Active Directory 連携概要
オンプレミス CAMServer Enterprise では、Active Directory 連携を行う事でID認証がとても手軽になります。次のような事が実現可能です。
- Webアプリ版を利用すると、ログイン認証の際に Active Directory 認証IDが初期表示される
- ID認証において、パスワードレス認証、OSのパスワードで認証可能に
- CAMServer は Active Directory の LDAPプロトコルを利用しID認証が成功するか判定する
Active Directory ID連携
Active Directory ID連携を有効化すると、ユーザがActive Directory認証済みの場合、ログインIDを自動で設定します。
ログインIDを自動で設定できるのは Webアプリ版 のみです。
認証方式
この設定を保存する前に、必ず先にLDAP設定を完了し「LDAP設定のテスト」を実施してください。
Active Directory ID連携を有効化したら、任意で「パスワードレス認証」、「OSパスワード認証」を選択可能です。
※ 認証を強化する場合は「OSパスワード認証」を選択してください。
パスワードレス認証
ADログイン済みの場合に取得出来る情報を暗号化して認証トークンとし、パスワード無しでサービスログインを可能にします。この設定を有効化する前に、「代理認証を行うADユーザ」の設定と「LDAP設定のテスト」が必要です。
IISの統合Windows認証を使ったSSO の方がセキュリティ面でメリットがあります
・この設定を有効化するとWebアプリ版でしかアクセスが出来なくなります。
・設定ミスがあると誰もログイン出来なくなりますが、CAMServer/cam.ini ファイルに cam.disableADPasswordless=true を設定し、CAMServer を起動すると「パスワードレス認証」の設定を無効化できます。無効化して起動後、各種設定を見直し必ず「LDAP設定のテスト」を実施後に「パスワードレス認証」を有効化してください。有効化後は cam.disableADPasswordless をcam.ini ファイルから消してから、CAMServer を再起動してください。
OSパスワード認証
ユーザ認証においてOSのパスワードで認証行います。ユーザを新規登録の際は仮の適当はパスワードを設定し、登録してください。次のフローで認証を行います。
- 「OSパスワード認証」が成功したら認証OKとし、C&M上の登録パスワードも上書きする。
- 「OSパスワード認証」が失敗したら、C&M登録時のパスワードで認証を行う。
LDAP の設定
LDAPUrl
ActiveDirectory サーバへ ldap で検索するための Url です。必要に応じて LDAPUrl にアドレス、ポートを指定してください。ブランクの場合 ldap://localhost:389 でアクセスを行います。389 ポートは ldap のデフォルトです。
LDAPBaseDN
LDAPBaseDN は LDAPサーバの持つオブジェクト・ツリー上で、どの配下からユーザ検索を行うのかを示す値です。
ブランクの場合、ユーザIDからドメインを参照し、CN=Users を検索対象とします。変更する場合は改行を入れ複数入力が可能です。また、ブランク以外に設定した場合でもデフォルトの「CN=Users, DC=yourdomain, DC=com」は自動で検索対象となります。
例えば、user1@camtest.com と言うユーザを検索する場合の LDAPBaseDN は「CN=Users, DC=camtest, DC=com」となり、これはデフォルトで検索対象のため、LDAPBaseDN を指定する必要はありません。
Users 以外の組織単位(OU)を作成しそこにユーザを追加した場合で検索対象とする場合は LDAPBaseDN を指定します。例えば下図では、Users 以外に営業部、経理部の組織単位(OU)を検索対象とする設定です。
代理認証を行うADユーザとLDAP設定のテスト
IISを使ったシングルサインオンやパスワードレス認証を行う場合は、代理認証を行うADユーザを設定し「LDAP設定のテスト」を実施してください。
上記認証処理では、代理認証を行うADユーザが内部でLDAP検索を行い正規ADユーザかどうかを検証致します。
Active Directory 同期設定
Active Directory 同期設定を有効化すると、指定時刻に、Active Directory より情報を取得し、Chat&Messenger のユーザ情報を更新致します。
更新する情報は以下です。
- ユーザ名・・・ AD の displayName 属性
- グループ名・・・AD の department 属性
- Email・・・AD の email 属性
FAQ
Active Directory に存在しないユーザを作成できますか?
認証方式で「パスワードレス」を選択しなければ、Active Directory にユーザが存在しなくても Chat&Messenger のユーザ管理画面でアカウント作成を行い、ログインも可能です。
Active Directory と同期してユーザの追加を自動化できますか?
今のところ、Chat&Messenger が Active Directory のユーザを元に自動追加・削除する事はありません。そのため Active Directory 連携を有効にした場合でも、管理者が管理画面のユーザ登録画面、または CSV アップロードで Chat&Messenger ユーザを作成してください。
 |  ※ CSVアップロードは、Chat&Messenger ユーザの追加・変更のみを行い、削除は行いません。削除は管理画面から1件づつ削除してください。 |
Active Directory のユーザ一覧を取得し、CSVを作成したい
PowerShell の Get-ADUser で Active Directory のユーザ一覧を取得可能です。このリストの UserPrincipalName を、Chat&Messenger 上のUserID(仕事用メールアドレス) としてCSVを作成してください。
> Get-ADUser -Filter {objectClass -eq "user"} -Properties info
DistinguishedName : CN=user1,CN=Users,DC=***,DC=com
GivenName : ユーザ1
Name : user1
ObjectClass : user
ObjectGUID : bf84cdab-2c21-44cf-aaca-afe493d97f2a
SamAccountName : user1
SID : S-1-5-21-3698402442-2374923176-*****-1104
Surname : ユーザ1
UserPrincipalName : user1@***.com
DistinguishedName : CN=user2,CN=Users,DC=***,DC=com
GivenName : user2
Name : user2
ObjectClass : user
ObjectGUID : 482450a4-482a-40ac-b89b-434605f45571
SamAccountName : user2
SID : S-1-5-21-3698402442-2374923176-*****-1105
Surname : テスト
UserPrincipalName : user2@***.com
# AD users のリストを CSVで出力
> $users = Get-ADUser -Filter {objectClass -eq "user"} -Properties UserPrincipalName, GivenName
> $selectedUsers = $users | Select-Object UserPrincipalName, GivenName
> $selectedUsers | Export-Csv -Path "C:\path\to\output\users.csv" -NoTypeInformation