Active Directory または LDAP からユーザーを同期する

Active Directory または Lightweight Directory Access Protocol (LDAP) データベースからユーザーを同期するには、LDAP 外部アイデンティティ を追加し、単数か複数のクエリを作成する必要があります。

AuthPoint では、LDAP 外部アイデンティティは外部のユーザー データベースを表します。外部アイデンティティは、ユーザー データベースに接続してユーザー アカウント情報を取得したりパスワードを検証します。外部アイデンティティに追加するクエリは、Active Directory または LDAP データベースからどのユーザーを同期するかを指定します。このクエリはデータベースからユーザー情報をプルし、そのユーザーの AuthPoint ユーザー アカウントを作成します。

ユーザーのクエリを実行する方法は 2 つあります。

• グループ同期 — ユーザーの同期元の LDAP グループを選択し、AuthPoint がクエリを作成する。
• 高度なクエリ — 独自の LDAP クエリを作成してどのグループやユーザーを同期するかを指定する。

Active Directory からユーザーを同期させるグループ同期を構成する際に 新しい同期グループを作成する トグルを有効にすると、ユーザーの同期元の Active Directory のグループに基づいて、AuthPoint に新しいグループを作成することができます。

新しい同期グループを作成するオプションは、グループ同期の追加時にのみ使用できます。高度なクエリでは、この機能を使用することはできません。

開始する前に、いくつかの一般的な LDAP オブジェクトについて学んでおくことをお勧めします。

LDAP 外部アイデンティティを Gateway とリンクし、AuthPoint Gateway が企業ネットワークのインターネット アクセスのある LDAP サーバーに接続可能な場所にインストールされている必要があります。Gateway は WatchGuard Cloud と Active Directory または LDAP データベース間の通信を可能にします。

高可用性のため、以下を構成することをお勧めします。

• 冗長アドレスを持つ 1 つの外部アイデンティティ。
• 1 つのプライマリ Gateway と 5 つまでのセカンダリ Gateway (Gateway について を参照)。

同じドメインに対して複数の外部アイデンティティを構成しないでください。

AuthPoint で LDAP ユーザーを削除する際のベストプラクティスは、AD または LDAP グループからのユーザーを削除し、AuthPoint でそれらに検疫ステータスを与え、AuthPoint でそのユーザーを削除することです。詳細については、次を参照してください：検疫済みユーザー

外部アイデンティティを追加する

1. 外部アイデンティティ を選択します。
2. 外部アイデンティティの種類の選択 ドロップダウン リストから LDAP を選択します。外部アイデンティティを追加する をクリックします。

3. 名前 テキスト ボックスに、外部アイデンティティの記述的な名前を入力します。
4. LDAP 検索ベース テキスト ボックスに LDAP データベースを入力します。この例ではドメインが example.com なので、dc=example,dc=com と入力します。ヒント！ 検索ベース設定の標準フォーマットは以下の通りです：ou=<組織単位の名称>,dc=<サーバー識別名の最初の部分>,dc=<ドットの後に表示されるサーバー識別名の任意の部分>。

   LDAP 構文の詳細についてと、外部アイデンティティがユーザーの検索をできる認証サーバー上のディレクトリーを制限するための検索ベースの使用方法については、次を参照してください：Active Directory 検索ベースを探す。

5. システム アカウント と パスフレーズ テキスト ボックスに、LDAP 検索とバインドを実行する権限があるユーザーの認証情報を入力します。このユーザーが既定のユーザー フォルダにない場合は、トグルを選択してユーザーの完全な識別名を入力します。ヒント！ ユーザーの識別名の標準フォーマットは以下の通りです：cn=<ユーザーの名前>,ou=<組織単位の名称>,dc=<サーバー識別名の最初の部分>,dc=<ドットの後に表示されるサーバー識別名の任意の部分>。

   この例では、AuthPoint と呼ばれる OU に administrator という名前のユーザーがいます (既定のユーザー フォルダではない)。そのため、トグルを選択してユーザーの識別名を CN=administrator,OU=AuthPoint,DC=example,DC=com と入力します。

   ユーザーがユーザー フォルダーに含まれており、ユーザー名がアカウント名 (sAMAccountName) と異なる場合は、システム アカウント テキスト ボックスにアカウント名を入力する必要があります。

6. 同期間隔 ドロップダウン リストから、LDAP データベースを同期する頻度を指定します。24 時間毎 を選択した場合は、毎日何時に同期を開始するかも指定する必要があります。
7. 種類 では、これが Active Directory サーバーであるか、異なるタイプの LDAP データベースであるかを選択します。他のデータベースでは、各属性値を指定する必要があります。Active Directory では属性値が既知であるため、これを行う必要はありません。
8. ドメイン テキスト ボックスに LDAP ドメイン名を入力します。
9. これが Active Directory サーバーではない場合は、各属性の値を入力します。

   Active Directory のユーザーが ADFS を使用している場合は、ユーザーのログインに関連する属性の sAMAccountName の値を既定のまま維持する必要があります。

10. サーバー アドレス テキスト ボックスに、LDAP サーバーの IP アドレスを入力します。
11. サーバー ポート テキスト ボックスにサーバーのポートを入力します。

12. (任意) 外部アイデンティティ用の冗長アドレスを追加するには、冗長アドレスの追加 をクリックして、同じ LDAP データベースの別のアドレスとポートを入力します。
13. 保存 をクリックします。

外部アイデンティティを Gateway 構成に追加する

外部アイデンティティは、企業ネットワークにインストールされ、LDAP サーバーにアクセスできる Gateway の構成に追加されている必要があります。その後、LDAP データベースへの接続をテストすることができます。

既存の Gateway がない場合は追加する必要があります。詳細については、次を参照してください：Gateway について

外部アイデンティティを Gateway の構成に追加するには、以下の手順を実行します。

1. ナビゲーション メニューから Gateway を選択します。
2. Gateway の 名前 をクリックします。

3. LDAP セクションの LDAP 外部アイデンティティの選択 リストで、LDAP または Active Directory Server の外部アイデンティティを選択します。

4. 保存 をクリックします。

外部アイデンティティはこれで Gateway に接続されます。これにより、WatchGuard Cloud と Active Directory または LDAP データベース間の通信が可能になります。

外部アイデンティティへの接続をテストするには、以下の手順を実行します。

1. ナビゲーション メニューで 外部アイデンティティ を選択します。
2. LDAP データベース用に追加した外部アイデンティティの横で をクリックし、接続の確認 を選択します。

   接続テストが失敗し、NPS が Gateway サーバー上で実行されている場合は、AuthPoint Gateway が使用する RADIUS ポートを変更してください。

ユーザーを同期する

LDAP データベースの外部アイデンティティを作成し、外部アイデンティティを Gateway 構成に接続した後、LDAP データベースからどのユーザーを同期するかを指定する必要があります。

ユーザーのクエリを実行する方法は 2 つあります。

• グループ同期機能を使用する (推奨)
• 高度なクエリを追加する

ユーザーを検索するためのクエリ (手動またはグループ同期による) の追加後、AuthPoint は次回の 同期間隔 これは、外部アイデンティティの LDAP 構成ページの同期間隔ドロップダウン リストで定義されます。で Active Directory または LDAP データベースと同期され、クエリで特定されたユーザーごとに AuthPoint ユーザー アカウントを作成します。クエリの結果に、使用可能なライセンスよりも多いユーザーがいる場合、同期は AuthPoint ライセンスによってサポートされる数のユーザーしか作成しません。

作成されたユーザー アカウントは ユーザー ページに、ユーザー名の横のアクティブ化されていることを示す緑のステータス アイコンとともに表示されます。アクティブ化されていることを示すステータス アイコンは、そのユーザーが作成済みで、現在アクティブである (ブロックされていない) ことを示します。外部アイデンティティから同期されたユーザーは、ユーザー リストにある 種類 列の LDAP ラベルによって識別できます。

各ユーザーは、AuthPoint モバイル アプリでトークンをアクティブ化するのに使用する電子メールを受信します。ユーザーがトークンをアクティブ化すると、トークン情報が トークン 列に、そのトークンの横のアクティブ化されていることを示す緑のステータス アイコンとともに表示されます。

ユーザーがトークンのアクティベーション メールを実際に受け取っていた場合は、トークンのアクティブ化ができるよう、そのユーザーに新しいアクティベーション メールを送信することができます。アクティベーション メールを再送信する方法の詳細については、アクティベーション メールを再送信する を参照してください。

ユーザーを同期する前に、各ユーザー アカウントに有効な電子メール アドレスがあることを確認してください。ユーザー アカウントの電子メール アドレスが正しくないと、そのユーザーはトークンをアクティブ化するための電子メール メッセージを受信できません。

LDAP ユーザーを複数の AuthPoint グループに追加するには、同期した LDAP ユーザーを追加したい AuthPoint グループごとに、個別のグループ同期または高度なクエリを作成する必要があります。

Active Directory のユーザーのグループ同期を作成する際に 新しい同期グループを作成する トグルを有効にすると、ユーザーの同期元の Active Directory のグループに基づいて、AuthPoint に新しいグループを作成することができます。選択した AuthPoint グループに加えて、Active Directory のグループ メンバーシップに基づいて、ユーザーが新しいグループに同期されます。このオプションを使用するとグループの管理がより簡単になり、必要なグループ同期も 1 つで済むため、使用することをお勧めします。

グループ同期

グループ同期では、ユーザーの同期元とする LDAP グループと、ユーザーの追加先の AuthPoint グループを選択します。グループ同期を使うとクエリが作成されるため、この方法によりユーザーを同期することをお勧めします。

続行する前に、以下の要件にご注意ください：

• 選択した LDAP グループに、使用可能な AuthPoint ライセンスよりも多いユーザーがいる場合、同期はライセンスによってサポートされる数のユーザーしか作成しません
• 名 (名前) やユーザー名、電子メール アドレスを持っていない LDAP ユーザーは同期に含まれません。

LDAP グループを同期するには、以下の手順を実行します。

1. 外部アイデンティティ を選択します。
2. 外部アイデンティティの横で をクリックし、グループ同期 を選択します。

3. グループ同期 ページで 同期する新規グループの追加 をクリックします。

4. グループ同期の追加 ウィンドウで、ユーザーを同期する LDAP グループを選択する ドロップダウン リストから、ユーザーを同期する LDAP グループを選択します。複数のグループを選択できます。

5. ユーザーを追加する AuthPoint グループを選択する ドロップダウン リストから、ユーザーを追加する AuthPoint グループを選択します。同期したユーザーは、少なくとも 1 つの AuthPoint グループに追加する必要があります。

   各グループ同期では、すべてのユーザーが同一の AuthPoint グループに追加されます。ユーザーを複数の AuthPoint グループに追加するには、ユーザーを追加したい AuthPoint グループごとに、グループ同期を作成する必要があります。各 LDAP グループのユーザーを別々の AuthPoint グループに追加するには、LDAP グループごとに別々のグループ同期を作成する必要があります。

6. ユーザーを同期する Active Directory グループに基づいて、AuthPoint に新しいグループを作成したい場合は、新しい同期グループを作成する トグルを有効にします。このオプションを有効化すると、選択した AuthPoint グループに加えて、LDAP データベースのグループ メンバーシップに基づいて、ユーザーが新しいグループに同期されます。

   このオプションは、Active Directory および Azure Active Directory LDAP データベースでのみ使用可能です。

   この機能を利用するには、バージョン 6.1 以降の AuthPoint Gateway をインストールする必要があります。

7. 保存 をクリックします。
   グループ同期の作成ウィンドウが閉じます。

AuthPoint は次回の 同期間隔 これは、外部アイデンティティの LDAP 構成ページの同期間隔ドロップダウン リストで定義されます。で Active Directory または LDAP データベースと同期され、クエリで特定されたユーザーごとに AuthPoint ユーザー アカウントを作成します。

すぐに同期を開始するには、外部アイデンティティ ページの外部アイデンティティの横で をクリックし、同期の開始 を選択します。

ユーザーが Active Directory または LDAP データベースで削除された場合、関連する AuthPoint ユーザー アカウントは削除されません。その代わりに、ユーザーが検疫ステータスになります。詳細については、次を参照してください：検疫済みユーザー

新しい同期グループを作成する トグルを有効にすると、同期されたグループが AuthPoint に作成されます。新しく作成されたグループは、グループ ページに表示されます。グループ リストの同期グループは、タイプ 列の LDAP ラベルで識別することができます。

同期されているグループの名前を Active Directory で変更すると、AuthPoint に同期されているグループも自動で一致するよう更新されます。同期グループを AuthPoint で編集することはできません。

Active Directory でグループを削除したり、グループ同期を削除しても、AuthPoint に同期されたグループは削除されません。AuthPoint に同期したグループは、手動で削除する必要があります。

高度なクエリを追加する

高度なクエリでは、独自の LDAP クエリを作成してどのグループやユーザーを同期するかを指定することができます。高度なクエリを追加して検証すると、そのクエリによって特定された各ユーザーに AuthPoint ユーザー アカウントが作成されます。

続行する前に、以下の要件にご注意ください：

• クエリの結果に、使用可能なライセンスよりも多いユーザーがいる場合、AuthPoint はライセンスによってサポートされる数のユーザーしか作成しません
• 名 (名前) やユーザー名、電子メール アドレスを持っていない LDAP ユーザーは同期に含まれません。

高度なクエリを追加するには、以下の手順を実行します。

1. 外部アイデンティティ を選択します。
2. 追加した LDAP 外部アイデンティティの横で をクリックし、高度なクエリ を選択します。

3. 高度なクエリ ページで 高度なクエリを追加する をクリックします。

4. 名前 テキスト ボックスに、クエリの記述的な名前を入力します。
5. グループ ドロップダウン リストから、このクエリからのユーザーの追加先となる AuthPoint グループを選択します。同期したユーザーは、少なくとも 1 つの AuthPoint グループに追加する必要があります。

   高度なクエリごとに、すべてのユーザーが同一の AuthPoint グループに追加されます。ユーザーを複数の AuthPoint グループに追加するには、ユーザーを追加したい AuthPoint グループごとに、高度なクエリを作成する必要があります。各 LDAP グループのユーザーを別々の AuthPoint グループに追加するには、LDAP グループごとに別々の高度なクエリを作成する必要があります。

6. 高度なクエリ テキスト ボックスにクエリを入力します。ほとんどの場合、クエリは、memberOf= の後にクエリにより同期するグループの識別名が続く形式となります。たとえば、グループの識別名が CN=MyAuthGroup,CN=Users,DC=myorg,DC=local の場合、クエリは memberOf=CN=MyAuthGroup,CN=Users,DC=myorg,DC=local となります。
   Active Directory グループの識別名を探すには、以下の手順を実行します。

   1. Active Directory を開きます。
   2. 表示 > 詳細機能 の順に選択します。
   3. 同期するグループを右クリックし、プロパティ を選択します。
      プロパティ ウィンドウが開きます。
   4. プロパティ ウィンドウで 属性エディタ を選択します。
   5. distinguishedName 値を選択し、表示 をクリックします。
   6. 値 をコピーします。この値の冒頭に "memberOf=" を追加すると、それは高度なクエリになります。

7. クエリの結果をプレビューするには 高度なクエリを検証する をクリックします。クエリから返されるユーザー数と最初の 10 人のユーザーのプレビューを表示することができます。

   クエリの検証時にはユーザーは同期されません。クエリが外部アイデンティティに追加され、変更が保存されるまではユーザーは同期されません。

8. クエリを外部アイデンティティに追加するには、追加 をクリックします。

AuthPoint は次回の 同期間隔 これは、外部アイデンティティの LDAP 構成ページの同期間隔ドロップダウン リストで定義されます。で Active Directory または LDAP データベースと同期し、高度なクエリで特定されたユーザーごとに AuthPoint ユーザー アカウントを作成します。

すぐに同期を開始するには、外部アイデンティティ ページの外部アイデンティティの横で をクリックし、同期の開始 を選択します。

ユーザーが Active Directory または LDAP データベースで削除された場合、関連する AuthPoint ユーザー アカウントは削除されません。その代わりに、ユーザーが検疫ステータスになります。詳細については、次を参照してください：検疫済みユーザー

高度なクエリを編集する

1. 外部アイデンティティ を選択します。
2. 追加した LDAP 外部アイデンティティの横で をクリックし、高度なクエリ を選択します。

3. 高度なクエリ ページのクエリ リストから編集するクエリの 名前 をクリックします。

4. 高度なクエリを追加する ウィンドウで変更を行います。
5. 更新 をクリックします。

関連情報：

外部アイデンティティへの接続をテストする

Azure Active Directory からユーザーを同期する

ローカルの AuthPoint ユーザーを追加する

Gateway について

検疫済みユーザー