メイン機能説明① ユーザー管理

こちらのページでは、Active Directory連携のメイン機能の一つである、ユーザー管理について
ご案内しています。ご検討中のお客様や、これから設定にお進みいただくお客様もぜひお読みください。

ご不明な箇所や気になる点がありましたら、お気軽にお問い合わせください。

 

目次:

1. トラスト・ログインユーザーの管理

2. ユーザーの情報源について

3. トラスト・ログイングループの所属の制御

4. ユーザー属性更新

5. 同期タイミングについて

 

1. トラスト・ログインユーザーの管理

自動登録・自動停止

Active Directory(以降AD)のユーザーが同期条件に該当したときに、
トラスト・ログインに自動的に登録されます。

同期条件は柔軟な指定が可能で、段階的にユーザー登録をすることも可能です。

詳しくは、ユーザー同期条件設定をご参照ください。

  • 同期条件に該当していたAD側のユーザーが、この条件に該当しなくなったとき、
    またAD上で無効になると、トラスト・ログイン上で対象ユーザーのトラスト・ログイン
    利用ステータスが自動で「停止」になり、直ちにトラスト・ログインの利用ができなくなります。
  • AD側でユーザーオブジェクトが無効にされずに物理的に削除されると、この処理の検知が
    行えず、トラスト・ログイン上でユーザーのステータスが「停止」になりませんので、
    トラスト・ログイン上でユーザーのステータスを「停止」とするためには、
    まずAD上でユーザーを無効にしていただく必要があります。
  • AD連携をしているメンバーが同期対象外になった場合、トラスト・ログイン上のユーザーの
    ステータスが「停止」となりますが、ユーザー情報の編集をすることで、
    引き続きトラスト・ログインの利用が可能となります。その場合、パスワード認証や
    外部IDP連携オプションなど、いずれかのログイン方法を割り当てる必要があります。

既存のトラスト・ログインユーザーとADユーザーの紐づけについて

AD連携機能を導入する前に、手動やCSVアップロードによって登録されたユーザーと
AD側ユーザーの紐づけも可能です。既存のトラスト・ログインユーザーと同期対象のADユーザーの
メールアドレスが一致していれば、自動的に紐づけが行われます。既存のユーザーが同期対象の
ADユーザーに含まれていない場合、ADとは紐づけされず今までのままの扱いとなります。
※こちらは、これから連携を開始する際の挙動の案内となります。

  • AD連携機能が導入されていても、手動またCSVアップロードによりADと紐づけのないのユーザーの作成が可能です。
  • ADとの初回同期時に、AD内にあるメールアドレスのユーザーがすでにトラスト・ログインに
    存在する場合、ADのパスワード、または、元々設定されていたトラスト・ログインの
    パスワード両方でログインできる状態となります。トラスト・ログインのパスワードを
    外したい場合には、「パスワード認証」の設定から対象ユーザーを外してください。

2. ユーザーの情報源について

AD連携機能によって登録されたユーザー、またADと紐づけされたユーザーについて、
AD側の情報がマスターになり、トラスト・ログイン上ではこのユーザーの以下の制御が
不可となります。

  • ユーザー属性の更新
  • ステータスの停止
  • ユーザーの削除
  • トラスト・ログイングループへの所属制御

上記の制御が必要な場合、AD側の情報の更新、グループへの所属制御の場合には、同期設定の更新をお願いします。

3. トラスト・ログイングループの所属制御

同期条件でADのセキュリティグループとトラスト・ログイングループの紐づけを行うことで、
ユーザーのトラスト・ログイングループへの所属の制御をすることができます。

AD側でユーザーがセキュリティグループに所属すると、自動的に紐づけ先のトラスト・ログイン
グループ内に登録されます。また、AD側のセキュリティグループから外されたとき、
トラスト・ログイン上でも紐づけ先のグループを外れます。

この際、トラスト・ログイングループに割り当てられていたアプリの利用ができなくなり、
このアプリに設定していたクレデンシャルの情報が削除されますので、ご注意ください。

※AD連携で作成されたユーザーを、ADのセキュリティグループとは異なるトラスト・ログインのグループに割り当てたい場合は、グループ自動割当の機能をご活用ください。

 

4. ユーザー属性更新

AD側でユーザーオブジェクトの属性が変わった場合、トラスト・ログイン上にも
該当する属性が更新されます。更新対象の項目は以下の通りとなります。
ただし、姓、名以外のユーザー属性の更新は任意となり、ユーザー同期設定で変更できます。

姓、名、部署、電話番号、郵便番号、都道府県、市区町村、番地

 

5. 同期タイミングについて

AD連携による自動登録・自動停止、トラスト・ログイングループの所属制御、ユーザー属性更新は、
リアルタイムでは処理されません。

数十分から数時間程度かかりますので、あらかじめご承知おきください。
(同期間隔は同期設定で変更できます。既定では30分間隔で同期します。)

メイン機能説明① ユーザー管理

こちらのページでは、Active Directory連携のメイン機能の一つである、ユーザー管理について
ご案内しています。ご検討中のお客様や、これから設定にお進みいただくお客様もぜひお読みください。

ご不明な箇所や気になる点がありましたら、お気軽にお問い合わせください。

 

目次:

1. トラスト・ログインユーザーの管理

2. ユーザーの情報源について

3. トラスト・ログイングループの所属の制御

4. ユーザー属性更新

5. 同期タイミングについて

 

1. トラスト・ログインユーザーの管理

自動登録・自動停止

Active Directory(以降AD)のユーザーが同期条件に該当したときに、
トラスト・ログインに自動的に登録されます。

同期条件は柔軟な指定が可能で、段階的にユーザー登録をすることも可能です。

詳しくは、ユーザー同期条件設定をご参照ください。

  • 同期条件に該当していたAD側のユーザーが、この条件に該当しなくなったとき、
    またAD上で無効になると、トラスト・ログイン上で対象ユーザーのトラスト・ログイン
    利用ステータスが自動で「停止」になり、直ちにトラスト・ログインの利用ができなくなります。
  • AD側でユーザーオブジェクトが無効にされずに物理的に削除されると、この処理の検知が
    行えず、トラスト・ログイン上でユーザーのステータスが「停止」になりませんので、
    トラスト・ログイン上でユーザーのステータスを「停止」とするためには、
    まずAD上でユーザーを無効にしていただく必要があります。
  • AD連携をしているメンバーが同期対象外になった場合、トラスト・ログイン上のユーザーの
    ステータスが「停止」となりますが、ユーザー情報の編集をすることで、
    引き続きトラスト・ログインの利用が可能となります。その場合、パスワード認証や
    外部IDP連携オプションなど、いずれかのログイン方法を割り当てる必要があります。

既存のトラスト・ログインユーザーとADユーザーの紐づけについて

AD連携機能を導入する前に、手動やCSVアップロードによって登録されたユーザーと
AD側ユーザーの紐づけも可能です。既存のトラスト・ログインユーザーと同期対象のADユーザーの
メールアドレスが一致していれば、自動的に紐づけが行われます。既存のユーザーが同期対象の
ADユーザーに含まれていない場合、ADとは紐づけされず今までのままの扱いとなります。
※こちらは、これから連携を開始する際の挙動の案内となります。

  • AD連携機能が導入されていても、手動またCSVアップロードによりADと紐づけのないのユーザーの作成が可能です。
  • ADとの初回同期時に、AD内にあるメールアドレスのユーザーがすでにトラスト・ログインに
    存在する場合、ADのパスワード、または、元々設定されていたトラスト・ログインの
    パスワード両方でログインできる状態となります。トラスト・ログインのパスワードを
    外したい場合には、「パスワード認証」の設定から対象ユーザーを外してください。

2. ユーザーの情報源について

AD連携機能によって登録されたユーザー、またADと紐づけされたユーザーについて、
AD側の情報がマスターになり、トラスト・ログイン上ではこのユーザーの以下の制御が
不可となります。

  • ユーザー属性の更新
  • ステータスの停止
  • ユーザーの削除
  • トラスト・ログイングループへの所属制御

上記の制御が必要な場合、AD側の情報の更新、グループへの所属制御の場合には、同期設定の更新をお願いします。

3. トラスト・ログイングループの所属制御

同期条件でADのセキュリティグループとトラスト・ログイングループの紐づけを行うことで、
ユーザーのトラスト・ログイングループへの所属の制御をすることができます。

AD側でユーザーがセキュリティグループに所属すると、自動的に紐づけ先のトラスト・ログイン
グループ内に登録されます。また、AD側のセキュリティグループから外されたとき、
トラスト・ログイン上でも紐づけ先のグループを外れます。

この際、トラスト・ログイングループに割り当てられていたアプリの利用ができなくなり、
このアプリに設定していたクレデンシャルの情報が削除されますので、ご注意ください。

※AD連携で作成されたユーザーを、ADのセキュリティグループとは異なるトラスト・ログインのグループに割り当てたい場合は、グループ自動割当の機能をご活用ください。

 

4. ユーザー属性更新

AD側でユーザーオブジェクトの属性が変わった場合、トラスト・ログイン上にも
該当する属性が更新されます。更新対象の項目は以下の通りとなります。
ただし、姓、名以外のユーザー属性の更新は任意となり、ユーザー同期設定で変更できます。

姓、名、部署、電話番号、郵便番号、都道府県、市区町村、番地

 

5. 同期タイミングについて

AD連携による自動登録・自動停止、トラスト・ログイングループの所属制御、ユーザー属性更新は、
リアルタイムでは処理されません。

数十分から数時間程度かかりますので、あらかじめご承知おきください。
(同期間隔は同期設定で変更できます。既定では30分間隔で同期します。)