Active Directory 連携

Active Directory 連携概要

オンプレミス CAMServer Enterprise では、Active Directory 連携を行う事でID認証がとても手軽になります。次のような事が実現可能です。

• Webアプリ版を利用すると、ログイン認証の際に Active Directory 認証IDが初期表示される
• ID認証において、パスワードレス認証、OSのパスワードで認証可能に
• CAMServer は Active Directory の LDAPプロトコルを利用しID認証が成功するか判定する

Active Directory ID連携

Active Directory ID連携を有効化すると、ユーザがActive Directory認証済みの場合、ログインIDを自動で設定します。

ログインIDを自動で設定できるのは Webアプリ版 のみです。

認証方式

この設定を保存する前に、必ず先にLDAP設定を完了し「LDAP設定のテスト」を実施してください。

Active Directory ID連携を有効化したら、任意で「パスワードレス認証」、「OSパスワード認証」を選択可能です。

パスワードレス認証

ADログイン済みの場合に取得出来る情報を暗号化して認証トークンとし、パスワード無しでサービスログインを可能にします。この設定を有効化する前に、「代理認証を行うADユーザ」の設定と「LDAP設定のテスト」が必要です。

統合Windows認証でのSSO の方がセキュリティ面でメリットがあります

・この設定を有効化するとWebアプリ版でしかアクセスが出来なくなります。
・設定ミスがあると誰もログイン出来なくなりますが、CAMServer/boot.ini ファイルに cam.disableADPasswordless=true を設定し、CAMServer を起動すると「パスワードレス認証」の設定を無効化できます。無効化して起動後、各種設定を見直し必ず「LDAP設定のテスト」を実施後に「パスワードレス認証」を有効化してください。有効化後は cam.disableADPasswordless をcam.ini ファイルから消してから、CAMServer を再起動してください。

OSパスワード認証

ユーザ認証においてOSのパスワードで認証行います。

ユーザを新規登録の際は仮の適当なパスワードを設定し登録してください。「OSパスワード認証」が成功したら認証OKとし、C&M上の登録パスワードも上書きします。

・「OSパスワード認証」が失敗した場合でも、C&Mへユーザ登録時にパスワードを設定し、一致する場合は認証OKとします。
・この設定は 統合Windows認証でのSSO との併用が可能です。

LDAP の設定

LDAPUrl

ActiveDirectory サーバへ ldap で検索するための Url です。必要に応じて LDAPUrl にアドレス、ポートを指定してください。ブランクの場合 ldap://localhost:389 でアクセスを行います。389 ポートは ldap のデフォルトです。

SSLが必要な場合場合は、ldaps で ldaps://<FQDN>:636 と指定します。

LDAPBaseDN

LDAPBaseDNは、LDAP サーバのオブジェクトツリー上で、ユーザーを検索する開始位置を指定する値です。改行区切りで複数指定できます。

CAMServer v4.60.17 以降のバージョンでは、ほとんどの場合未指定で問題ありません。過去のバージョンは、未指定の場合、Users コンテナ（例CN=Users,DC=camtest,DC=com）のみ自動で追加する仕様でした。

未指定の場合

未指定の場合、ユーザーIDのドメインからドメインルートの BaseDN を自動生成し、ドメイン全体を検索します。例えば、user1@camtest.com と言うユーザを検索する場合の LDAPBaseDN は「DC=camtest, DC=com」となります。

指定した場合

組織単位（OU）にユーザが配置されている場合は、個別に BaseDN を指定する事で検索対象を絞り込む運用が可能です。下図では、営業部、経理部の組織単位（OU）を検索対象とする設定です。

指定した場合でも、既定の Users コンテナ（CN=Users,DC=yourdomain,DC=com）も自動的に検索対象へ追加されます。

代理認証を行うADユーザとLDAP設定のテスト

Windows統合認証でのSSOやパスワードレス認証を行う場合は、代理認証を行うADユーザを設定し「LDAP設定のテスト」を実施してください。

上記認証処理では、代理認証を行うＡＤユーザが内部でLDAP検索を行い正規ＡＤユーザかどうかを検証致します。

Active Directory 同期設定

Active Directory 同期設定を有効化すると、指定時刻に、Active Directory より情報を取得し、Chat&Messenger のユーザ情報を更新致します。

更新する情報は以下です。

• ユーザ名・・・ AD の displayName 属性
• グループ名・・・AD の department 属性
• Email・・・AD の email 属性

FAQ

Active Directory に存在しないユーザを作成できますか？

認証方式で「パスワードレス」を選択しなければ、Active Directory にユーザが存在しなくても Chat&Messenger のユーザ管理画面でアカウント作成を行い、ログインも可能です。

Active Directory と同期してユーザの追加を自動化できますか？

今のところ、Chat&Messenger が Active Directory のユーザを元に自動追加・削除する事はありません。そのため Active Directory 連携を有効にした場合でも、管理者が管理画面のユーザ登録画面、または CSV アップロードで Chat&Messenger ユーザを作成してください。

※ CSVアップロードは、Chat&Messenger ユーザの追加・変更のみを行い、削除は行いません。削除は管理画面から1件づつ削除してください。

Active Directory のユーザ一覧を取得し、CSVを作成したい

PowerShell の Get-ADUser で Active Directory のユーザ一覧を取得可能です。このリストの UserPrincipalName を、Chat&Messenger 上のUserID(仕事用メールアドレス) としてCSVを作成してください。

> Get-ADUser -Filter {objectClass -eq "user"} -Properties info

DistinguishedName : CN=user1,CN=Users,DC=***,DC=com
GivenName         : ユーザ１
Name              : user1
ObjectClass       : user
ObjectGUID        : bf84cdab-2c21-44cf-aaca-afe493d97f2a
SamAccountName    : user1
SID               : S-1-5-21-3698402442-2374923176-*****-1104
Surname           : ユーザ１
UserPrincipalName : user1@***.com

DistinguishedName : CN=user2,CN=Users,DC=***,DC=com
GivenName         : user2
Name              : user2
ObjectClass       : user
ObjectGUID        : 482450a4-482a-40ac-b89b-434605f45571
SamAccountName    : user2
SID               : S-1-5-21-3698402442-2374923176-*****-1105
Surname           : テスト
UserPrincipalName : user2@***.com

# AD users のリストを CSVで出力
> $users = Get-ADUser -Filter {objectClass -eq "user"} -Properties UserPrincipalName, GivenName
> $selectedUsers = $users | Select-Object UserPrincipalName, GivenName
> $selectedUsers | Export-Csv -Path "C:\path\to\output\users.csv" -NoTypeInformation