Movable Type Enterprise 1.5 マニュアル: ユーザー管理

目次

« 前へ | ホーム | 次へ »

ユーザー管理

システム管理者は、複数のユーザーを作成できます。作成したユーザーには、「ブログを作成する」「エントリーを投稿する」「テンプレートを管理する」など、さまざまな役割を与えられます。システム管理者は役割(権限)の管理以外にも、ユーザー・パスワードの再発行といったユーザー管理が可能です。

ユーザーと権限

Movable Type Enterpriseは役割に基づく権限決定システムを採用しています。各ブログには、複数の投稿者に、さまざまなアクセス権限を割り当てることができます。つまり、ユーザーに、ある「役割」やアクションを遂行できるかできないかを指定することで、適切なアクセス権限を割り当てられます。例えば、完全に信頼できるユーザーが1人いるとします。このユーザーにはすべての権限を与えて、あなたのブログに投稿し、テンプレートや投稿者の権限、カテゴリーの編集といった特権も許可できます。また、あまり信頼できないユーザーには、エントリーの投稿と、投稿者自身が投稿したエントリーの編集のみ許可する、といったことも可能です。

グループとロール

Movable Type Enerprise 1.5では、複数のユーザーを束ねたグループと、複数の書き込み権限を束ねたロールを利用できることになりました。 グループを使う事で、従来は一人一人のユーザーに対して行っていたブログの権限割り当てを、グループに対して行う事で、一括して権限の割り当てをすることができるようになりました。 また、ロールを使う事で、従来はシステム管理者、ブログの管理者しかなかった「役割」を自由に作成することができるようになりました。

通常モードとLDAP モード

ユーザー管理、およびパスワードを使ったログイン時のユーザー認証は、通常はMovable Type Enterpriseが行っています。LDAP(Lightweight Directory Access Protocol)に対応したディレクトリ・サービスを使ってユーザー管理をしている場合、ユーザー/グループをディレクトリ・サービス側で一元管理し、かつ認証にディレクトリ・システムを使う事が可能です。前者を「通常モード」、後者を「LDAPモード」と呼びます。モードの切り替えは「mt-config.cgi」で行います。

通常モード

通常モードでユーザー管理・ユーザー認証を用いる場合は、全てのユーザー情報をMovable Type Enterprise上に格納する必要があります。 ユーザー情報の編集においては、通常の画面からの編集に加えて一括してユーザー情報の登録・変更が可能なモードがあります。 詳細は「ユーザー管理(一括編集モード)」をいご覧ください。

LDAPモード(ユーザー管理・ユーザー認証の連携)

Movable Type Enterpriseでは、LDAPに対応したディレクトリ・サービスと連携して、ユーザー管理・ユーザー認証を行う事ができます。この連携によって、システム管理者はユーザー管理をディテクトリ・サービスに一元化し、運用負荷を削減することができます。LDAPモードを選択した場合、デフォルトではユーザー管理・ユーザー認証の双方を連携させる設定になります。

LDAPモード(ユーザー認証のみの連携)

デフォルトでLDAPモードを選択した場合は、全てのユーザー情報、グループ情報はディレクトリ・サービス側で管理されます。 Movable Type Enterpriseの管理機能はディレクトリ・サービス側の情報との不整合を防ぐために、使用できなくなります。もし、Movable Type Enterpriseの管理機能を利用したい場合は、ディレクトリ・サービスをユーザー認証のみに用いることもできます。

通常モードとLDAPモードの違い

以下が、LDAPモード(ディレクトリ・サービスと連携した際)における通常モードとの主な違いになります。

  • ディレクトリ・サービス内で、作成されたユーザー情報、グループ情報は自動的にMovable Type Enterprise側に追加されます。
  • ユーザー情報、グループ情報はMovable Type Enterprise側で削除可能ですが、ディレクトリ・サービス側から削除されずに残っている場合は、次回の同期時に自動的に再生成されます。
  • ディレクトリ・サービス内で削除されたユーザー情報、グループ情報は自動的にMovable Type Enterprise側で無効化されます。 ユーザー認証のみを連携させている場合は、自動的に無効化はされませんが、ログイン時にエラーとなります(ディレクトリ・サービス側にユーザー情報が存在しないため)。
  • ユーザー名、グループ名はディレクトリ・サービス側でのみ修正され、Movable Type Enterpriseに同期されます。
  • ユーザーの表示名、メールアドレスは、初回の同期時のみ、ディレクトリ・サービス側の情報からMovable Type Enterpriseに同期されます。この情報は、一度同期された後は、Movable Type Enterpriseのシステム管理者によって修正可能です。
  • 通常モードで利用可能なパスワードリカバリ機能は、利用できなくなります。

Copyright © 2001-2006 Six Apart, Ltd. All Rights Reserved.
« 前へ | ホーム | 次へ »