【セキュリティ3部作 : 第3部】ADグループとのマッピングと認可について

2024年3月23日サポぶろぐ

皆さん、こんにちは!
株式会社アシストでWebFOCUSのサポートを担当しています齋藤です。

さてさて、今年に入りWebFOCUSを構成するにあたって重要となる「認証」についてスポットライトを
当てて紹介していますが、いよいよ最後の章となりました。

これまで、

・WebFOCUSにおける認証構成の概要 (コチラ)
・LDAP認証を構成する際に必要な手順~Reporting Server編~    (コチラ)
・LDAP認証を構成する際に必要な手順~WebFOCUS Client編~ (コチラ)

…と、いくつかに分けてお届けしてきました。
今回も続きになりますので、「まだ見てない!」という方は上記のリンクから先にご覧下さい。

では本題に入ります!
前回までの記事で、ActiveDirectory と WebFOCUSの連携を行い、ActiveDirectoryのユーザーで
ログインが実施可能であることを確認しました。

ここからは、どのグループのどのユーザがどんなレポートを参照可能なのか?といったアクセス許可や
参照範囲の設定を行っていく必要があり、これが「認可」と呼ばれるものです!

■認可イメージ

以下のイメージの通り、営業1部所属ユーザーがアクセスした場合には、営業1部に関するダッシュボードや
レポートのみ参照可能となり、その他の営業部のレポート等は参照不可とする。のような制御イメージです。

※ WebFOCUSでは、グループ単位だけではなく、ユーザー単位や「参照は出来るけど編集は不可とする」など、
 細かく権限を設定することが出来ます。


今回の記事では上記イメージの基、部署毎に参照可能な資産を制御する方法についてご紹介していきます。


■ActiveDirectoryとのグループマッピングについて

認可の設定を行う前にActiveDirectory側のグループとWebFOCUS側のグループをマッピングする必要があります。

1) 管理者ユーザーでログイン後、セキュリティセンターから[新規グループ作成]を行い、 [外部グループ]-[参照]を選択します。

2) 表示された画面にてActiveDirectory側のマッピングを行うグループを検索し、選択します。
 以下の例では「営業1部」というActiveDirectory側のグループを追加しています。

3) 選択したActiveDirectoryのグループ(営業1部)とWebFOCUS側のグループをマッピングさせるため、
 WebFOCUS側で使用するグループ名を任意名で指定します。以下の例では「wf_eigyo01」という
 グループ名を指定しています。

4) 上記手順にて同様に「営業2部」と「営業3部」グループもマッピング作業を実施しました。

ここまでの手順でActiveDirectory側のグループとWebFOCUS側のグループをマッピングすることが出来ました。
続いて、どのグループのどのユーザがどんなレポートを参照可能なのか?といったアクセス許可設定を実施していきます!


■アクセス許可の設定について

今回は以下のイメージの基、営業部グループ毎にフォルダの参照権限を設定していきます。

営業1部グループ(wf_eigyo01)   :   営業1部グループのみ参照可能
営業2部グループ(wf_eigyo02)   :   営業2部グループのみ参照可能
営業3部グループ(wf_eigyo03)   :   営業3部グループのみ参照可能

1)管理者ユーザーでログイン後、営業1部グループから参照権限の設定を行います。
 営業1部グループを右クリックし、[セキュリティ]-[ルール]を選択します。

2)営業1部グループは参照可能とするため、参照および実行権限である「ListAndRun」を「許可する」に設定します。

3)続いて、営業2部・営業3部ユーザーのアクセスを拒否するため、以下の通り営業2部グループと
 営業3部グループに対して「ListAndRun」を「拒否する」に設定します。

4)これまでの手順を参考に営業2部フォルダ、営業3部フォルダに対しても「ListAndRun」の権限設定を実施します。

■実際に動作を確認!

以下の通り、各グループに所属するユーザーを用意しました。

eigyo_user01 : 営業1部グループに所属するユーザー
eigyo_user02 : 営業2部グループに所属するユーザー
eigyo_user03 : 営業3部グループに所属するユーザー

1)まずは「eigyo_user01」ユーザーでアクセスします。
 以下の通り「営業1部」フォルダのみ参照可能であり、「営業2部」「営業3部」フォルダは
 参照することができないことが確認できます。

2)同様に「eigyo_user02」ユーザーでアクセスすることで「営業2部」フォルダのみ参照可能
 であることも確認できます。


このようにActiveDirectoryのグループとマッピングさせて、グループやユーザー毎に権限設定を
GUI上で簡単に実施することが出来ます!

今回紹介した権限は「ListAndRun」という参照および実行に関する権限のみですが、WebFOCUSには
細かく参照権限が用意されており、自身で独自のロールを作成することも可能です!

ただ、用意されている権限がたくさんあることから、

こんな制御できないの…?
このロールってどういう権限なの…?
どのロールを付与すれば思った通りの制御ができるの…?

…といった疑問が出てくることもあるかと思いますので、その際はサポートセンターまでお気軽にお問い合わせ下さい!

…ということで長きに渡ってご紹介してきたセキュリティ関連の記事も今回で最後になりました。
お付き合い頂きありがとうございましたー!

次回は「問い合わせってどうやるの?サポセン体験ツアーはじめました!」を公開予定です。
こちらもお楽しみに~♪

<補足>
今回ご紹介した手順は、一部簡略化してお伝えしております。
認証方法はログインに影響を与えるものなので、実際に認証方法を変更する際には、
弊社の担当技術か、弊社サポートサンタ―までお問い合わせいただけますようお願いいたします。

<この記事をかいた人>
株式会社アシスト DX推進技術本部データ活用技術統括部 齋藤 昇太
入社歴 : 2015年新卒入社、7年間 WebFOCUS のサポートを専任
趣味 : プロ野球観戦(日ハムファン)、Apex(マスターランク達成!)
ひとこと : 「こんな記事が欲しい」というご要望お待ちしてまーす!

サポぶろぐ