こちらのページでは、Active Directory連携の設定方法をご案内しています。
内容をお読みいただき、ご不明な箇所やお困りの点がありましたら、お気軽にお問い合わせください。
また、事前に確認すべき注意点などを下記のページでご案内しております。
まだお読みでない方は、ぜひ一度こちらもご確認ください。
はじめに
1. ユーザー同期設定について
設定する情報の概要
コネクターをインストールして、接続が確認できた後、ユーザー同期設定を行います。
ユーザー同期設定では、同期対象のADセキュリティグループに加えて、お客様のドメイン、
LDAP接続情報、セキュリティグループとトラスト・ログイングループとの紐づけの設定を行います。
※ こちらの作業はGoogle Chromeでご対応ください。その他のブラウザはサポート対象外となります。
2. 設定手順
事前準備・確認
- セキュリティグループの所属
同期対象のユーザーはセキュリティグループの単位で決まります。
ユーザーが対象のセキュリティグループに所属していることをご確認ください。
同期条件に指定されたセキュリティグループ、またその配下のグループのすべてのユーザーが同期対象になります。
※同期対象となるユーザーのプライマリグループに"Domain Users"を選択されていない場合、同期が失敗することが報告されています。
- メールアドレスが重複していないこと
同期対象のユーザーの中に、同じメールアドレスが設定されているユーザーオブジェクトが
2つ以上存在していないことをご確認ください。同じメールアドレスが存在している場合、同期時にエラーとなります。
- 必須項目
以下の3項目は、トラスト・ログインで必須になっているため、同期対象のユーザーオブジェクトに存在しなければなりません。
姓、名、メールアドレス
※「姓」「名」へ全角スペースのみを連携した場合、同期処理全体が失敗することが確認されています。
その際は全角スペースのみのユーザーデータを修正ください。
LDAPクエリーを実施するADユーザーの作成
コネクターがお客様の環境でLDAPクエリーを実行するときに、ADユーザー(システムアカウント)としてクエリーを実行します。ユーザー権限が「読み込み権限」のみのユーザーを作成してください。
※ユーザー作成の注意事項
- 初期パスワードの変更が不要のオプションにする必要があります。
- このADユーザーは専用のユーザー(システムアカウント)を作成してください。既存のユーザーを再利用した場合、検索対象のグループに入っていると検索に失敗します。
- 定期的にパスワードの変更が有効にされると、パスワードが変更される都度にトラスト・ログイン上で同期設定の変更も必要になります。
- 対象ユーザーが同期対象に含まれていると同期が行えません。同期対象から外していただくようお願いいたします。
設定手順
- AD 連携画面を開きます。
- ユーザー同期設定を開きます。
- 初期状態でユーザー同期設定画面は以下のように表示されます。
- 「ドメインの追加」をクリックして、同期設定を行います。
※登録メンバーが、トラスト・ログインのパスワードは使わず
Active DirectoryのID、パスワードでのみログインする場合、同期を始める前に、
「設定 > オプション機能 >パスワード認証 >設定」で
「メンバー登録時に自動でパスワード認証を割り当てる」をあらかじめオフにしてください。
| 項目名 | 必須 | 説明 |
| 同期間隔 | 〇 |
同期が行われる間隔。デフォルトで30分。 最小10分~最大10080分 の設定が可能です。 ※2025年8月21日までに10以下に設定されていた場合、次回保存時には10以上の値を指定する必要があります。 |
| ドメイン(お客様のドメインについての基本情報) | ||
| ドメイン | 〇 |
お客様のドメイン名。 例:globalsign.com |
| ドメインコントローラー | × |
通常、お客様の環境にインストールするコネクターがDNSから 例:dc1.example.com |
| プロトコル | 〇 | お客様の環境で利用可能なプロトコルを選択ください。 なお、自己署名証明書を用いたLDAPSは利用できません。 |
| ポート | 〇 | プロトコルに応じて、ポートを設定します。 基本的には、デフォルトの389の値で問題ありません。 |
|
読み取り権限のあるADユーザー (このセクションでは、LDAPの接続用のクレデンシャルを設定します) | ||
| userBase | 〇 |
LDAPクエリーを実施するADのユーザーベース。 例:DC=globalsign,DC=com |
| userDn | 〇 |
LDAPクエリーを実施するADユーザーの識別名、又はuserPrincipalName。 ・識別名の例: ・userPrincipalNameの例:
詳しくは、「トラブルシューティングA3」を参照いただき、「LDAP: error code 49」に該当するかご確認ください。 |
| userPassword | 〇 | LDAPクエリーを実施するADユーザーのADパスワード |
|
同期条件 (このセクションではAD のセキュリティグループとトラスト・ログイングループの紐づけを行います。) | ||
| 名前 | 〇 | 同期条件のラベル。適当な分かりやすい値で構いません。 |
| 同期元のADドメインユーザーグループ | × |
このトグルをONにすると、ドメインすべてのユーザーが同期対象になります。 OFFの場合は、以下で指定するセキュリティグループに所属するユーザーが同期対象になります。 |
| 同期元のADセキュリティグループ | 〇 |
同期対象のADのセキュリティグループの識別名です。 複数のセキュリティグループの指定が可能です。 例: |
| 同期先のトラスト・ログイングループ | × |
この同期条件で同期対象となったユーザーを所属させる 複数のトラスト・ログイングループの指定が可能です。 |
|
同期するAD属性 (ADのユーザーオブジェクトの属性とトラスト・ログインのユーザーの属性のマッピングを行います。 | ||
| 名 | 〇 | ユーザーの名に該当するユーザーオブジェクトの属性。例:givenName ※全角スペースのみの場合、同期処理全体が失敗します。 |
| 姓 | 〇 | ユーザーの姓に該当するユーザーオブジェクトの属性。例:sn ※全角スペースのみの場合、同期処理全体が失敗します。 |
| メールアドレス | 〇 | ユーザーのメールアドレスに該当するユーザーオブジェクトの属性。例:mail ※連携中ADユーザーのメールアドレス変更は、サポートしておりません。 |
| 部署 | × | ユーザーの部署に該当するユーザーオブジェクトの属性。 |
| 電話番号 | × | ユーザーの電話番号に該当するユーザーオブジェクトの属性。 |
| 郵便番号 | × | ユーザーの郵便番号に該当するユーザーオブジェクトの属性。 |
| 都道府県 | × | ユーザーの都道府県に該当するユーザーオブジェクトの属性。 |
| 市区町村 | × | ユーザーの市区町村に該当するユーザーオブジェクトの属性。 |
| 番地 | × | ユーザーの番地に該当するユーザーオブジェクトの属性。 |
すべての項目を正しく入力した後、保存ボタンをクリックします。そこからユーザーの同期が始まります。
同期対象のユーザー数によりますが、同期にはしばらく時間がかかります。
(500ユーザーの場合、1時間程で完了いたします)。
※同期中にユーザー同期設定画面の保存ボタンを繰り返し押すと、同期に失敗する場合があります。
※連携の開始後、トラスト・ログインのユーザーを新たに手動で追加登録した場合は、
自動的に連携されないため、強制同期の実施が必要です。
手順3. にある「ユーザー同期設定」画面で、設定を何も変更せずに「保存」を押すことで、
強制同期を行うことができます。
ユーザー同期が想定通りに行えない場合など、AD連携に関するよくあるご質問をまとめたページもございます。必要に応じてご確認ください。