公開
マニュアル一覧へ

ご契約者向け
マニュアル一覧へ

IIJ IDサービス Directory Sync マニュアル[Linux OpenLDAP版]

config.yml

【参考】

config.ymlを変更した場合は、古いキャッシュを削除するためにリカバリーモード(recovery_mode.bat)を1回実行してください。

ログ設定

ログに関する設定項目です。

パラメータ名説明必須入力可能な値デフォルト設定例備考
log

loglevel

出力するログのログレベル

下記のいずれかの値

  • info
  • warn
  • error


info

ログレベルに関しては項目「ログ」をご覧ください

loggerログの出力先

以下のいずれかの値

  • eventlog
  • syslog
eventlogsyslog

LinuxでDirectory Syncを利用する場合はsyslogを指定してください


OpenLDAP設定

OpenLDAPに関する設定項目です。

パラメータ名説明必須入力可能な値デフォルト設定例
ad








ldap










server


addresses

LDAPサーバのIPアドレス、またはホスト名

複数指定可能

IPアドレス、またはホスト名


例1)
- 127.0.0.1
例2)
- ldap1.example.co.jp
- ldap2.example.co.jp

port

LDAPサービスのポート


1から65535の値

389

389

user

LDAPサービスのログインユーザ

DN(識別名)


'CN=IIJ Taro,CN=Users,DC=example,DC=co,DC=jp'
timeoutLDAPサーバとの通信のタイムアウト値(秒)
1から36000の値360010800
base_dn

ベース識別名

DN(識別名)


'DC=example,DC=co,DC=jp'

filteruser

ユーザをLDAP searchする場合のフィルタ指定


ldapsearchで使用できる検索フィルタ(RFC1558準拠)


'CN=IIJ Taro'
group

グループをLDAP searchする場合のフィルタ指定


ldapsearchで使用できる検索フィルタ(RFC1558準拠)


'CN=IIJ Group'
search


userobject_class

ユーザのオブジェクトクラス


オブジェクトクラス名

User
  • inetOrgPerson
  • posixAccount
  • など
group

object_class

グループのオブジェクトクラス


オブジェクトクラス名Group
  • groupOfNames
  • groupOfUniqueNames
  • posixGroup
  • など
member_attribute

グループメンバーが記述されている属性名


属性名member
  • member
  • uniqueMember
  • memberUid
  • など
member_user_attribute

グループメンバーの属性値にユーザのdn, uidのどちらが指定されているか


以下のいずれかの値

  • dn
  • uid
dn
  • dn
  • uid


IIJ IDサーバ設定

IIJ IDサービスのSCIMサーバ接続に関する設定項目です。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid




scim




 http


proxy


use

SCIMサーバとの通信にプロキシを使用する


下記のいずれかの値

  • true

  • false

falsetrue

address

プロキシサーバのIPアドレス、もしくはホスト名


IPアドレス、
またはホスト名
proxy.example.co.jp
port

プロキシサーバのポート番号


1 から 65535 の値

8080

8080


userプロキシ認証時のユーザ名


iij-taro

iid.scim.http.proxy.password(secret.yml)と併記時に有効 

filteruserSCIMのユーザ取得時のフィルタルール

SCIMで使用できるフィルタルール(RFC7644準拠)


userName ew "@example.jp"
groupSCIMのグループ取得時のフィルタルール

SCIMで使用できるフィルタルール(RFC7644準拠)


displayName eq "IIJ IDグループ"

 

IIJ IDユーザ設定

IIJ IDサービスにプロビジョニングするユーザの設定をします。

以下の項目が設定できます。

  • デフォルト値(default)
  • OpenLDAPの属性値(ad_bind)
  • 変換(convert)
  • 除外条件(exclude)
【参考】

default > ad_bind > convert > excludeの順に処理が行われます。

 

デフォルト値(default)

ユーザの属性値のデフォルト値を指定します。OpenLDAPに該当する属性の値が無い場合は、ここで設定したデフォルト値がIIJ IDサービスにプロビジョニングされます。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iid

 scim

 attribute

 user

 default

preferredLanguage

言語


下記のいずれかの値

  • ja-JP

  • en-US

ja-JP

ja-JP


timezone

タイムゾーン


下記の値のみ

  • Asia/Tokyo

Asia/Tokyo

Asia/Tokyo


active

状態(有効・無効)


下記のいずれかの値

  • true

  • false

true

true


emails

(最大2個までの配列指定)

primaryこのメールアドレスがプライマリかどうか

下記のいずれかの値

  • true

  • false


falseprimaryに設定できるものは1個のみ

phoneNumbers

(最大10個までの配列指定)

display電話番号の表示名




type電話番号のタイプ


"work", "home", "mobile", "fax", "pager", and "other"
primaryこの電話番号がプライマリかどうか

下記のいずれかの値

  • true

  • false


falseprimaryに設定できるものは1個のみ
idTokenClaimsissuer外部IDプロバイダのissuer


https://idp.example.jp/

ims

(最大10個までの配列指定)

display

インスタンスメッセンジャーの表示名




メッセンジャーA
type

インスタンスメッセンジャーのタイプ




"aim", "gtalk", "icq", "xmpp", "msn", "skype", "qq", "yahoo", or "other"


primary

このインスタンスメッセンジャーがプライマリかどうか


下記のいずれかの値

  • true

  • false


falseprimaryに設定できるものは1個のみ

entitlements

(最大20個までの配列指定)

valueユーザのentitlement




display

entitlementの表示名




typeentitlementのタイプ




primaryこのentitlementがプライマリかどうか

下記のいずれかの値

  • true

  • false


false

x509Certificates

(最大20個までの配列指定)

display

X.509証明書の表示名




証明書A
type

X.509証明書のタイプ




laptop, smartphone

primary

このX.509証明書がプライマリかどうか


下記のいずれかの値

  • true

  • false


falseprimaryに設定できるものは1個のみ
OpenLDAPの属性値(ad_bind)

IIJ IDサービスのユーザに紐付けするOpenLDAPの属性を指定します。

デフォルト値が設定されている場合は、ad_bindで指定された属性の値に上書きします。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid









scim









attribute









user









ad_bind









externalId

外部ID(ユーザ)



  • employeeNumber
  • mail
  • dn
  • など
属性値が空、あるいは重複している場合は、ユーザ同期が失敗します

userName

ID



  • employeeNumber
  • mail
  • など

属性値にマルチバイトは利用できません

属性値が空、あるいは重複している場合は、ユーザ同期が失敗します

name

familyName

氏名(姓)




  • displayName
  • など

属性値が空の場合は、ユーザ同期が失敗します

givenName

氏名(名)




  • displayName
  • など
属性値が空の場合は、ユーザ同期が失敗します

emails

(最大2個までの配列指定)

value

通知先メールアドレス



  • mail
  • など
属性値が空の場合は、ユーザ同期が失敗します
localNames

familyName

氏名カナ(姓)





属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます

givenName

氏名カナ(名)





属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます
preferredLanguage言語


  • preferredLanguage
  • など

department所属


  • ou
  • など

title

役職




  • title
  • など

active

状態(有効・無効)




  • pwdAccountLockedTime
  • など

配列で複数の属性を指定可能

複数指定した場合は、1個以上の属性が無効と判定されると、ユーザが無効になります

属性に値があるときユーザを無効判定します(値の内容は評価しない)

externalUserName

外部IDプロバイダでのユーザ名




  • mail
  • など
IIJ IDサービスから外部IDプロバイダ(OpenID Connect)に認可リクエストを送る際のlogin_hintの値としても利用されます
idTokenClaimssubject

外部IDプロバイダでのユニークなID

(外部IDプロバイダが発行するIDトークンのsubに対応)




  • mail
  • など
idTokenClaims.subjectは外部IDプロバイダとの認証プロトコルがOpenID Connectの場合に利用されます

phoneNumbers

(最大10個までの配列指定)

value

電話番号


IIJ IDサービスに送信される値はRFC3966形式である必要があります

(例: tel:+1-201-555-0123)


ims

(最大10個までの配列指定)

valueインスタンスメッセンジャーのIDなど




entitlements

(最大20個までの配列指定)

valueユーザのentitlement


  • mail

  • など

x509Certificates

(最大20個までの配列指定)

valueX.509証明書


DER形式のBase64エンコードされたX.509証明書である必要があります


【参考】

ここで設定する外部ID(ユーザ)は、OpenLDAPとIIJ IDサービスを紐付ける属性となります。

【参考】

Directory Sync 2.1.0 から「通知先メールアドレス」の指定方法が変わりましたが、以前の設定方法も利用可能です。ただし、新旧の設定を混在させることはできません。

【旧設定】

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iidscimattributeuserdefault

emails

通知先メールアドレス(デフォルト値)


メールアドレス形式の文字列
iij-taro@mail.example.jp




ad_bindemails通知先メールアドレス(OpenLDAPの属性値

  • mail
  • など
属性値が空の場合は、ユーザ同期が失敗します




excludeemails通知先メールアドレス(除外条件)
メールアドレス形式の文字列
- 'iij-jiro@example.co.jp'
- 'iij-saburo@example.co.jp'


変換 (convert)

default, ad_bind で設定された属性値を変換します。

各パラメータごとに、pattern に一致する文字をreplacementの文字に置換します。
pattern、replacement の値には正規表現を記載できます。設定可能な正規表現について詳しくは「利用可能な正規表現」をご覧ください。

変換する条件は複数指定可能です。複数指定した場合は記述された条件の順に処理されます。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iidscimattributeuserconvert

phoneNumbers
(最大10個までの配列指定)

 value

電話番号




例1)080-0000-0000などの電話番号をRFC3966形式に変換します

- pattern: '\A0'
  replacement: 'tel:+81'



除外条件(exclude)

IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したパラメータ値と完全一致するユーザは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iid







scim







attribute







user







exclude







userName

ID


メールアドレス形式の文字列
- 'iij-taro@example.co.jp' 
name

familyName

氏名(姓)


- 'IIJ'
- '斉藤'

givenName

氏名(名)


- '太郎'
- '次郎' 

emails

(最大2個までの配列指定)

value通知先メールアドレス
メールアドレス形式の文字列
- 'iij-jiro@example.co.jp'
- 'iij-saburo@example.co.jp' 
localNames

familyName

氏名カナ(姓)


- 'アイアイジェイ'
- 'サイトウ' 

givenName

氏名カナ(名)


- 'タロウ'
- 'ジロウ' 
preferredLanguage言語


- 'en-US'
department所属


- 'ネットワーク本部'
- 'プロダクト本部' 
title役職


- '係長'
- '' 

entitlements

(最大20個までの配列指定)

value

ユーザのentitlement







IIJ IDグループ設定

IIJ IDサービスにプロビジョニングするグループの設定をします。
以下の項目が設定できます。

  • デフォルト値(default)
  • ADの属性値(ad_bind)
  • 除外(exclude)
【参考】

  • default > ad_bind > excludeの順に処理が行われます。
  • グループのメールアドレス属性のプロビジョニングはサポートされません。


デフォルト値(default)
パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid

scim

attribute

group

default

descriptionグループの説明


関西支社のグループ
emailグループのメールアドレス


groupA@example.jp
groupTypeグループタイプ

下記のいずれかの値

  • security

  • distribution


security


OpenLDAPの属性値(ad_bind)

IIJ IDサービスのグループに紐付けするOpenLDAPの属性を指定します。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iidscimattributegroup

ad_bind

externalId

外部ID(グループ)

属性名


  • dn
  • など

displayName

グループ名

属性名


  • cn
  • など

descriptionグループの説明


  • description
  • など

emailグループのメールアドレス




【参考】

ここで設定する外部ID(グループ)は、OpenLDAPとIIJ IDサービスを紐付ける属性となります。

 

除外条件(exclude)

IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したパラメータ値と完全一致するグループは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iidscimattributegroupexclude

externalId

外部ID(グループ)


- abc01234-12ab-12ab-0123-456abc


displayName

グループ名


- GroupD
- GroupA 


descriptionグループの説明


- 関西支社のグループ


emailグループのメールアドレス


- delta.group@example.jp


groupTypeグループタイプ


- security

- distribution