【IDM】Active Directory の「直属の部下」属性

  • Article

AD FS 2.0 のクレームルール言語に関する解説を書いていて、ちょっと気になったことがありました。

Manager かどうか判断する場合に、TITLE(役職)属性を見る以外に何か方法は無いだろうかと...。

そういえば、Active Directory には「部下」的な属性があったよなぁ..と思い確認してみると...確かに「直属の部下」という属性があります。しかも、本人が触ることができないため、「役職」で判断するよりかは信頼がおけそうです。

image

さて、ここで問題です。この「直属の部下」という属性、Active Directory Domain Service 上での Attribute Name はなんでしょう?

正解は、

DirectReports

です。

属性エディタで確認するには、[フィルター] で [後方リンク] を有効にしなければなりません。

image

「後方リンク」について説明しようと思ったのですが、MVP の国井さんが詳細に解説してくれていますのでそちらをご覧ください。

Always on the clock(MVP 国井さん)
【再掲】前方リンクと後方リンク « Always on the clock

後方リンクを見えるようにすると、以下のように DirectReports 属性が見えるようになります。

image

ってことで、AD FS 2.0 のカスタムクレームルールを使用して directReports 属性を取得してみたいと思いますが、それは以下の投稿で。

【IDM】Active Directory の「直属の部下」属性からマネージャーかどうかを判断する 1/2 - フィールドSEあがりの安納です - Site Home - TechNet Blogs

【IDM】Active Directory の「直属の部下」属性からマネージャーかどうかを判断する 2/2 - フィールドSEあがりの安納です - Site Home - TechNet Blogs