Microsoft Active Directoryの設定
システムの管理者は、Microsoft Active Directory(AD)に接続するようにContrastを設定できます。このインテグレーションを設定するには、AD Connectorを使用します。ADはディレクトリの構造が明確に定義されているため、設定する選択肢も少なくなり、より直接的な設定ができます。
注記
ローカルデータベースなど、別の認証方法からADに切り替えると、ユーザID属性に一貫性がない場合は問題が発生する可能性があります。
ADがオフラインの場合のアクセス
ADサービスで接続や設定の問題が発生した場合、デフォルトのSuperAdminアカウントを使用してContrastにログインしてください。これにより、ADがオフラインの場合でも、引き続きContrastアカウントに直接アクセスできます。
手順
はじめに、Active Directoryサーバに読取り専用ユーザを作成します。ユーザには、検索ベース(Search Base)のみの権限を持つユーザを含め、ディレクトリに対する読み取り権限を持つ必要があります。このユーザは、ADのユーザを設定する際やユーザにバインドする際に、検索ベースを設定するために必要となります。
外部のADサーバで、ユーザグループを作成します。このグループは、後でContrastのSuperAdmin権限を割り当てるために使用します。
システムの設定で認証を選択します。
認証方法を変更を選択したら手順に従って、サーバ、グループ、詳細を設定します。
Active Directoryを選択します。
以下の値を入力します。LDAPS(LDAP over SSL)では、一部の設定が異なる場合があります。
接続先サーバで、以下の項目に入力します。
プロトコル:LDAPサーバとの通信に使用するプロトコルです。ドロップダウンから、LDAPかLDAPSを選択します。デフォルトは、LDAPです。ADで自己署名証明書またはプライベート証明書を使用している場合は、LDAPSオプションで追加の設定が必要になる場合があります。
ホスト名:LDAPサーバと通信する際に接続するホスト名です。ADサーバのDNSホスト名またはIPアドレスを入力します。マルチテナントフォレストでは、これはグローバルカタログサーバになります。デフォルトは、
localhostです。ポート:LDAPサーバと通信する際に接続するポートです。標準(シングルテナント、シングルドメイン)ディレクトリの場合、389 (LDAP)番か636 (LDAPS)番のポートを指定してください。マルチテナントまたはマルチドメインフォレストでは、3268 (LDAP)番か3269 (LDAPS)番を指定してください。
検索ベース: LDAPサーバとの通信に使用するベースDN(AD環境でグローバルベースレベルのコンテナを表す識別名)です。通常、これはドメイン名またはサブドメイン名です。デフォルトは、
dc=contrastsecurity,dc=comです。ログインドメインがyourdomain.comであれば、ベースDNはdc=yourdomain,dc=comとなります。
サーバにバインドで、以下の項目に入力します。
ユーザ名:検索機能を実行するために、ディレクトリにバインドするユーザの完全なDN名を入力します。デフォルトは、
cn=Directory Managerです。パスワード:アプリケーションがLDAPサーバに接続する際に使用するユーザアカウントのパスワードです。
接続をテストを選択して、サーバへの接続を確認します。接続を確認したら、次へを選択します。
全ての設定オプションを指定したら、ログインをテストボタンを使用して、スーパー管理者(SuperAdmin)と組織管理者(Admin)の両方でログインできることを確認します。
注記
テストに時間がかかり過ぎると思われる場合は、詳細設定のReferral(照会)機能をフォローオプションの設定が間違っている可能性があります。設定を切り替えると、ログイン機能の検証が早くなるはずです。
完了を選択して、設定を完了します。