LDAP構成ウィンドウの2番目のタブは、LDAP駆動のロール割当てのためのものです。この場合、ロール割当ては、あらかじめ定義されたLDAPグループまたはLDAP問合せに関連付けられます。LDAPの専門家でない人が必要なロール割当てを取得/作成するのを支援する2つの便利な機能があります。
1. LDAPグループ・データ入力を使用すると、LDAP環境で定義されたグループを検索して、そのようなグループ用の正確なLDAP問合せを取得することができます。これは、ロール割当てで、あらかじめ定義されたビジネス・ユーザーの大規模グループを使用する予定の場合に非常に便利です。
2. LDAP検索フィルタ・データ入力を使用すると、LDAPをベースとするユーザーの仮想グループを作成するための適切な問合せを自動的に作成することができます。これは、プロジェクトのために小さな管理者グループまたは一時的なグループを作成するのに非常に便利です。
LDAP駆動のロール割当てを定義する問合せを作成する手順:
1. ロール「Administrator」を割り当てられたユーザーとして、Oracle Metadata Management (OMM)にサインインします。
2. 「Tools」→「Administration」と移動します。
3. 「User」タブを選択します。
4. ヘッダーにある認証タイプのプル・ダウンで「LDAP Authentication」を選択します。
5. ヘッダーで「LDAP」をクリックします。
6. 「Role Assignment」タブをクリックします。
7. 「Add」アイコンをクリックします。
8. 次の情報を入力します。
a. 問合せの名前を入力します
b. 問合せで、ユーザーと関連付けるロールを指定します。
c. グループ名によってロールを割り当てる手順:
i. 「Browse」エントリのアイコンをクリックします。
ii. LDAPシステムでグループ名を入力するか、テキストを検索します。
iii. そのグループの「Distinguished Name」を選択します
d. 検索フィルタを指定して、個々のユーザーを含める方法は次のとおりです。
i. 検索ルートを、次のように指定します: CN=company,CN=Users,DC=company,DC=local
ii. 検索フィルタ・エントリの「Browse」アイコンをクリックして、そのフィルタでユーザーを選択します。
e. 別の方法として、検索フィルタを指定して、個々のユーザーを除外することができます。
i. 検索ルートを指定します: CN=company,CN=Users,DC=company,DC=local
ii. 次の構文を使用します: (&(!(sAMAccountName=username1))(!(sAMAccountName=username)))
9. 「OK」をクリックします。
ロール割当てのために最初のLDAP問合せを作成する場合、現在すべてのためにネイティブの(手動で管理された)ロール割当てからLDAP駆動されたロール(自動の)割当てLDAPユーザーを切り替えていることに注意してください。LDAPユーザーはすべて、次のログイン時に、以前のネイティブのロール割当てをすべて失います。
同様に、ロール割当てのための最後のLDAP問合せを削除する場合、LDAP駆動された(自動の)ロール割当てを、ネイティブの(手動で管理された)ロール割当てに切り替えています。LDAPユーザーは、より多くのロールが手動で付与されるまで、「Guest」ロールにのみ関連付けられるようになります。