Skip to main content

Microsoft Active Directoryの設定

システムの管理者は、Microsoft Active Directory(AD)に接続するようにContrastを設定できます。このインテグレーションを設定するには、AD Connectorを使用します。ADはディレクトリの構造が明確に定義されているため、設定する選択肢も少なくなり、より直接的な設定ができます。

注記

ローカルデータベースなど、別の認証方法からADに切り替えると、ユーザID属性に一貫性がない場合は問題が発生する可能性があります。

ADがオフラインの場合のアクセス

ADサービスで接続や設定の問題が発生した場合、デフォルトのSuperAdminアカウントを使用してContrastにログインしてください。これにより、ADがオフラインの場合でも、引き続きContrastアカウントに直接アクセスできます。

手順

  1. はじめに、Active Directoryサーバに読取り専用ユーザを作成します。ユーザには、検索ベース(Search Base)のみの権限を持つユーザを含め、ディレクトリに対する読み取り権限を持つ必要があります。このユーザは、ADのユーザを設定する際やユーザにバインドする際に、検索ベースを設定するために必要となります。

  2. 外部のADサーバで、ユーザグループを作成します。このグループは、後でContrastのSuperAdmin権限を割り当てるために使用します。

  3. システムの設定認証を選択します。

  4. 認証方法を変更を選択したら手順に従って、サーバ、グループ、詳細を設定します。

  5. Active Directoryを選択します。

  6. 以下の値を入力します。LDAPS(LDAP over SSL)では、一部の設定が異なる場合があります。

    AD.png

    接続先サーバで、以下の項目に入力します。

    • プロトコル:LDAPサーバとの通信に使用するプロトコルです。ドロップダウンから、LDAPLDAPSを選択します。デフォルトは、LDAPです。ADで自己署名証明書またはプライベート証明書を使用している場合は、LDAPSオプションで追加の設定が必要になる場合があります。

    • ホスト名:LDAPサーバと通信する際に接続するホスト名です。ADサーバのDNSホスト名またはIPアドレスを入力します。マルチテナントフォレストでは、これはグローバルカタログサーバになります。デフォルトは、localhostです。

    • ポート:LDAPサーバと通信する際に接続するポートです。標準(シングルテナント、シングルドメイン)ディレクトリの場合、389 (LDAP)番か636 (LDAPS)番のポートを指定してください。マルチテナントまたはマルチドメインフォレストでは、3268 (LDAP)番か3269 (LDAPS)番を指定してください。

    • 検索ベース: LDAPサーバとの通信に使用するベースDN(AD環境でグローバルベースレベルのコンテナを表す識別名)です。通常、これはドメイン名またはサブドメイン名です。デフォルトは、dc=contrastsecurity,dc=comです。ログインドメインがyourdomain.comであれば、ベースDNはdc=yourdomain,dc=comとなります。

    サーバにバインドで、以下の項目に入力します。

    • ユーザ名:検索機能を実行するために、ディレクトリにバインドするユーザの完全なDN名を入力します。デフォルトは、cn=Directory Managerです。

    • パスワード:アプリケーションがLDAPサーバに接続する際に使用するユーザアカウントのパスワードです。

  7. 接続をテストを選択して、サーバへの接続を確認します。接続を確認したら、次へを選択します。

  8. グループを設定します。

  9. 詳細設定を指定します。

  10. 全ての設定オプションを指定したら、ログインをテストボタンを使用して、スーパー管理者(SuperAdmin)と組織管理者(Admin)の両方でログインできることを確認します。

    注記

    テストに時間がかかり過ぎると思われる場合は、詳細設定Referral(照会)機能をフォローオプションの設定が間違っている可能性があります。設定を切り替えると、ログイン機能の検証が早くなるはずです。

  11. 完了を選択して、設定を完了します。