こちらのページでは、Active Directory連携の設定方法をご案内しています。
内容をお読みいただき、ご不明な箇所やお困りの点がありましたら、お気軽にお問い合わせください。
また、事前に確認すべき注意点などを下記のページでご案内しております。
まだお読みでない方は、ぜひ一度こちらもご確認ください。
目次: |
1. ユーザー同期設定について
設定する情報の概要
コネクターをインストールして、接続が確認できた後、ユーザー同期設定を行います。
ユーザー同期設定では、同期対象のADセキュリティグループに加えて、お客様のドメイン、
LDAP接続情報、セキュリティグループとトラスト・ログイングループとの紐づけの設定を行います。
※ こちらの作業はGoogle Chromeでご対応ください。その他のブラウザはサポート対象外となります。
2. 設定手順
事前準備・確認
- セキュリティグループの所属
同期対象のユーザーはセキュリティグループの単位で決まります。
ユーザーが対象のセキュリティグループに所属していることをご確認ください。
同期条件に指定されたセキュリティグループ、またその配下のグループのすべてのユーザーが同期対象になります。
※同期対象となるユーザーのプライマリグループに"Domain Users"を選択されていない場合、同期が失敗することが報告されています。
- メールアドレスが重複していないこと
同期対象のユーザーの中に、同じメールアドレスが設定されているユーザーオブジェクトが
2つ以上存在していないことをご確認ください。同じメールアドレスが存在している場合、同期時にエラーとなります。
- 必須項目
以下の3項目は、トラスト・ログインで必須になっているため、同期対象のユーザーオブジェクトに存在しなければなりません。
姓、名、メールアドレス
※「姓」「名」へ全角スペースのみを連携した場合、同期処理全体が失敗することが確認されています。
その際は全角スペースのみのユーザーデータを修正ください。
設定手順
- AD 連携画面を開きます。
- ユーザー同期設定を開きます。
- 初期状態でユーザー同期設定画面は以下のように表示されます。
- 「ドメインの追加」をクリックして、同期設定を行います。
※登録メンバーが、トラスト・ログインのパスワードは使わず
Active DirectoryのID、パスワードでのみログインする場合、同期を始める前に、
「設定 > オプション機能 >パスワード認証 >設定」で
「メンバー登録時に自動でパスワード認証を割り当てる」をあらかじめオフにしてください。
項目名 |
必須 |
説明 |
同期間隔 |
〇 |
同期が行われる間隔。デフォルトで30分。 最小15分~最大1440分 の設定を推奨しています。 |
ドメイン(お客様のドメインについての基本情報) |
||
ドメイン |
〇 |
お客様のドメイン名。 例:globalsign.com |
ドメインコントローラー |
× |
通常、お客様の環境にインストールするコネクターがDNSから 例:dc1.example.com |
プロトコル |
〇 |
お客様の環境で利用可能なプロトコルを選択ください。 |
ポート |
〇 |
プロトコルに応じて、ポートを設定します。 |
読み取り権限のあるADユーザー (このセクションでは、LDAPの接続用のクレデンシャルを設定します) |
||
userBase |
〇 |
LDAPクエリーを実施するADのユーザーベース。 例:DC=globalsign,DC=com |
userDn |
〇 |
LDAPクエリーを実施するADユーザーの識別名、又はuserPrincipalName。 ・識別名の例: ・userPrincipalNameの例:
詳しくは、「トラブルシューティングA3」を参照いただき、「LDAP: error code 49」に該当するかご確認ください。 |
userPassword |
〇 |
LDAPクエリーを実施するADユーザーのADパスワード |
同期条件 (このセクションではAD のセキュリティグループとトラスト・ログイングループの紐づけを行います。) |
||
名前 |
〇 |
同期条件のラベル。適当な分かりやすい値で構いません。 |
同期元のADドメインユーザーグループ |
× |
このトグルをONにすると、ドメインすべてのユーザーが同期対象になります。 OFFの場合は、以下で指定するセキュリティグループに所属するユーザーが同期対象になります。 |
同期元のADセキュリティグループ |
〇 |
同期対象のADのセキュリティグループの識別名です。 複数のセキュリティグループの指定が可能です。 例: |
同期先のトラスト・ログイングループ |
× |
この同期条件で同期対象となったユーザーを所属させる 複数のトラスト・ログイングループの指定が可能です。 |
同期するAD属性 (ADのユーザーオブジェクトの属性とトラスト・ログインのユーザーの属性のマッピングを行います。 |
||
名 |
〇 |
ユーザーの名に該当するユーザーオブジェクトの属性。例:givenName |
姓 |
〇 |
ユーザーの姓に該当するユーザーオブジェクトの属性。例:sn |
メールアドレス |
〇 |
ユーザーのメールアドレスに該当するユーザーオブジェクトの属性。例:mail |
部署 |
× |
ユーザーの部署に該当するユーザーオブジェクトの属性。 |
電話番号 |
× |
ユーザーの電話番号に該当するユーザーオブジェクトの属性。 |
郵便番号 |
× |
ユーザーの郵便番号に該当するユーザーオブジェクトの属性。 |
都道府県 |
× |
ユーザーの都道府県に該当するユーザーオブジェクトの属性。 |
市区町村 |
× |
ユーザーの市区町村に該当するユーザーオブジェクトの属性。 |
番地 |
× |
ユーザーの番地に該当するユーザーオブジェクトの属性。 |
すべての項目を正しく入力した後、保存ボタンをクリックします。そこからユーザーの同期が始まります。
同期対象のユーザー数によりますが、同期にはしばらく時間がかかります。
(500ユーザーの場合、1時間程で完了いたします)。
※同期中にユーザー同期設定画面の保存ボタンを繰り返し押すと、同期に失敗する場合があります。
※連携の開始後、トラスト・ログインのユーザーを新たに手動で追加登録した場合は、
自動的に連携されないため、強制同期の実施が必要です。
手順3. にある「ユーザー同期設定」画面で、設定を何も変更せずに「保存」を押すことで、
強制同期を行うことができます。
ユーザー同期が想定通りに行えない場合など、AD連携に関するよくあるご質問をまとめたページもございます。必要に応じてご確認ください。