User Manager の構成

User Manager は、Polyspace^® Access のユーザーログインの認証を管理します。ログインを認証するために、ユーザー名とパスワードが、User Manager データベースに保存されている ID の資格情報と照合されます。ID を User Manager のデータベースに追加するには、次のいずれかを行います。

社内の Lightweight Directory Access Protocol (LDAP) サーバーを User Manager に接続し、LDAP サーバーから ID をインポートする。LDAP サーバーとの接続を構成するには、組織の LDAP サーバーの User Manager への接続を参照してください。
カスタム ID を作成する。Manage Users and Groupsを参照してください。たとえば、社内の LDAP を使用できない場合や、使用しないことにした場合などに、カスタム ID を作成します。

[Cluster Dashboard] で [Configure Apps] をクリックして [Cluster Settings] に移動します。設定を変更するたびに、[Save] をクリックして [Cluster Dashboard] に戻り、変更を反映させるために [Restart Apps] をクリックします。必ず、[Save] をクリックする前に [Validate on Save] を有効にしてください。

メモ

Windows^® システムでは、指定するすべてのファイルのパスがローカルドライブを指している必要があります。

前提条件

[Cluster Admin] をインストールして起動します。詳細は、以下を参照してください。

User Manager の一般設定

以下の設定は、カスタムユーザー資格情報を作成する場合にも、社内の LDAP サーバーからユーザーをインポートする場合にも必要です。

設定	説明
Internal directory database volume	データベースフォルダーの絶対パスを指定します。このデータベースに、LDAP サーバーからインポートしたユーザーとグループ、または User Manager インターフェイスで作成したユーザーとグループに関する情報が保存されます。既定では、このデータベースは Polyspace Access のインストールイメージを解凍したフォルダーの `appdata/usermanager` 下に格納されます。たとえば、`/local/usr/Access/R2023b/appdata/usermanager/db` のような場合です。
Internal directory database username	PostgreSQL コマンドを使用して内部データベースを操作する必要がある場合は、このフィールドに指定したユーザー名を使用します。既定のユーザー名は "UM" です。
Internal directory database password	PostgreSQL コマンドを使用して内部データベースを操作する必要がある場合は、このフィールドに指定したパスワードを使用します。パスワードを入力する必要があります。現在のデータベースパスワードを確認するには、次のコマンドを実行します。 Windows `docker inspect usermanager-db-0-main \| FIND "UMDB_PASSWORD"` Linux `docker inspect usermanager-db-0-main \| grep UMDB_PASSWORD`
Administrator sign-in IDs	User Manager 管理者として設定するユーザーのユーザー名をコンマ区切りリストとして入力します。カスタムユーザー名または、社内の LDAP に含まれているユーザー名を指定できます。Create, Edit, or Remove Users and Groupsを参照してください。メモ [Connect an LDAP directory] を有効にする場合は、このフィールドに指定するユーザー名のうちの少なくとも 1 つが、LDAP ディレクトリに含まれているか、User Manager データベース内に既に存在している必要があります。そうでなければ、User Manager インターフェイスにログインできません。このフィールドに指定するユーザーは、Polyspace Access 管理者でもあります。Polyspace Access 管理者の詳細については、Manage Project Permissionsを参照してください。ユーザーを Polyspace Access 管理者から外すには、次のようにします。このフィールドからユーザー名を削除し、変更を保存してからアプリを再起動します。再起動した後、Polyspace Access 管理者が、Polyspace Access Web インターフェイスでコンテキストメニューを使用して、[プロジェクトエクスプローラー] の最上位のすべてのフォルダーから、このユーザーの割り当てを解除する必要があります。管理者はこのタスクをコマンドラインで行うこともできます。その場合は、`polyspace-access` バイナリと `-unset-role` フラグを使用します。詳細は、`polyspace-access`を参照してください。
Initial administrator password	[User Manager] インターフェイスにログインするために使用するパスワード。 [User Manager Directory Connection] 設定で [Connect an LDAP directory] を選択した場合、このフィールドは使用できません。
Authentication token expiration (sec):	User Manager が認証済みユーザーに発行する署名付き JSON Web トークンの有効期間を秒単位で指定します。この有効期間により、セッションの有効期間が決まります。ユーザーが Polyspace Access にログインすると、ユーザーのライセンスがチェックアウトされ、セッションが期限切れにならないように、定期的にセッションの更新が行われます。ユーザーが明示的にログアウトするか Web ブラウザーを閉じると、セッションは終了し、ライセンスがチェックインして戻されます。ブラウザーが予期せず閉じた場合は、セッションが期限切れになるまで、ライセンスはチェックアウトされたままになります。有効期間を設定するときには、次の点を考慮します。有効期間が短すぎると、使用頻度の高いユーザーに、再ログインを求めるプロンプトが頻繁に表示されます。大規模なチームでは、ライセンスサーバーでライセンスのチェックインとチェックアウトが大量に発生します。有効期間が長すぎると、使用頻度の低いユーザーのセッション時間が、ライセンスログで過大評価される可能性があります。この設定を使用して、ライセンスのタイムアウトを設定できます。Polyspace Access は、ライセンスマネージャーのオプションファイル (`MLM.opt`) で `TIMEOUT feature seconds` 構文を使用して設定されたライセンスのタイムアウト値を無視します。
Authentication private key file:	User Manager で JSON Web トークンの署名に使用する秘密鍵 `PEM` ファイルの絶対パスを指定します。Windows システムでは、このパスはローカルドライブを指している必要があります。 User Manager サービスでは、パスワードで保護された秘密鍵はサポートされません。秘密鍵は、`openssl` ユーティリティを使用して生成できます。次に例を示します。 `openssl genrsa -out private.pem 2048` この秘密鍵へのアクセスは、User Manager サービスを管理する管理者のみに制限してください。 SSL 証明書 (HTTPS プロトコルを有効にする場合に指定するもの) を生成するために使用した秘密鍵を再利用しないでください。
API keys and user IDs	このフィールドに API キー値とユーザー名のペアを入力して、API キーをユーザーに割り当てます。たとえば、API キーをユーザー `jsmith` に割り当てるには、次のように入力します。 5ea34345-a03b-4a20-821e-f10e45e0e863,jsmith 他のユーザーに API キーを割り当てるには、別の行に追加の API キー値とユーザー名のペアを入力します。API キー値はそれぞれ一意でなければなりません。任意の英数字の組み合わせを API キーとしてユーザーに割り当てることができます。たとえば、API キーとして汎用一意識別子 (UUID) を生成するには、以下のコマンドを使用します。 Windows PowerShell: `[guid]::NewGuid()` Linux^®: `uuidgen` Polyspace Access 資格情報が必要な以下のコマンドでは、API キーを使用します。 `polyspace-access` `polyspace-results-export` (Polyspace Bug Finder)`polyspace-results-export` (Polyspace Code Prover) `polyspace-report-generator` (Polyspace Bug Finder) `polyspace-report-generator` (Polyspace Code Prover) API キーを使用するときには、API キーをテキストファイルに保存し、`-credentials-file` コマンドを使用して、そのファイルをコマンドに渡すことをお勧めします。たとえば、ユーザー `jsmith` の API キーを使用するには、以下の行をテキストファイル `credentials.txt` に保存します。 `-api-key 5ea34345-a03b-4a20-821e-f10e45e0e863` このファイルを、たとえば次のようにしてコマンドに渡します。 `polyspace-access -credentials-file credentials.txt` あるいは、コマンドラインで `-api-key` を使用して、API キーを直接渡すこともできます。コマンドでは、API キーが、対応するユーザーのログイン資格情報として使用されます。ユーザーがパスワードを更新しても、そのユーザーの API キーを更新する必要はありません。API キーを自動化スクリプトの一部として使用する場合は、その API キーに関連付けられているユーザーが、スクリプト内のすべての操作を実行できるだけの十分な権限を持っていることを確認してください。Manage Project Permissionsを参照してください。

ID を作成または管理するには、Manage Users and Groupsを参照してください。

組織の LDAP サーバーの User Manager への接続

組織の LDAP サーバーを使用するには、[User Manager Directory Connection] 設定で [Connect an LDAP directory] を選択し、LDAP 設定を構成します。LDAP 管理者に連絡して、LDAP URL、LDAP ユーザーベース、その他の LDAP 設定およびフィルターを入手し、LDAP サーバーで Active Directory のグローバルカタログ機能を使用するかどうかを決定します。

設定	説明
LDAP URL	次の形式で LDAP URL を入力します。 `ldap://HOST:PORT` `HOST` は LDAP ホスト、`PORT` は LDAP ポート番号です。グローバルカタログを使用するように構成された LDAP サーバーでは、異なる既定のポート番号が使用されます。グローバルカタログを使用する LDAP サーバーのための User Manager の構成を参照してください。 SSL と組み合わせて LDAP サーバーを構成した場合は、次の形式で URL を入力します。 `ldaps://HOST:PORT` その他の LDAPS 構成手順については、User Manager での LDAP over SSL の構成を参照してください。 LDAP サーバーとクライアントの間の通信は暗号化されないので、SSL と組み合わせた LDAP (LDAP over SSL (LDAPS)) を構成して使用することをお勧めします。
Synchronization interval (seconds)	LDAP サーバーとの User Manager データベースの同期間隔を秒単位で指定します。たとえば、LDAP サーバーと User Manager データベースを 30 分間隔で同期するには、1800 と指定します。手動で同期するには、[User Manager] インターフェイスで [Synch With LDAP] をクリックします。
LDAP username	LDAP サーバーに対する読み取り権限を持つユーザーのユーザー名。LDAP サーバーへのアクセスがパスワードで保護されていない場合、このフィールドは空白のままにします。
LDAP password	LDAP サーバーに対する読み取り権限を持つユーザーのパスワード。LDAP サーバーへのアクセスがパスワードで保護されていない場合、このフィールドは空白のままにします。パスワードは `settings.json` ファイルに保存されます。セキュリティを強化するために、このファイルに対する読み取り権限と書き込み権限に制限を設定してください。既定では、このファイルは `admin-docker-agent` バイナリと同じフォルダーに格納されます。
Enable LDAP pagination	LDAP サーバーから結果を返す速度を制御するには、この設定を有効にします。通常、この設定を使用するのは、多数のユーザーをクエリするのに、LDAP サーバー側で、サーバーから返すエントリ数に制限が設定されている場合や、クエリを実行するクライアントのリソースが限られている場合です。この設定を有効にする前に、以下の点を確認してください。 LDAP サーバーで Simple Paged Results Control がサポートされていること。LDAP Control Extension for Simple Paged Results Manipulation を参照してください。 [LDAP username] と [LDAP password] に値を入力した場合は、それらの資格情報に対してページ分割が無効にされていないこと。入力した資格情報に対してページネーションが無効にされている場合は、User Manager のログに、LDAP 結果コード 11 が表示されます。ページング処理される、十分な数の同時クエリを処理できるように、LDAP サーバーが構成されていること。同時クエリの数が LDAP サーバーの制限を超えると、User Manager のログに LDAP 結果コード 53 が表示されます。
LDAP page size	LDAP サーバーから返される 1 ページあたりの結果の件数を設定します (例: 1000)。この設定を使用できるのは、[Enable LDAP pagination] を選択した場合のみです。
LDAP user base	このパラメーターは、LDAP エクスプローラーツールを使用して取得できます。たとえば、Apache Directory Studio で LDAP サーバーに接続し、接続のプロパティを開きます。[Browser Options] で、[Fetch Base DNs] をクリックすると LDAP ベースを取得できます。
LDAP user search filter	この検索フィルターは、LDAP データベースからユーザーのサブセットを取得するために使用されます。User Manager は起動時に、組織内のすべてのユーザーを読み込むのではなく、このサブセットを読み込みます。認証のために読み込むユーザー数を少なくすると、Polyspace Access のパフォーマンスが向上します。検索フィルターは `attribute`=`value` の形式で指定します。たとえば、`CN=test` とすると、共通名 (CN) 属性が "test" で始まるすべてのユーザーが一致します。かっこを使用して、複数のフィルター式を AND (&) 節または OR (\|) 節で組み合わせることができます。たとえば、`(\|(CN=jdoe)(department=foo))` とすると、CN 属性が "jdoe" であるか、department 属性が "foo" であるすべてのユーザーが一致します。既定の検索フィルターは `objectClass=organizationalPerson` です。検索フィルターの詳細については、LDAP filters を参照してください。検索フィルターでユーザーのサブセットが返されるかどうかを確認するには、[API keys and user IDs]* フィールドに、サブセットに含まれるユーザーとダミーキーを入力し、ページ下部の [Validate Now] をクリックします。ユーザー名が見つからない場合は、警告が表示されます。たとえば、フィルターで `jsmith` が返されるかどうかを確認するには、`1234,jsmith` と入力します。
LDAP user ID attribute LDAP user display name attribute LDAP user email attribute LDAP user image attribute	LDAP 管理者から指示がない限り、これらの設定はそのままにしておきます。Polyspace Access では、LDAP の電子メール属性とイメージ属性は使用されません。
Enable LDAP groups	LDAP サーバーディレクトリからユーザーグループをインポートするには、この設定を有効にします。
LDAP group base	このパラメーターは、LDAP エクスプローラーツールを使用して取得できます。たとえば、Apache Directory Studio で LDAP サーバーに接続し、インポートするグループを検索し、そのグループのプロパティを開きます。
LDAP group search filter	この検索フィルターは、LDAP データベースからグループのサブセットを取得するために使用されます。User Manager は起動時に、組織内のすべてのグループを読み込むのではなく、このサブセットを読み込みます。読み込むグループの数を少なくすると、Polyspace Access のパフォーマンスが向上します。検索フィルターは `attribute`=`value` の形式で指定します。たとえば、`CN=test*` とすると、共通名 (CN) 属性が "test" で始まるすべてのグループが一致します。かっこを使用して、複数のフィルター式を AND (&) 節または OR (\|) 節で組み合わせることができます。たとえば、`(\|(CN=Printers)(location=US))` とすると、CN 属性が "Printers" であるか、location 属性が "US" であるすべてのグループが一致します。検索フィルターの詳細については、LDAP filters を参照してください。
LDAP group ID attribute LDAP group display name attribute LDAP group membership attribute	LDAP 管理者から指示がない限り、これらの設定はそのままにしておきます。Polyspace Access では、LDAP 表示名属性は使用されません。

User Manager での LDAP over SSL の構成

SSL と組み合わせて構成した LDAP (LDAPS) サーバーを使用する場合は、[Nodes] 設定の [CA File] フィールドに指定した証明書トラストストアに、LDAPS の SSL 証明書を追加します。これらの設定を表示するには、[Cluster Dashboard] の [Configure Nodes] をクリックします。トラストストアファイルによっては、LDAP の SSL 証明書が既にトラストストアに含まれている場合があります。

通常、この証明書トラストストアファイルは、Cluster Admin に HTTPS を構成するときに --ssl-ca-file で指定したファイルと一致します。Polyspace Access で HTTP と HTTPS のどちらの構成を使用するかを選択するを参照してください。

たとえば Linux Debian^® ディストリビューションで、LDAP 証明書 ldaps_cert.pem をトラストストアファイル trust_store.pem に追加するには、次のコマンドを使用します。

cat trust_store.pem ldaps_cert.pem > combined_cert.pem

このコマンドは、2 つのファイルの内容を連結して combined_cert.pem ファイルを出力します。自己署名証明書を使用して HTTPS を構成した場合は、自己署名証明書に LDAP 証明書を追加してください。

構成を実行するには、[Nodes] 設定の [CA File] フィールドに combined_cert.pem のパスを入力し、変更を保存してからダッシュボードに戻り、アプリを再起動します。

HTTPS を使用して Cluster Admin を構成しなかった場合は、[CA File] フィールドに LDAP の SSL 証明書のパスを指定します。

グローバルカタログを使用する LDAP サーバーのための User Manager の構成

グローバルカタログ (GC) は、各サーバーの情報を指定しなくても、さまざまな Active Directory^® (AD) サーバーから Polyspace Access にユーザーを追加できるようにするメカニズムです。詳細は、Global Catalog を参照してください。GC を使用するように LDAP サーバーが構成されている場合は、LDAP URL を User Manager サービスに指定するときに、GC 固有のポート番号を指定する必要があります。既定のポート番号は 3268 です。セキュア LDAP (LDAPS) を使用する場合は 3269 です。LDAP サーバーが GC を使用するように構成されているかどうかを確認するには、LDAP 管理者に問い合わせてください。

誤ったポート番号を指定すると、User Manager サービスが LDAP サーバーと通信できません。User Manager のログを検査すると、次のようなエラーメッセージが記録されています。

LDAP server 'ldap://server01.example.com:389' did not recognize 
base DN 'DC=example,DC=com' and search base ''.
...
Unprocessed Continuation Reference(s)

User Manager のログを out.log ファイルに保存するには、次のコマンドを使用します。

docker logs -t usermanager-server-0-main >> out.log 2>&1

メモ

Polyspace Access™ バージョン R2021b 以前を実行している場合は、Docker コンテナー名が異なる可能性があります。現在実行中のコンテナーの名前を表示するには、docker ps --format '{{.Names}}' コマンドを使用してください。

GC には、さまざまな Active Directory (AD) サーバーから得られた各ユーザーの属性のサブセットだけが保持されます。GC が有効な場合は、この属性のサブセットに、クラスターオペレーターの設定で指定する LDAP ID 属性が存在しなければなりません。LDAP ID が GC に存在しない場合、対応するユーザーは Polyspace Access に追加されません。