こちらのページでは、Active Directory連携の概要やメリット、注意点についてご案内しています。
ご検討中のお客様や、これから設定にお進みいただくお客様もぜひお読みください。
ご不明な箇所や気になる点がありましたら、お気軽にお問い合わせください。
目次: |
1. Active Directory連携機能の概要
機能概要
①アカウント同期機能
お客様のActive Directory(以降AD)のユーザー情報を活用し、
トラスト・ログインユーザーの管理(作成、更新、無効化、トラスト・ログイングループへの
所属制御)が簡単に行える機能です。
②ADパスワードによる認証機能
弊社開発のコネクターを経由することで、ADのメールアドレスとパスワードで、
トラスト・ログインにログインできる認証機能です。
AD に新規ユーザーが登録された際、または無効となった際に、トラスト・ログインにこの情報が 自動的に同期されますので、トラスト・ログイン運用、ID管理の手間を大きく削減できます。 |
2. メリット
管理者のメリット
Active Directoryに登録しているユーザー情報を同期することで、トラスト・ログインの
ユーザー管理(追加、更新、無効化、グループへの所属制御)も一元化でき、手間の削減につながります。
ユーザーのメリット
Active Directoryのパスワードのみ覚えておけば、トラスト・ログインへのログイン、
さらにその先の各種アプリにもシングル・サインオンができるため、利便性とセキュリティの向上につながります。
3. 特徴
お客様にとって、最も手間がかからない導入と運用の方法を目的とし、
AD連携機能の設計・実装をしています。トラスト・ログインのAD連携機能の特徴は以下の通りです。
- お客様のネットワーク環境に外部から接続しない
- ADコネクターはアウトバウンド通信のみを利用する。インバウンド通信は必要ない
- ADに対して読み取りだけを行い、書き込みは一切行わない。管理者の権限も不要
-
ADのパスワードは、トラスト・ログインに一切保存されない。毎回ログイン時に
ADへ認証の問い合わせを行うので、常に現行のADパスワードでのログインとなる - 導入するのに、特殊な知識は不要(ADの管理者が数時間以内に導入できる前提)
4. AD連携機能を利用する場合のAD環境について
AD連携機能は、お客様のAD環境にあるユーザー情報を元に、トラスト・ログインへの
同期を行っています。同期元となるユーザー情報が以下の状態になっていると、
AD連携機能の設定や利用がスムーズになります。
- 同期対象のユーザーにファストネーム、ラストネーム、メールアドレスが設定されている (必須)
- 同期対象のユーザーには、一意のメールアドレスが設定されている(必須)
- 同期対象が、セキュリティグループ単位で選択できるように設定されている
- コネクターからADに対して安定した接続ができる
(DNSの名前解決やファイアウォールの設定などに問題がなく、ネットワークの通信が安定している)
※ 現在はセキュリティグループ単位で同期条件の設定が可能ですが、OU単位で同期する機能もリリース予定です。
また、トラスト・ログインは複数ドメインとの連携に対応しています。
ただし、以下の点にご注意ください。
- ADコネクターから対象すべてのドメインコントローラーに、LDAPクエリが可能である
必要があります。ファイアウォールでADコネクターからの通信がブロックされていたり、
DNSでドメインやドメインコントローラーの名前解決ができないと同期に失敗します。 - 複数ドメインと連携する場合、全てのドメインから連携結果が正常に返されないと、
同期に成功しません。1つのドメインからでも連携結果が返されなかった場合は、
全体の同期が失敗します。
5. AD連携検証時のご注意点
メンバーにトラスト・ログインのパスワード利用を許可している場合、同期と同時に
メンバーのメールアドレス宛てにトラスト・ログインパスワード登録メールが送信されます。
同期設定中でメンバーにトラスト・ログイン情報を公開前である場合、また、ADパスワード以外で
ログインさせない場合には、「設定 > パスワード認証」の「メンバー登録時に自動で
パスワード認証を割り当てる」の設定をデフォルトのオンからオフに変更して同期ください。