# LDAP/Keycloak グループ同期
# 概要
GROWI v6.3 では、外部システムで管理しているユーザーとユーザーグループのデータを GROWI にインポートできる機能を搭載しました。 インポートは LDAP サーバーまたは Keycloak から選択できます。LDAP と連携した Keycloak も対象になります。 またこの機能は、一度インポートしたユーザーおよびユーザーグループに対する変更を追跡し、同期させることもできます。
- インポートおよび同期は、管理画面(
/admin
)からの操作で実行できます。 - 主な外部仕様は Dev Wiki | /資料/外部仕様/LDAPグループ同期 (opens new window) をご覧ください。
# GROWI 側で必要な設定
- GROWI 管理画面のグループ管理画面(
/admin/user-groups
)にアクセスし、作成したい外部グループ(LDAP または Keycloak)のタブを選択します。 - 外部グループ同期の機能を使うには、あらかじめ LDAP/Keycloak の認証機構設定が必要です。
# 認証機構の設定(LDAP)
GROWI 管理画面のセキュリティ設定画面(
/admin/security
)にアクセスし、「認証機構設定」内、「LDAP」タブから設定します。- 設定する内容や手順の詳細は、 LDAP 連携をご覧ください。
GROWI 管理画面のグループ管理画面(
/admin/user-groups
)にアクセスし、「外部グループ管理」の「LDAP」タブから設定します。入力必須の項目は以下です。
- グループ検索ベース DN
- 所属メンバーを表す LDAP 属性
- 子グループを表す LDAP 属性
# 認証機構の設定(Keycloak)
GROWI 管理画面のセキュリティ設定画面(
/admin/security
)にアクセスし、「認証機構設定」内、「OIDC」タブから設定します。入力必須の項目は以下です。
- プロバイダ名
- 発行ホスト
- クライアント ID
- クライアントシークレット
- 認可エンドポイント
- トークンエンドポイント
- 失効エンドポイント
- 検証エンドポイント
- ユーザ情報エンドポイント
- セッション終了エンドポイント
- 登録エンドポイント
- Attribute Mapping
- Identifier
- username
GROWI 管理画面のグループ管理画面(
/admin/user-groups
)にアクセスし、「外部グループ管理」の「Keycloak」タブから設定します。入力必須の項目は以下です。
- Host
- Group Realm
- Admin API にリクエストするための client がある realm
- Client の ID
- Client の Secret
- 作成されていない GROWI アカウントを自動生成する
- 説明
# 同期実行
- 同期実行の「同期」をクリックし、「外部グループ管理」内の「グループ一覧」にグループが追加されていることを確認します。
- 追加した外部グループの名前、説明、所属しているユーザー、子グループ、グループの作成日が表示されます。
- 2回目以降の同期で LDAP/Keycloak 側のデータに変更があった場合、変更された内容で同期されます。
- ただし「LDAP/Keycloak から削除されたグループを GROWI に残す」がオンになっている場合は、削除されたグループが GROWI 上に残ります。
- (TBD) 大規模グループ同期時の注意点