การเชื่อมโยง Active Directory

ภาพรวมการรวม Active Directory

CAMServer Enterprise ภายในองค์กรทำให้การรับรองความถูกต้องของ ID เป็นเรื่องง่ายมากด้วยการเชื่อมโยงกับ Active Directory สิ่งต่อไปนี้เป็นไปได้:

• เวอร์ชันเว็บแอปหากคุณใช้ ID การรับรองความถูกต้องของ Active Directory จะแสดงขึ้นในระหว่างการตรวจสอบความถูกต้องในการเข้าสู่ระบบ
• ในการตรวจสอบความถูกต้องของ ID การตรวจสอบความถูกต้องแบบไม่ใช้รหัสผ่านและการตรวจสอบรหัสผ่าน OS สามารถทำได้แล้ว
• CAMServer ใช้โปรโตคอล LDAP ของ Active Directory เพื่อตรวจสอบว่าการตรวจสอบสิทธิ์ ID สำเร็จหรือไม่

การเชื่อมโยงรหัส Active Directory

เมื่อเปิดใช้งานการเชื่อมโยง Active Directory ID รหัสการเข้าสู่ระบบจะถูกตั้งค่าโดยอัตโนมัติหากผู้ใช้ได้รับการรับรองความถูกต้องกับ Active Directory

ID เข้าสู่ระบบสามารถตั้งค่าได้โดยอัตโนมัติ เวอร์ชันเว็บแอป เท่านั้น.

วิธีการรับรองความถูกต้อง

ก่อนที่จะบันทึกการตั้งค่านี้ ตรวจสอบให้แน่ใจว่าได้ตั้งค่า LDAP ให้เสร็จสิ้นก่อน และดำเนินการ "ทดสอบการตั้งค่า LDAP"

หลังจากเปิดใช้งานการเชื่อมโยง Active Directory ID คุณสามารถเลือก "Passwordless Authentication" หรือ "OS Password Authentication" ได้

การรับรองความถูกต้องแบบไม่มีรหัสผ่าน

ข้อมูลที่สามารถรับได้เมื่อเข้าสู่ระบบ AD จะถูกเข้ารหัสและใช้เป็นโทเค็นการตรวจสอบสิทธิ์ ช่วยให้สามารถเข้าสู่ระบบบริการได้โดยไม่ต้องใช้รหัสผ่านก่อนที่จะเปิดใช้งานการตั้งค่านี้ คุณต้องตั้งค่า "ผู้ใช้ AD สำหรับการตรวจสอบสิทธิ์พร็อกซี" และ "ทดสอบการตั้งค่า LDAP"

統合Windows認証でのSSO มีข้อได้เปรียบในเรื่องของความปลอดภัย

・หากคุณเปิดใช้งานการตั้งค่านี้ คุณจะสามารถเข้าถึงเวอร์ชันเว็บแอปได้เท่านั้น
・設定ミスがあると誰もログイン出来なくなりますが、CAMServer/boot.ini ファイルに cam.disableADPasswordless=true を設定し、CAMServer を起動すると「パスワードレス認証」の設定を無効化できます。無効化して起動後、各種設定を見直し必ず「LDAP設定のテスト」を実施後に「パスワードレス認証」を有効化してください。有効化後は cam.disableADPasswordless をcam.ini ファイルから消してから、CAMServer を再起動してください。

การตรวจสอบรหัสผ่านระบบปฏิบัติการ

การตรวจสอบผู้ใช้จะดำเนินการโดยใช้รหัสผ่านระบบปฏิบัติการ

ユーザを新規登録の際は仮の適当なパスワードを設定し登録してください。「OSパスワード認証」が成功したら認証OKとし、C&M上の登録パスワードも上書きします。

・「OSパスワード認証」が失敗した場合でも、C&Mへユーザ登録時にパスワードを設定し、一致する場合は認証OKとします。
・この設定は 統合Windows認証でのSSO との併用が可能です。

การตั้งค่า LDAP

LDAPURL

นี่คือ URL สำหรับค้นหาเซิร์ฟเวอร์ Active Directory โดยใช้ ldap ระบุที่อยู่และพอร์ตใน LDAPURL ตามความจำเป็น ถ้าว่าง ldap://localhost:389 เข้าถึงได้ด้วย . พอร์ต 389 เป็นค่าเริ่มต้นสำหรับ ldap

SSLが必要な場合場合は、ldaps で ldaps://<FQDN>:636 と指定します。

LDAPBaseDN

LDAPBaseDNは、LDAP サーバのオブジェクトツリー上で、ユーザーを検索する開始位置を指定する値です。改行区切りで複数指定できます。

CAMServer v4.60.17 以降のバージョンでは、ほとんどの場合未指定で問題ありません。過去のバージョンは、未指定の場合、Users コンテナ（例CN=Users,DC=camtest,DC=com）のみ自動で追加する仕様でした。

未指定の場合

未指定の場合、ユーザーIDのドメインからドメインルートの BaseDN を自動生成し、ドメイン全体を検索します。例えば、user1@camtest.com と言うユーザを検索する場合の LDAPBaseDN は「DC=camtest, DC=com」となります。

指定した場合

組織単位（OU）にユーザが配置されている場合は、個別に BaseDN を指定する事で検索対象を絞り込む運用が可能です。下図では、営業部、経理部の組織単位（OU）を検索対象とする設定です。

指定した場合でも、既定の Users コンテナ（CN=Users,DC=yourdomain,DC=com）も自動的に検索対象へ追加されます。

การทดสอบผู้ใช้ AD และการตั้งค่า LDAP สำหรับการตรวจสอบสิทธิ์ที่ได้รับมอบหมาย

Windows統合認証でのSSOやパスワードレス認証を行う場合は、代理認証を行うADユーザを設定し「LDAP設定のテスト」を実施してください。

ในกระบวนการตรวจสอบสิทธิ์ข้างต้น ผู้ใช้ AD ที่ดำเนินการตรวจสอบสิทธิ์พร็อกซีจะทำการค้นหา LDAP ภายในเพื่อตรวจสอบว่าเป็นผู้ใช้ AD ที่ถูกต้องตามกฎหมายหรือไม่

การตั้งค่าการซิงโครไนซ์ Active Directory

เมื่อเปิดใช้งานการตั้งค่าการซิงโครไนซ์ Active Directory ข้อมูลจะถูกดึงมาจาก Active Directory ตามเวลาที่กำหนด และข้อมูลผู้ใช้ใน Chat&Messenger จะได้รับการอัปเดต

ข้อมูลที่จะอัปเดตอยู่ด้านล่าง

• ชื่อผู้ใช้...แอตทริบิวต์ AD displayName
• ชื่อกลุ่ม...แอตทริบิวต์แผนก AD
• อีเมล・・・แอตทริบิวต์อีเมลโฆษณา

คำถามที่พบบ่อย

ฉันสามารถสร้างผู้ใช้ที่ไม่มีอยู่ใน Active Directory ได้หรือไม่

หากคุณไม่เลือก "ไร้รหัสผ่าน" เป็นวิธีการตรวจสอบสิทธิ์ คุณสามารถสร้างบัญชีบนหน้าจอการจัดการผู้ใช้ Chat&Messenger และเข้าสู่ระบบได้แม้ว่าผู้ใช้นั้นจะไม่มีอยู่ใน Active Directory ก็ตาม

ฉันสามารถซิงโครไนซ์กับ Active Directory เพื่อเพิ่มผู้ใช้โดยอัตโนมัติได้หรือไม่

ปัจจุบัน Chat&Messenger จะไม่เพิ่มหรือลบผู้ใช้โดยอัตโนมัติตามผู้ใช้ Active Directory ดังนั้น แม้ว่าจะเปิดใช้งานการเชื่อมโยง Active Directory ผู้ดูแลระบบจะต้องสร้างผู้ใช้ Chat&Messenger โดยใช้หน้าจอการลงทะเบียนผู้ใช้บนหน้าจอการจัดการหรือโดยการอัพโหลด CSV

*การอัปโหลด CSV จะเพิ่ม/เปลี่ยนแปลงผู้ใช้ Chat&Messenger เท่านั้น และจะไม่ลบผู้ใช้เหล่านั้น โปรดลบทีละรายการจากหน้าจอการจัดการ

ฉันต้องการรับรายชื่อผู้ใช้ Active Directory และสร้าง CSV

คุณสามารถรับรายชื่อผู้ใช้ Active Directory ได้โดยใช้ Get-ADUser ของ PowerShell ของรายการนี้ UserPrincipalName โปรดสร้างไฟล์ CSV โดยใช้รหัสผู้ใช้ (ที่อยู่อีเมลที่ทำงาน) บน Chat&Messenger

> Get-ADUser -Filter {objectClass -eq "user"} -Properties info

DistinguishedName : CN=user1,CN=Users,DC=***,DC=com
GivenName         : ユーザ１
Name              : user1
ObjectClass       : user
ObjectGUID        : bf84cdab-2c21-44cf-aaca-afe493d97f2a
SamAccountName    : user1
SID               : S-1-5-21-3698402442-2374923176-*****-1104
Surname           : ユーザ１
UserPrincipalName : user1@***.com

DistinguishedName : CN=user2,CN=Users,DC=***,DC=com
GivenName         : user2
Name              : user2
ObjectClass       : user
ObjectGUID        : 482450a4-482a-40ac-b89b-434605f45571
SamAccountName    : user2
SID               : S-1-5-21-3698402442-2374923176-*****-1105
Surname           : テスト
UserPrincipalName : user2@***.com

# AD users のリストを CSVで出力
> $users = Get-ADUser -Filter {objectClass -eq "user"} -Properties UserPrincipalName, GivenName
> $selectedUsers = $users | Select-Object UserPrincipalName, GivenName
> $selectedUsers | Export-Csv -Path "C:\path\to\output\users.csv" -NoTypeInformation