DirectCloud-BOX LDAP認証ガイドdirectcloud.jp/assets/DirectCloud-BOX_LDAP_Setting.pdf ·...
Transcript of DirectCloud-BOX LDAP認証ガイドdirectcloud.jp/assets/DirectCloud-BOX_LDAP_Setting.pdf ·...
LDAPを利用したADサーバー連携のSSO構築
■目的既存社内で構築されているADサーバーのユーザーアカウントとパスワードを利用してDirectCloud-BOXにログインできる、SSO(Single Sign-On)環境を構築。
■用語説明・ADサーバー
-Active Directoryの略称。マイクロソフトによって開発されたディレクトリ・サービス・システムであり、Windows 2000 Serverから導入された、ユーザとコンピュータリソースを管理するコンポーネント群の総称である。
・LDAP-Lightweight Directory Access Protocolの略称。ディレクトリ・サービスに接続するために使用される通信プロトコルの一つ。
・SSO-Single Sign-Onの略称。一度のユーザ認証処理によって独立した複数のソフトウェアシステム上のリソースが利用可能になる特性である。この特性によって、ユーザはシステムごとにユーザIDとパスワードの組を入力する必要がなくなる。
LDAP認証によるログインの流れ
User DirectCloud-BOX Active Directory
ユーザーログイン
LDAP認証
ユーザー認証情報取得
AD接続
ADでユーザー認証情報取得
ユーザー認証
ユーザーログイン成功
エラーメッセージを表示
ユーザー認証
①会社ID、ユーザーID、パスワードを入力
②使用する
使用しない
ADからユーザー情報を取得・ユーザーID・メールアドレス・携帯番号
④認証成功
認証失敗
認証成功
認証失敗
⑤BOX接続許可
BOX接続不可
③接続成功
接続失敗
セキュリティ設定
LDAP認証設定
番号 項目名 内容
1 URL LDAPサーバーの接続アドレス及びポート
2 Bind DN LDAPを利用してBINDする DN値 LDAP 認証用に設定されたユーザー名とパスワード
3 Bind PW LDAPを利用してBIND DNでログインする際に必要なパスワード
4 Base DN LDAPディレクトリサーバを使用した認証の際にユーザーを検索する起点となるエントリー
5 Search Query LDAPからユーザーIDをもとにユーザー情報を検索するためのクエリ
6 Subtree Base DNの下位組織を検索する際はチェックが必要
7 Capacity 各ユーザーのマイボックスに付与する容量(個人のファイル保存場所の容量)
①
②
③
④
⑤
⑥
⑦
LDAP設定時の参考事項
■参考事項
・BIND DNはADサーバーのDomain Serviceの管理者権限が必要です。・Search Queryは ADサーバーを使用している場合、 (samaccountname=%id%)に固定(OpenLDAPを利用する場合は、ユーザーアカウントを検索するクエリを入力します)・SubtreeはADサーバーにツリー構造でグループが構築された場合、チェックを入れます。・CapacityはDirectCloud-BOXを利用する各ユーザーに付与するファイル保管容量の初期値となります。
■その他
・DirectCloud-BOXのユーザー情報の中の[割当容量]はLDAP認証後、変更することができます。・LDAPを設定すると[ユーザーの追加・削除]及び[パスワードの定義]が使用不可になります。・LDAP認証を行うとLDAPサーバーからID、名前、パスワード、メールアドレス、携帯電話情報を照会し、該当情報を取得します。取得した情報はDirectCloud-BOX上で変更または削除ができません。
・ADサーバー上のユーザーの名前、メールアドレス、携帯電話の値が変更された場合、当ユーザーがDirectCloud-BOXにログインした際に変更された情報が更新されます。
・ADサーバー設定により、パスワード変更時期になったユーザーは、パスワードを変更が完了するまでDirectCloud-BOXにログインができません。エラーメッセージが表示されます。
4.LDAPを利用したユーザー登録(2/2)
「基本設定」の「ユーザー管理」に入ると登録されているユーザーが表示されます。※LDAPを利用したユーザーは一度DirectCloud-BOXにログインしたユーザーのみ、管理ページのユーザー一覧に表示されます。
①
② ③
5.ユーザーをユーザーグループに割り当てる。(1/2)
「ユーザー管理」のユーザー一覧の右端の[操作]ボタンの中の水色のボタンをクリックしてください。※水色のボタンは「ユーザー変更」画面、赤色のボタンは「ユーザー削除」になります。
①
②
③
yoneda1
tabata
米田
田畑
5.ユーザーをユーザーグループに割り当てる。(2/2)
「グループ追加」ボタンをクリックするとグループ一覧が表示されます。グループを選択し、「追加」ボタンをクリックすと所属グループに追加されます。[修正]ボタンをクリックして設定を完了します。
③
①
②
③
7.共有フォルダにアクセス権を付与
共有する各フォルダを選択し[アクセス権追加]ボタンをクリックします。フォルダ別[アクセス権]は、下記(図.アクセス権管理)の通り設定されます。
② ③
①
15
ユーザーグループ
権限
▲図.アクセス権管理