BIMcloud Managerで、LDAPパネルから、1つ以上のディレクトリサービスに接続し、そのサーバーからユーザー/グループの全てまたは一部をインポートできます。接続を作成するには下記の手順で行います。
また、設定手順を動画で確認したい場合は下記も参照ください: BIMcloud LDAP
もくじ
- ディレクトリサービスとの接続を作成する
- 新規サービスに接続
- LDAPサービスに接続する接続の確認
- パラメータマッピングの設定
- フルネームを「姓」「名」の順にするには
- プレビューで確認
- ユーザーフィルタ
- ディレクトリサービスとの接続を確認する際のTIPS
- ディレクトリサービスの接続検証を行う場合の手順
- プレビューをクリックしても正しく内容が表示されない場合
- ユーザークエリ、グループクエリがうまく動作しない場合
- パラメータマッピングの項目には空欄等インポート時にエラーの項目が存在しないようにする
- Active Directoryの階層がループが発生していないか確認する
- 検証中にBIMcloud Managerの動作が重たくなった/反応しなくなった
ディレクトリサービスとの接続を作成する
新規サービスに接続
サーバー>BIMcloud Managerに移動し、LDAPから「新規接続サービスに接続」をクリックします。
LDAPサービスに接続する接続の確認
「新規接続サービスに接続」をクリックすると、下記の画面が表示されます。名前は、認識しやすいような名称を入力します。次に、接続するLDAPサーバーのアドレス、ポート、ユーザー、パスワード、標準識別名を入力します。
- 名前:接続するディレクトリサービスが識別しやすい名前を入力します。
- サーバーアドレス:ディレクトリサービスのアドレス
- SSL接続:SSLの利用の有無
- ポート:ディレクトリサービスのポート
- 承認:チェックを入れるとユーザーとパスワードで認証を行います。
- ユーザー:接続時に認証するユーザー。空白にした場合、認証は行われません。
- パスワード:認証に使用するパスワード。
- 標準識別名:インポートするユーザー/ グループの絞り込みに使用するLDAP 検索条件 。
例えば、下記のように入力します。ユーザー/パスワードを用いて使用し、標準識別名で絞り込みを行い、組織単位(OU)として「Domain Users」以下を検索条件としています。
内容を入力したら、「接続テスト」をクリックして確認します。
「接続テスト」をクリックして、問題がある場合は下記のようにエラーがブラウザ画面上部に表示されます。先ほどの入力内容に間違いがないか、もしくはBIMcloud Manager コンピュータからサーバーアドレスにアクセスできることを確認ください。
パラメータマッピングの設定
上記の接続確認ができたら、次にディレクトリサービスからインポートする要素の設定を行います。
「パラメータマッピング」の左側の三角ボタンを開きます。インポートする際の絞り込みを行うユーザークエリ、グループクエリと、パラメータマッピングの項目が表示されます。
まずは、「ディレクトリタイプ」から「リセット…」の項目がプルダウンになっているので、こちらで接続したいディレクトリサービスを選択します。「Active Directory」と「Open LDAP」とが選択できます。
「Active Directory」を選択すると、下記の項目が自動的に入力されます。
それぞれを選択すると下記のように入力がリセットされます。
Active Directory | Open LDAP | |
ユーザークエリ | (objectClass=user) | (uid={0}) |
グループクエリ | (objectClass=group) | (uid={1}) |
Active Directoryの場合リセットすると、(objectClass=user)と全てのアカウントが対象となってしまいますので、こちらに条件を追加します。BIMcloudと同期する際にエラーとなってしまうと、BIMcloud Managerでは同期を全て取りやめてしまいます。クエリやパラメータマッピングの各項目に取り込めない場合があると同期に失敗してしまいますので、検索条件を絞り込んでインポートください。
例)ユーザークエリでメールアドレスのあるユーザーのみをインポートしたい場合は、ユーザークエリに下記のように記入します。
ユーザークエリ:(&(objectClass=user)(mail=*))
例)メールアドレスのあるユーザーのみをインポートして、次にグループを取り込みたくない場合は下記のようにグループクエリの検索で、例えば(CN=XXX)といった実在しないCNを入力して何も結果が出ないような条件とすると、グループをインポートしないようにできます。
ユーザークエリ:(&(objectClass=user)(mail=*))
グループクエリ:(&(objectClass=group)(CN=XXX)
パラメータマッピングをリセットした場合は、下記となります。マッピングの内容に誤りがあり必須項目の一部が空白がある場合や一意の内容でない場合があると、BIMcloud Managerでは同期を全て取りやめてしまいます。そのため、上記のクエリで検索条件を設定しなおしてください。
Active Directory | Open LDAP | |
グループID(※) | dn | dn |
グループ名 | cn | cn |
メンバー | member | member |
メンバーを識別 | (空欄) | (空欄) |
ユーザーID(※) | dn | dn |
ログイン名 | sAMAccountName | uid |
フルネーム | {{{givenName}}} {{{sn}}} | {{{givenName}}} {{{sn}}} |
メールドレス |
(※)は、ディレクトリサービス内で一意で識別される内容にしてください。
パラメータマッピングの各項目は以下の内容を設定ください。お使いのディレクトリサービスによってはリセットした際に設定される属性が異なる場合がありますので、プレビューで確認し、異なる場合は修正ください。
- グループID:グループの一意のID
- グループ名:グループの名前
- メンバー:グループメンバーのコンマ区切りリスト
- メンバーを識別:(任意)メンバーを識別する場合に使用
- ユーザーID:ユーザーの一意のID
- ログイン名:ユーザーのログイン名
- フルネーム:2 つのLDAP パラメータを組み合わせて1 つのユーザー名にできます(2 つ目の
項目は任意)。 - メールアドレス:ユーザーのメールアドレス
フルネームを「姓」「名」の順にするには
例)フルネームは初期は{givenName}{sn}となっていますが、こちらの場合、「名」「姓」となります。「姓」「名」としたい場合は、下記のように反転させます。
{sn}{givenName}
プレビューで確認
上記の設定を確認するには、「プレビュー」ボタンをクリックして確認します。
プレビューをクリックすると、今までの設定からの結果を確認できます。
左側のプルダウンで「全てを表示」「グループを表示」「ユーザーを表示」を選択できます。右側の検索をクリックして文字列を入力すると表示が絞り込まれます。
プレビューで表示された内容に空白やエラーがないか確認します。エラーがある場合は、BIMcloud Managerでは内容がインポートされないため、再度設定しなおします。
最後に、画面を上部に移動させ、「保存」をクリックして内容を保存します。
ユーザーフィルタ
ディレクトリサービスの接続を設定を保存したら、次にインポートするユーザーのグループとフィルタリングを行います。「ユーザーフィルタ」の「編集」をクリックします。
ユーザーとグループをフィルタしてインポートしたい場合は、「フィルタ」を「選択したユーザーとグループをインポート」を選択します。
次に、「ユーザーとグループの選択」をクリックし、どのユーザー/グループをインポートするか設定します。また同期の間隔をこちらで設定します。
先ほの「プレビュー」の結果と同じような表示がされます。インポートしたいユーザーとグループにマークを付けます。
※)グループを選択した場合、グループ内の全てのメンバーを自動的にインポートする場合は、「自動的にグループメンバーを追加」チェックボックスを有効にします。
チェックが完了した場合は、「保存」をクリックします。
ディレクトリサービスとの同期を定期的に行う場合は、「定期的にディレクトリサービスを同期」にチェックを入れ、同期間隔を設定します。設定間隔は「分」で行いますので、例えば、1日おきに行いたい場合は、60(分)×24(時間)=1440(分)となるので「1440」と入力します。
ユーザーフィルタの「保存」をクリックすると、下記の画面が表示されます。今すぐ同期を行いたい場合は、「いますぐ同期」をクリックします。同期の間隔は「ユーザーフィルタ」を保存したタイミングで間隔が設定されます。
「今すぐ同期」をクリックすると、画面左上のBIMcloud Managerの名称の右側に進捗の図が表示されます。右側の三角をクリックすると状況が確認できます。
同期の結果は、下記の「同期履歴」で確認できます。
ディレクトリサービスとの接続を確認する際のTIPS
ディレクトリサービスとの接続を行う際には、まずどのようなユーザー/グループをインポートするかを確認しましょう。利用されているディレクトリサービスの階層を確認し、同期の検証を行う場合はは、階層の低い箇所から行いましょう。
ディレクトリサービスの接続検証を行う場合の手順
例えば、ディレクトリサービスが下記の図のような階層になっている場合、以下のような方法で確認していくと、インポート時のユーザー/グループが少ない状態から確認を始められます。
- 所員1個人でインポートが可能か
- グループAでインポートが可能か
- グループBでインポートが可能か
- 設計部1で…
プレビューをクリックしても正しく内容が表示されない場合
プレビューをクリックしても、パラメータマッピングの項目で使用しているディレクトリサービスのユーザー名やメールアドレス等が表示されない場合、パラメータマッピングで設定している内容がディレクトリサービスでは使用していない、もしくは別の属性が該当している場合があります。設定した属性に情報があるかどうかを確認ください。
ユーザークエリ、グループクエリがうまく動作しない場合
BIMcloud Managerで入力するユーザークエリ/グループクエリがうまく動作しない場合は、LDAPクエリの確認やフィルタの結果をBIMcloud Managerではなく、LDAP管理ツールを使用すると、結果を直接確認することできます。Active DirectoryにあるLDAPツールや下記のようなLDAPツールを使用するとクエリや検索結果を確認しやすいです。
Softerra LDAP Browser(外部URLへ移動します)
クエリではフィルタ検索ではLDAPのクエリで使用する下記のような項目を使用できます。
= | 等しい |
>= | 以上 |
<= | 以下 |
& | かつ |
| | または |
! | 等しくない |
* | 任意の文字列 |
パラメータマッピングの項目には空欄等インポート時にエラーの項目が存在しないようにする
マッピングの内容に誤りがあり必須項目の一部が空白がある場合や一意の内容でない場合があると、BIMcloud Managerでは同期を全て取りやめてしまいます。そのため、上記のクエリで検索条件を設定しなおしてください。ユーザークエリやグループクエリで「*」を使用し、文字列がある項目のみフィルタするよう設定します。
Active Directoryの階層がループが発生していないか確認する
Active Directoryで複雑な構成を作成している場合、参照がループしてしまう場合があります。例えば、グループがお互いのメンバーになっている場合が該当します。その場合、BIMcloud Managerではインポートがうまくできないため、ユーザークエリ/グループクエリもしくはフィルタにて調整する必要があります。
検証中にBIMcloud Managerの動作が重たくなった/反応しなくなった
ユーザークエリやグループクエリの処理でBIMcloud Managerの動作がおかしくなった場合は、BIMcloud Managerを再起動してください。
エラーが起きた場合は?
1.プレビューで項目にエラーの項目がないか確認する
2.ユーザークエリ、グループクエリでの絞り込みを小さくする
3.ユーザーのみ、グループのみの取り込みにして片方ずつ検証する
4.BIMcloud Managerを再起動する
コメント
0件のコメント
記事コメントは受け付けていません。