SeciossLink管理コンソール左メニューの「システム」–「AD/LDAP同期」では、お客様のActive Directory(AD)からユーザー、組織、ユーザーグループ、セキュリティーグループ、連絡先の情報をSeciossLinkに同期するように設定できます。情報の同期は「同期の設定」を有効にした際に毎時30分(1時間ごと)のタイミングで実施されます。
「AD/LDAP同期」を利用するには「AD/LDAP連携(SaaS)」ライセンスを購入し、SeciossLinkとのLDAPS通信ができるようにAD側でネットワークの設定※を行うか、SeciossLinkとの通信モジュールを社内に導入する必要があります。
※AD側でネットワークの設定を行う場合は、以下のIPアドレスを許可してください。
52.68.180.107
52.68.65.174(障害発生時)
「AD/LDAP同期」では、ADに所属しているユーザーのパスワードはSeciossLinkに同期できません。パスワードを同期するには「AD/LDAP認証(LDAPS)」で「パスワード同期」を「有効」にしてください。詳細の設定については「SeciossLink管理者ガイド」のAD/LDAP 認証(LDAPS)をご覧ください。
AD/LDAP同期で設定できる項目は以下の通りです。
| 項目名 | 説明 |
|---|---|
| 同期の設定 | ID同期の有効/無効を切り替えられます。 (「有効」にチェックが入っていない場合でも、「確認」タブ画面からADを「即時同期」させることは可能です) |
| 拠点 | 拠点経由でAD/LDAPと通信する場合、対象の拠点を選択 ※拠点を新規に設定した場合、AD/LDAPと接続が可能になるまで最大1時間程度かかります。 |
| 送信元URI※ | 接続先ADのURI。 例)ldaps://ip-address:636 |
| 送信元ユーザーDN※ | 同期するADに接続するユーザーのBindDN。 例)CN=Administrator,CN=Users,DC=secioss,DC=co,DC=jp |
| 送信元パスワード | ADに接続するパスワード。 (「送信元ユーザーDN」に設定したユーザーのパスワードとなります) |
| 送信元ベースDN※ | AD側のアカウントを検索する起点のベースDN(ADサーバのsuffixを利用しない)。 例)DC=secioss,DC=co,DC=jp |
| 送信先ユーザーID※ | SeciossLinkに接続するユーザー(管理者アカウント)のユーザーID(テナントIDは含みません)。 |
| ユーザーの同期条件 | 同期対象となるユーザーエントリーの条件(LDAPの検索フィルタ形式)。 ※下記マニュアルの通りにAD側の構成を作成いただき、初期値をそのまま利用します。 Active Directory|データと同期対象ユーザーの設定 |
| ユーザーのベースDN | AD側のユーザーアカウントを検索する起点となるDNを「送信元ベースDN」を除いた形式で指定します。 例)対象のDNが”OU=Users,DC=secioss,DC=co,DC=jp“の場合、"OU=Users"と指定します。 |
| プロファイル属性の同期 | プロファイル情報を同期する場合は有効にチェック。 |
| ImmutableIDの同期 | AD側の"ObjectGUID"の属性をImmutableIDとして同期する場合は有効にチェック。 |
| ユーザーの追加属性の同期 | ※SeciossLink管理コンソールの「システム」–「追加属性」で属性を追加すると表示されます。 AD/LDAP(同期元):AD側から同期する属性を入力します。当項目で使用可能な属性の一覧は以下をご参考ください。 補足:「ユーザーの追加属性の同期」で使用可能なAD側属性(同期元) SeciossLink(同期先):同期先のSeciossLink側の属性を選択します。 「追加」ボタンをクリックして、当該項目を複数、設定することも可能です。 |
| 同期するエントリー | 同期を行う対象のエントリー(「組織」「ユーザーグループ」「連絡先」)を選びます。 |
| サービスのロール連携用送信元グループ名 |
AD側にグループを作成してサービスのロール情報を同期する場合、グループ名を以下から指定します。
※新規で設定する場合には、まずロールIDを設定してください。
|
| グループの種類属性の同期 | グループの種類を同期する場合は有効にチェックを入れます。 |
| 組織のベースDN | 組織情報を同期する場合、AD側で起点となるベースDNを、「送信元ベースDN」を除いた形式で指定します。ここで指定した配下のOUが同期対象となります。 例)対象のDNが”OU=Organization,DC=secioss,DC=co,DC=jp“の場合、OU=Organization |
| ユーザーグループのベースDN | ユーザーグループにグループ情報を同期する場合、AD側で起点となるベースDNを、「送信元ベースDN」を除いた形式で指定します。ここで指定した配下のセキュリティグループが同期の対象となります。 例)対象のDNが”OU=Group,DC=secioss,DC=co,DC=jp“の場合、OU=Group |
| 連絡先のベースDN | 同期対象とする連絡先エントリーのベースDN。 |
| 組織から除外するOU | 同期対象外とするOU。カンマ区切りで複数を指定できます。 例)”OU=People”と”OU=Groups”を同期対象から外す場合、People,Groups |
| 除外するユーザーグループ | 同期から除外するユーザーグループ。カンマ区切りで複数を指定できます。 |
| エラー処理 | 同期中にエラーが発生した場合、スキップして次の更新を実行する場合はチェックを入れます。 |
| 結果通知先メールアドレス | ID同期の結果を通知するメールアドレス。 (更新時に差分が存在しない場合、メールは送信されません) |
※は必須項目です。
すべての設定が完了したら、画面下部右側の「保存」ボタンをクリックします。
補足:「ユーザーの追加属性の同期」で使用可能なAD側属性(同期元)
| c cn co company department description displayName displayNamePrintable distinguishedName dn employeeID employeeNumber facsimileTelephoneNumber givenName groupType homePhone homePostalAddress info initials l labeledUri manager member memberOf middleName mobile msDS-cloudExtensionAttribute1 msDS-cloudExtensionAttribute2 msDS-cloudExtensionAttribute3 msDS-cloudExtensionAttribute4 msDS-cloudExtensionAttribute5 msDS-cloudExtensionAttribute6 msDS-cloudExtensionAttribute7 msDS-cloudExtensionAttribute8 msDS-cloudExtensionAttribute9 msDS-cloudExtensionAttribute10 msDS-cloudExtensionAttribute11 msDS-cloudExtensionAttribute12 msDS-cloudExtensionAttribute13 msDS-cloudExtensionAttribute14 msDS-cloudExtensionAttribute15 msDS-cloudExtensionAttribute16 msDS-cloudExtensionAttribute17 msDS-cloudExtensionAttribute18 msDS-cloudExtensionAttribute19 msDS-cloudExtensionAttribute20 msDS-HABSeniorityIndex msDS-PhoneticFirstName msDS-PhoneticLastName msDS-PhoneticLastNamemsDS-PhoneticFirstName msExchHideFromAddressLists msExchRequireAuthToSendToobjectGUID objectClass ou pager personalTitle physicalDeliveryOfficeName postalCode potalCode proxyAddresses roomNumber sAMAccountName secretary sn st streetAddress telephoneNumber title userAccountControl userPrincipalNameemployeeType |