Übersicht über die Active Directory-Integration
Der lokale CAMServer Enterprise vereinfacht die ID-Authentifizierung durch die Verknüpfung mit Active Directory. Folgende Dinge sind möglich:
- Version der WebanwendungWenn Sie verwenden, wird die Active Directory-Authentifizierungs-ID zunächst während der Anmeldeauthentifizierung angezeigt.
- Bei der ID-Authentifizierung sind jetzt eine passwortlose Authentifizierung und eine Betriebssystem-Passwortauthentifizierung möglich.
- CAMServer verwendet das LDAP-Protokoll von Active Directory, um festzustellen, ob die ID-Authentifizierung erfolgreich ist.
Active Directory-ID-Verknüpfung
Wenn die Active Directory-ID-Verknüpfung aktiviert ist, wird die Anmelde-ID automatisch festgelegt, wenn der Benutzer bei Active Directory authentifiziert wurde.
Authentifizierungsmethode
Nachdem Sie die Active Directory-ID-Verknüpfung aktiviert haben, können Sie optional „Passwortlose Authentifizierung“ oder „OS-Passwortauthentifizierung“ auswählen.
Passwortlose Authentifizierung
Die Informationen, die beim Anmelden bei AD abgerufen werden können, werden verschlüsselt und als Authentifizierungstoken verwendet, sodass eine Dienstanmeldung ohne Kennwort möglich ist.Bevor Sie diese Einstellung aktivieren, müssen Sie „AD-Benutzer für Proxy-Authentifizierung“ und „LDAP-Einstellungen testen“ einrichten.
・Wenn Sie diese Einstellung aktivieren, können Sie nur auf die Web-App-Version zugreifen.
・設定ミスがあると誰もログイン出来なくなりますが、CAMServer/boot.ini ファイルに cam.disableADPasswordless=true を設定し、CAMServer を起動すると「パスワードレス認証」の設定を無効化できます。無効化して起動後、各種設定を見直し必ず「LDAP設定のテスト」を実施後に「パスワードレス認証」を有効化してください。有効化後は cam.disableADPasswordless をcam.ini ファイルから消してから、CAMServer を再起動してください。
Betriebssystem-Passwortauthentifizierung
Die Benutzerauthentifizierung erfolgt mithilfe des Betriebssystemkennworts.
ユーザを新規登録の際は仮の適当なパスワードを設定し登録してください。「OSパスワード認証」が成功したら認証OKとし、C&M上の登録パスワードも上書きします。
LDAP-Einstellungen
LDAPUrl
Dies ist die URL zum Durchsuchen des Active Directory-Servers mithilfe von LDAP. Geben Sie bei Bedarf die Adresse und den Port in LDAPUrl an. Wenn leer ldap://localhost:389 Zugriff mit . 389-Port ist der Standard für LDAP.
LDAPBaseDN
LDAPBaseDNは、LDAP サーバのオブジェクトツリー上で、ユーザーを検索する開始位置を指定する値です。改行区切りで複数指定できます。
未指定の場合
未指定の場合、ユーザーIDのドメインからドメインルートの BaseDN を自動生成し、ドメイン全体を検索します。例えば、user1@camtest.com と言うユーザを検索する場合の LDAPBaseDN は「DC=camtest, DC=com」となります。
指定した場合
組織単位(OU)にユーザが配置されている場合は、個別に BaseDN を指定する事で検索対象を絞り込む運用が可能です。下図では、営業部、経理部の組織単位(OU)を検索対象とする設定です。
Testen von AD-Benutzern und LDAP-Einstellungen für die delegierte Authentifizierung
Windows統合認証でのSSOやパスワードレス認証を行う場合は、代理認証を行うADユーザを設定し「LDAP設定のテスト」を実施してください。
Im oben genannten Authentifizierungsprozess führt der AD-Benutzer, der die Proxy-Authentifizierung durchführt, eine interne LDAP-Suche durch, um zu überprüfen, ob es sich um einen legitimen AD-Benutzer handelt.
Active Directory-Synchronisierungseinstellungen
Wenn die Synchronisierungseinstellungen für Active Directory aktiviert sind, werden Informationen zum angegebenen Zeitpunkt aus Active Directory abgerufen und Benutzerinformationen in Chat&Messenger werden aktualisiert.
Die zu aktualisierenden Informationen finden Sie unten.
- Benutzername...AD displayName-Attribut
- Gruppenname...AD-Abteilungsattribut
- E-Mail und AD-E-Mail-Attribut
FAQ
Kann ich einen Benutzer erstellen, der in Active Directory nicht vorhanden ist?
Wenn Sie als Authentifizierungsmethode nicht „Passwortlos“ auswählen, können Sie im Benutzerverwaltungsbildschirm von Chat&Messenger ein Konto erstellen und sich anmelden, auch wenn der Benutzer nicht im Active Directory vorhanden ist.
Kann ich mit Active Directory synchronisieren, um das Hinzufügen von Benutzern zu automatisieren?
Derzeit fügt Chat&Messenger Benutzer nicht automatisch basierend auf Active Directory-Benutzern hinzu oder löscht sie. Selbst wenn die Active Directory-Verknüpfung aktiviert ist, muss der Administrator daher Chat&Messenger-Benutzer über den Benutzerregistrierungsbildschirm auf dem Verwaltungsbildschirm oder durch Hochladen einer CSV-Datei erstellen.
 |  *Der CSV-Upload fügt nur Chat&Messenger-Benutzer hinzu/ändert sie und löscht sie nicht. Bitte löschen Sie jeweils ein Element aus dem Verwaltungsbildschirm. |
Ich möchte eine Liste der Active Directory-Benutzer erhalten und eine CSV-Datei erstellen.
Mit Get-ADUser von PowerShell können Sie eine Liste der Active Directory-Benutzer abrufen. dieser Liste Benutzerprinzipalname Bitte erstellen Sie eine CSV-Datei mit der Benutzer-ID (geschäftliche E-Mail-Adresse) im Chat&Messenger.
> Get-ADUser -Filter {objectClass -eq "user"} -Properties info
DistinguishedName : CN=user1,CN=Users,DC=***,DC=com
GivenName : ユーザ1
Name : user1
ObjectClass : user
ObjectGUID : bf84cdab-2c21-44cf-aaca-afe493d97f2a
SamAccountName : user1
SID : S-1-5-21-3698402442-2374923176-*****-1104
Surname : ユーザ1
UserPrincipalName : user1@***.com
DistinguishedName : CN=user2,CN=Users,DC=***,DC=com
GivenName : user2
Name : user2
ObjectClass : user
ObjectGUID : 482450a4-482a-40ac-b89b-434605f45571
SamAccountName : user2
SID : S-1-5-21-3698402442-2374923176-*****-1105
Surname : テスト
UserPrincipalName : user2@***.com
# AD users のリストを CSVで出力
> $users = Get-ADUser -Filter {objectClass -eq "user"} -Properties UserPrincipalName, GivenName
> $selectedUsers = $users | Select-Object UserPrincipalName, GivenName
> $selectedUsers | Export-Csv -Path "C:\path\to\output\users.csv" -NoTypeInformation