管理ガイド › グループとロールのセットアップ › 静的グループとロール › 静的グループの動作方法

静的グループの動作方法

静的グループは、他のエントリの DN リストが含まれるディレクトリのエントリです。

アプリケーションは、DN が特定のグループに含まれているかどうか確認するためにディレクトリを参照できます。 その結果、アプリケーションはその情報を使って、ユーザへのアクセスを付与または拒否したり、その他の変更点を使用できます。

例： アプリケーション管理者のための静的グループ

この例では、会社 A （大規模ホテル管理会社）が同社の職員ディレクトリで静的グループを使用する方法について説明します。

会社 A には数十万の従業員が在籍しており、全員が職員ディレクトリにリストされています。 このディレクトリのサブツリーは地域別、さらに業務部門別にわかれています。

ディレクトリはさまざまなアプリケーションによって使用されます。各アプリケーションでは、そのアプリケーションを管理できるユーザを認識する必要があります。 たとえば、「給与」アプリケーションは、「給与管理者」グループに所属するユーザに追加権限を与えます。

従業員が「給与」アプリケーションにログインするとき、以下が行われます。

1. ユーザが「給与」アプリケーションにログインします。
2. アプリケーションはディレクトリに接続し、そのユーザを検索します。
3. アプリケーションは、ユーザ エントリの DN を取得し、このユーザがメンバになっているあらゆるグループのグループ サブツリーを検索します。

   この例では、ユーザは「給与管理者」グループにいません。

4. アプリケーションはユーザに一般的な従業員に許可されているアクセス権のみ与えます。 これには、自分のアドレスを更新する権限や、自分の給料、税金、休暇の詳細を表示する権限などが含まれます。
5. このユーザが「給与管理者」グループに含まれていた場合、アプリケーションは他の従業員の詳細を表示および変更する権限など、より大きな権限を与えます。