config.yml
【参考】
config.ymlを変更した場合は、古いキャッシュを削除するためにリカバリーモード(recovery_mode.sh)を1回実行してください。
ログ設定
ログに関する設定項目です。
| パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | |
|---|---|---|---|---|---|---|---|
| log | loglevel |
出力するログのログレベル |
○ |
下記のいずれかの値
|
info |
ログレベルに関しては項目「ログ」をご覧ください |
|
| logger | ログの出力先 | 以下のいずれかの値
|
eventlog | syslog | LinuxでDirectory Syncを利用する場合はsyslogを指定してください |
||
OpenLDAP設定
OpenLDAPに関する設定項目です。
| パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | ||||
|---|---|---|---|---|---|---|---|---|---|
| ad |
ldap |
server |
addresses |
LDAPサーバのIPアドレス、またはホスト名 複数指定可能 |
○ |
IPアドレス、またはホスト名 |
例1) |
||
| port | LDAPサービスのポート |
1から65535の値 | 389 |
389 |
|||||
| user | LDAPサービスのログインユーザ |
○ |
DN(識別名) |
'CN=IIJ Taro,CN=Users,DC=example,DC=co,DC=jp' | |||||
| timeout | LDAPサーバとの通信のタイムアウト値(秒) | 1から36000の値 | 3600 | 10800 | |||||
| base_dn |
ベース識別名 | ○ |
DN(識別名) |
'DC=example,DC=co,DC=jp' |
|||||
| filter | user | ユーザをLDAP searchする場合のフィルタ指定 |
ldapsearchで使用できる検索フィルタ(RFC1558準拠) |
'CN=IIJ Taro' | |||||
| group | グループをLDAP searchする場合のフィルタ指定 |
ldapsearchで使用できる検索フィルタ(RFC1558準拠) |
'CN=IIJ Group' | ||||||
| search |
user | object_class | ユーザのオブジェクトクラス |
オブジェクトクラス名 |
User |
|
|||
| group |
object_class | グループのオブジェクトクラス |
オブジェクトクラス名 | Group |
|
||||
| member_attribute | グループメンバーが記述されている属性名 |
属性名 | member |
|
|||||
| member_user_attribute | グループメンバーの属性値にユーザのdn, uidのどちらが指定されているか |
以下のいずれかの値
|
dn |
|
|||||
IIJ IDサーバ設定
IIJ IDサービスのSCIMサーバ接続に関する設定項目です。
パラメータ名 |
説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 |
||||
|---|---|---|---|---|---|---|---|---|---|---|
| iid |
scim |
http |
proxy |
use |
SCIMサーバとの通信にプロキシを使用する |
下記のいずれかの値
|
false | true | ||
address |
プロキシサーバのIPアドレス、もしくはホスト名 |
IPアドレス、 またはホスト名 |
proxy.example.co.jp | |||||||
| port | プロキシサーバのポート番号 |
1 から 65535 の値 |
8080 |
8080 |
||||||
| user | プロキシ認証時のユーザ名 | iij-taro | iid.scim.http.proxy.password(secret.yml)と併記時に有効 |
|||||||
| filter | user | SCIMのユーザ取得時のフィルタルール | SCIMで使用できるフィルタルール(RFC7644準拠) |
userName ew "@example.jp" | ||||||
| group | SCIMのグループ取得時のフィルタルール | SCIMで使用できるフィルタルール(RFC7644準拠) |
displayName eq "IIJ IDグループ" | |||||||
| server | dial_timeout | SCIMサーバとの通信確立に関するタイムアウト値 | 1から36000の値 | 30 | 60 | |||||
| tls_handshake_timeout | SCIMサーバとのTLSハンドシェイクに関するタイムアウト値 | 1から36000の値 | 10 | 60 | ||||||
| timeout | SCIMサーバとの通信全体に関するタイムアウト値 | 1から36000の値 | 3600 | 7200 | ||||||
IIJ IDユーザ設定
IIJ IDサービスにプロビジョニングするユーザの設定をします。
以下の項目が設定できます。
- デフォルト値(default)
- OpenLDAPの属性値(ad_bind)
- 変換(convert)
- 除外条件(exclude)
【参考】
default > ad_bind > convert > excludeの順に処理が行われます。
デフォルト値(default)
ユーザの属性値のデフォルト値を指定します。OpenLDAPに該当する属性の値が無い場合は、ここで設定したデフォルト値がIIJ IDサービスにプロビジョニングされます。
| パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| iid |
scim |
attribute |
user |
default |
preferredLanguage |
言語 |
下記のいずれかの値
|
ja-JP | ja-JP |
|||
timezone |
タイムゾーン |
下記の値のみ
|
Asia/Tokyo | Asia/Tokyo |
||||||||
active |
状態(有効・無効) |
下記のいずれかの値
|
true | true |
||||||||
emails (最大2個までの配列指定) |
primary | このメールアドレスがプライマリかどうか | 下記のいずれかの値
|
false | primaryに設定できるものは1個のみ | |||||||
phoneNumbers (最大10個までの配列指定) |
display | 電話番号の表示名 | ||||||||||
| type | 電話番号のタイプ | "work", "home", "mobile", "fax", "pager", and "other" | ||||||||||
| primary | この電話番号がプライマリかどうか | 下記のいずれかの値
|
false | primaryに設定できるものは1個のみ | ||||||||
| idTokenClaims | issuer | 外部IDプロバイダのissuer | https://idp.example.jp/ | |||||||||
ims (最大10個までの配列指定) |
display | インスタンスメッセンジャーの表示名 |
メッセンジャーA | |||||||||
| type | インスタンスメッセンジャーのタイプ |
"aim", "gtalk", "icq", "xmpp", "msn", "skype", "qq", "yahoo", or "other" |
||||||||||
| primary | このインスタンスメッセンジャーがプライマリかどうか |
下記のいずれかの値
|
false | primaryに設定できるものは1個のみ | ||||||||
entitlements (最大20個までの配列指定) |
value | ユーザのentitlement | ||||||||||
display |
entitlementの表示名 | |||||||||||
| type | entitlementのタイプ | |||||||||||
| primary | このentitlementがプライマリかどうか | 下記のいずれかの値
|
false | |||||||||
x509Certificates (最大20個までの配列指定) |
display | X.509証明書の表示名 |
証明書A | |||||||||
| type | X.509証明書のタイプ |
laptop, smartphone | ||||||||||
primary |
このX.509証明書がプライマリかどうか |
下記のいずれかの値
|
false | primaryに設定できるものは1個のみ | ||||||||
OpenLDAPの属性値(ad_bind)
IIJ IDサービスのユーザに紐付けするOpenLDAPの属性を指定します。
デフォルト値が設定されている場合は、ad_bindで指定された属性の値に上書きします。
| パラメータ名 | 説明 |
必須 |
入力可能な値 | デフォルト |
設定例 |
備考 |
||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| iid |
scim |
attribute |
user |
ad_bind |
externalId |
外部ID(ユーザ) |
○ |
|
属性値が空、あるいは重複している場合は、ユーザ同期が失敗します | |||
userName |
ID |
○ |
|
属性値にマルチバイトは利用できません 属性値が空、あるいは重複している場合は、ユーザ同期が失敗します |
||||||||
name |
familyName |
氏名(姓) |
|
属性値が空の場合は、ユーザ同期が失敗します |
||||||||
givenName |
氏名(名) |
|
属性値が空の場合は、ユーザ同期が失敗します | |||||||||
emails (最大2個までの配列指定) |
value |
通知先メールアドレス |
○ |
|
属性値が空の場合は、ユーザ同期が失敗します | |||||||
| localNames | familyName |
氏名カナ(姓) |
属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます | |||||||||
givenName |
氏名カナ(名) |
属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます | ||||||||||
| preferredLanguage | 言語 |
|
||||||||||
| department | 所属 |
|
||||||||||
title |
役職 |
|
||||||||||
active |
状態(有効・無効) |
|
配列で複数の属性を指定可能 複数指定した場合は、1個以上の属性が無効と判定されると、ユーザが無効になります 属性に値があるときにユーザを無効判定します(値の内容は評価しない) |
|||||||||
| externalUserName | 外部IDプロバイダでのユーザ名 |
|
IIJ IDサービスから外部IDプロバイダ(OpenID Connect)に認可リクエストを送る際のlogin_hintの値としても利用されます | |||||||||
| idTokenClaims | subject | 外部IDプロバイダでのユニークなID (外部IDプロバイダが発行するIDトークンのsubに対応) |
|
idTokenClaims.subjectは外部IDプロバイダとの認証プロトコルがOpenID Connectの場合に利用されます | ||||||||
phoneNumbers (最大10個までの配列指定) |
value |
電話番号 | IIJ IDサービスに送信される値はRFC3966形式である必要があります (例: tel:+1-201-555-0123) |
|||||||||
ims (最大10個までの配列指定) |
value | インスタンスメッセンジャーのIDなど | ||||||||||
entitlements (最大20個までの配列指定) |
value | ユーザのentitlement |
|
|||||||||
x509Certificates (最大20個までの配列指定) |
value | X.509証明書 | DER形式のBase64エンコードされたX.509証明書である必要があります |
|||||||||
| downstreamId | アプリケーション連携ID |
|
||||||||||
【参考】
ここで設定する外部ID(ユーザ)は、OpenLDAPとIIJ IDサービスを紐付ける属性となります。
【参考】
Directory Sync 2.1.0 から「通知先メールアドレス」の指定方法が変わりましたが、以前の設定方法も利用可能です。ただし、新旧の設定を混在させることはできません。
【旧設定】
| パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 |
|||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | user | default | emails |
通知先メールアドレス(デフォルト値) | メールアドレス形式の文字列 | iij-taro@mail.example.jp | |||
| ad_bind | emails | 通知先メールアドレス(OpenLDAPの属性値) | ○ |
|
属性値が空の場合は、ユーザ同期が失敗します | ||||||
| exclude | emails | 通知先メールアドレス(除外条件) | メールアドレス形式の文字列 | - 'iij-jiro@example.co.jp' - 'iij-saburo@example.co.jp' |
|||||||
変換 (convert)
default, ad_bind で設定された属性値を変換します。
各パラメータごとに、pattern に一致する文字をreplacementの文字に置換します。
pattern、replacement の値には正規表現を記載できます。設定可能な正規表現について詳しくは「利用可能な正規表現」をご覧ください。
変換する条件は複数指定可能です。複数指定した場合は記述された条件の順に処理されます。
| パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | user | convert | phoneNumbers |
value | 電話番号 |
例1)080-0000-0000などの電話番号をRFC3966形式に変換します - pattern: '\A0' |
||||
除外条件(exclude)
IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したパラメータ値と完全一致するユーザは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。
パラメータ名 |
説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| iid |
scim |
attribute |
user |
exclude |
userName |
ID | メールアドレス形式の文字列 | - 'iij-taro@example.co.jp' | ||||
| name | familyName |
氏名(姓) | - 'IIJ' - '斉藤' |
|||||||||
givenName |
氏名(名) | - '太郎' - '次郎' |
||||||||||
emails (最大2個までの配列指定) |
value | 通知先メールアドレス | メールアドレス形式の文字列 | - 'iij-jiro@example.co.jp' - 'iij-saburo@example.co.jp' |
||||||||
| localNames | familyName |
氏名カナ(姓) | - 'アイアイジェイ' - 'サイトウ' |
|||||||||
givenName |
氏名カナ(名) | - 'タロウ' - 'ジロウ' |
||||||||||
| preferredLanguage | 言語 | - 'en-US' | ||||||||||
| department | 所属 | - 'ネットワーク本部' - 'プロダクト本部' |
||||||||||
| title | 役職 | - '係長' - '' |
||||||||||
entitlements (最大20個までの配列指定) |
value | ユーザのentitlement |
||||||||||
IIJ IDグループ設定
IIJ IDサービスにプロビジョニングするグループの設定をします。
以下の項目が設定できます。
- デフォルト値(default)
- ADの属性値(ad_bind)
- 除外(exclude)
【参考】
- default > ad_bind > excludeの順に処理が行われます。
- グループのメールアドレス属性のプロビジョニングはサポートされません。
デフォルト値(default)
| パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 |
|||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| iid |
scim |
attribute |
group |
default |
description | グループの説明 | 関西支社のグループ | ||||
| グループのメールアドレス | groupA@example.jp | ||||||||||
| groupType | グループタイプ | 下記のいずれかの値
|
security | ||||||||
OpenLDAPの属性値(ad_bind)
IIJ IDサービスのグループに紐付けするOpenLDAPの属性を指定します。
| パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | group | ad_bind |
externalId |
外部ID(グループ) | ○ |
属性名 |
|
||
displayName |
グループ名 | ○ |
属性名 |
|
|||||||
| description | グループの説明 |
|
|||||||||
| グループのメールアドレス | |||||||||||
【参考】
ここで設定する外部ID(グループ)は、OpenLDAPとIIJ IDサービスを紐付ける属性となります。
除外条件(exclude)
IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したパラメータ値と完全一致するグループは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。
| パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | group | exclude | externalId |
外部ID(グループ) | - abc01234-12ab-12ab-0123-456abc |
||||
displayName |
グループ名 | - GroupD |
|||||||||
| description | グループの説明 | - 関西支社のグループ |
|||||||||
| グループのメールアドレス | - delta.group@example.jp |
||||||||||
| groupType | グループタイプ | - security - distribution |
|||||||||