LDAP/Keycloak グループ同期

概要

GROWI v6.3 では、外部システムで管理しているユーザーとユーザーグループのデータを GROWI にインポートできる機能を搭載しました。 インポートは LDAP サーバーまたは Keycloak から選択できます。LDAP と連携した Keycloak も対象になります。 またこの機能は、一度インポートしたユーザーおよびユーザーグループに対する変更を追跡し、同期させることもできます。

• インポートおよび同期は、管理画面(/admin)からの操作で実行できます。
• 主な外部仕様は Dev Wiki | /資料/外部仕様/LDAPグループ同期 (opens new window) をご覧ください。

GROWI 側で必要な設定

• GROWI 管理画面のグループ管理画面(/admin/user-groups)にアクセスし、作成したい外部グループ（LDAP または Keycloak）のタブを選択します。
• 外部グループ同期の機能を使うには、あらかじめ LDAP/Keycloak の認証機構設定が必要です。

認証機構の設定（LDAP）

1. GROWI 管理画面のセキュリティ設定画面(/admin/security)にアクセスし、「認証機構設定」内、「LDAP」タブから設定します。

   • 設定する内容や手順の詳細は、 LDAP 連携をご覧ください。

2. GROWI 管理画面のグループ管理画面(/admin/user-groups)にアクセスし、「外部グループ管理」の「LDAP」タブから設定します。

   入力必須の項目は以下です。

   • グループ検索ベース DN
   • 所属メンバーを表す LDAP 属性
   • 子グループを表す LDAP 属性

認証機構の設定（Keycloak）

1. GROWI 管理画面のセキュリティ設定画面(/admin/security)にアクセスし、「認証機構設定」内、「OIDC」タブから設定します。

   入力必須の項目は以下です。

   • プロバイダ名
   • 発行ホスト
   • クライアント ID
   • クライアントシークレット
   • 認可エンドポイント
   • トークンエンドポイント
   • 失効エンドポイント
   • 検証エンドポイント
   • ユーザ情報エンドポイント
   • セッション終了エンドポイント
   • 登録エンドポイント
   • Attribute Mapping
     • Identifier
     • username
     • Email

2. GROWI 管理画面のグループ管理画面(/admin/user-groups)にアクセスし、「外部グループ管理」の「Keycloak」タブから設定します。

   入力必須の項目は以下です。

   • Host
   • Group Realm
   • Admin API にリクエストするための client がある realm
   • Client の ID
   • Client の Secret
   • 作成されていない GROWI アカウントを自動生成する
   • 説明

同期実行

• 同期実行の「同期」をクリックし、「外部グループ管理」内の「グループ一覧」にグループが追加されていることを確認します。
  • 追加した外部グループの名前、説明、所属しているユーザー、子グループ、グループの作成日が表示されます。
• 2回目以降の同期で LDAP/Keycloak 側のデータに変更があった場合、変更された内容で同期されます。
  • ただし「LDAP/Keycloak から削除されたグループを GROWI に残す」がオンになっている場合は、削除されたグループが GROWI 上に残ります。
• (TBD) 大規模グループ同期時の注意点