Active Directory 連携概要
オンプレミス CAMServer Enterprise では、Active Directory 連携を行う事でID認証がとても手軽になります。次のような事が実現可能です。
- Webアプリ版を利用すると、ログイン認証の際に Active Directory 認証IDが初期表示される
- ID認証において、パスワードレス認証、OSのパスワードで認証可能に
- CAMServer は Active Directory の LDAPプロトコルを利用しID認証が成功するか判定する
Active Directory ID連携
Active Directory ID連携を有効化すると、ユーザがActive Directory認証済みの場合、ログインIDを自動で設定します。
ログインIDを自動で設定できるのは Webアプリ版 のみです。
認証方式
この設定を保存する前に、必ず先にLDAP設定を完了し「LDAP設定のテスト」を実施してください。
Active Directory ID連携を有効化したら、任意で「パスワードレス認証」、「OSパスワード認証」を選択可能です。
※ 認証を強化する場合は「OSパスワード認証」を選択してください。
パスワードレス認証
ADログイン済みの場合に取得出来る情報を暗号化して認証トークンとし、パスワード無しでサービスログインを可能にします。代理認証を行うADユーザの設定が必要です。
・この設定を有効化するとWebアプリ版でしかアクセスが出来なくなります。
・この設定を保存する前に、「Active Directory のユーザ一覧」で管理者にするユーザの UserPrincipalName を確認し Chat&Messenge 上で先にユーザアカウントを作成しておく
必要があります。またそのユーザに対し管理者権限も必ず付与してください。
・上記ユーザを作成しておかないと、誰も設定変更が出来なくなりログイン出来なくなります。
導入初期の場合はインストールした CAMServer フォルダを削除し再インストールが必要です。
OSパスワード認証
ユーザ認証においてOSのパスワードで認証行います。
LDAP の設定
LDAPUrl
ActiveDirectory サーバで ldap はデフォルトで 389 ポートで有効化されています。
必要に応じて LDAPUrl にアドレス、ポートを指定してください。ブランクの場合 ldap://localhost:389 でアクセスを行います。
LDAPBaseDN
LDAPBaseDN は LDAPサーバの持つオブジェクト・ツリー上で、どの配下からユーザ検索を行うのかを示す値です。
ブランクの場合ユーザIDからドメインを参照し自動で設定します。変更する場合は改行を入れ複数入力が可能です。また、設定した場合でもデフォルトの「CN=Users, DC=yourdomain, DC=com」は自動で追加されます。
例えば、user1@camtest.com と言うユーザを検索する場合の LDAPBaseDN は「CN=Users, DC=camtest, DC=com」となり、これはデフォルトで検索対象のため、指定する必要はありません。Users 以外のフォルダを作成しそこにユーザを追加した場合で検索対象とする場合は LDAPBaseDN を指定します。
LDAP設定のテスト
LDAP設定は保存する前に「LDAP設定のテスト」を実施してください。
Active Directory 同期設定
Active Directory 同期設定を有効化すると、指定時刻に、Active Directory より情報を取得し、Chat&Messenger のユーザ情報を更新致します。
更新する情報は以下です。
- ユーザ名・・・ AD の displayName 属性
- グループ名・・・AD の department 属性
- Email・・・AD の email 属性
FAQ
Active Directory に存在しないユーザを作成できますか?
認証方式で「パスワードレス」を選択しなければ、Active Directory にユーザが存在しなくても Chat&Messenger のユーザ管理画面でアカウント作成を行い、ログインも可能です。
Active Directory と同期してユーザの追加を自動化できますか?
今のところ、Chat&Messenger が Active Directory のユーザを元に自動追加・削除する事はありません。そのため Active Directory 連携を有効にした場合でも、管理者が管理画面のユーザ登録画面、または CSV アップロードで Chat&Messenger ユーザを作成してください。
※ CSVアップロードは、Chat&Messenger ユーザの追加・変更のみを行い、削除は行いません。削除は管理画面から1件づつ削除してください。 |
Active Directory のユーザ一覧を取得し、CSVを作成したい
PowerShell の Get-ADUser で Active Directory のユーザ一覧を取得可能です。このリストの UserPrincipalName を、Chat&Messenger 上のUserID(仕事用メールアドレス) としてCSVを作成してください。
> Get-ADUser -Filter {objectClass -eq "user"} -Properties info
DistinguishedName : CN=user1,CN=Users,DC=***,DC=com
GivenName : ユーザ1
Name : user1
ObjectClass : user
ObjectGUID : bf84cdab-2c21-44cf-aaca-afe493d97f2a
SamAccountName : user1
SID : S-1-5-21-3698402442-2374923176-*****-1104
Surname : ユーザ1
UserPrincipalName : user1@***.com
DistinguishedName : CN=user2,CN=Users,DC=***,DC=com
GivenName : user2
Name : user2
ObjectClass : user
ObjectGUID : 482450a4-482a-40ac-b89b-434605f45571
SamAccountName : user2
SID : S-1-5-21-3698402442-2374923176-*****-1105
Surname : テスト
UserPrincipalName : user2@***.com
DistinguishedName : CN=user3,CN=Users,DC=***,DC=com
GivenName : User3
Name : user3
ObjectClass : user
ObjectGUID : a94c17b7-4e38-4cef-bc1d-c22feb31be75
SamAccountName : User3
SID : S-1-5-21-3698402442-2374923176-*****-1108
Surname :
UserPrincipalName : user3@***.com