User Manager の構成

User Manager は、Polyspace^® Access のユーザーログインの認証を管理します。ログインを認証するために、ユーザー名とパスワードが、User Manager データベースに保存されている ID の資格情報と照合されます。ID を User Manager のデータベースに追加するには、次のいずれかを行います。

社内の Lightweight Directory Access Protocol (LDAP) サーバーを User Manager に接続し、LDAP サーバーから ID をインポートする。LDAP サーバーとの接続を構成するには、組織の LDAP サーバーの User Manager への接続を参照してください。
カスタム ID を作成する。Manage Users and Groupsを参照してください。たとえば、社内の LDAP を使用できない場合や、使用しないことにした場合などに、カスタム ID を作成します。

[Cluster Dashboard] で [Configure Apps] をクリックして [Cluster Settings] に移動します。設定を変更するたびに、[Save] をクリックして [Cluster Dashboard] に戻り、変更を反映させるために [Restart Apps] をクリックします。必ず、[Save] をクリックする前に [Validate on Save] を有効にしてください。

メモ

Windows^® システムでは、指定するすべてのファイルのパスがローカルドライブを指している必要があります。

前提条件

[Cluster Admin] をインストールして起動します。Cluster Admin の構成と起動を参照してください。

User Manager の一般設定

以下の設定は、カスタムユーザー資格情報を作成する場合にも、社内の LDAP サーバーからユーザーをインポートする場合にも必要です。

設定	説明
Internal directory database volume	データベースフォルダーの絶対パスを指定します。このデータベースに、LDAP サーバーからインポートしたユーザーとグループ、または User Manager インターフェイスで作成したユーザーとグループに関する情報が保存されます。既定では、このデータベースは Polyspace Access のインストールイメージを解凍したフォルダーの `appdata/usermanager` 下に格納されます。たとえば、`/local/usr/Access/R2025b/appdata/usermanager/db` です。
Internal directory database username	PostgreSQL コマンドを使用して内部データベースを操作する必要がある場合は、このフィールドに指定したユーザー名を使用します。既定のユーザー名は "UM" です。
Internal directory database password	PostgreSQL コマンドを使用して内部データベースを操作する必要がある場合は、このフィールドに指定したパスワードを使用します。このフィールドは必須です。現在のデータベースパスワードを確認するには、次のコマンドを実行します。 Windows `docker inspect usermanager-db-0-main \| FIND "UMDB_PASSWORD"` Linux `docker inspect usermanager-db-0-main \| grep UMDB_PASSWORD` データベースのパスワードを変更するには、次のようにパスワードを 2 回更新します。 Polyspace Access 設定でのパスワードを変更するために、このフィールドに新しいパスワードを入力します。 postgres データベース内のパスワードを更新するために、Polyspace Access をインストールしたマシンで次のコマンドを実行します。 `docker exec -it usermanager-db-0-main psql --username um --dbname umdb -c "ALTER ROLE um WITH PASSWORD 'yourNewPassword'"` オプション `--username` の引数は、[Internal directory database username] フィールドで指定したユーザー名と一致している必要があります。
Administrator sign-in IDs	User Manager 管理者として設定するユーザーのユーザー名をコンマ区切りリストとして入力します。カスタムユーザー名または、社内の LDAP に含まれているユーザー名を指定できます。Create, Edit, or Remove Users and Groupsを参照してください。メモ [Connect an LDAP directory] を有効にする場合は、このフィールドに指定するユーザー名のうちの少なくとも 1 つが、LDAP ディレクトリに含まれているか、User Manager データベース内に既に存在している必要があります。そうでなければ、User Manager インターフェイスにログインできません。このフィールドに指定するユーザーは、Polyspace Access 管理者でもあります。Polyspace Access 管理者の詳細については、Manage Project Permissionsを参照してください。ユーザーを Polyspace Access 管理者から外すには、次のようにします。このフィールドからユーザー名を削除し、変更を保存してからアプリを再起動します。再起動した後、Polyspace Access 管理者が、Polyspace Access Web インターフェイスでコンテキストメニューを使用して、[プロジェクトエクスプローラー] の最上位のすべてのフォルダーから、このユーザーの割り当てを解除する必要があります。管理者は、`polyspace-access -unset-role`コマンドを使用してコマンドラインでこのタスクを実行することもできます。
Initial administrator password	[User Manager] インターフェイスにログインするために使用するパスワード。 [User Manager Directory Connection] 設定で [Connect an LDAP directory] を選択した場合、このフィールドは使用できません。
Authentication token expiration (sec):	User Manager が認証済みユーザーに発行する署名付き JSON Web トークンの有効期間を秒単位で指定します。この有効期間により、セッションの有効期間が決まります。ユーザーが Polyspace Access にログインすると、ユーザーのライセンスがチェックアウトされ、セッションが期限切れにならないように、定期的にセッションの更新が行われます。ユーザーが明示的にログアウトするか Web ブラウザーを閉じると、セッションは終了し、ライセンスがチェックインして戻されます。ブラウザーが予期せず閉じた場合は、セッションが期限切れになるまで、ライセンスはチェックアウトされたままになります。有効期間を設定するときには、次の点を考慮します。有効期間が短すぎると、使用頻度の高いユーザーに、再ログインを求めるプロンプトが頻繁に表示されます。大規模なチームでは、ライセンスサーバーでライセンスのチェックインとチェックアウトが大量に発生します。有効期間が長すぎると、使用頻度の低いユーザーのセッション時間が、ライセンスログで過大評価される可能性があります。この設定を使用して、ライセンスのタイムアウトを設定できます。Polyspace Access は、ライセンスマネージャーのオプションファイル (`MLM.opt`) で `TIMEOUT feature seconds` 構文を使用して設定されたライセンスのタイムアウト値を無視します。
Authentication private key file:	User Manager で JSON Web トークンの署名に使用する秘密鍵 `PEM` ファイルの絶対パスを指定します。Windows システムでは、このパスはローカルドライブを指している必要があります。 User Manager サービスでは、パスワードで保護された秘密鍵はサポートされません。秘密鍵は、`openssl` ユーティリティを使用して生成できます。以下に例を示します。 openssl genrsa -out private.pem 2048 この秘密鍵へのアクセスは、User Manager サービスを管理する管理者のみに制限してください。 SSL 証明書 (HTTPS プロトコルを有効にする場合に指定するもの) を生成するために使用した秘密鍵を再利用しないでください。
API keys and user IDs	このフィールドに API キー値とユーザー名のペアを入力して、API キーをユーザーに割り当てます。たとえば、API キーをユーザー `jsmith` に割り当てるには、次のように入力します。 5ea34345-a03b-4a20-821e-f10e45e0e863,jsmith 他のユーザーに API キーを割り当てるには、別の行に追加の API キー値とユーザー名のペアを入力します。API キー値はそれぞれ一意でなければなりません。任意の英数字の組み合わせを API キーとしてユーザーに割り当てることができます。たとえば、API キーとして汎用一意識別子 (UUID) を生成するには、以下のコマンドを使用します。 Windows PowerShell: `[guid]::NewGuid()` Linux^®: `uuidgen` Polyspace Access 資格情報が必要な以下のコマンドでは、API キーを使用します。 Manage Polyspace Access Results and Users at the Command Line `polyspace-results-export` (Polyspace Bug Finder)`polyspace-results-export` (Polyspace Code Prover) `polyspace-report-generator` (Polyspace Bug Finder) `polyspace-report-generator` (Polyspace Code Prover) API キーを使用するときには、API キーをテキストファイルに保存し、`-credentials-file` コマンドを使用して、そのファイルをコマンドに渡すことをお勧めします。たとえば、ユーザー `jsmith` の API キーを使用するには、以下の行をテキストファイル `credentials.txt` に保存します。 -api-key 5ea34345-a03b-4a20-821e-f10e45e0e863 このファイルを、たとえば次のようにしてコマンドに渡します。 polyspace-access -credentials-file credentials.txt あるいは、コマンドラインで `-api-key` を使用して、API キーを直接渡すこともできます。コマンドでは、API キーが、対応するユーザーのログイン資格情報として使用されます。ユーザーがパスワードを更新しても、そのユーザーの API キーを更新する必要はありません。API キーを自動化スクリプトの一部として使用する場合は、その API キーに関連付けられているユーザーが、スクリプト内のすべての操作を実行できるだけの十分な権限を持っていることを確認してください。Manage Project Permissionsを参照してください。

ID を作成または管理するには、Manage Users and Groupsを参照してください。

組織の LDAP サーバーの User Manager への接続

組織の LDAP サーバーを使用するには、[User Manager Directory Connection] 設定で [Connect an LDAP directory] を選択し、LDAP 設定を構成します。LDAP 管理者に連絡して、LDAP URL、LDAP ユーザーベース、その他の LDAP 設定およびフィルターを入手します。Docker を使用している場合、Docker コンテナーはホストから DNS 設定を継承する必要があります。

Polyspace Access™ は、RSA 方式の鍵交換を使用する暗号スイートおよび 3DES 暗号スイートをサポートしていません。これらの暗号スイートには既知の脆弱性があるためです。ECDHE 方式の暗号スイートなどのセキュリティで保護された暗号スイートを使用するように LDAP サーバー構成をアップグレードしてから、LDAP サーバーを [User Manager] に接続してください。

設定	説明
LDAP URL	次の形式で LDAP URL を入力します。 ldap://HOST:PORT `HOST` は LDAP ホスト、`PORT` は LDAP ポート番号です。 SSL と組み合わせて LDAP サーバーを構成した場合は、次の形式で URL を入力します。 ldaps://HOST:PORT その他の LDAPS 構成手順については、User Manager での LDAP over SSL の構成を参照してください。 LDAP サーバーとクライアントの間の通信は暗号化されないので、SSL と組み合わせた LDAP (LDAP over SSL (LDAPS)) を構成して使用することをお勧めします。
Synchronization interval (seconds)	LDAP サーバーとの User Manager データベースの同期間隔を秒単位で指定します。たとえば、LDAP サーバーと User Manager データベースを 30 分間隔で同期するには、1800 と指定します。手動で同期するには、[User Manager] インターフェイスで [Synch With LDAP] をクリックします。
LDAP username	LDAP サーバーに対する読み取り権限を持つユーザーのユーザー名。LDAP サーバーへのアクセスがパスワードで保護されていない場合、このフィールドは空白のままにします。
LDAP password	LDAP サーバーに対する読み取り権限を持つユーザーのパスワード。LDAP サーバーへのアクセスがパスワードで保護されていない場合、このフィールドは空白のままにします。パスワードは `settings.json` ファイルに保存されます。セキュリティを強化するために、このファイルに対する読み取り権限と書き込み権限に制限を設定してください。既定では、このファイルは `admin-docker-agent` バイナリと同じフォルダーに格納されます。
Enable LDAP pagination	LDAP サーバーから結果を返す速度を制御するには、この設定を有効にします。通常、この設定を使用するのは、多数のユーザーをクエリするのに、LDAP サーバー側で、サーバーから返すエントリ数に制限が設定されている場合や、クエリを実行するクライアントのリソースが限られている場合です。この設定を有効にする前に、以下の点を確認してください。 LDAP サーバーで Simple Paged Results Control がサポートされていること。LDAP Control Extension for Simple Paged Results Manipulation を参照してください。 [LDAP username] と [LDAP password] に値を入力した場合は、それらの資格情報に対してページ分割が無効にされていないこと。入力した資格情報に対してページネーションが無効にされている場合は、User Manager のログに、LDAP 結果コード 11 が表示されます。ページング処理される、十分な数の同時クエリを処理できるように、LDAP サーバーが構成されていること。同時クエリの数が LDAP サーバーの制限を超えると、User Manager のログに LDAP 結果コード 53 が表示されます。
LDAP page size	LDAP サーバーから返される 1 ページあたりの結果の件数を設定します (例: 1000)。この設定を使用できるのは、[Enable LDAP pagination] を選択した場合のみです。
LDAP user base	このパラメーターは、LDAP エクスプローラーツールを使用して取得できます。たとえば、Apache Directory Studio で LDAP サーバーに接続し、接続のプロパティを開きます。[Browser Options] で、[Fetch Base DNs] をクリックすると LDAP ベースを取得できます。
LDAP user search filter	この検索フィルターは、LDAP データベースからユーザーのサブセットを取得するために使用されます。User Manager は起動時に、組織内のすべてのユーザーを読み込むのではなく、このサブセットを読み込みます。認証のために読み込むユーザー数を少なくすると、Polyspace Access のパフォーマンスが向上します。検索フィルターは `attribute`=`value` の形式で指定します。たとえば、`CN=test` とすると、共通名 (CN) 属性が "test" で始まるすべてのユーザーが一致します。かっこを使用して、複数のフィルター式を AND (&) 節または OR (\|) 節で組み合わせることができます。たとえば、`(\|(CN=jdoe)(department=foo))` とすると、CN 属性が "jdoe" であるか、department 属性が "foo" であるすべてのユーザーが一致します。既定の検索フィルターは `objectClass=organizationalPerson` です。検索フィルターの詳細については、LDAP filters を参照してください。検索フィルターでユーザーのサブセットが返されるかどうかを確認するには、[API keys and user IDs]* フィールドに、サブセットに含まれるユーザーとダミーキーを入力し、ページ下部の [Validate Now] をクリックします。ユーザー名が見つからない場合は、警告が表示されます。たとえば、フィルターで `jsmith` が返されるかどうかを確認するには、`1234,jsmith` と入力します。
LDAP user ID attribute LDAP user display name attribute LDAP user email attribute LDAP user image attribute	LDAP 管理者から指示がない限り、これらの設定はそのままにしておきます。Polyspace Access では、LDAP の電子メール属性とイメージ属性は使用されません。
Enable LDAP groups	LDAP サーバーディレクトリからユーザーグループをインポートするには、この設定を有効にします。
LDAP group base	このパラメーターは、LDAP エクスプローラーツールを使用して取得できます。たとえば、Apache Directory Studio で LDAP サーバーに接続し、インポートするグループを検索し、そのグループのプロパティを開きます。
LDAP group search filter	この検索フィルターは、LDAP データベースからグループのサブセットを取得するために使用されます。User Manager は起動時に、組織内のすべてのグループを読み込むのではなく、このサブセットを読み込みます。読み込むグループの数を少なくすると、Polyspace Access のパフォーマンスが向上します。検索フィルターは `attribute`=`value` の形式で指定します。たとえば、`CN=test*` とすると、共通名 (CN) 属性が "test" で始まるすべてのグループが一致します。かっこを使用して、複数のフィルター式を AND (&) 節または OR (\|) 節で組み合わせることができます。たとえば、`(\|(CN=Printers)(location=US))` とすると、CN 属性が "Printers" であるか、location 属性が "US" であるすべてのグループが一致します。検索フィルターの詳細については、LDAP filters を参照してください。
LDAP group ID attribute LDAP group display name attribute LDAP group membership attribute	LDAP 管理者から指示がない限り、これらの設定はそのままにしておきます。Polyspace Access では、LDAP 表示名属性は使用されません。

User Manager での LDAP over SSL の構成

SSL と組み合わせて構成した LDAP (LDAPS) サーバーを使用する場合は、[Nodes] 設定の [CA File] フィールドに指定した証明書トラストストアに、LDAPS の SSL 証明書を追加します。これらの設定を表示するには、[Cluster Dashboard] の [Configure Nodes] をクリックします。トラストストアファイルによっては、LDAP の SSL 証明書が既にトラストストアに含まれている場合があります。

通常、この証明書トラストストアファイルは、Cluster Admin に HTTPS を構成するときに --ssl-ca-file で指定したファイルと一致します。Polyspace Access で HTTP と HTTPS のどちらの構成を使用するかを選択するを参照してください。

たとえば Linux Debian^® ディストリビューションで、LDAP 証明書 ldaps_cert.pem をトラストストアファイル trust_store.pem に追加するには、次のコマンドを使用します。

cat trust_store.pem ldaps_cert.pem > combined_cert.pem

このコマンドは、2 つのファイルの内容を連結して combined_cert.pem ファイルを出力します。自己署名証明書を使用して HTTPS を構成した場合は、自己署名証明書に LDAP 証明書を追加してください。

構成を実行するには、[Nodes] 設定の [CA File] フィールドに combined_cert.pem のパスを入力し、変更を保存してからダッシュボードに戻り、アプリを再起動します。

HTTPS を使用して Cluster Admin を構成しなかった場合は、[CA File] フィールドに LDAP の SSL 証明書のパスを指定します。

シングルサインオン (SSO) を使用した認証の構成

Polyspace Access では、Security Assertion Markup Language (SAML) ID プロバイダー (IdP) を使用して認証を構成できます。SAML の詳細については、OASIS SAML Wiki を参照してください。

SAML 設定に加えて LDAP 設定も入力する必要があります。LDAP 設定と SAML 設定を入力すると、LDAP ID、SAML 設定、Polyspace Access "User Manager" が同期されます。また、ユーザーに権限を割り当てる機能、および結果のレビューをユーザーに割り当てる機能も提供されます。LDAP 設定の詳細については、組織の LDAP サーバーの User Manager への接続を参照してください。

SAML の構成には以下の前提条件があります。

Polyspace Access がインストールされている。Web レビューのための Polyspace Access のインストールを参照してください。
組織の IdP が SAML プロトコルに従っている。
IdP へのアクセス権がある。アクセス権を取得するには、ID 管理者にお問い合わせください。
IdP が SAML メタデータのエンドポイントをホストしている。複数の設定で、このメタデータに含まれている情報の入力が必要です。

組織の SAML 設定を構成するには、まず [Authentication type] リストから [SAML] を選択してから、以下の設定を指定します。

設定	説明
SAML IDP metadata	SP-initiated プロファイルまたは IdP-initiated プロファイルの必要な SAML メタデータの URL。
SAML relying party	SAML ID プロバイダーと統合するサーバーのホスト名。この値は通常、IdP で使用される、DNS エントリに記載されたホスト名です。これは、IdP メタデータの `entityID` 値として参照できます。
SAML CORS domains	クロスオリジン通信で必要なドメインの文字列配列。セットアップによっては、この設定は必要ない場合があります。
SAML user ID attribute	IdP のユーザー名またはユーザー ID 属性。サーバーがライセンスをチェックアウトすると、この属性の値がライセンスサーバーログに表示されます。
SAML user display name attribute	IdP のユーザー表示名属性。この属性の値は Polyspace Access ユーザーインターフェイスに表示されます。アサーションによって、より適した別のフィールド ("uname" など) が渡されると、このフィールドは `uname` に設定されて、過渡的な値はオーバーライドされます。
SAML binding attribute	ID プロバイダーに認証リクエストを送信するためのバインディングメソッド。`"POST"` (HTTP POST) または `"Redirect"` (HTTP Redirect) として指定します。 HTTP Redirect メソッドではリクエストデータを URL のクエリパラメーターとして送信します。一方、HTTP POST メソッドでは、リクエスト本文でデータをより安全に送信します。
SAML destination regex attribute	Polyspace ドメインのドメインおよびポートに一致する正規表現パターンを追加します。たとえば、以下のように指定すると、すべてのリダイレクトが `https://www.myAccessDomain:9443/` で始まるようになります。 ^https://www.myAccessDomain.com:9443)/.*$ この設定は、SSO 構成のテスト時に無効な宛先 URL エラーが発生した場合に使用します。

SAML および LDAP の設定をすべて構成したら、変更を保存して Cluster Dashboard に戻ります。[User Manager] リンクをクリックして、変更後の構成が機能していることを確認します。正しく構成されていれば、SSO プロセスが起動し、IdP にサインインするよう求められます。サインインすると、IdP によって Polyspace Access の "User Manger" にリダイレクトされます。