config.yml

【参考】

config.ymlを変更した場合は、古いキャッシュを削除するためにリカバリーモード(recovery_mode.bat)を1回実行してください。

ログ設定

ログに関する設定項目です。

パラメータ名説明必須入力可能な値デフォルト設定例備考
log

loglevel

出力するログのログレベル

下記のいずれかの値

  • info
  • warn
  • error

 

info

ログレベルに関しては項目「ログ」をご覧ください

loggerログの出力先 

以下のいずれかの値

  • eventlog
  • syslog
eventlogsyslog

LinuxでDirectory Syncを利用する場合はsyslogを指定してください

 

OpenLDAP設定

OpenLDAPに関する設定項目です。

パラメータ名説明必須入力可能な値デフォルト設定例
ad








ldap

 









server

 

addresses

LDAPサーバのIPアドレス、またはホスト名

複数指定可能

IPアドレス、またはホスト名

 

例1)
- 127.0.0.1
例2)
- ldap1.example.co.jp
- ldap2.example.co.jp

port

LDAPサービスのポート

 

1から65535の値

389

389

user

LDAPサービスのログインユーザ

DN(識別名)

 'CN=IIJ Taro,CN=Users,DC=example,DC=co,DC=jp'
timeoutLDAPサーバとの通信のタイムアウト値 (秒) 1から36000の値360010800
base_dn

ベース識別名

DN(識別名)

 

'DC=example,DC=co,DC=jp'

filteruser

ユーザをLDAP searchする場合のフィルタ指定

 

ldapsearchで使用できる検索フィルタ(RFC1558準拠)

 'CN=IIJ Taro'
group

グループをLDAP searchする場合のフィルタ指定

 

ldapsearchで使用できる検索フィルタ(RFC1558準拠)

 'CN=IIJ Group'
search


userobject_class

ユーザのオブジェクトクラス

 

オブジェクトクラス名

User
  • inetOrgPerson
  • posixAccount
  • など
group

object_class

グループのオブジェクトクラス

 オブジェクトクラス名Group
  • groupOfNames
  • groupOfUniqueNames
  • posixGroup
  • など
member_attribute

グループメンバーが記述されている属性名

 属性名member
  • member
  • uniqueMember
  • memberUid
  • など
member_user_attribute

グループメンバーの属性値にユーザのdn, uidのどちらが指定されているか

 

以下のいずれかの値

  • dn
  • uid
dn
  • dn
  • uid

 

IIJ IDサーバ設定

IIJ IDサービスのSCIMサーバ接続に関する設定項目です。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid




scim




 http


proxy


use

SCIMサーバとの通信にプロキシを使用する

 

下記のいずれかの値

  • true

  • false

falsetrue 

address

プロキシサーバのIPアドレス、もしくはホスト名

 IPアドレス、
またはホスト名
 proxy.example.co.jp 
port

プロキシサーバのポート番号

 

1 から 65535 の値

8080

8080

 
userプロキシ認証時のユーザ名   iij-taro

iid.scim.http.proxy.password(secret.yml)と併記時に有効 

filteruserSCIMのユーザ取得時のフィルタルール 

SCIMで使用できるフィルタルール(RFC7644準拠)

 userName ew "@example.jp" 
groupSCIMのグループ取得時のフィルタルール 

SCIMで使用できるフィルタルール(RFC7644準拠)

 displayName eq "IIJ IDグループ" 

 

IIJ IDユーザ設定

IIJ IDサービスにプロビジョニングするユーザの設定をします。

以下の項目が設定できます。

  • デフォルト値(default)
  • OpenLDAPの属性値(ad_bind)
  • 変換(convert)
  • 除外条件(exclude)
【参考】

default > ad_bind > convert > excludeの順に処理が行われます。

 

デフォルト値(default)

ユーザの属性値のデフォルト値を指定します。OpenLDAPに該当する属性の値が無い場合は、ここで設定したデフォルト値がIIJ IDサービスにプロビジョニングされます。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iid

 scim

 attribute

 user

 default

preferredLanguage

言語

 

下記のいずれかの値

  • ja-JP

  • en-US

ja-JP

ja-JP

 

timezone

タイムゾーン

 

下記の値のみ

  • Asia/Tokyo

Asia/Tokyo

Asia/Tokyo

 

active

状態(有効・無効)

 

下記のいずれかの値

  • true

  • false

true

true

 

emails

(最大2個までの配列指定)

primaryこのメールアドレスがプライマリかどうか 

下記のいずれかの値

  • true

  • false

 falseprimaryに設定できるものは1個のみ

phoneNumbers

(最大10個までの配列指定)



display電話番号の表示名     
type電話番号のタイプ   "work", "home", "mobile", "fax", "pager", and "other" 
primaryこの電話番号がプライマリかどうか 

下記のいずれかの値

  • true

  • false

 falseprimaryに設定できるものは1個のみ
idTokenClaimsissuer外部IDプロバイダのissuer   https://idp.example.jp/ 

ims

(最大10個までの配列指定)



display

インスタンスメッセンジャーの表示名

   メッセンジャーA 
type

インスタンスメッセンジャーのタイプ

   

"aim", "gtalk", "icq", "xmpp", "msn", "skype", "qq", "yahoo", or "other"

 
primary

このインスタンスメッセンジャーがプライマリかどうか

 

下記のいずれかの値

  • true

  • false

 falseprimaryに設定できるものは1個のみ

entitlements

(最大20個までの配列指定)



valueユーザのentitlement     

display

entitlementの表示名     
typeentitlementのタイプ     
primaryこのentitlementがプライマリかどうか 

下記のいずれかの値

  • true

  • false

 false 

x509Certificates

(最大20個までの配列指定)



display

X.509証明書の表示名

   証明書A 
type

X.509証明書のタイプ

   laptop, smartphone 

primary

このX.509証明書がプライマリかどうか

 

下記のいずれかの値

  • true

  • false

 falseprimaryに設定できるものは1個のみ
OpenLDAPの属性値 (ad_bind)

IIJ IDサービスのユーザに紐付けするOpenLDAPの属性を指定します。

デフォルト値が設定されている場合は、ad_bindで指定された属性の値に上書きします。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid









scim









attribute









user









ad_bind









externalId

外部ID(ユーザ)

  
  • employeeNumber
  • mail
  • dn
  • など
属性値が空、あるいは重複している場合は、ユーザ同期が失敗します

userName

ID

 

 

  • employeeNumber
  • mail
  • など

属性値にマルチバイトは利用できません

属性値が空、あるいは重複している場合は、ユーザ同期が失敗します

name

familyName

氏名(姓)

  

 

  • displayName
  • など

属性値が空の場合は、ユーザ同期が失敗します

givenName

氏名(名)

  

 

  • displayName
  • など
属性値が空の場合は、ユーザ同期が失敗します

emails

(最大2個までの配列指定)

value

通知先メールアドレス

  
  • mail
  • など
属性値が空の場合は、ユーザ同期が失敗します
localNames

familyName

氏名カナ(姓)

 

 

 

 

属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます

givenName

氏名カナ(名)

 

 

 

 

属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます
preferredLanguage言語   
  • preferredLanguage
  • など
 
department所属   
  • ou
  • など
 

title

役職

   
  • title
  • など
 

active

状態(有効・無効)

 

  
  • pwdAccountLockedTime
  • など

配列で複数の属性を指定可能

複数指定した場合は、1個以上の属性が無効と判定されると、ユーザが無効になります

属性に値があるときユーザを無効判定します(値の内容は評価しない)

externalUserName

外部IDプロバイダでのユーザ名

   
  • mail
  • など
IIJ IDサービスから外部IDプロバイダ(OpenID Connect)に認可リクエストを送る際のlogin_hintの値としても利用されます
idTokenClaimssubject

外部IDプロバイダでのユニークなID

(外部IDプロバイダが発行するIDトークンのsubに対応)

   
  • mail
  • など
idTokenClaims.subjectは外部IDプロバイダとの認証プロトコルがOpenID Connectの場合に利用されます

phoneNumbers

(最大10個までの配列指定)

value

電話番号   

IIJ IDサービスに送信される値はRFC3966形式である必要があります

(例: tel:+1-201-555-0123)

 

ims

(最大10個までの配列指定)

valueインスタンスメッセンジャーのIDなど     

entitlements

(最大20個までの配列指定)

valueユーザのentitlement   
  • mail

  • など
 

x509Certificates

(最大20個までの配列指定)

valueX.509証明書   

DER形式のBase64エンコードされたX.509証明書である必要があります

 
【参考】

ここで設定する外部ID(ユーザ)は、OpenLDAPとIIJ IDサービスを紐付ける属性となります。

【参考】

Directory Sync 2.1.0 から「通知先メールアドレス」の指定方法が変わりましたが、以前の設定方法も利用可能です。ただし、新旧の設定を混在させることはできません。

【旧設定】

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iidscimattributeuserdefault

emails

通知先メールアドレス(デフォルト値)

 

メールアドレス形式の文字列 iij-taro@mail.example.jp 
    ad_bindemails通知先メールアドレス(OpenLDAPの属性値  
  • mail
  • など
属性値が空の場合は、ユーザ同期が失敗します
    excludeemails通知先メールアドレス(除外条件) メールアドレス形式の文字列 - 'iij-jiro@example.co.jp'
- 'iij-saburo@example.co.jp'
 


変換 (convert)

default, ad_bind で設定された属性値を変換します。

各パラメータごとに、pattern に一致する文字を replacement の文字に置換します。
pattern、replacement の値には正規表現を記載できます。

変換する条件は複数指定可能です。複数指定した場合は記述された条件の順に処理されます。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iidscimattributeuserconvert

phoneNumbers
(最大10個までの配列指定)

 value

電話番号

   

例1)080-0000-0000などの電話番号をRFC3966形式に変換します

- pattern: '\A0'
  replacement: 'tel:+81'

 


除外条件(exclude)

IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したパラメータ値と完全一致するユーザは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iid







scim







attribute







user







exclude







userName

ID

 

メールアドレス形式の文字列 - 'iij-taro@example.co.jp'  
name

familyName

氏名(姓)   - 'IIJ'
- '斉藤'
 

givenName

氏名(名)   - '太郎'
- '次郎' 
 

emails

(最大2個までの配列指定)

value通知先メールアドレス メールアドレス形式の文字列 - 'iij-jiro@example.co.jp'
- 'iij-saburo@example.co.jp' 
 
localNames

familyName

氏名カナ(姓)   - 'アイアイジェイ'
- 'サイトウ' 
 

givenName

氏名カナ(名)   - 'タロウ'
- 'ジロウ' 
 
preferredLanguage言語   - 'en-US' 
department所属   - 'ネットワーク本部'
- 'プロダクト本部' 
 
title役職   - '係長'
- '' 
 

entitlements

(最大20個までの配列指定)

value

ユーザのentitlement

     

 

IIJ IDグループ設定

IIJ IDサービスにプロビジョニングするグループの設定をします。
以下の項目が設定できます。

  • デフォルト値(default)
  • ADの属性値(ad_bind)
  • 除外(exclude)
【参考】

  • default > ad_bind > excludeの順に処理が行われます。
  • グループのメールアドレス属性のプロビジョニングはサポートされません。

 

デフォルト値(default)
パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid

scim

attribute

group

default

descriptionグループの説明   関西支社のグループ 
emailグループのメールアドレス   groupA@example.jp 
groupTypeグループタイプ 

下記のいずれかの値

  • security

  • distribution

 security 

 

OpenLDAPの属性値 (ad_bind)

IIJ IDサービスのグループに紐付けするOpenLDAPの属性を指定します。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iidscimattributegroup

ad_bind

externalId

外部ID(グループ)

属性名

 
  • dn
  • など
 

displayName

グループ名

属性名

 
  • cn
  • など
 
descriptionグループの説明   
  • description
  • など
 
emailグループのメールアドレス     
【参考】

ここで設定する外部ID(グループ)は、OpenLDAPとIIJ IDサービスを紐付ける属性となります。

 

除外条件 (exclude)

IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したパラメータ値と完全一致するグループは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iidscimattributegroupexclude

externalId

外部ID(グループ)   

- abc01234-12ab-12ab-0123-456abc

 

displayName

グループ名   

- GroupD
- GroupA 

 
descriptionグループの説明   

- 関西支社のグループ

 
emailグループのメールアドレス   

- delta.group@example.jp

 
groupTypeグループタイプ   

- security

- distribution