コネクタの詳細
バンドル名
Windows Active Directory コネクタ
バンドルバージョン
1.0.0.3663
リソースを設定する際の注意事項
ここでは、Identity Manager で使用する、次のコネクタベースの Active Directory リソースを設定する手順を説明します。
-
コネクタサーバーの場所
-
コネクタサーバーのサービスアカウント
コネクタサーバーの場所
「LDAP ホスト名」リソース属性が設定されていない場合、コネクタはディレクトリに対してサーバーレスバインドを実行します。サーバーレスバインドが機能するためには、ドメイン内にあって、管理対象のドメインまたはディレクトリを「認識している」システム上に、コネクタサーバーをインストールする必要があります。コネクタが管理するすべての Windows ドメインは、同じフォレストに所属している必要があります。フォレスト境界を越えるドメインの管理はサポートされていません。複数のフォレストがある場合は、各フォレストに少なくとも 1 つのコネクタをインストールしてください。
「LDAP ホスト名」リソース属性は、コネクタに特定の DNS ホスト名または IP アドレスとバインドするように指示します。これはサーバーレスバインドとは正反対です。ただし、LDAP ホスト名では、必ずしも特定のドメインコントローラを指定する必要はありません。AD ドメインの DNS 名を使用できます。コネクタの DNS サーバーが、その DNS 名に対して複数の IP アドレスを返すように設定されている場合、そのうちの 1 つがディレクトリバインドに使用されます。これによって単一のドメインコントローラに依存する必要がなくなります。
パススルー認証や前アクションと後アクションを含む一部の操作では、コネクタサーバーがドメインのメンバーであることが求められます。
コネクタサーバーのサービスアカウント
デフォルトでは、コネクタサーバーはローカルシステムアカウントとして実行されます。これは、「サービス」MMC スナップインで設定できます。
コネクタサーバーをローカルシステム以外のアカウントで実行する場合は、コネクタサーバーのサービスアカウントに「Act As Operating System」および「走査チェックのバイパス」ユーザー権限が必要です。ゲートウェイは、パススルー認証や、特定の状況でのパスワードの変更およびリセットに、これらの権限を使用します。
AD の管理の大部分は、リソース内で指定された管理アカウントを使用して行います。ただし、一部の操作はコネクタサーバーのサービスアカウントで実行します。つまり、コネクタサーバーのサービスアカウントに、これらの操作を実行するための適切なアクセス権が必要です。現在、これに該当する操作は次のとおりです。
前アクションおよび後アクションのスクリプトを実行するときに、コネクタサーバーに「プロセスレベルトークンの置き換え」の権限が必要な場合があります。この権限は、コネクタサーバーが別のユーザー (リソース管理ユーザーなど) としてスクリプトのサブプロセスを実行しようとする場合に必要です。この場合、コネクタサーバーのプロセスには、そのサブプロセスに関連付けられたデフォルトのトークンを置き換える権限が必要です。
この権限がない場合は、サブプロセスの作成中に次のエラーが返されることがあります。
"Error creating process: A required privilege is not held by the client"
「プロセスレベルトークンの置き換え」権限は、デフォルトのドメインコントローラのグループポリシーオブジェクトと、ワークステーションおよびサーバーのローカルセキュリティーポリシーで定義されます。この権限をシステムに設定するには、「管理ツール」フォルダの「ローカルセキュリティーポリシー」アプリケーションを開き、「ローカルポリシー」>「ユーザー権利の割り当て」>「プロセスレベルトークンの置き換え」に移動します。
Identity Manager 上で設定する際の注意事項
コネクタサーバーの設定に関する最新情報については、https://identityconnectors.dev.java.net/connector server.html を参照してください。
使用上の注意
ここでは、Active Directory コネクタの使用に関連する依存関係と制限について示します。説明する内容は次のとおりです。
-
パスワード履歴の確認
-
Active Sync の設定
-
パススルー認証用のドメインの指定
パスワード履歴の確認
エンドユーザーが自分のパスワードを変更するときに Active Directory アカウントのパスワード履歴を確認するには、AD パスワードを入力する必要があります。AD リソースでこの機能を有効にするには、「リソースパラメータ」ページで「変更時にユーザーがパスワードを入力」チェックボックスにチェックマークを付け、WS_USER_PASSWORD 属性をタイプを encrypted にしてアカウント属性に追加します。WS_USER_PASSWORD は、Identity Manager ユーザー属性およびリソースユーザー属性として追加する必要があります。
Active Sync の設定
Active Sync は常に同じドメインコントローラに接続する必要があるので、「子ドメインの検索」リソースパラメータが選択されていない場合は、特定のドメインコントローラのホスト名を指定するように LDAP ホスト名を設定します。「子ドメインの検索」オプションが選択されている場合は、「Sync Global Catalog Server」に特定のグローバルカタログサーバーを設定する必要があります。
新しいドメインコントローラに切り替えたときに発生する繰り返しイベントの数を制限する方法については、第 52 章Active Directory Synchronization Failoverを参照してください。
パススルー認証用のドメインの指定
デフォルト設定では、ユーザー ID とパスワードのみを送信することによって、パススルー認証が実現されます。これらの 2 つの属性は、w2k_user および w2k_password として、リソースオブジェクトの XML の AuthnProperties 要素で設定されます。ドメイン指定がない場合は、コネクタサーバーで既知の全ドメインが検索され、ユーザーを含むドメイン内のユーザー認証が試みられます。
信頼されたマルチドメイン環境では、次の 2 つの状況が考えられます。
-
すべてのドメインに同期されたユーザー/パスワードの組み合わせが含まれる。
-
ユーザー/パスワードの組み合わせがドメインに依存する。
ユーザー/パスワードの組み合わせが同期される場合は、Active Directory リソースが共通リソースとなるように設定します。共通リソースの設定については、『Business Administrator's Guide』を参照してください。
グローバルカタログにはフォレスト間の情報は含まれていないため、信頼される複数のドメインと Active Directory フォレストを含む環境では、これらの設定のいずれかを使用した認証に失敗する可能性があります。ドメイン数がロックアウトのしきい値よりも大きい場合は、ユーザーが不正なパスワードを入力すると、ユーザーのドメインでアカウントがロックアウトされる可能性もあります。
ユーザーがドメインに存在し、パスワードが同期されない場合は、ドメインでログインに失敗します。
1 つの Login Module Group で、ドメイン情報用に複数のデータソースを使用することはできません。
セキュリティーに関する注意事項
ここでは、サポートされる接続と特権の環境について説明します。
必要な管理特権
ここでは、必要な Active Directory のアクセス許可とパスワードのリセット権の要件について説明します。
Active Directory アクセス権
Active Directory リソース内で設定する管理アカウントには、Active Directory における適切なアクセス権が必要です。
表 57–1 Active Directory アクセス権
パスワードのリセット
リソースオブジェクトの作成、削除、更新を実行する権限は期待するとおりのものです。アカウントには対応するオブジェクトタイプに対する作成権と削除権が必要で、ユーザーには、更新する必要のあるプロパティーに対する適切な読み取り/書き込み権が必要になります。
パススルー認証
Active Directory (AD) のパススルー認証をサポートするための要件は、次のとおりです。
-
コネクタサーバーをユーザーとして実行するように設定する場合、そのユーザーアカウントには「Act As Operating System」および「走査チェックのバイパス」のユーザー権限が必要です。デフォルトでは、コネクタサーバーはローカルシステムアカウントとして実行され、このアカウントにはこれらの権限はすでに備わっています。また、「走査チェックのバイパス」ユーザー権限は、デフォルトですべてのユーザーに有効になっています。
注 –
ユーザー権限を更新する必要のある場合、更新されたセキュリティーポリシーが伝播されるまでに遅延が生じる可能性があります。ポリシーが伝達されたら、コネクタサーバーを再起動する必要があります。
-
認証されるアカウントには、コネクタサーバーで「ネットワーク経由でコンピュータへアクセス」のユーザー権限が必要です。
コネクタサーバーでは、LogonUser 関数に LOGON32_LOGON_NETWORK ログオンタイプおよび LOGON32_PROVIDER_DEFAULT ログオンプロバイダを設定して、パススルー認証を実行します。LogonUser 関数は、Microsoft Platform Software Development Kit で提供されています。
プロビジョニングに関する注意事項
次の表に、このコネクタのプロビジョニング機能の概要を示します。
表 57–2 プロビジョニング機能|
機能 |
サポート状況 |
|---|---|
|
アカウントの有効化/無効化 |
あり |
|
アカウントの名前の変更 |
あり |
|
パススルー認証 |
あり |
|
前アクションと後アクション |
あり Active Directory リソースは、前アクションと後アクションをサポートしています。これらのアクションは、ユーザーが要求を作成、更新、および削除するときに、コネクタサーバーでバッチスクリプトを使用してアクティビティーを実行します。詳細は、第 50 章リソースへのアクションの追加を参照してください。 |
|
データ読み込みメソッド |
リソースから直接インポート リソースの調整 Active Sync |
アカウント属性
属性の構文 (または型) は、通常、属性がサポートされるかどうかを決定します。一般に、Identity Manager は boolean 型、文字列型、および整数型の構文をサポートします。バイナリ文字列と、それに類似した構文はサポートされていません。
属性構文のサポート
ここでは、サポートされるアカウント構文とサポートされないアカウント構文について説明します。
サポートされる構文
次の表に、Identity Manager でサポートされている Active Directory 構文を示します。
表 57–3 サポートされる構文のリスト|
AD 構文 |
Identity Manager の構文 |
構文 ID |
OM ID |
ADS タイプ |
|---|---|---|---|---|
|
Boolean |
Boolean |
2.5.5.8 |
1 |
ADSTYPE_BOOLEAN |
|
Enumeration |
String |
2.5.5.9 |
10 |
ADSTYPE_INTEGER |
|
Integer |
Int |
2.5.5.9 |
2 |
ADSTYPE_INTEGER |
|
DN String |
String |
2.5.5.1 |
127 |
ADSTYPE_DN_STRING |
|
Presentation Address |
String |
2.5.5.13 |
127 |
ADSTYPE_CASE_IGNORE_STRING |
|
IA5 String |
String |
2.5.5.5 |
22 |
ADSTYPE_PRINTABLE_STRING |
|
Printable String |
String |
2.5.5.5 |
19 |
ADSTYPE_PRINTABLE_STRING |
|
Numeric String |
String |
2.5.5.6 |
18 |
ADSTYPE_NUMERIC_STRING |
|
OID String |
String |
2.5.5.2 |
6 |
ADSTYPE_CASE_IGNORE_STRING |
|
Case Ignore String (teletex) |
String |
2.5.5.4 |
20 人 |
ADSTYPE_CASE_IGNORE_STRING |
|
Unicode String |
String |
2.5.5.12 |
64 |
ADSTYPE_OCTET_STRING |
|
Interval |
String |
2.5.5.16 |
65 |
ADSTYPE_LARGE_INTEGER |
|
LargeInteger |
String |
2.5.5.16 |
65 |
ADSTYPE_LARGE_INTEGER |
サポートされない構文
次の表に、Identity Manager でサポートされない Active Directory 構文を示します。
表 57–4 サポートされない Active Directory の構文|
構文 |
構文 ID |
OM ID |
ADS タイプ |
|---|---|---|---|
|
DN with Unicode string |
2.5.5.14 |
127 |
ADSTYPE_DN_WITH_STRING |
|
DN with binary |
2.5.5.7 |
127 |
ADSTYPE_DN_WITH_BINARY |
|
OR-Name |
2.5.5.7 |
127 |
ADSTYPE_DN_WITH_BINARY |
|
Replica Link |
2.5.5.10 |
127 |
ADSTYPE_OCTET_STRING |
|
NT Security Descriptor |
2.5.5.15 |
66 |
ADSTYPE_NT_SECURITY_DESCRIPTOR |
|
Octet String |
2.5.5.10 |
4 |
ADSTYPE_OCTET_STRING |
|
SID String |
2.5.5.17 |
4 |
ADSTYPE_OCTET_STRING |
|
UTC Time String |
2.5.5.11 |
23 |
ADSTYPE_UTC_TIME |
|
Object(Access-Point) |
2.5.5.14 |
127 |
n/a |
Identity Manager は、Replica Link 構文を使用する jpegPhoto および thumbnailPhoto アカウント属性をサポートしています。これ以外にもサポートされている Replica Link 属性があるかもしれませんが、それらはテストが完了していません。
アカウント属性のサポート
ここでは、Identity Manager によってサポートされる Active Directory アカウント属性とサポートされない Active Directory アカウント属性を説明します。
サポートされるアカウント属性
次の表に、Identity Manager でサポートされるアカウント属性を示します。ほかの属性がサポートされる場合もあります。
これらの属性については、第 6 章Active Directoryを参照してください。
表 57–5 ACCOUNT オブジェクトクラスの属性|
名前 |
属性タイプ |
作成 |
更新 |
複数値の許可 |
|---|---|---|---|---|
|
sAMAccountName |
String |
あり |
なし |
なし |
|
givenName |
String |
あり |
あり |
なし |
|
sn |
String |
あり |
あり |
なし |
|
displayName |
String |
あり |
あり |
なし |
|
|
String |
あり |
あり |
なし |
|
telephoneNumber |
String |
あり |
あり |
なし |
|
employeeID |
String |
あり |
あり |
なし |
|
division |
String |
あり |
あり |
なし |
|
mobile |
String |
あり |
あり |
なし |
|
middleName |
String |
あり |
あり |
なし |
|
description |
String |
あり |
あり |
あり |
|
department |
String |
あり |
あり |
あり |
|
manager |
String |
あり |
あり |
あり |
|
title |
String |
あり |
あり |
あり |
|
initials |
String |
あり |
あり |
あり |
|
co |
String |
あり |
あり |
あり |
|
company |
String |
あり |
あり |
あり |
|
facsimileTelephoneNumber |
String |
あり |
あり |
あり |
|
homePhone |
String |
あり |
あり |
あり |
|
streetAddress |
String |
あり |
あり |
あり |
|
1 |
String |
あり |
あり |
あり |
|
st |
String |
あり |
あり |
あり |
|
postalCode |
String |
あり |
あり |
あり |
|
TerminalServicesInitialProgram |
String |
なし |
なし |
あり |
|
TerminalServicesWorkDirectory |
String |
あり |
あり |
あり |
|
AllowLogon |
Integer |
あり |
あり |
あり |
|
MaxConnectionTime |
Integer |
あり |
あり |
あり |
|
MaxDisconnectionTime |
Integer |
なし |
なし |
あり |
|
MaxIdleTime |
Integer |
あり |
あり |
あり |
|
ConnectClientDrivesAtLogon |
Integer |
なし |
なし |
あり |
|
ConnectClientPrintersAtLogon |
Integer |
なし |
なし |
あり |
|
DefaultToManPrinter |
Integer |
なし |
なし |
あり |
|
BrokenConnectionAction |
Integer |
なし |
なし |
あり |
|
ReconnectionAction |
Integer |
なし |
なし |
あり |
|
EnableRemoteControl |
Integer |
なし |
なし |
あり |
|
TerminalServicesProfilePath |
String |
なし |
なし |
あり |
|
TerminalServicesHomeDirectory |
String |
なし |
なし |
あり |
|
TerminalServicesHomeDrive |
String |
なし |
なし |
あり |
|
uSNChanged |
String |
なし |
なし |
あり |
|
ad_container |
String |
なし |
なし |
あり |
|
otherHomePhone |
String |
あり |
あり |
あり |
|
distinguishedName |
String |
なし |
なし |
あり |
|
objectClass |
String |
なし |
なし |
あり |
|
homeDirectory |
String |
あり |
あり |
あり |
|
PasswordNeverExpires |
Boolean |
あり |
あり |
あり |
表 57–6 GROUP オブジェクトクラスの属性
|
名前 |
属性タイプ |
作成 |
更新 |
複数値の許可 |
|---|---|---|---|---|
|
cn |
String |
なし |
なし |
あり |
|
samAccountName |
String |
あり |
あり |
あり |
|
description |
String |
あり |
あり |
あり |
|
displayName |
String |
なし |
なし |
あり |
|
managedBy |
String |
あり |
あり |
あり |
|
|
String |
あり |
あり |
あり |
|
groupType |
Int |
あり |
あり |
あり |
|
objectClass |
String |
なし |
なし |
あり |
|
member |
String |
なし |
なし |
あり |
|
ad_container |
String |
なし |
なし |
あり |
表 57–7 organizationalUnit オブジェクトクラスの属性
|
名前 |
属性タイプ |
作成 |
更新 |
複数の属性の許可 |
|---|---|---|---|---|
|
ou |
String |
なし |
なし |
なし |
|
displayName |
String |
なし |
なし |
なし |
リソースオブジェクトの管理
Identity Manager は、次の Active Directory オブジェクトをサポートします。
表 57–8 サポートされる Active Directory オブジェクト|
リソースオブェクト |
サポートされる機能 |
管理される属性 |
|---|---|---|
|
Group |
作成、更新、削除 |
cn、samAccountName、description 、managedby、member、mail 、groupType、authOrig、name |
|
DNS Domain |
Find |
dc |
|
Organizational Unit |
作成、削除、検索 |
ou |
|
Container |
作成、削除、検索 |
cn、description |
リソースオブジェクト上で管理できる属性は、一般に、属性構文によって指示することもできます。これらのオブジェクトタイプの属性は、ユーザーアカウントの属性と類似しているので、同じようにサポートされています。
アイデンティティーテンプレート
Windows Active Directory は、階層ベースのリソースです。アイデンティティーテンプレートによって、ユーザーが作成するディレクトリツリー内のデフォルトの場所が指定されます。デフォルトのアイデンティティーテンプレートは次のとおりです。
CN=$fullname$,CN=Users,DC=mydomain,DC=com
デフォルトのテンプレートを有効な値に置き換えてください。
サンプルフォーム
ここでは、Active Directory リソースアダプタに用意されているサンプルフォームの一覧を示します。
組み込みのフォーム
-
Active Directory ActiveSync フォーム
-
Windows Active Directory コンテナ作成フォーム
-
Windows Active Directory グループ作成フォーム
-
Windows Active Directory 組織単位作成フォーム
-
Windows Active Directory Create Person Form
-
Windows Active Directory ユーザー作成フォーム
-
Windows Active Directory コンテナ更新フォーム
-
Windows Active Directory グループ更新フォーム
-
Windows Active Directory 組織単位更新フォーム
-
Windows Active Directory Update Person Form
-
Windows Active Directory ユーザー更新フォーム
その他の利用可能なフォーム
ADUserForm.xml
トラブルシューティング
ログとトレースの情報については、第 56 章アイデンティティーコネクタの概要を参照してください。
- © 2010, Oracle Corporation and/or its affiliates