SHIELD ID ユーザー/グループ インバウンド プロビジョニング 方法
インバウンドプロビジョニング(同期)は、Security365管理センターで行われます。
同期方法の概要
SHIELD IDは次の3つのソースからユーザー/グループ情報を同期できます:
- MS Azure- Microsoft 365 環境のユーザー/グループ
- SCIサーバー- SCIサーバーのユーザー/グループ情報
- ローカル Active Directory- オンプレミス AD/LDAP サーバー
各同期方法は次の共通ステップに従います:
- Security365管理センターに管理者としてログイン
- [設定] → [インバウンドプロビジョニング] タブに移動
- 該当の同期設定を選択し、構成します。
- 同期の実行と結果の確認
Microsoftの同期
Microsoftの設定方法
- Microsoft365の同期設定を選択します。
- 同期方式を選択します:
- 全体グループの同期すべてのグループとユーザーの同期
- 部分グループ同期: 特定のグループとサブグループのみを同期する
- 設定を保存して同期を実行します。
同期オプション
全体グループの同期
- Microsoft 365のすべてのグループとそのグループに所属するユーザーを同期します。
- (✔️ オプション) 人事連携後、ログページでユーザー所属グループのパスを確認する
部分グループ同期
- 特定のグループとその下に属するすべてのグループ、そしてそれらのグループに属するユーザーのみを同期します。
- 必要なグループだけを選択して同期範囲を制限できます。
SCIサーバーの同期
SCIサーバーの設定方法
- SCIサーバーアカウント同期設定を選択します。
- 次の情報を入力します:
- SCIサーバーIP、ポートユーザー/グループ情報を取得するサービスアドレス
- ドメイン: SCIサーバーIDの後に付けるドメイン情報
- 設定を保存して同期を実行します。
主要設定項目
| 項目 | 説明 | 備考 |
|---|---|---|
| SCIサーバーIP、ポート | ユーザー/グループ情報サービスアドレス | SCIサーバーのIPではなく、サービスアドレスです。 |
| ドメイン | SCIサーバーIDに追加するドメイン | SHIELD IDはメール形式のIDのみをサポートしています。 |
参考SCIサーバーIDは通常、メール形式ではないため、ドメイン情報を追加してメール形式に変換する必要があります。
例: ドメインをsoftcamp.co.krに設定するとgdhongIDが __PH_0__gdhong@softcamp.co.krに保存されます。
ローカル Active Directory の同期
ローカル Active Directory の設定方法
- ローカル Active Directory 同期設定を選択します。
- 連携に必要な設定項目を構成します。
- 設定を保存して同期を実行します。
設定項目
※ すべての項目は必須入力項目です。
Server Configuration
| 項目 | 説明 | 備考 |
|---|---|---|
| Server Type | ディレクトリサーバーの種類 | Active Directory(デフォルト): Microsoft AD サーバー LDAP: OpenLDAP、ApacheDS などの汎用サーバー |
| Server URL | サーバーアドレス | LDAPまたはLDAPSプロトコルで通信 |
| Base DN | ディレクトリ検索開始地点 | DC: ドメインコンポーネント (ドメイン構成要素) DN: 識別名 (オブジェクト全体のパス) |
Administrator Authentication
| 項目 | 説明 | 備考 |
|---|---|---|
| Admin ID | ADサーバーにアクセスするアカウント | 例: cn=Administrator,dc=softcamp,dc=co,dc=kr |
| Admin Password | 上記アカウントのパスワード | 暗号化保存 |
Search Options Configuration
| 項目 | 説明 | 備考 |
|---|---|---|
| Search Scope | 検索するアカウント/グループの範囲設定 | ONELEVEL(デフォルト): 指定されたDNの下の1階層のみを検索 SUBTREE: すべてのサブツリーを検索 |
| Page Size | LDAPページング単位 | 推奨: 500~1000 |
| Referral | 外部ドメイン接続の許可可否 | FOLLOW(デフォルト): 外部ドメインを追跡 IGNORE: 無視 |
| Connection Timeout | サーバー接続試行最大時間(ms) | 例: 3000 |
| Read Timeout | 応答受信待機時間(ms) | 例: 3000 |
User Search Configuration
| 項目 | 説明 | 備考 |
|---|---|---|
| Base DN | ユーザーアカウントが存在するOU DN | 例: ou=Users,dc=softcamp,dc=co,dc=kr |
| Mapping Filter | ユーザーオブジェクトフィルター | AD 例: (&(objectClass=person)(objectCategory=user)) LDAP 例: (objectClass=inetOrgPerson) |
| Login Filter | ログインに使用する属性 | AD: sAMAccountName LDAP: uid |
| ID Attribute | 内部識別用ユニークID | 例: employeeNumber, uid |
| Name Attribute | ユーザー名属性 | 例: cn, displayName |
| Relative DN Attribute | ユーザーDNの最後の構成属性 | 例: cn |
| Email Attribute | メール属性 | AD: userPrincipalName LDAP: mail |
Group Search Configuration
| 項目 | 説明 | 備考 |
|---|---|---|
| グループマッピングの使用有無 | グループ情報の同期を有効にするを選択 | 使用する 使用しない(デフォルト値) |
| Group Base DN | グループ検索開始位置 | 例: ou=Groups,dc=softcamp,dc=co,dc=kr |
| Group Mapping Filter | グループ対象フィルター | AD: (objectClass=group) LDAP: (objectClass=groupOfNames) |
| Group Name Attribute | グループ名属性 | 例: cn |
| Group Description Attribute | グループ説明属性 | 例: description |
| Group Member Attribute | グループメンバー属性 | AD: member LDAP: uniqueMember |
共通設定
スケジューリング同期設定
- 自動同期作業を特定の時間に毎日自動的に実行するには、自動同期周期設定を有効にします。
- デフォルト値: 使用しない
- 開始時間を選択します。
- 午前00:00 ~ 午後23:50まで10分単位で選択可能です
- 保存ボタンをクリックします。
同期結果の確認
同期完了後、次のメニューから結果を確認できます:
- [ユーザー]: 同期されたユーザーリストの確認
- [グループ]: 同期され��たグループリストの確認