11.1. Active Directoryの利用有無変更

Active Deirectory連携の実施有無に関する設定変更方法について説明します。

注釈

  • Active Directoryサーバー連携機能をご利用いただくためには、お客さま側でActive Directoryサーバーを用意していただく必要がございます。
  • Azure Active Directoryとの認証連携機能をご利用いただくためには、お客様側でAzure Active Directoryサービスを契約していただく必要がございます
  • DSIGWサービスとしては、両Active Directoryサーバーのサポートはいたしません。

手順

  • 操作対象のセルグループを左ペインのドロップダウンリストから選択します。
../_images/active-directory01.png

  • 左ペインの「Active Directory」を選択します。
  • 「利用設定」を選択します。
../_images/active-directory26.png

  • 必要な項目を記載します。
../_images/active-directory27.png

Active Directory設定項目
項目 説明
認証連絡先
AD連携する対象を選択してください。
"なし"、"Active Directory"(オンプレミス環境), "Azure Active Directory"から選択することができます。
Azure Active Directoryを選択される場合は、事前にAzure側にSAML Identity Provider Configの設定が必要になります。
SAML Identity Provider Config設定
お客様が登録した "SAML Identity Provider Config" の中から選択することができます。
"なし"または"Active Directory"を選択した場合は、不要なパラメーターになります。
"SAML Identity Provider Config"は、同ページの"Azure Active Directory"アコーディオンを展開した先で登録することができます。
認証ログ Captive Portalのログを出力する場合はトグルスイッチをONにしてください。
User-IDログ User-IDログを取得する場合は、User-ID Agentのログ設定を実施してください。

注釈

  • Azure Active Directoryと認証連携する場合は、自動的にCaptive Portalの利用設定が「利用する」に変更されます。

  • 認証連絡先に 'Azure Active Directory'を選択した場合、Azure Active Directoryと連携するために必要な通信を通すために、 "login.microsoftonline.com"、"aadcdn.msauth.net","aadcdn.msftauth.net"宛の通信が認証除外リストに自動登録されます。
    注意: 自動登録した3つの宛先はDSIGWポータルに表示されません。
  • 編集が完了したら『確認』を押下します。
../_images/active-directory31.png

  • 編集内容に問題がなければ『実行』を押下します。
../_images/active-directory28.png

  • オーダーを受領後、下記のように申込受付画面が表示されます。
../_images/active-directory29.png

  • 最新の情報を表示する際は、『更新』ボタンを押下してください。
../_images/active-directory30.png

注釈

  • 認証連絡先を"Active Directory"または"Azure Active Directory"に設定した場合、該当のアコーディオが展開されます。

コンフィグ反映

  • メニューバーの「コンフィグ反映」ボタンを押下してセルに設定を反映してください。 コンフィグ反映手順

Tips

参考情報として、AD連携に必要な情報をActive Directoryサーバーで確認する方法について説明します。

注釈

  • Active Directoryの設定/保守に関するお問い合わせは、DSIGWのサービス範囲外になります。
  • Active Directoryの操作例は「Active Directoryユーザーとコンピュータ」を用いて説明します。
  • 「Active Directoryユーザーとコンピュータ」の開き方はwindowsアプリの「dsa.msc」を実行してください。
  • デフォルトの「Active Directoryユーザーとコンピュータ」では「属性エディタ」タブ等が表示されません。右クリックの「表示」から「コンテナーとしてのユーザ、連絡先、グループ、コンピュータ」と「拡張機能」を有効化することで、本チュートリアルを再現することができます。

ドメイン名の確認方法

  • 登録したいドメインに所属するユーザーのプロパティを開き、「アカウント」タブの「ユーザー ログオン名」で確認することができます。
    プロパティでは「¥」が含まれていますが、DSIGWの設定には不要です。(チュートリアルの例では、「ad-test」がドメイン名になります)
../_images/active-directory21.png

注釈

  • DSIGWの設定として登録するドメイン名は「NetBIOSドメイン名」になります

ベースDN名の確認方法

  • 登録したいドメインのプロパティを開き、「属性エディタ」タブの「distinguishedName」で確認することができます。
    表示されている値をそのままDSIGW GUIで入力してください。
../_images/active-directory22.png

  • DSIGWにおける入力例
../_images/active-directory24.png

バインドDN名の確認方法

  • LDAP認証情報の取得に利用するユーザーのプロパティを開き、「属性エディタ」タブの「distinguishedName」で確認することができます。
    表示されている値をそのままDSIGW GUIで入力してください。
../_images/active-directory23.png

  • DSIGWにおける入力例
../_images/active-directory25.png

セキュリティグループの設定内容について

Active Directory設定の 「セキュリティグループ (任意)」に値を入力することでセキュリティグループ(Active Directoryの設定)ごとにセキュリティポリシールール(DSIGWの設定)を設定することができます

  • 「セキュリティグループ」に値を入力
../_images/active-directory19.png

  • 「セキュリティグループ」に入力する値は登録したいセキュリティグループのプロパティーから「distinguishedName」を選択することで確認できます。
    例では 「CN=groupall,CN=Users,DC=ad-test,DC=example,DC=com」を表示していますが、「CN=group1,OU=OUTEST1,DC=ad-test,DC=example,DC=com」も同様の手順で確認することができます。
../_images/active-directory20.png

11. AD連携設定
11.2. Active Directoryサーバー連携の設定表示