチダスペクトラム株式会社 SMART/InSight ソリューショングループ

2 SMART/InSigtのセキュリティ 機能概要
　SMART/InSightは、以下の要素にユーザーのアクセス制限をかけることが出来ます。 データ（コンテンツ） 機能（ウィジェット、ファンクション） コンテンツセット、ページ マスタ（コンテンツタイプ、MIMEタイプ）　 例：「ログイン許可」ファンクションを設定することが出来ます。 ログイン可能なユーザーやグループ等を設定することが出来ます。

3 SMART/InSigtのセキュリティ 機能概要
　アクセス制限は Directory Server （Active Directory／Open LDAP）のオブジェクト（User，Group ，OU）を利用して行います。 　SMART/InSightは、起動時等にDirectory Serverから「Group，OUの階層構造」を取得し、アクセス権の設定時に利用します。 　また、ログイン時に「ユーザーが所属するGroup，OU情報」を取得し、ユーザーのアクセス権有無判定に利用します。 InSightは起動時等にDirectory ServerからGroup, OUの階層情報を取得します。 SMART/InSight Directory Server OU Group ログインするとユーザーが所属するGroup, OUを取得します。 【注意】 　お客様のセキュリティポリシーによりSMART/InSightからDirectory Serverへのアクセスが出来ない場合や、Group，OUで会社の組織構造が保たれていない場合、SMART/InSightのセキュリティ機能を利用することが難しくなります。

4 アクセス制限を設定する単位 SMART/InSightでは、アクセス制限を以下の単位で設定することが出来ます。 # 種別 利用場面
子オブジェクト 1 エンタープライズユーザー （User） ユーザー個別にアクセス制限を行う場合に利用します。運用が煩雑になるため、基本的にはユーザー単位の設定は推奨しませんが、「このユーザーだけ特別な権限を与えたい」場合等に利用します。 なし 2 エンタープライズ グループ （Security Group／　 　Group） 社内の組織構造がGroupで管理・維持されている場合、アクセス制御の単位として利用します。 3 エンタープライ ズユニット (Organization Unit) 社内の組織構造がOUで管理・維持されている場合、アクセス制御の単位として利用します。 エンタープライズユニット 4 InSight グループ （InSight Group） Group，OUにない組合せでアクセス制御を行う場合、アクセス制御の単位として利用します。 また、組織構造（Group，OU構造）が複雑なお客様環境では、User，Group，OUとのマッピングをInSightグループに集約し、アクセス権の設定はInSightグループで行うことをお勧めします。 ※人事異動や組織変更時にメンテナンスを行う対象をInSightグループに限定することが出来ます。 エンタープライズグループ

5 アクセス制限を設定する単位 Directory Server（AD） InSightグループ エンタープライズ グループ エンタープライズ
OU エンタープライズ グループ エンタープライズ ユニット Group エンタープライズユーザー

6 アクセス制限のポリシー 　SMART/InSightのアクセス制限は、基本的に「許可するユーザー・グループ等を設定」します。上位のGroup，OUで、異なるアクセス権が設定されている場合は、OR条件で「アクセスを許可する範囲が拡大」されます。 ※特定ユーザー・グループ等のアクセスを拒否する設定は出来ません。（ACLを除く）

7 データ（コンテンツ）のセキュリティ ユーザーに参照権限があるデータ（レコード）のみ検索結果に表示する方法は、以下の2種類があります。
1. コンテンツタイプでのセキュリティ実現 　　 インデックス作成時に、データの種類を表すID（コンテンツタイプ）をインデックスに登録します。また、SMART/InSightでコンテンツタイプをマスタとして定義し、コンテンツタイプ毎にどのユーザー・グループ等で参照可能とするかを設定します。 　　　検索時SMART/InSightは、ユーザー自身やユーザーが所属するグループ等が、どのコンテンツタイプを参照できるかの定義情報を取り出し、検索クエリーに検索条件として付加します。 g2データベース：m_contents_typeテーブル 検索エンジン SMART/InSight データソース コンテンツタイプ項目の値 contents_type_id contents_type_name ファイルサーバー（総務部） “FSSoumu” FSSoumu ファイルサーバー（営業部） “FSEigyo” FSEigyo Notes（技術部） “NotesGijutsuDB” NotesGijutsuDB DB（売上データ） “UriageDB” UriageDB

8 データ（コンテンツ）のセキュリティ 2. ファイルACLでのセキュリティ実現
　　 また、検索時SMART/InSightは「ログイン時に取得したユーザーが所属するグループのSID、及びユーザーのSID」を、検索クエリーに検索条件として付加します。 　※ユーザー認証をActive Directory以外のDirectory Serverで行う場合、ファイルACLでのセキュリティ機能はご利用いただけません。 　※SMART/InSight標準機能では、複数のActive Directoryが存在する環境には対応しておりません。 　※LWSのクローラーにもファイルACL情報をインデックスに登録する機能がありますが、G2FileCrawlerのACL情報取得＆インデックス登録機能とは互換性がありません。（G2FileCrawlerのACL情報取得＆インデックス登録機能の利用をお勧めします。） 　※LWSの「Search Filter」機能は、SMART/InSightからご利用いただけません。 　　　（ 「Search Filter」機能は、基本的にLWSの管理画面からのみ利用可能です。）