設定手順② ユーザー同期設定【トラスト・ログイン 管理画面上で実施】

こちらのページでは、Active Directory連携の設定方法をご案内しています。
内容をお読みいただき、ご不明な箇所やお困りの点がありましたら、お気軽にお問い合わせください。

また、事前に確認すべき注意点などを下記のページでご案内しております。
まだお読みでない方は、ぜひ一度こちらもご確認ください。

はじめに

メイン機能説明① ユーザー管理

メイン機能説明② ユーザー認証

 

目次:

1. ユーザー同期設定について

2. 設定手順

 

1. ユーザー同期設定について

設定する情報の概要

コネクターをインストールして、接続が確認できた後、ユーザー同期設定を行います。
ユーザー同期設定では、同期対象のADセキュリティグループに加えて、お客様のドメイン、
LDAP接続情報、セキュリティグループとトラスト・ログイングループとの紐づけの設定を行います。

※ こちらの作業はGoogle Chromeでご対応ください。その他のブラウザはサポート対象外となります。

 

2. 設定手順

事前準備・確認

  • セキュリティグループの所属

同期対象のユーザーはセキュリティグループの単位で決まります。
ユーザーが対象のセキュリティグループに所属していることをご確認ください。
同期条件に指定されたセキュリティグループ、またその配下のグループのすべてのユーザーが同期対象になります。

※同期対象となるユーザーのプライマリグループに"Domain Users"を選択されていない場合、同期が失敗することが報告されています。

  • メールアドレスが重複していないこと

同期対象のユーザーの中に、同じメールアドレスが設定されているユーザーオブジェクトが
2つ以上存在していないことをご確認ください。同じメールアドレスが存在している場合、同期時にエラーとなります。

  • 必須項目 

以下の3項目は、トラスト・ログインで必須になっているため、同期対象のユーザーオブジェクトに存在しなければなりません。

姓、名、メールアドレス
※「姓」「名」へ全角スペースのみを連携した場合、同期処理全体が失敗することが確認されています。
 その際は全角スペースのみのユーザーデータを修正ください。

 

 

設定手順

  1. AD 連携画面を開きます。


  2. ユーザー同期設定を開きます。
    mceclip14.png

  3. 初期状態でユーザー同期設定画面は以下のように表示されます。

  4. 「ドメインの追加」をクリックして、同期設定を行います。

※登録メンバーが、トラスト・ログインのパスワードは使わず
 Active DirectoryのID、パスワードでのみログインする場合、同期を始める前に、
 「設定 > オプション機能 >パスワード認証 >設定」で
 「メンバー登録時に自動でパスワード認証を割り当てる」をあらかじめオフにしてください。
 mceclip16.png

 

項目名

必須

説明

同期間隔

同期が行われる間隔。デフォルトで30分。

最小15分~最大1440分 の設定を推奨しています。

ドメイン(お客様のドメインについての基本情報

ドメイン

お客様のドメイン名。

例:globalsign.com

ドメインコントローラー

×

通常、お客様の環境にインストールするコネクターがDNSから
ドメインコントローラーを自動的に選択していますが、
直接ドメインコントローラーを指定したい場合、こちらにご入力ください。

例:dc1.example.com

プロトコル

お客様の環境で利用可能なプロトコルを選択ください。
なお、自己署名証明書を用いたLDAPSは利用できません。

ポート

プロトコルに応じて、ポートを設定します。
基本的には、デフォルトの389の値で問題ありません。

読み取り権限のあるADユーザー

このセクションでは、LDAPの接続用のクレデンシャルを設定します

userBase

LDAPクエリーを実施するADのユーザーベース。

例:DC=globalsign,DC=com

userDn

LDAPクエリーを実施するADユーザーの識別名、又はuserPrincipalName。
基本的に識別名を指定すれば稼働可能ですが、
お客様の環境によっては識別名ではなく、
userPrincipalNameを指定する必要があります。

・識別名の例:
CN=TrustLogin,DC=globalsign,DC=com

・userPrincipalNameの例:
trustlogin@globalsign.com

 

詳しくは、「トラブルシューティングA3」を参照いただき、「LDAP: error code 49」に該当するかご確認ください。

userPassword

LDAPクエリーを実施するADユーザーのADパスワード

同期条件

このセクションではAD のセキュリティグループとトラスト・ログイングループの紐づけを行います。

名前

同期条件のラベル。適当な分かりやすい値で構いません。

同期元のADドメインユーザーグループ

×

このトグルをONにすると、ドメインすべてのユーザーが同期対象になります。

OFFの場合は、以下で指定するセキュリティグループに所属するユーザーが同期対象になります。

同期元のADセキュリティグループ

同期対象のADのセキュリティグループの識別名です。
このグループに所属しているすべてのユーザー、およびこのグループに
ネストされているグループのすべてのユーザーが同期対象となります。

複数のセキュリティグループの指定が可能です。

例:
CN=営業,OU=Employees,DC=trustlogin,DC=com

同期先のトラスト・ログイングループ

×

この同期条件で同期対象となったユーザーを所属させる
トラスト・ログイン内のグループを指定します。

複数のトラスト・ログイングループの指定が可能です。
※既存のトラスト・ログイン内グループからの選択になりますので、
 事前にトラスト・ログインでグループを作成しておいてください。

同期するAD属性

ADのユーザーオブジェクトの属性とトラスト・ログインのユーザーの属性のマッピングを行います。
 各項目に対して、複数の属性の設定が可能です。最初の空白ではない値が利用されます。

ユーザーの名に該当するユーザーオブジェクトの属性。例:givenName
※全角スペースのみの場合、同期処理全体が失敗します。

ユーザーの姓に該当するユーザーオブジェクトの属性。例:sn
※全角スペースのみの場合、同期処理全体が失敗します。

メールアドレス

ユーザーのメールアドレスに該当するユーザーオブジェクトの属性。例:mail
※連携中ADユーザーのメールアドレス変更は、サポートしておりません。

部署

×

ユーザーの部署に該当するユーザーオブジェクトの属性。

電話番号

×

ユーザーの電話番号に該当するユーザーオブジェクトの属性。

郵便番号

×

ユーザーの郵便番号に該当するユーザーオブジェクトの属性。

都道府県

×

ユーザーの都道府県に該当するユーザーオブジェクトの属性。

市区町村

×

ユーザーの市区町村に該当するユーザーオブジェクトの属性。

番地

×

ユーザーの番地に該当するユーザーオブジェクトの属性。

 

すべての項目を正しく入力した後、保存ボタンをクリックします。そこからユーザーの同期が始まります。
同期対象のユーザー数によりますが、同期にはしばらく時間がかかります。
(500ユーザーの場合、1時間程で完了いたします)。

※同期中にユーザー同期設定画面の保存ボタンを繰り返し押すと、同期に失敗する場合があります。

※連携の開始後、トラスト・ログインのユーザーを新たに手動で追加登録した場合は、
 自動的に連携されないため、強制同期の実施が必要です。
 手順3. にある「ユーザー同期設定」画面で、設定を何も変更せずに「保存」を押すことで、
 強制同期を行うことができます。

 

ユーザー同期が想定通りに行えない場合など、AD連携に関するよくあるご質問をまとめたページもございます。必要に応じてご確認ください。

トラブルシューティング

設定手順② ユーザー同期設定【トラスト・ログイン 管理画面上で実施】

こちらのページでは、Active Directory連携の設定方法をご案内しています。
内容をお読みいただき、ご不明な箇所やお困りの点がありましたら、お気軽にお問い合わせください。

また、事前に確認すべき注意点などを下記のページでご案内しております。
まだお読みでない方は、ぜひ一度こちらもご確認ください。

はじめに

メイン機能説明① ユーザー管理

メイン機能説明② ユーザー認証

 

目次:

1. ユーザー同期設定について

2. 設定手順

 

1. ユーザー同期設定について

設定する情報の概要

コネクターをインストールして、接続が確認できた後、ユーザー同期設定を行います。
ユーザー同期設定では、同期対象のADセキュリティグループに加えて、お客様のドメイン、
LDAP接続情報、セキュリティグループとトラスト・ログイングループとの紐づけの設定を行います。

※ こちらの作業はGoogle Chromeでご対応ください。その他のブラウザはサポート対象外となります。

 

2. 設定手順

事前準備・確認

  • セキュリティグループの所属

同期対象のユーザーはセキュリティグループの単位で決まります。
ユーザーが対象のセキュリティグループに所属していることをご確認ください。
同期条件に指定されたセキュリティグループ、またその配下のグループのすべてのユーザーが同期対象になります。

※同期対象となるユーザーのプライマリグループに"Domain Users"を選択されていない場合、同期が失敗することが報告されています。

  • メールアドレスが重複していないこと

同期対象のユーザーの中に、同じメールアドレスが設定されているユーザーオブジェクトが
2つ以上存在していないことをご確認ください。同じメールアドレスが存在している場合、同期時にエラーとなります。

  • 必須項目 

以下の3項目は、トラスト・ログインで必須になっているため、同期対象のユーザーオブジェクトに存在しなければなりません。

姓、名、メールアドレス
※「姓」「名」へ全角スペースのみを連携した場合、同期処理全体が失敗することが確認されています。
 その際は全角スペースのみのユーザーデータを修正ください。

 

 

設定手順

  1. AD 連携画面を開きます。


  2. ユーザー同期設定を開きます。
    mceclip14.png

  3. 初期状態でユーザー同期設定画面は以下のように表示されます。

  4. 「ドメインの追加」をクリックして、同期設定を行います。

※登録メンバーが、トラスト・ログインのパスワードは使わず
 Active DirectoryのID、パスワードでのみログインする場合、同期を始める前に、
 「設定 > オプション機能 >パスワード認証 >設定」で
 「メンバー登録時に自動でパスワード認証を割り当てる」をあらかじめオフにしてください。
 mceclip16.png

 

項目名

必須

説明

同期間隔

同期が行われる間隔。デフォルトで30分。

最小15分~最大1440分 の設定を推奨しています。

ドメイン(お客様のドメインについての基本情報

ドメイン

お客様のドメイン名。

例:globalsign.com

ドメインコントローラー

×

通常、お客様の環境にインストールするコネクターがDNSから
ドメインコントローラーを自動的に選択していますが、
直接ドメインコントローラーを指定したい場合、こちらにご入力ください。

例:dc1.example.com

プロトコル

お客様の環境で利用可能なプロトコルを選択ください。
なお、自己署名証明書を用いたLDAPSは利用できません。

ポート

プロトコルに応じて、ポートを設定します。
基本的には、デフォルトの389の値で問題ありません。

読み取り権限のあるADユーザー

このセクションでは、LDAPの接続用のクレデンシャルを設定します

userBase

LDAPクエリーを実施するADのユーザーベース。

例:DC=globalsign,DC=com

userDn

LDAPクエリーを実施するADユーザーの識別名、又はuserPrincipalName。
基本的に識別名を指定すれば稼働可能ですが、
お客様の環境によっては識別名ではなく、
userPrincipalNameを指定する必要があります。

・識別名の例:
CN=TrustLogin,DC=globalsign,DC=com

・userPrincipalNameの例:
trustlogin@globalsign.com

 

詳しくは、「トラブルシューティングA3」を参照いただき、「LDAP: error code 49」に該当するかご確認ください。

userPassword

LDAPクエリーを実施するADユーザーのADパスワード

同期条件

このセクションではAD のセキュリティグループとトラスト・ログイングループの紐づけを行います。

名前

同期条件のラベル。適当な分かりやすい値で構いません。

同期元のADドメインユーザーグループ

×

このトグルをONにすると、ドメインすべてのユーザーが同期対象になります。

OFFの場合は、以下で指定するセキュリティグループに所属するユーザーが同期対象になります。

同期元のADセキュリティグループ

同期対象のADのセキュリティグループの識別名です。
このグループに所属しているすべてのユーザー、およびこのグループに
ネストされているグループのすべてのユーザーが同期対象となります。

複数のセキュリティグループの指定が可能です。

例:
CN=営業,OU=Employees,DC=trustlogin,DC=com

同期先のトラスト・ログイングループ

×

この同期条件で同期対象となったユーザーを所属させる
トラスト・ログイン内のグループを指定します。

複数のトラスト・ログイングループの指定が可能です。
※既存のトラスト・ログイン内グループからの選択になりますので、
 事前にトラスト・ログインでグループを作成しておいてください。

同期するAD属性

ADのユーザーオブジェクトの属性とトラスト・ログインのユーザーの属性のマッピングを行います。
 各項目に対して、複数の属性の設定が可能です。最初の空白ではない値が利用されます。

ユーザーの名に該当するユーザーオブジェクトの属性。例:givenName
※全角スペースのみの場合、同期処理全体が失敗します。

ユーザーの姓に該当するユーザーオブジェクトの属性。例:sn
※全角スペースのみの場合、同期処理全体が失敗します。

メールアドレス

ユーザーのメールアドレスに該当するユーザーオブジェクトの属性。例:mail
※連携中ADユーザーのメールアドレス変更は、サポートしておりません。

部署

×

ユーザーの部署に該当するユーザーオブジェクトの属性。

電話番号

×

ユーザーの電話番号に該当するユーザーオブジェクトの属性。

郵便番号

×

ユーザーの郵便番号に該当するユーザーオブジェクトの属性。

都道府県

×

ユーザーの都道府県に該当するユーザーオブジェクトの属性。

市区町村

×

ユーザーの市区町村に該当するユーザーオブジェクトの属性。

番地

×

ユーザーの番地に該当するユーザーオブジェクトの属性。

 

すべての項目を正しく入力した後、保存ボタンをクリックします。そこからユーザーの同期が始まります。
同期対象のユーザー数によりますが、同期にはしばらく時間がかかります。
(500ユーザーの場合、1時間程で完了いたします)。

※同期中にユーザー同期設定画面の保存ボタンを繰り返し押すと、同期に失敗する場合があります。

※連携の開始後、トラスト・ログインのユーザーを新たに手動で追加登録した場合は、
 自動的に連携されないため、強制同期の実施が必要です。
 手順3. にある「ユーザー同期設定」画面で、設定を何も変更せずに「保存」を押すことで、
 強制同期を行うことができます。

 

ユーザー同期が想定通りに行えない場合など、AD連携に関するよくあるご質問をまとめたページもございます。必要に応じてご確認ください。

トラブルシューティング