config.yml
【参考】
config.ymlを変更した場合は、古いキャッシュを削除するためにリカバリーモード(recovery_mode.bat)を1回実行してください。
ログ設定
ログに関する設定項目です。
パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | |
---|---|---|---|---|---|---|---|
log | loglevel |
出力するログのログレベル |
○ |
下記のいずれかの値
|
info |
ログレベルに関しては項目「ログ」をご覧ください |
|
logger | ログの出力先 | eventlog |
eventlog |
Active Directory設定
Active Directoryに関する設定項目です。
パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | |||
---|---|---|---|---|---|---|---|---|---|
ad |
ldap |
server |
addresses |
AD DSのIPアドレス、またはホスト名 複数指定可能 |
○ |
IPアドレス、またはホスト名 |
例1) - ad1.example.co.jp |
||
port |
AD DSが提供するLDAPサービスのポート |
1から65535の値 |
389 |
389 |
|||||
user |
AD DSのログインユーザ |
○ |
DN(識別名) |
'CN=IIJ Taro,CN=Users,DC=example,DC=co,DC=jp' |
|||||
timeout | AD DSとの通信のタイムアウト値 (秒) | 1から36000の値 | 3600 | 10800 | |||||
encryption | AD DSとの通信の暗号化 | none、またはstart_tls | none | 例1)暗号化を利用しない none 例2)STARTTLSを利用する start_tls |
|
||||
verify_mode | AD DSとの通信の暗号化時に証明書を検証する | 下記のいずれかの値
|
false |
true | trueを設定する場合は、ad.ldap.server.addressesに証明書のコモンネームと一致するAD DSのFQDN(またはIPアドレス)を記載してください | ||||
base_dn |
ベース識別名 |
○ |
DN(識別名) | 'DC=example,DC=co,DC=jp' |
|||||
filter | user | ユーザをLDAP searchする場合のフィルタ指定 | ldapsearchで使用できる検索フィルタ(RFC1558準拠)形式 | 'CN=IIJ Taro' | |||||
group | グループをLDAP searchする場合のフィルタ指定 | ldapsearchで使用できる検索フィルタ(RFC1558準拠)形式 | 'CN=IIJ Group' | ||||||
cache_disabled | ADのuSNChanged属性を利用した差分の検出機能を無効にする | 下記のいずれかの値
|
true | false | ad.ldap.filterにmemberOfを含むフィルタを設定する場合はtrueを設定してください |
IIJ IDサーバ設定
IIJ IDサービスのSCIMサーバ接続に関する設定をします。
パラメータ名 |
説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 |
||||
---|---|---|---|---|---|---|---|---|---|---|
iid |
scim |
http |
proxy |
use |
SCIMサーバとの通信にプロキシを使用する |
下記のいずれかの値
|
false | true | ||
address |
プロキシサーバのIPアドレス、もしくはホスト名 |
IPアドレス、またはホスト名 | proxy.example.co.jp | |||||||
port | プロキシサーバのポート番号 |
1 から 65535 の値 |
8080 |
8080 |
||||||
user | プロキシ認証時のユーザ名 | iij-taro | secret.yml の iid.scim.http.proxy.password と併記時に有効 |
|||||||
filter | user | SCIMのユーザ取得時のフィルタルール | SCIMで使用できるフィルタルール(RFC7644準拠) | userName ew "@example.jp" | 詳しくは、「Active Directoryのトポロジーについて」をご覧ください | |||||
group | SCIMのグループ取得時のフィルタルール | SCIMで使用できるフィルタルール(RFC7644準拠) | displayName eq "IIJ IDグループ" | 詳しくは、「Active Directoryのトポロジーについて」をご覧ください |
||||||
server | dial_timeout | SCIMサーバとの通信確立に関するタイムアウト値 | 1から36000の値 | 30 | 60 | |||||
tls_handshake_timeout | SCIMサーバとのTLSハンドシェイクに関するタイムアウト値 | 1から36000の値 | 10 | 60 | ||||||
timeout | SCIMサーバとの通信全体に関するタイムアウト値 | 1から36000の値 | 3600 | 7200 |
IIJ IDユーザ設定
IIJ IDサービスにプロビジョニングするユーザの設定をします。
以下の項目が設定できます。
- デフォルト値(default)
- Active Directoryの属性値(ad_bind)
- 変換(convert)
- 除外条件(exclude)
【参考】
default > ad_bind > convert > exclude の順に処理が行われます。
デフォルト値(default)
ユーザの属性値のデフォルト値を指定します。Active Directoryに該当する属性の値が無い場合は、デフォルト値がIIJ IDサービスにプロビジョニングされます。
パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 | ||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
iid |
scim |
attribute |
user |
default |
preferredLanguage |
言語 |
下記のいずれかの値
|
ja-JP | ja-JP |
|||
timezone |
タイムゾーン |
下記の値のみ
|
Asia/Tokyo | Asia/Tokyo |
||||||||
active |
状態(有効・無効) |
下記のいずれかの値
|
true | true |
||||||||
emails (最大5個までの配列指定) |
primary | このメールアドレスがプライマリかどうか | ○ | 下記のいずれかの値
|
false | primaryに設定できるものは1つのみ | ||||||
phoneNumbers (最大10個までの配列指定) |
display | 電話番号の表示名 | ||||||||||
type | 電話番号のタイプ | "work", "home", "mobile", "fax", "pager", and "other" | ||||||||||
primary | この電話番号がプライマリかどうか | 下記のいずれかの値
|
false | primaryに設定できるものは1つのみ | ||||||||
idTokenClaims |
issuer | 外部IDプロバイダのissuer |
https://idp.example.jp/ | |||||||||
ims (最大10個までの配列指定) |
display | インスタンスメッセンジャーの表示名 |
メッセンジャーA | |||||||||
type | インスタンスメッセンジャーのタイプ |
"aim", "gtalk", "icq", "xmpp", "msn", "skype", "qq", "yahoo", or "other" | ||||||||||
primary | このインスタンスメッセンジャーがプライマリかどうか | 下記のいずれかの値
|
false | primaryに設定できるものは1つのみ |
||||||||
entitlements (最大20個までの配列指定) |
value | ユーザのentitlement |
||||||||||
display | entitlementの表示名 |
|||||||||||
type | entitlementのタイプ |
|||||||||||
primary | このentitlementがプライマリかどうか |
下記のいずれかの値
|
false | primaryに設定できるものは1つのみ | ||||||||
x509Certificates (最大20個までの配列指定) |
display |
X.509証明書の表示名 |
証明書A |
|||||||||
type |
X.509証明書のタイプ |
laptop, smartphone | ||||||||||
primary |
このX.509証明書がプライマリかどうか |
下記のいずれかの値
|
false | primaryに設定できるものは1つのみ |
Active Directoryの属性値(ad_bind)
IIJ IDサービスのユーザに紐付けするActive Directoryの属性を指定します。
デフォルト値が設定されている場合は、ad_bindで指定された属性の値に上書きします。
パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 |
||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
iid |
scim |
attribute |
user |
ad_bind |
externalId |
外部ID(ユーザ) |
○ |
下記のいずれかの値
|
例 1) 例 2) |
配列で指定した場合、配列の先頭の要素が優先して適用されます Active Directoryユーザの該当の属性の値がすべて空、あるいは他のユーザと重複している場合は、ユーザの同期が失敗します |
||
userName |
ID |
○ |
下記のいずれかの値
|
属性値にマルチバイトは利用できません 同期対象のActive Directoryユーザの属性値が空、あるいは重複している場合は、ユーザ同期が失敗します |
||||||||
emails (最大5個までの配列指定) |
value | 通知先メールアドレス | ○ | 下記のいずれかの値
|
例 1) 例 2) - mail |
Active Directoryユーザの該当の属性の値がすべて空の場合は、ユーザ同期が失敗します | ||||||
name |
familyName |
氏名(姓) |
下記のいずれかの値
|
sn |
||||||||
givenName |
氏名(名) |
下記のいずれかの値
|
givenName |
|||||||||
localNames | familyName |
氏名カナ(姓) |
下記のいずれかの値
|
msDS-PhoneticLastName |
属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます | |||||||
givenName |
氏名カナ(名) |
下記のいずれかの値
|
msDS-PhoneticFirstName |
属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます | ||||||||
preferredLanguage | 言語 | 下記の値のみ
|
preferredLanguage | |||||||||
department | 所属 | 下記の値のみ
|
department | |||||||||
title |
役職 |
下記の値のみ
|
title |
|||||||||
active |
状態(有効・無効) |
配列で下記の値などを複数指定可能
|
例1) |
次の属性値が含まれるときに、ユーザを無効と判定します
複数指定した場合は、1つ以上の属性が無効と判定されると、ユーザが無効になります |
||||||||
externalUserName | 外部IDプロバイダでのユーザ名 |
下記の値などを指定可能
|
userPrincipalName | IIJ IDサービスから外部IDプロバイダ(OpenID Connect)に認可リクエストを送る際のlogin_hintの値としても利用されます | ||||||||
idTokenClaims | subject | 外部IDプロバイダでのユニークなID (外部IDプロバイダが発行するIDトークンのsubに対応) |
下記の値などを指定可能
|
- objectGUID | idTokenClaims.subjectは外部IDプロバイダとの認証プロトコルがOpenID Connectの場合に利用されます | |||||||
phoneNumbers (最大10個までの配列指定) |
value | 電話番号 | 下記の値などを指定可能
|
例1) 例2) |
IIJ IDサービスに送信される値はRFC3966のGlobal Numbers形式である必要があります (例: tel:+1-201-555-0123) |
|||||||
ims (最大10個までの配列指定) |
value | インスタンスメッセンジャーのIDなど | ||||||||||
entitlements (最大20個までの配列指定) |
value | ユーザのentitlement | 下記の値などを指定可能
|
userPrincipalName | ||||||||
x509Certificates (最大20個までの配列指定) |
value | X.509証明書 | 下記の値などを指定可能
|
DER形式のBase64エンコードされたX.509証明書である必要があります | ||||||||
downstreamId | アプリケーション連携ID | 下記の値などを指定可能
|
mS-DS-ConsistencyGuid |
*1 sAMAccountName属性、email属性の値はActive Directoryによって一意性が保証されていないため、推奨されません。
*2 sAMAccountName属性はメールアドレス形式ではないため、そのままでは利用できません。convert機能を利用してメールアドレス形式にする必要があります。
*3 proxyAddressesの「SMTP:」「smtp:」プレフィックスに設定された属性値が、プレフィックスを除外した形式ですべてIIJ IDに同期されます。またproxyAddressesがプライマリになるような設定の場合、「SMTP:」(全て大文字)プレフィックスの設定されたメールアドレスがプライマリのメールアドレスに設定されます。
*4 proxyAddressesに複数のメールアドレスが登録されている場合、設定によってはIIJ IDのemails属性に登録できる最大数を超過する可能性があります。超過した場合、プライマリを除いたメールアドレスの中で、アルファベット順で5つ目以降のメールアドレスがIIJ IDに同期されません。
【注意】
Password Syncもあわせて導入する場合には、Directory SyncとPassword Syncで設定するユーザの外部IDが同一になるように設定してください。
【参考】
ここで設定するユーザの外部IDは、Active DirectoryとIIJ IDサービスを紐付ける属性となります。
【参考】
Directory Sync 2.1.0 から「通知先メールアドレス」の指定方法が変わりましたが、以前の設定方法も利用可能です。
新旧の設定を混在させることはできません。
【旧設定】
パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 |
|||||
---|---|---|---|---|---|---|---|---|---|---|---|
iid |
scim |
attribute |
user |
default | emails |
通知先メールアドレス(デフォルト値) | メールアドレス形式の文字列 | iij-taro@mail.example.jp | |||
ad_bind | emails | 通知先メールアドレス(Active Directoryの属性値) | ○ | 下記のいずれかの値
|
属性値が空の場合は、ユーザ同期が失敗します | ||||||
exclude | emails | 通知先メールアドレス(除外条件) | メールアドレス形式の文字列 | - 'iij-jiro@example.co.jp' |
変換(convert)
default、ad_bindで設定された属性値を変換します。
各パラメータごとに、patternに一致する文字をreplacementの文字に置換します。pattern、replacement の値には正規表現を記載できます。設定可能な正規表現については「利用可能な正規表現」をご覧ください。
変換する条件は複数指定可能です。複数指定した場合は記述された条件の順に処理されます。
パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 | ||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
iid | scim | attribute | user | convert | userName |
ID |
例1)ドメイン部を変更します - pattern: '@example.com\z' replacement: '@example.jp'例2)末尾に「"@" + (AD ドメイン名)」を追加します - pattern: '\z' replacement: '@example.jp' |
|||||
externalUserName |
外部 ID プロバイダでのユーザ名 |
例)末尾に「"@" +(AD ドメイン名)」を追加します - pattern: '\z' |
||||||||||
phoneNumbers (最大10個までの配列指定) |
value | 電話番号 | 例1)080-0000-0000などの電話番号をRFC3966のGlobal Numbers形式に変換します - pattern: '\A0' |
除外条件(exclude)
IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したいずれかのパラメータ値と完全一致するユーザは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。
パラメータ名 |
説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
||||||
---|---|---|---|---|---|---|---|---|---|---|---|
iid |
scim |
attribute |
user |
exclude |
userName |
ID | メールアドレス形式の文字列 | 'iij-taro@example.co.jp' | |||
name | familyName |
氏名(姓) | - 'IIJ' |
||||||||
givenName |
氏名(名) | - '太郎' |
|||||||||
emails (最大5個までの配列指定) |
value | 通知先メールアドレス | メールアドレス形式の文字列 | - 'iij-taro@example.co.jp' |
|||||||
localNames | familyName |
氏名カナ(姓) | - 'アイアイジェイ' |
||||||||
givenName |
氏名カナ(名) | - 'タロウ' |
|||||||||
preferredLanguage | 言語 | 'en-US' | |||||||||
department | 所属 | - 'ネットワーク本部' |
|||||||||
title | 役職 | - '係長' |
|||||||||
entitlements (最大20個までの配列指定) |
value | ユーザのentitlement |
IIJ IDグループ設定
IIJ IDサービスにプロビジョニングするグループの設定をします。
以下の項目が設定できます。
- デフォルト値(default)
- Active Directoryの属性値(ad_bind)
- 変換(convert)
- 除外条件(exclude)
【参考】
- default > ad_bind > exclude の順に処理が行われます。
- グループのメールアドレス属性のプロビジョニングはサポートされません。
デフォルト値(default)
パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 |
|||||
---|---|---|---|---|---|---|---|---|---|---|---|
iid |
scim |
attribute |
group |
default |
description | グループの説明 | 関西支社のグループ | ||||
グループのメールアドレス | groupA@example.jp | ||||||||||
groupType | グループタイプ | 下記のいずれかの値
|
security |
Active Directoryの属性値 (ad_bind)
IIJ IDサービスのグループに紐付けする Active Directory の属性を指定します。
パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト | 設定例 |
備考 |
|||||
---|---|---|---|---|---|---|---|---|---|---|---|
iid | scim | attribute | group | ad_bind |
externalId |
外部ID(グループ) | ○ |
下記の値のみ
|
objectGUID | ||
displayName |
グループ名 | ○ |
下記の値のみ
|
name | |||||||
description | グループの説明 | description | |||||||||
グループのメールアドレス | |||||||||||
groupType | グループタイプ | groupType | セキュリティグループが指定されている場合は'security', 配布グループが指定されている場合は'distribution'の文字列に変換してIIJ IDサービスに同期します |
【参考】
ここで設定するグループの外部IDは、Active DirectoryとIIJ IDサービスを紐付ける属性となります。
除外条件(exclude)
IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したいずれかのパラメータ値と完全一致するグループは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。
パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
|||||
---|---|---|---|---|---|---|---|---|---|---|
iid | scim | attribute | group | exclude | externalId |
外部ID(グループ) | abc01234-12ab-12ab-0123-456abc |
|||
displayName |
グループ名 | - GroupD |
||||||||
description | グループの説明 | 関西支社のグループ |
||||||||
グループのメールアドレス | delta.group@example.jp |
|||||||||
groupType | グループタイプ | - security |
SCIMオプション設定
IIJ IDサービスにプロビジョニングするときのオプションを設定します。
base64_disabled
以下のActive Directory属性は、デフォルトでBase64エンコードされて本サービスにプロビジョニングされます。これは、本サービスに直接バイナリ値を同期できないためです。
- mS-DS-ConsistencyGuid
- objectGUID
- objectSID
- userCertificate
ただし、mS-DS-ConsistencyGuid属性にバイナリ値以外が設定されている場合など、Base64エンコードを無効にするには以下のオプションを設定します。
パラメータ名 | 説明 |
必須 |
入力可能な値 |
デフォルト |
設定例 |
備考 | |||
---|---|---|---|---|---|---|---|---|---|
iid | scim | attribute | base64_disabled | Base64エンコードによる変更を無効にするActive Directory属性 | mS-DS-ConsistencyGuid | - mS-DS-ConsistencyGuid |
Azure AD Connectを利用している場合、mS-DS-ConsistencyGuid属性のBase64エンコードを無効にする必要はありません mS-DS-ConsistencyGuid属性にバイナリ値以外が設定されている場合にのみ、Base64エンコードは必要ありません |