こちらのページでは、Active Directory連携の設定方法をご案内しています。
内容をお読みいただき、ご不明な箇所やお困りの点がありましたら、お気軽にお問い合わせください。
※無料トライアルによる検証の場合は、新規ご相談窓口(03-6370-6601)までお問い合わせください。
また、事前に確認すべき注意点などを下記のページでご案内しております。
まだお読みでない方は、ぜひ一度こちらもご確認ください。
目次: |
1. システムの仕組みについて
仕組みの概要
お客様にとって、最も手間がかからない導入・運用を行っていただけるよう、AD連携機能の設計・実装をしています。
トラスト・ログインのAD連携機能の特徴は以下の通りです。
- お客様のネットワーク環境に外部から接続しない。
- ADコネクターはアウトバウンド通信のみを利用する。インバウンド通信は必要ない。
- ADに対して読み取りだけを行い、書き込みは一切行わない。管理者の権限も不要。
- ADのパスワードは、トラスト・ログインに一切保存されない。毎回ログイン時に
ADへ認証の問い合わせを行うので、常に現行のADパスワードでのログインとなる。 - 導入するのに、特殊な知識は不要(ADの管理者が数時間以内に導入できる前提)
2. 設定手順
インストールするソフトウェア
AD連携機能を実現するために、お客様の環境に弊社開発のコネクターをインストールし、
弊社への環境に接続を許可する必要があります。
事前準備・確認
インストールする環境についての注意事項
- 対象のOSは、Windows Server 2016 / 2019 / 2022(日本語版、英語版とも)。
- お客様の環境から以下のアウトバウンドの接続を可能にする必要があります。
- プロトコルTCP/DNS a-mq-ad.services.sku.id/ポート5671 [現在停止中]
- プロトコルTCP/DNS b-mq-ad.services.sku.id/ポート5671
- 現在、プロキシ経由の接続は対応しておりませんので、直接接続が可能な環境でなければなりません。
- インストール先のPCは、ドメインに参加していて、常に稼働している
Windowsマシンでなければなりません。
ドメインコントローラーのマシンにインストールするのが一般的です。
(消費するメモリは256MB未満です。) - 設定ブラウザはGoogle Chromeにて進めてください。
LDAPクエリーを実施するADユーザーの作成
ADコネクターは、ADユーザー(システムアカウント)として、お客様の環境でLDAPクエリーを実行します。
ユーザー権限に「読み取り権限」があるADユーザーを作成してください。
※ ユーザー作成の注意事項
- 初期パスワードの変更が不要なオプションにする必要があります。
- このADユーザーは、専用のユーザー(システムアカウント)を作成してください。
既存のユーザーを再利用した場合、検索対象のグループに入っていると検索に失敗します。 - 定期的パスワードの変更を有効にすると、パスワードを変更する都度
トラスト・ログイン上の同期設定も変更しなくてはいけなくなります。 - 対象ユーザーが同期対象に含まれていると同期が行えません。
同期対象から外していただくようお願いいたします。
複数ドメインと連携する場合の注意事項
トラスト・ログインは複数ドメインとの連携に対応しています。ただし、以下の点にご注意ください。
- ADコネクターから対象すべてのドメインコントローラーに
LDAPクエリが可能である必要があります。
ファイアウォールでADコネクターからの通信がブロックされていたり、
DNSでドメインやドメインコントローラーの名前解決ができないと同期に失敗します。 - 複数ドメインと連携する場合、
全てのドメインから連携結果が正常に返されないと同期に成功しません。
1つのドメインからでも連携結果が返されなかった場合は、全体の同期が失敗します。
インストール手順
1.AD連携機能のお申し込み完了後、AD設定が行えるようになります。
管理者画面「設定 > Active Directory連携 > 設定」ボタンから
1)コネクター設定ファイル
2)コネクターのZIPファイル
をダウンロードします。
2.コネクターのZIPファイルは、インストール先のマシンの
空白や日本語の文字が入っていないパスに解凍します。解凍後のファイルは以下のようになります。
3.コネクター設定ファイルを解凍したファイルと同じディレクトリにコピーします。
※コネクター設定ファイルには
トラスト・ログインコネクターで利用するクレデンシャルが含まれています。
誰もがアクセスできる場所には置かないなど、お取り扱いには十分ご注意ください。
※認証のリクエスト先ドメインコントローラーを固定する場合:
何らかの理由でリクエスト先ドメインコントローラーの固定が必要な場合は、
コピーしたコネクター設定ファイルをメモ帳で開き、以下の設定を追記してください。
(インストールしているすべてのADコネクターへの設定をお願いします。)
-------------------
auth.dc.hostname=hostname.example.com {ドメインコントローラ―ホスト名}
auth.dc.port=3268 {ポート番号 既定値 3268}
-------------------
4.install.batファイルをダブルクリックして、コネクターをインストールします。
※ *.bat系ファイルがダブルクリックで起動しない場合、インストール先のフォルダーをCMDで開き、
対象の*.batファイルを実行してください。
5.コネクターはWindows サービスとしてインストールされるので、Services 管理ツールを開いて、
「Skuid AD Connector」サービスを開始させます。
6.トラスト・ログインの管理画面からコネクターが正常に接続できたことを確認します。
※ 数分経ってもコネクター一覧にコネクターの記録が現れない場合、インストール先のPCから
プロキシ経由なしで、[b-mq-ad.services.sku.id]に[TCPポート5671]で接続が可能なことをご確認ください。
その上で、コネクター一覧にコネクターの情報が表示されない場合、
コネクターのインストール先のディレクトリの[logsディレクトリ]を圧縮して
弊社サポート窓口までお問い合わせください。
※ コネクターは10分毎にハートビートメッセージを送信しています。
10分以上経ってもハートビートが来ない場合に、コネクターのステータスが「異常」になります。
※コネクターの冗長化について
1つのマシンに対し1つのコネクターをインストールできます。
冗長構成にする場合は、複数マシンにコネクターを同じ手順でインストールしてください。
コネクターをインストールする際のエラーについて
事象
|
操作とエラー情報
|
原因
|
解決方法
|
---|---|---|---|
AD Connectorをインストールする際にエラーが表示される |
操作: install.batをダブルクリックで実行
エラー情報: 2021-01-13 21:23:49,200 INFO - Installing the service with id 'skuidadconnector' 2021-01-13 21:23:49,247 FATAL - WMI Operation failure: AccessDenied WMI.WmiException: AccessDenied 場所 WMI.WmiRoot.BaseHandler.CheckError(ManagementBaseObject result) 場所 WMI.WmiRoot.ClassHandler.Invoke(Object proxy, MethodInfo method, Object[] args) ..... |
操作者の権限不足 |
管理権限のユーザーでインストールする
|
アンインストール手順
※ユーザーの連携解除前にコネクターのアンインストールを行われてしまうと、トラスト・ログイン上でユーザーの編集が行えなくなるため、必ずユーザの連携解除後にコネクターのアンインストールを実施ください。
トラスト・ログインのユーザー情報を編集することで、引き続きトラスト・ログインの利用が可能となります。
ただし、パスワード認証や外部IDP連携オプションなど、いずれかのログイン方法を割り当てる必要があります。
手順
1.Services 管理ツールを開いて、「Skuid AD Connector」サービスを停止させます。
2.インストール先のディレクトリにあるuninstall.batを実行すると、
Windows サービスからアンインストールされます。
そのあと、インストール先のディレクトリごとファイルを削除してください。
※その他レジストリなどへの書き込み・更新は行いませんので、こちらの手順により完全に
アンインストールされます。
3. トラブルシューティング
AD連携に関するよくあるご質問をまとめたページもございます。必要に応じてご確認ください。