1. サポート − トラスト・ログイン byGMO【旧SKUID(スクイド)】
  2. 設定ガイド
  3. Active Directory連携

Active Directory連携

トラスト・ログインチーム
  • 更新

 

目次:

1.Active Directory連携機能の概要

2.AD連携機能のメイン機能について

2-1)トラスト・ログインユーザーの管理

①自動登録・自動無効化(仮削除)

②トラスト・ログイングループの所属の制御

③ユーザー属性更新

④同期タイミングについて

⑤ユーザーの情報源について

2-2)トラスト・ログインへのログイン

2-3)AD連携機能が一番発揮できる環境について

3.システムの仕組みについて

3-1)インストールするソフトウェアについて

3-2)インストール方法

①インストール前の確認・準備

②インストール手順

③アンインストール手順

3-3)ユーザー同期設定

3-4)コネクターのログの確認

4.お客様のご利用方法に合わせた設定

  ログインボタンの表示変更

5.  最後に

  よくあるご質問

 

 

 

1.Active Directory連携機能の概要

 

お客様のActive Directory(以降AD)のユーザーデータを活用し、トラスト・ログインユーザーの管理(作成、更新、無効化、トラスト・ログイングループへの所属制御)が簡単に行える機能です。

また、ADのメールアドレスとパスワードでトラスト・ログインにログインできる機能をあわせてご提供しています。

AD に新規ユーザーが登録された際、または無効となった際に、トラスト・ログインにこの情報が自動的に同期されますので、トラスト・ログイン運用、ID管理の手間を大きく削減できます。

 

2.AD連携機能のメイン機能について

 

2-1)トラスト・ログインユーザーの管理

①自動登録・自動無効化(仮削除)

AD側のユーザーが同期条件に該当したときに、トラスト・ログイン側にこのユーザーが自動的に登録されます。

同期条件を柔軟に指定が可能で、段階的にユーザー登録することが可能です。詳しくは、「ユーザー同期条件について」をご参照ください。

  • 同期条件に該当していたAD側のユーザーが、この条件に該当しなくなったとき、また、AD上で無効になると、トラスト・ログイン上で対象ユーザーのトラスト・ログイン利用ステータスが自動で「停止」になり、直ちにトラスト・ログインの利用ができなくなります。
  • AD側でユーザーオブジェクトが無効にされずに物理的に削除されると、この処理の検知が行えず、トラスト・ログイン上でユーザーのステータスが「停止」になりませんので、トラスト・ログイン上でユーザーのステータスを「停止」とするためには、まずAD上でユーザーを無効にしていただく必要があります。
  • AD連携をしているメンバーが同期対象外になった場合、トラスト・ログイン上のユーザーのステータスが「停止」となりますが、ユーザー情報の編集をすることで引き続きトラスト・ログインの利用が可能となります。パスワード認証、外部IDP連携やSCIMオプションなどいずれかのログイン方法を割り当てる必要があります。

 

既存のトラスト・ログインユーザーとADユーザーの紐づけについて

AD連携機能を導入する前に手動やCSVアップロードによって登録されたユーザーとAD側のユーザーの紐づけも可能です。既存のトラスト・ログインユーザーと同期対象のADユーザーのメールアドレスが一致していれば、自動的に紐づけが行われます。既存のユーザーが同期対象のADユーザーに含まれていない場合、ADと紐づけされず今までのままの扱いが可能です。

  • AD連携機能が導入されていても、手動またCSVアップロードによりADと紐づけのないのユーザーの作成が可能です。
  • ADとの初回同期時にAD内にあるメールアドレスのユーザーがすでにトラスト・ログインにいた場合、ADのパスワード、または、もともと設定されていたトラスト・ログインのパスワード両方でログインできる状態となります。トラスト・ログインのパスワードを外したい場合には、パスワード認証のリストから対象ユーザーを外してください。

  

②トラスト・ログイングループの所属の制御

同期条件でADのセキュリティグループとトラスト・ログイングループの紐づけを行うことで、ユーザーのトラスト・ログイングループへの所属の制御ができます。AD側でユーザーがセキュリティグループに所属すると、自動的に紐づけ先のトラスト・ログイングループ内に登録されます。また、AD側のセキュリティグループから外されたとき、トラスト・ログイン上でも紐づけ先のグループを外れます。

この際、トラスト・ログイングループに割り当てられていたアプリのご利用ができなくなり、このアプリに設定していたクレデンシャルの情報が削除されますので、ご注意ください。

 

③ユーザー属性更新

AD側でユーザーオブジェクトの属性が変わった場合、トラスト・ログイン上にも該当する属性が更新されます。更新対象の項目は以下の通りになります。

姓、名、部署、電話番号、郵便番号、都道府県、市区町村、番地


※また、デスクトップSSO に必要なUPN(samAccountName+ADドメイン名)の更新も可能です。
ご希望の方は設定を行いますので、こちらよりご連絡ください。
 

④同期タイミングについて

自動登録・自動無効化(仮削除)、トラスト・ログイングループの所属制御、ユーザー属性更新の処理は、リアルタイムではありません。数十分から数時間程度かかりますのであらかじめご承知おきください(時間は設定によって異なります)。

 

⑤ユーザーの情報源について

AD連携機能によって登録されたユーザー、またADと紐づけされたユーザーについて、AD側の情報がマスタになり、トラスト・ログインでこのユーザーの以下の制御が不可になります。

  • 属性変更
  • 無効化・削除
  • トラスト・ログイングループへの所属制御

上記の制御が必要な場合、AD側の情報の更新、グループへの所属制御の場合には同期設定の更新をお願いします。

 

2-2)トラスト・ログインへのログイン

AD連携がしているユーザーは、ADのメールアドレスとADのパスワードを利用して、トラスト・ログインにログインができます。

ADのパスワードはトラスト・ログインで一切保存されません。毎回ログイン時にADに認証の問い合わせを行いますので、常に現行のADパスワードでのログインとなります。

トラスト・ログインパスワードの設定について

ADパスワードによるログイン以外、別途トラスト・ログインパスワードの設定も可能です。お客様の ADに接続ができなくなったときに、トラスト・ログインにログインができないことを防ぐためです。通常、管理者だけがトラスト・ログインパスワードとADパスワード両方の認証を可能にし、一般のユーザーはADパスワードの認証だけを許可し、運用するのがおすすめのやり方ですが、ADのパスワードでログインができなくなった場合などには、すべてのユーザーにトラスト・ログインパスワードの設定を許可することができます。

ユーザーにトラスト・ログインパスワードを許可した際、ユーザーのメールアドレス宛にトラスト・ログインパスワード登録メールが送信されます。

「設定 > パスワード認証」の「メンバー登録時に自動でパスワード認証を割り当てる」の設定はデフォルトでオンになっています。トラスト・ログインのパスワードではログインしない運用とする場合は、こちらをオフに変更ください。

2-2.png

 

2-3)AD連携機能を利用する場合のAD環境について

AD連携機能はお客様のAD環境の情報に依存しています。以下の条件が揃っているとAD連携機能の設定や利用がもっともスムーズになります。

  • 同期対象のユーザーにファストネーム、ラストネーム、メールアドレスが設定されている(必須)
  • 同期対象のユーザーには一意のメールアドレスが設定されている(必須)
  • 同期対象がセキュリティグループ単位で選択できるように設定されている

※ 現在はセキュリティグループ単位で同期条件の設定が可能ですが、OU単位で同期する機能もリリース予定です。

 

.システムの仕組みについて

 

お客様にとって、最も手間がかからない導入と運用の方法を目的とし、AD連携機能の設計・実装をしています。トラスト・ログインのAD連携機能の特徴は以下の通りです。

  • お客様の環境に外部から接続をしない。
  • AD に対して読み込みだけを行い、書き込みは一切行わない。管理者の権限も不要。
  • 導入するのに、特殊な知識やソフトウェアは不要(ADの管理者が数時間以内に導入できる前提)

 

3-1)インストールするソフトウェアについて

AD連携機能を実現するために、お客様の環境に弊社開発のコネクターをインストールし、弊社への環境に接続を許可する必要があります。

mceclip2.png

 

インストールする環境についての注意事項

  • 対象のOSは、Windows Server 2012 R2 / 2016 / 2019(日本語版、英語版とも)。
  • お客様の環境から以下2つのアウトバウンドの接続を可能にする必要があります。
    • プロトコルTCP/DNS a-mq-ad.services.sku.id/ポート5671
    • プロトコルTCP/DNS b-mq-ad.services.sku.id/ポート5671
  • 現在、プロキシ経由の接続は対応しておりませんので、直接接続が可能な環境でなければなりません。
  • インストール先のPCは、常に稼働しているドメインに参加しているWindowsマシンでなければなりません。ドメインコントローラーのマシンにインストールするのが一般的です。(消費するメモリは256MB未満です。)
  • 設定ブラウザはGoogle Chromeにて進めてください。

 

3-2)インストール方法

①インストール前の確認・準備

セキュリティグループの所属

同期対象のユーザーはセキュリティグループの単位で決まりますので、ユーザーが対象のセキュリティグループに所属していることをご確認ください。同期条件に指定されたセキュリティグループ、またその配下のグループのすべてのユーザーが同期対象になります。

メールアドレスが重複していないこと

同期対象のユーザーの中に同じメールアドレスが設定されているユーザーオブジェクトは2つ以上存在していないことをご確認ください。二つの同じメールアドレスが存在している場合、同期時にエラーとなります。

必須項目

以下の項目は、トラスト・ログインでは必須になっているため、同期対象のユーザーオブジェクトに存在しなければなりません。

姓、名、メールアドレス

LDAPクエリーを実施するADユーザーの作成

コネクターがお客様の環境でLDAPクエリーを実行するときに、ADユーザー(システムアカウント)としてクエリーを実行します。ユーザー権限が「読み込み権限」のみのユーザーを作成してください。

※ ユーザー作成の注意事項

  1. 初期パスワードの変更が不要のオプションにする必要があります。
  2. このADユーザーは専用のユーザー(システムアカウント)を作成してください。既存のユーザーを再利用した場合、検索対象のグループに入っていると検索に失敗します。
  3. 定期的パスワードの変更が有効にされると、パスワードが変更される都度にトラスト・ログイン上で同期設定の変更も必要になります。

 

②インストール手順

1.AD連携機能のお申し込み完了後、AD設定が行えるようになります。

管理者画面(設定 > Active Directory連携 > 「設定」ボタン)から

1)コネクター設定ファイル

2)コネクター自体のファイル

をダウンロードします。

mceclip3.png

 

2.コネクターのファイルはZIPファイルになっていますので、インストール先のマシンの空白や日本語の文字が入っていないパスに展開します。展開先のディレクトリは以下となります。

 

3.コネクター設定ファイルを展開されたファイルと同じディレクトリにコピーします。

※ コネクター設定ファイルにはトラスト・ログインコネクターが利用するクレデンシャルが含まれています。誰もがアクセスできる場所には置かないなど、お取り扱いには十分ご注意ください。

 

4.install.batファイルをダブルクリックして、コネクターをインストールします。

※ *.bat系ファイルがダブルクリックで起動しない場合、インストール先のフォルダーをCMDで開き、対象の*.batファイルを実行してください。

 

5.コネクターはWindows サービスとしてインストールされるので、Services 管理ツールを開いて、「トラスト・ログイン AD Connector」サービスを開始させます。

 

6.トラスト・ログインの管理画面からコネクターが正常に接続できたことを確認します。

mceclip9.png

※ 数分経っても、コネクター一覧にコネクターの記録が現れない場合、インストール先のPCからプロキシ経由なしで、[a-mq-ad.services.sku.id]と[b-mq-ad.services.sku.id]に[TCPポート5671]で接続が可能なことをご確認ください。そのうえでコネクター一覧にコネクターの情報が表示されない場合、コネクターのインストール先のディレクトリの[logsディレクトリ]を圧縮して、弊社サポート窓口までお問い合わせください。

※ コネクターが10分毎に、ハートビートメッセージを送信しています。10分以上経っても、ハートビートが来ない場合、コネクターのステータスが異常です。

※コネクターの冗長化について

1つのマシンに対し1つのコネクターをインストールできます。冗長構成にする場合は、複数マシンにコネクターを同じ手順でインストールしてください。

 

③アンインストール手順

1.Services 管理ツールを開いて、「Skuid AD Connector」サービスを停止させます。

 

2.インストール先のディレクトリにあるuninstall.batを実行すると、Windows サービスがアンインストールされます。そのあと、インストール先のディレクトリを削除してください。

 

3-3)ユーザー同期設定

コネクターをインストールして、接続が確認できた後、ユーザー同期設定が行えます。ユーザー同期設定では、同期対象のADセキュリティグループに加えて、お客様のドメイン、LDAP接続情報、セキュリティグループとトラスト・ログイングループの紐づけの設定が行えます。

※ こちらの作業はGoogle Chromeでご対応ください。その他のブラウザはサポート対象外となります。

 

  1. AD 連携画面を開きます。


  2. ユーザー同期設定を開きます。
    mceclip14.png

  3. 初期状態でユーザー同期設定画面は以下のように表示されます。

 

4.「ドメイン追加」をクリックして、同期設定を行います。

※登録メンバーがトラスト・ログインの独自パスワードは使わず、Active DirectoryのID、パスワードでのみログインする場合、同期を始める前に、「設定 > オプション機能 >パスワード認証 >設定」で「メンバー登録時に自動でパスワード認証を割り当てる」をあらかじめオフにしてください。

mceclip16.png

 

項目名

必須

説明

同期間隔

差分同期が行われる間隔。デフォルトで30分。

ドメイン(お客様のドメインについての基本情報

ドメイン

お客様のドメイン名。例:globalsign.com

ドメインコントローラー

×

お客様の環境にインストールするコネクターがDNSからドメインコントローラーを自動的に選択していますが、具体的にドメインコントローラーを設定したい場合、こちらにご入力ください。

例:dc1.example.com

プロトコル

お客様の環境で利用可能なプロトコル。なお、自己署名証明書を使うLDAPSは利用不可です。

ポート

プロトコルに応じて、ポートを設定します。大抵の場合、デフォルトの389の値で結構です。

読み取り権限のあるADユーザー

このセクションでは、LDAPの接続用のクレデンシャルを設定します

userBase

LDAPクエリーを実施するADユーザーのベース。

例:DC=globalsign,DC=com

userDn

LDAPクエリーを実施するADユーザーの識別名、又はuserPrincipalName。基本的に識別名を指定すれば稼働可能ですが、お客様の環境によって識別名ではなく、userPrincipalNameを指定する必要があります。詳しくは、「コネクターのログの確認」セクションをご覧ください。

・識別名の例:

CN=TrustLogin,DC=globalsign,DC=com

・userPrincipalNameの例:

trustlogin@globalsign.com

userPassword

LDAPクエリーを実施するADユーザーのADパスワード

同期条件

このセクションではAD のセキュリティグループとトラスト・ログイングループの紐づけを行います。

名前

同期条件のラベル。適当なわかりやすい値で構いません。

同期元のADドメインユーザーグループ

×

このトグルをONにすると、ドメインすべてのユーザーが同期対象になります。

同期元のADセキュリティグループ

同期対象のADのセキュリティグループの識別名です。このグループに所属しているすべてのユーザー、およびこのグループにネストされているグループのすべてのユーザーが同期対象となります。

複数のセキュリティグループの指定が可能です。

例:

CN=営業,OU=Employees,DC=trustlogin,DC=com

同期先のトラスト・ログイングループ

この同期条件で同期対象となったユーザーを所属させるトラスト・ログイン内のグループを指定します。複数のトラスト・ログイングループの指定が可能です。既存のトラスト・ログイン内グループからの選択になりますので、事前にトラスト・ログインでグループを設定しておいてください。

同期するAD属性

ADのユーザーオブジェクトの属性とトラスト・ログインのユーザーの属性のマッピングを行います。各項目に対して、複数の属性の設定が可能です。最初の空白ではない値が利用されます。

ユーザーの名に該当するユーザーオブジェクトの属性。例:givenName

ユーザーの姓に該当するユーザーオブジェクトの属性。例:sn

メールアドレス

ユーザーのメールアドレスに該当するユーザーオブジェクトの属性。例:mail

部署

×

ユーザーの部署に該当するユーザーオブジェクトの属性。

電話番号

×

ユーザーの電話番号に該当するユーザーオブジェクトの属性。

郵便番号

×

ユーザーの郵便番号に該当するユーザーオブジェクトの属性。

都道府県

×

ユーザーの都道府県に該当するユーザーオブジェクトの属性。

市区町村

×

ユーザーの市区町村に該当するユーザーオブジェクトの属性。

番地

×

ユーザーの番地に該当するユーザーオブジェクトの属性。

すべての項目を正しく入力した後、保存ボタンをクリックします。そこからユーザーの同期が始まります。同期対象のユーザー数によりますが、同期にはしばらく時間かかります(500ユーザーの場合、1時間ぐらいで完了いたします)。

※注意 同期中に保存ボタンを繰り返し押すと同期に失敗する場合あります。

 

3-4)コネクターのログの確認

ユーザー同期が想定通りに行えていない場合、まずはコネクターのログを確認する必要があります。ログはコネクターのインストール先ディレクトリにあるlogsというディレクトリに保存されています。プログラムのログとなりますので、お客様側で分析が行えない場合には、弊社へお問い合わせください。その際にはログのご提供をお願いしております。

 

※既知のエラーと対応方法

エラー内容:

「ユーザー同期設定」画面で設定を保存し、時間がたってもユーザーの同期が開始されず、かつログに「AcceptSecurityContext error, data 52e」エラーが出力されます。

修正方法:

「ユーザー同期設定」画面の「読み取り権限のあるADユーザー」セクションのuserDn入力欄に、識別名ではなくuserPrincipalName を指定してください。

 

4.お客様のご利用方法に合わせた設定

ログインボタンの表示変更

 ① ログインボタンのラベルを変更する

「管理ページ > 設定」メニューからActive Directory連携の設定画面を開き、「ログインボタン名」に変更したい名称を入力し保存します。

mceclip16.png

変更した内容に表示が変更されます。
mceclip17.png

 

 ②ログインボタンを非表示にする

AD連携オプションが有効な状況でもログイン時の「Active Directory」ボタンを非表示にすることができます。 これにより、AD連携をユーザー同期に使用し、ログインの認証は外部IDPを使用してADFSで行うなどの利用が可能となります。

「管理ページ > 設定」メニューからActive Directory連携の設定画面を開き、「ADパスワードを無効にする」をチェックし保存します。

mceclip18.png

 

 

5.最後に

 AD連携機能の設定につきましてご不明点等ございましたら、弊社サポートセンターまでお問い合わせください。無料トライアルによる検証の場合には新規ご相談窓口(03-6370-6601)までお問い合わせください。

よくあるご質問

Q 1)AD連携利用中のユーザーがトラスト・ログインにログインしたところ、「外部認証システムから応答がありません」とのメッセージが表示され、トラスト・ログインにログインできません。
A )以下の条件にすべて当てはまる場合にはADコネクタのリスタートをお願いします。

  1. ハートビートは来ている
  2. ログにエラーがない

Q2 )ADのユーザがトラスト・ログイン側に同期できません。
A )以下の各項目をご確認ください。

  1. ADサーバ側
    所属メンバーをダブルクリックし、first name、last name、emailなどの属性が全て入っているかご確認ください。

    mceclip18.png

  2. トラスト・ログイン側
    「ユーザー同期設定」を開き、以下の各項目を設定してください。

    ①AD管理者のDNを「userDN」に入力する(図1参照)
    ②AD管理者のパスワードを「userPassword」に入力する
    ③「同期元のADドメインユーザーグループ」のトグルをONに設定すると、AD側の全ユーザーが同期対象になってしまうので、一つADグループのみ同期の場合OFFにする
    ④同期のADグループのDNを「同期元のADセキュリティグループ」に入力する(図2参照)

    mceclip19.png

    (図1)
    mceclip20.png

    (図2)
    mceclip21.png

    「同期するAD属性」にてAD側ユーザーの属性とトラログ側の情報のマッピングを設定します。
    各項目に以下の通り入力し、設定を保存します。

    givenName
    sn
    メールアドレス mail
    部署 department


    mceclip22.png
この記事は役に立ちましたか?

関連記事

  1. ホーム
  2. Active Directory連携
  3. Active Directory連携

Active Directory連携

トラスト・ログインチーム
  • 更新

 

目次:

1.Active Directory連携機能の概要

2.AD連携機能のメイン機能について

2-1)トラスト・ログインユーザーの管理

①自動登録・自動無効化(仮削除)

②トラスト・ログイングループの所属の制御

③ユーザー属性更新

④同期タイミングについて

⑤ユーザーの情報源について

2-2)トラスト・ログインへのログイン

2-3)AD連携機能が一番発揮できる環境について

3.システムの仕組みについて

3-1)インストールするソフトウェアについて

3-2)インストール方法

①インストール前の確認・準備

②インストール手順

③アンインストール手順

3-3)ユーザー同期設定

3-4)コネクターのログの確認

4.お客様のご利用方法に合わせた設定

  ログインボタンの表示変更

5.  最後に

  よくあるご質問

 

 

 

1.Active Directory連携機能の概要

 

お客様のActive Directory(以降AD)のユーザーデータを活用し、トラスト・ログインユーザーの管理(作成、更新、無効化、トラスト・ログイングループへの所属制御)が簡単に行える機能です。

また、ADのメールアドレスとパスワードでトラスト・ログインにログインできる機能をあわせてご提供しています。

AD に新規ユーザーが登録された際、または無効となった際に、トラスト・ログインにこの情報が自動的に同期されますので、トラスト・ログイン運用、ID管理の手間を大きく削減できます。

 

2.AD連携機能のメイン機能について

 

2-1)トラスト・ログインユーザーの管理

①自動登録・自動無効化(仮削除)

AD側のユーザーが同期条件に該当したときに、トラスト・ログイン側にこのユーザーが自動的に登録されます。

同期条件を柔軟に指定が可能で、段階的にユーザー登録することが可能です。詳しくは、「ユーザー同期条件について」をご参照ください。

  • 同期条件に該当していたAD側のユーザーが、この条件に該当しなくなったとき、また、AD上で無効になると、トラスト・ログイン上で対象ユーザーのトラスト・ログイン利用ステータスが自動で「停止」になり、直ちにトラスト・ログインの利用ができなくなります。
  • AD側でユーザーオブジェクトが無効にされずに物理的に削除されると、この処理の検知が行えず、トラスト・ログイン上でユーザーのステータスが「停止」になりませんので、トラスト・ログイン上でユーザーのステータスを「停止」とするためには、まずAD上でユーザーを無効にしていただく必要があります。
  • AD連携をしているメンバーが同期対象外になった場合、トラスト・ログイン上のユーザーのステータスが「停止」となりますが、ユーザー情報の編集をすることで引き続きトラスト・ログインの利用が可能となります。パスワード認証、外部IDP連携やSCIMオプションなどいずれかのログイン方法を割り当てる必要があります。

 

既存のトラスト・ログインユーザーとADユーザーの紐づけについて

AD連携機能を導入する前に手動やCSVアップロードによって登録されたユーザーとAD側のユーザーの紐づけも可能です。既存のトラスト・ログインユーザーと同期対象のADユーザーのメールアドレスが一致していれば、自動的に紐づけが行われます。既存のユーザーが同期対象のADユーザーに含まれていない場合、ADと紐づけされず今までのままの扱いが可能です。

  • AD連携機能が導入されていても、手動またCSVアップロードによりADと紐づけのないのユーザーの作成が可能です。
  • ADとの初回同期時にAD内にあるメールアドレスのユーザーがすでにトラスト・ログインにいた場合、ADのパスワード、または、もともと設定されていたトラスト・ログインのパスワード両方でログインできる状態となります。トラスト・ログインのパスワードを外したい場合には、パスワード認証のリストから対象ユーザーを外してください。

  

②トラスト・ログイングループの所属の制御

同期条件でADのセキュリティグループとトラスト・ログイングループの紐づけを行うことで、ユーザーのトラスト・ログイングループへの所属の制御ができます。AD側でユーザーがセキュリティグループに所属すると、自動的に紐づけ先のトラスト・ログイングループ内に登録されます。また、AD側のセキュリティグループから外されたとき、トラスト・ログイン上でも紐づけ先のグループを外れます。

この際、トラスト・ログイングループに割り当てられていたアプリのご利用ができなくなり、このアプリに設定していたクレデンシャルの情報が削除されますので、ご注意ください。

 

③ユーザー属性更新

AD側でユーザーオブジェクトの属性が変わった場合、トラスト・ログイン上にも該当する属性が更新されます。更新対象の項目は以下の通りになります。

姓、名、部署、電話番号、郵便番号、都道府県、市区町村、番地


※また、デスクトップSSO に必要なUPN(samAccountName+ADドメイン名)の更新も可能です。
ご希望の方は設定を行いますので、こちらよりご連絡ください。
 

④同期タイミングについて

自動登録・自動無効化(仮削除)、トラスト・ログイングループの所属制御、ユーザー属性更新の処理は、リアルタイムではありません。数十分から数時間程度かかりますのであらかじめご承知おきください(時間は設定によって異なります)。

 

⑤ユーザーの情報源について

AD連携機能によって登録されたユーザー、またADと紐づけされたユーザーについて、AD側の情報がマスタになり、トラスト・ログインでこのユーザーの以下の制御が不可になります。

  • 属性変更
  • 無効化・削除
  • トラスト・ログイングループへの所属制御

上記の制御が必要な場合、AD側の情報の更新、グループへの所属制御の場合には同期設定の更新をお願いします。

 

2-2)トラスト・ログインへのログイン

AD連携がしているユーザーは、ADのメールアドレスとADのパスワードを利用して、トラスト・ログインにログインができます。

ADのパスワードはトラスト・ログインで一切保存されません。毎回ログイン時にADに認証の問い合わせを行いますので、常に現行のADパスワードでのログインとなります。

トラスト・ログインパスワードの設定について

ADパスワードによるログイン以外、別途トラスト・ログインパスワードの設定も可能です。お客様の ADに接続ができなくなったときに、トラスト・ログインにログインができないことを防ぐためです。通常、管理者だけがトラスト・ログインパスワードとADパスワード両方の認証を可能にし、一般のユーザーはADパスワードの認証だけを許可し、運用するのがおすすめのやり方ですが、ADのパスワードでログインができなくなった場合などには、すべてのユーザーにトラスト・ログインパスワードの設定を許可することができます。

ユーザーにトラスト・ログインパスワードを許可した際、ユーザーのメールアドレス宛にトラスト・ログインパスワード登録メールが送信されます。

「設定 > パスワード認証」の「メンバー登録時に自動でパスワード認証を割り当てる」の設定はデフォルトでオンになっています。トラスト・ログインのパスワードではログインしない運用とする場合は、こちらをオフに変更ください。

2-2.png

 

2-3)AD連携機能を利用する場合のAD環境について

AD連携機能はお客様のAD環境の情報に依存しています。以下の条件が揃っているとAD連携機能の設定や利用がもっともスムーズになります。

  • 同期対象のユーザーにファストネーム、ラストネーム、メールアドレスが設定されている(必須)
  • 同期対象のユーザーには一意のメールアドレスが設定されている(必須)
  • 同期対象がセキュリティグループ単位で選択できるように設定されている

※ 現在はセキュリティグループ単位で同期条件の設定が可能ですが、OU単位で同期する機能もリリース予定です。

 

.システムの仕組みについて

 

お客様にとって、最も手間がかからない導入と運用の方法を目的とし、AD連携機能の設計・実装をしています。トラスト・ログインのAD連携機能の特徴は以下の通りです。

  • お客様の環境に外部から接続をしない。
  • AD に対して読み込みだけを行い、書き込みは一切行わない。管理者の権限も不要。
  • 導入するのに、特殊な知識やソフトウェアは不要(ADの管理者が数時間以内に導入できる前提)

 

3-1)インストールするソフトウェアについて

AD連携機能を実現するために、お客様の環境に弊社開発のコネクターをインストールし、弊社への環境に接続を許可する必要があります。

mceclip2.png

 

インストールする環境についての注意事項

  • 対象のOSは、Windows Server 2012 R2 / 2016 / 2019(日本語版、英語版とも)。
  • お客様の環境から以下2つのアウトバウンドの接続を可能にする必要があります。
    • プロトコルTCP/DNS a-mq-ad.services.sku.id/ポート5671
    • プロトコルTCP/DNS b-mq-ad.services.sku.id/ポート5671
  • 現在、プロキシ経由の接続は対応しておりませんので、直接接続が可能な環境でなければなりません。
  • インストール先のPCは、常に稼働しているドメインに参加しているWindowsマシンでなければなりません。ドメインコントローラーのマシンにインストールするのが一般的です。(消費するメモリは256MB未満です。)
  • 設定ブラウザはGoogle Chromeにて進めてください。

 

3-2)インストール方法

①インストール前の確認・準備

セキュリティグループの所属

同期対象のユーザーはセキュリティグループの単位で決まりますので、ユーザーが対象のセキュリティグループに所属していることをご確認ください。同期条件に指定されたセキュリティグループ、またその配下のグループのすべてのユーザーが同期対象になります。

メールアドレスが重複していないこと

同期対象のユーザーの中に同じメールアドレスが設定されているユーザーオブジェクトは2つ以上存在していないことをご確認ください。二つの同じメールアドレスが存在している場合、同期時にエラーとなります。

必須項目

以下の項目は、トラスト・ログインでは必須になっているため、同期対象のユーザーオブジェクトに存在しなければなりません。

姓、名、メールアドレス

LDAPクエリーを実施するADユーザーの作成

コネクターがお客様の環境でLDAPクエリーを実行するときに、ADユーザー(システムアカウント)としてクエリーを実行します。ユーザー権限が「読み込み権限」のみのユーザーを作成してください。

※ ユーザー作成の注意事項

  1. 初期パスワードの変更が不要のオプションにする必要があります。
  2. このADユーザーは専用のユーザー(システムアカウント)を作成してください。既存のユーザーを再利用した場合、検索対象のグループに入っていると検索に失敗します。
  3. 定期的パスワードの変更が有効にされると、パスワードが変更される都度にトラスト・ログイン上で同期設定の変更も必要になります。

 

②インストール手順

1.AD連携機能のお申し込み完了後、AD設定が行えるようになります。

管理者画面(設定 > Active Directory連携 > 「設定」ボタン)から

1)コネクター設定ファイル

2)コネクター自体のファイル

をダウンロードします。

mceclip3.png

 

2.コネクターのファイルはZIPファイルになっていますので、インストール先のマシンの空白や日本語の文字が入っていないパスに展開します。展開先のディレクトリは以下となります。

 

3.コネクター設定ファイルを展開されたファイルと同じディレクトリにコピーします。

※ コネクター設定ファイルにはトラスト・ログインコネクターが利用するクレデンシャルが含まれています。誰もがアクセスできる場所には置かないなど、お取り扱いには十分ご注意ください。

 

4.install.batファイルをダブルクリックして、コネクターをインストールします。

※ *.bat系ファイルがダブルクリックで起動しない場合、インストール先のフォルダーをCMDで開き、対象の*.batファイルを実行してください。

 

5.コネクターはWindows サービスとしてインストールされるので、Services 管理ツールを開いて、「トラスト・ログイン AD Connector」サービスを開始させます。

 

6.トラスト・ログインの管理画面からコネクターが正常に接続できたことを確認します。

mceclip9.png

※ 数分経っても、コネクター一覧にコネクターの記録が現れない場合、インストール先のPCからプロキシ経由なしで、[a-mq-ad.services.sku.id]と[b-mq-ad.services.sku.id]に[TCPポート5671]で接続が可能なことをご確認ください。そのうえでコネクター一覧にコネクターの情報が表示されない場合、コネクターのインストール先のディレクトリの[logsディレクトリ]を圧縮して、弊社サポート窓口までお問い合わせください。

※ コネクターが10分毎に、ハートビートメッセージを送信しています。10分以上経っても、ハートビートが来ない場合、コネクターのステータスが異常です。

※コネクターの冗長化について

1つのマシンに対し1つのコネクターをインストールできます。冗長構成にする場合は、複数マシンにコネクターを同じ手順でインストールしてください。

 

③アンインストール手順

1.Services 管理ツールを開いて、「Skuid AD Connector」サービスを停止させます。

 

2.インストール先のディレクトリにあるuninstall.batを実行すると、Windows サービスがアンインストールされます。そのあと、インストール先のディレクトリを削除してください。

 

3-3)ユーザー同期設定

コネクターをインストールして、接続が確認できた後、ユーザー同期設定が行えます。ユーザー同期設定では、同期対象のADセキュリティグループに加えて、お客様のドメイン、LDAP接続情報、セキュリティグループとトラスト・ログイングループの紐づけの設定が行えます。

※ こちらの作業はGoogle Chromeでご対応ください。その他のブラウザはサポート対象外となります。

 

  1. AD 連携画面を開きます。


  2. ユーザー同期設定を開きます。
    mceclip14.png

  3. 初期状態でユーザー同期設定画面は以下のように表示されます。

 

4.「ドメイン追加」をクリックして、同期設定を行います。

※登録メンバーがトラスト・ログインの独自パスワードは使わず、Active DirectoryのID、パスワードでのみログインする場合、同期を始める前に、「設定 > オプション機能 >パスワード認証 >設定」で「メンバー登録時に自動でパスワード認証を割り当てる」をあらかじめオフにしてください。

mceclip16.png

 

項目名

必須

説明

同期間隔

差分同期が行われる間隔。デフォルトで30分。

ドメイン(お客様のドメインについての基本情報

ドメイン

お客様のドメイン名。例:globalsign.com

ドメインコントローラー

×

お客様の環境にインストールするコネクターがDNSからドメインコントローラーを自動的に選択していますが、具体的にドメインコントローラーを設定したい場合、こちらにご入力ください。

例:dc1.example.com

プロトコル

お客様の環境で利用可能なプロトコル。なお、自己署名証明書を使うLDAPSは利用不可です。

ポート

プロトコルに応じて、ポートを設定します。大抵の場合、デフォルトの389の値で結構です。

読み取り権限のあるADユーザー

このセクションでは、LDAPの接続用のクレデンシャルを設定します

userBase

LDAPクエリーを実施するADユーザーのベース。

例:DC=globalsign,DC=com

userDn

LDAPクエリーを実施するADユーザーの識別名、又はuserPrincipalName。基本的に識別名を指定すれば稼働可能ですが、お客様の環境によって識別名ではなく、userPrincipalNameを指定する必要があります。詳しくは、「コネクターのログの確認」セクションをご覧ください。

・識別名の例:

CN=TrustLogin,DC=globalsign,DC=com

・userPrincipalNameの例:

trustlogin@globalsign.com

userPassword

LDAPクエリーを実施するADユーザーのADパスワード

同期条件

このセクションではAD のセキュリティグループとトラスト・ログイングループの紐づけを行います。

名前

同期条件のラベル。適当なわかりやすい値で構いません。

同期元のADドメインユーザーグループ

×

このトグルをONにすると、ドメインすべてのユーザーが同期対象になります。

同期元のADセキュリティグループ

同期対象のADのセキュリティグループの識別名です。このグループに所属しているすべてのユーザー、およびこのグループにネストされているグループのすべてのユーザーが同期対象となります。

複数のセキュリティグループの指定が可能です。

例:

CN=営業,OU=Employees,DC=trustlogin,DC=com

同期先のトラスト・ログイングループ

この同期条件で同期対象となったユーザーを所属させるトラスト・ログイン内のグループを指定します。複数のトラスト・ログイングループの指定が可能です。既存のトラスト・ログイン内グループからの選択になりますので、事前にトラスト・ログインでグループを設定しておいてください。

同期するAD属性

ADのユーザーオブジェクトの属性とトラスト・ログインのユーザーの属性のマッピングを行います。各項目に対して、複数の属性の設定が可能です。最初の空白ではない値が利用されます。

ユーザーの名に該当するユーザーオブジェクトの属性。例:givenName

ユーザーの姓に該当するユーザーオブジェクトの属性。例:sn

メールアドレス

ユーザーのメールアドレスに該当するユーザーオブジェクトの属性。例:mail

部署

×

ユーザーの部署に該当するユーザーオブジェクトの属性。

電話番号

×

ユーザーの電話番号に該当するユーザーオブジェクトの属性。

郵便番号

×

ユーザーの郵便番号に該当するユーザーオブジェクトの属性。

都道府県

×

ユーザーの都道府県に該当するユーザーオブジェクトの属性。

市区町村

×

ユーザーの市区町村に該当するユーザーオブジェクトの属性。

番地

×

ユーザーの番地に該当するユーザーオブジェクトの属性。

すべての項目を正しく入力した後、保存ボタンをクリックします。そこからユーザーの同期が始まります。同期対象のユーザー数によりますが、同期にはしばらく時間かかります(500ユーザーの場合、1時間ぐらいで完了いたします)。

※注意 同期中に保存ボタンを繰り返し押すと同期に失敗する場合あります。

 

3-4)コネクターのログの確認

ユーザー同期が想定通りに行えていない場合、まずはコネクターのログを確認する必要があります。ログはコネクターのインストール先ディレクトリにあるlogsというディレクトリに保存されています。プログラムのログとなりますので、お客様側で分析が行えない場合には、弊社へお問い合わせください。その際にはログのご提供をお願いしております。

 

※既知のエラーと対応方法

エラー内容:

「ユーザー同期設定」画面で設定を保存し、時間がたってもユーザーの同期が開始されず、かつログに「AcceptSecurityContext error, data 52e」エラーが出力されます。

修正方法:

「ユーザー同期設定」画面の「読み取り権限のあるADユーザー」セクションのuserDn入力欄に、識別名ではなくuserPrincipalName を指定してください。

 

4.お客様のご利用方法に合わせた設定

ログインボタンの表示変更

 ① ログインボタンのラベルを変更する

「管理ページ > 設定」メニューからActive Directory連携の設定画面を開き、「ログインボタン名」に変更したい名称を入力し保存します。

mceclip16.png

変更した内容に表示が変更されます。
mceclip17.png

 

 ②ログインボタンを非表示にする

AD連携オプションが有効な状況でもログイン時の「Active Directory」ボタンを非表示にすることができます。 これにより、AD連携をユーザー同期に使用し、ログインの認証は外部IDPを使用してADFSで行うなどの利用が可能となります。

「管理ページ > 設定」メニューからActive Directory連携の設定画面を開き、「ADパスワードを無効にする」をチェックし保存します。

mceclip18.png

 

 

5.最後に

 AD連携機能の設定につきましてご不明点等ございましたら、弊社サポートセンターまでお問い合わせください。無料トライアルによる検証の場合には新規ご相談窓口(03-6370-6601)までお問い合わせください。

よくあるご質問

Q 1)AD連携利用中のユーザーがトラスト・ログインにログインしたところ、「外部認証システムから応答がありません」とのメッセージが表示され、トラスト・ログインにログインできません。
A )以下の条件にすべて当てはまる場合にはADコネクタのリスタートをお願いします。

  1. ハートビートは来ている
  2. ログにエラーがない

Q2 )ADのユーザがトラスト・ログイン側に同期できません。
A )以下の各項目をご確認ください。

  1. ADサーバ側
    所属メンバーをダブルクリックし、first name、last name、emailなどの属性が全て入っているかご確認ください。

    mceclip18.png

  2. トラスト・ログイン側
    「ユーザー同期設定」を開き、以下の各項目を設定してください。

    ①AD管理者のDNを「userDN」に入力する(図1参照)
    ②AD管理者のパスワードを「userPassword」に入力する
    ③「同期元のADドメインユーザーグループ」のトグルをONに設定すると、AD側の全ユーザーが同期対象になってしまうので、一つADグループのみ同期の場合OFFにする
    ④同期のADグループのDNを「同期元のADセキュリティグループ」に入力する(図2参照)

    mceclip19.png

    (図1)
    mceclip20.png

    (図2)
    mceclip21.png

    「同期するAD属性」にてAD側ユーザーの属性とトラログ側の情報のマッピングを設定します。
    各項目に以下の通り入力し、設定を保存します。

    givenName
    sn
    メールアドレス mail
    部署 department


    mceclip22.png

関連記事