SeciossLink管理コンソール左メニューの「システム」–「AD/LDAP同期」では、お客様のActive Directory(AD)からユーザー、組織、ユーザーグループ、セキュリティーグループ、連絡先の情報をSeciossLinkに同期するように設定できます。情報の同期は「同期の設定」を有効にした際に毎時30分(1時間ごと)のタイミングで実施されます。
「AD/LDAP同期」を利用するには「AD/LDAP連携(SaaS)」ライセンスを購入し、SeciossLinkとのLDAPS通信ができるようにAD側でネットワークの設定※を行うか、SeciossLinkとの通信モジュールを社内に導入する必要があります。
※AD側でネットワークの設定を行う場合は、以下のIPアドレスを許可してください。
52.68.180.107
52.68.65.174(障害発生時)
「AD/LDAP同期」では、ADに所属しているユーザーのパスワードはSeciossLinkに同期できません。パスワードを同期するには「AD/LDAP認証(LDAPS)」で「パスワード同期」を「有効」にしてください。詳細の設定については「SeciossLink管理者ガイド」のAD/LDAP 認証(LDAPS)をご覧ください。
AD/LDAP同期で設定できる項目は以下の通りです。
項目名 | 説明 |
---|---|
同期の設定 | ID同期の有効/無効を切り替えられます。 (「有効」にチェックが入っていない場合でも、「確認」タブ画面からADを「即時同期」させることは可能です) |
拠点 | 拠点経由でAD/LDAPと通信する場合、対象の拠点を選択 ※拠点を新規に設定した場合、AD/LDAPと接続が可能になるまで最大1時間程度かかります。 |
送信元URI※ | 接続先ADのURI。 例)ldaps://ip-address:636 |
送信元ユーザーDN※ | 同期するADに接続するユーザーのBindDN。 例)CN=Administrator,CN=Users,DC=secioss,DC=co,DC=jp |
送信元パスワード | ADに接続するパスワード。 (「送信元ユーザーDN」に設定したユーザーのパスワードとなります) |
送信元ベースDN※ | AD側のアカウントを検索する起点のベースDN(ADサーバのsuffixを利用しない)。 例)DC=secioss,DC=co,DC=jp |
送信先ユーザーID※ |
SeciossLinkに接続するユーザー(管理者アカウント)のユーザーID(テナントIDは含みません)。 |
ユーザーの同期条件 | 同期対象となるユーザーエントリーの条件(LDAPの検索フィルタ形式)。 ※下記マニュアルの通りにAD側の構成を作成いただき、初期値をそのまま利用します。 Active Directory|データと同期対象ユーザーの設定 |
ユーザーのベースDN | AD側のユーザーアカウントを検索する起点となるDN。 例) OU=Users,DC=secioss,DC=co,DC=jp |
プロファイル属性の同期 | プロファイル情報を同期する場合は有効にチェック。 |
ImmutableIDの同期 | AD側の"ObjectGUID"の属性をImmutableIDとして同期する場合は有効にチェック。 |
ユーザーの追加属性の同期 | ※SeciossLink管理コンソールの「システム」–「追加属性」で属性を追加すると表示されます。 AD/LDAP(同期元):AD側から同期する属性を入力します。 SeciossLink(同期先):同期先のSeciossLink側の属性を選択します。 「追加」ボタンをクリックして、当該項目を複数、設定することも可能です。 |
同期するエントリー | 同期を行う対象のエントリー(「組織」「ユーザーグループ」「連絡先」)を選びます。 |
サービスのロール連携用送信元グループ名 | AD側にグループを作成してサービスのロール情報を同期する場合、グループ名を以下から指定します。
例)AD上にMicrosoft 365のロール”Microsoft Teams:TEAMS1”を付与するグループを作成する場合は以下のグループ名で作成してください。
|
グループの種類属性の同期 | グループの種類を同期する場合は有効にチェックを入れます。 |
組織のベースDN | 組織情報を同期する場合、AD側で起点となるベースDNを、「送信元ベースDN」を除いた形式で指定します。ここで指定した配下のOUが同期対象となります。 例)対象のDNが”OU=Organization,DC=secioss,DC=co,DC=jp“の場合、OU=Organization |
ユーザーグループのベースDN | ユーザーグループにグループ情報を同期する場合、AD側で起点となるベースDNを、「送信元ベースDN」を除いた形式で指定します。ここで指定した配下のセキュリティグループが同期の対象となります。 例)対象のDNが”OU=Group,DC=secioss,DC=co,DC=jp“の場合、OU=Group |
連絡先のベースDN | 同期対象とする連絡先エントリーのベースDN。 |
組織から除外するOU | 同期対象外とするOU。カンマ区切りで複数を指定できます。 例)”OU=People”と”OU=Groups”を同期対象から外す場合、People,Groups |
除外するユーザーグループ | 同期から除外するユーザーグループ。カンマ区切りで複数を指定できます。 |
エラー処理 | 同期中にエラーが発生した場合、スキップして次の更新を実行する場合はチェックを入れます。 |
結果通知先メールアドレス | ID同期の結果を通知するメールアドレス。 (更新時に差分が存在しない場合、メールは送信されません) |
※は必須項目です。
すべての設定が完了したら、画面下部右側の「保存」ボタンをクリックします。