Active Directory Linkage

Active Directory Linkage Overview

On-premise CAMServer Enterprise makes ID authentication very easy by providing Active Directory linkage. The following can be achieved

• Web App VersionActive Directory Authentication ID is initially displayed during login authentication when using
• Passwordless authentication and OS passwords can be used for ID authentication.
• CAMServer uses Active Directory's LDAP protocol to determine if identity authentication is successful.

Active Directory ID Linkage

When Active Directory ID Linkage is enabled, the login ID is automatically set if the user is Active Directory authenticated.

The login ID can be set automatically by Web App Version only.

Authentication method

Before saving this setting, be sure to complete the LDAP settings first and perform "Test LDAP Settings".

After enabling Active Directory ID linkage, you can optionally select "Passwordless Authentication" or "OS Password Authentication".

Passwordless Authentication

When you are logged in to AD, the information that can be obtained is encrypted and used as an authentication token, making it possible to log in to the service without a password.Before enabling this setting, you must configure the "AD user to perform proxy authentication" and "Test LDAP settings".

統合Windows認証でのSSO has the advantage in terms of security.

interpoint (interword separation)If this setting is activated, access will only be available in the Web App version.
・設定ミスがあると誰もログイン出来なくなりますが、CAMServer/boot.ini ファイルに cam.disableADPasswordless=true を設定し、CAMServer を起動すると「パスワードレス認証」の設定を無効化できます。無効化して起動後、各種設定を見直し必ず「LDAP設定のテスト」を実施後に「パスワードレス認証」を有効化してください。有効化後は cam.disableADPasswordless をcam.ini ファイルから消してから、CAMServer を再起動してください。

OS Password Authentication

The OS password is used for user authentication.

ユーザを新規登録の際は仮の適当なパスワードを設定し登録してください。「OSパスワード認証」が成功したら認証OKとし、C&M上の登録パスワードも上書きします。

・「OSパスワード認証」が失敗した場合でも、C&Mへユーザ登録時にパスワードを設定し、一致する場合は認証OKとします。
・この設定は 統合Windows認証でのSSO との併用が可能です。

LDAP Settings

LDAPUrl

This is the URL for searching the ActiveDirectory server using LDAP. Specify the address and port in LDAPUrl as necessary. If blank, ldap://localhost:389 You can access it via port 389, which is the default for ldap.

SSLが必要な場合場合は、ldaps で ldaps://<FQDN>:636 と指定します。

LDAPBaseDN

LDAPBaseDNは、LDAP サーバのオブジェクトツリー上で、ユーザーを検索する開始位置を指定する値です。改行区切りで複数指定できます。

CAMServer v4.60.17 以降のバージョンでは、ほとんどの場合未指定で問題ありません。過去のバージョンは、未指定の場合、Users コンテナ（例CN=Users,DC=camtest,DC=com）のみ自動で追加する仕様でした。

未指定の場合

未指定の場合、ユーザーIDのドメインからドメインルートの BaseDN を自動生成し、ドメイン全体を検索します。例えば、user1@camtest.com と言うユーザを検索する場合の LDAPBaseDN は「DC=camtest, DC=com」となります。

指定した場合

組織単位（OU）にユーザが配置されている場合は、個別に BaseDN を指定する事で検索対象を絞り込む運用が可能です。下図では、営業部、経理部の組織単位（OU）を検索対象とする設定です。

指定した場合でも、既定の Users コンテナ（CN=Users,DC=yourdomain,DC=com）も自動的に検索対象へ追加されます。

Testing Delegated Authentication AD User and LDAP Settings

Windows統合認証でのSSOやパスワードレス認証を行う場合は、代理認証を行うADユーザを設定し「LDAP設定のテスト」を実施してください。

In the above authentication process, an internal LDAP search is performed to verify whether the AD user performing proxy authentication is a legitimate AD user.

Active Directory synchronization settings

When Active Directory synchronization settings are enabled, information will be retrieved from Active Directory at the specified time and user information in Chat&Messenger will be updated.

The information to be updated is below.

• Username...AD displayName attribute
• Group name...AD department attribute
• Email・・・AD email attribute

FAQ

Can I create a user that does not exist in Active Directory?

If you do not select "Passwordless" as the authentication method, you can create an account on the Chat&Messenger user management screen and log in even if the user does not exist in Active Directory.

Can I synchronize with Active Directory to automate user addition?

Currently, Chat&Messenger does not automatically add or delete users based on Active Directory users. Therefore, even if Active Directory linkage is enabled, the administrator must create Chat&Messenger users using the user registration screen on the management screen or by uploading CSV.

*CSV upload only adds/changes Chat&Messenger users and does not delete them. Please delete one item at a time from the management screen.

I want to get a list of Active Directory users and create a CSV.

You can obtain a list of Active Directory users using PowerShell's Get-ADUser. of this list UserPrincipalName Please create a CSV file using the User ID (work email address) on Chat&Messenger.

> Get-ADUser -Filter {objectClass -eq "user"} -Properties info

DistinguishedName : CN=user1,CN=Users,DC=***,DC=com
GivenName         : ユーザ１
Name              : user1
ObjectClass       : user
ObjectGUID        : bf84cdab-2c21-44cf-aaca-afe493d97f2a
SamAccountName    : user1
SID               : S-1-5-21-3698402442-2374923176-*****-1104
Surname           : ユーザ１
UserPrincipalName : user1@***.com

DistinguishedName : CN=user2,CN=Users,DC=***,DC=com
GivenName         : user2
Name              : user2
ObjectClass       : user
ObjectGUID        : 482450a4-482a-40ac-b89b-434605f45571
SamAccountName    : user2
SID               : S-1-5-21-3698402442-2374923176-*****-1105
Surname           : テスト
UserPrincipalName : user2@***.com

# AD users のリストを CSVで出力
> $users = Get-ADUser -Filter {objectClass -eq "user"} -Properties UserPrincipalName, GivenName
> $selectedUsers = $users | Select-Object UserPrincipalName, GivenName
> $selectedUsers | Export-Csv -Path "C:\path\to\output\users.csv" -NoTypeInformation