config.yml

【参考】

config.ymlを変更した場合は、古いキャッシュを削除するためにリカバリーモード(recovery_mode.bat)を1回実行してください。

ログ設定

ログに関する設定項目です。

パラメータ名 説明 必須 入力可能な値 デフォルト 設定例 備考
log

loglevel

出力するログのログレベル

下記のいずれかの値

  • error
  • warn
  • info
  • debug

info

ログレベルに関しては項目「ログ」をご覧ください

logger ログの出力先

eventlog


eventlog


Active Directory設定

Active Directoryに関する設定項目です。

パラメータ名 説明 必須 入力可能な値 デフォルト 設定例 備考
ad




ldap




server

addresses

AD DSのIPアドレス、またはホスト名

複数指定可能

IPアドレス、またはホスト名


例1)
- 127.0.0.1

例2)

- ad1.example.co.jp
- ad2.example.co.jp


port

AD DSが提供するLDAPサービスのポート


1から65535の値

389

389


user

AD DSのログインユーザ

DN(識別名)


'CN=IIJ Taro,CN=Users,DC=example,DC=co,DC=jp'


timeout AD DSとの通信のタイムアウト値 (秒)
1から36000の値 3600 10800
encryption AD DSとの通信の暗号化
none、またはstart_tls none

例1)暗号化を利用しない

none

例2)STARTTLSを利用する

start_tls

  • IIJディレクトリサービス for MicrosoftのActive Directoryでは、現在この項目は利用できません
  • LDAPS通信を利用する場合はstart_tlsを指定してください
verify_mode AD DSとの通信の暗号化時に証明書を検証する

下記のいずれかの値

  • true
  • false

false

true trueを設定する場合は、ad.ldap.server.addressesに証明書のコモンネームと一致するAD DSのFQDN(またはIPアドレス)を記載してください

base_dn

ベース識別名

DN(識別名)


'DC=example,DC=co,DC=jp' 


filter user ユーザをLDAP searchする場合のフィルタ指定
ldapsearchで使用できる検索フィルタ(RFC1558準拠)形式
'CN=IIJ Taro'
group グループをLDAP searchする場合のフィルタ指定
ldapsearchで使用できる検索フィルタ(RFC1558準拠)形式
'CN=IIJ Group'
cache_disabled
ADのuSNChanged属性を利用した差分の検出機能を無効にする

下記のいずれかの値

  • true
  • false
true false ad.ldap.filterにmemberOfを含むフィルタを設定する場合はtrueを設定してください


IIJ IDサーバ設定

IIJ IDサービスのSCIMサーバ接続に関する設定をします。 

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid


  
scim




 http


proxy


use

SCIMサーバとの通信にプロキシを使用する


下記のいずれかの値

  • true

  • false

false true

address

プロキシサーバのIPアドレス、もしくはホスト名


IPアドレス、またはホスト名
proxy.example.co.jp
port

プロキシサーバのポート番号


1 から 65535 の値

8080

8080


user プロキシ認証時のユーザ名 


iij-taro

secret.yml の iid.scim.http.proxy.password と併記時に有効 

filter user  SCIMのユーザ取得時のフィルタルール
SCIMで使用できるフィルタルール(RFC7644準拠)
userName ew "@example.jp" 詳しくは、「Active Directoryのトポロジーについて」をご覧ください
group  SCIMのグループ取得時のフィルタルール
SCIMで使用できるフィルタルール(RFC7644準拠)
displayName eq "IIJ IDグループ"

詳しくは、「Active Directoryのトポロジーについて」をご覧ください

server dial_timeout SCIMサーバとの通信確立に関するタイムアウト値
1から36000の値 30 60
tls_handshake_timeout SCIMサーバとのTLSハンドシェイクに関するタイムアウト値
1から36000の値 10 60
timeout SCIMサーバとの通信全体に関するタイムアウト値
1から36000の値 3600 7200


IIJ IDユーザ設定

IIJ IDサービスにプロビジョニングするユーザの設定をします。
以下の項目が設定できます。

  • デフォルト値(default)
  • Active Directoryの属性値(ad_bind)
  • 変換(convert)
  • 除外条件(exclude)
【参考】

default > ad_bind > convert > exclude の順に処理が行われます。


デフォルト値(default)

ユーザの属性値のデフォルト値を指定します。Active Directoryに該当する属性の値が無い場合は、デフォルト値がIIJ IDサービスにプロビジョニングされます。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iid



 scim



 attribute



 user



 default













preferredLanguage


言語


下記のいずれかの値

  • ja-JP

  • en-US

ja-JP

ja-JP


timezone


タイムゾーン


下記の値のみ

  • Asia/Tokyo

Asia/Tokyo

Asia/Tokyo


active


状態(有効・無効)


下記のいずれかの値

  • true

  • false

true

true


emails

(最大5個までの配列指定)

primary このメールアドレスがプライマリかどうか

下記のいずれかの値

  • true

  • false


false primaryに設定できるものは1つのみ

phoneNumbers

(最大10個までの配列指定)

display 電話番号の表示名




type 電話番号のタイプ


"work", "home", "mobile", "fax", "pager", and "other"
primary この電話番号がプライマリかどうか

下記のいずれかの値

  • true

  • false


false primaryに設定できるものは1つのみ

idTokenClaims

issuer

外部IDプロバイダのissuer




https://idp.example.jp/

ims

(最大10個までの配列指定)



display

インスタンスメッセンジャーの表示名




メッセンジャーA
type

インスタンスメッセンジャーのタイプ




"aim", "gtalk", "icq", "xmpp", "msn", "skype", "qq", "yahoo", or "other"
primary このインスタンスメッセンジャーがプライマリかどうか

下記のいずれかの値

  • true

  • false


false

primaryに設定できるものは1つのみ

entitlements

(最大20個までの配列指定)




value

ユーザのentitlement






display

entitlementの表示名






type

entitlementのタイプ






primary

このentitlementがプライマリかどうか


下記のいずれかの値

  • true

  • false


false primaryに設定できるものは1つのみ

x509Certificates

(最大20個までの配列指定)




display

X.509証明書の表示名




証明書A


type

X.509証明書のタイプ




laptop, smartphone

primary

このX.509証明書がプライマリかどうか


下記のいずれかの値

  • true

  • false


false primaryに設定できるものは1つのみ


Active Directoryの属性値(ad_bind)

IIJ IDサービスのユーザに紐付けするActive Directoryの属性を指定します。
デフォルト値が設定されている場合は、ad_bindで指定された属性の値に上書きします。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid









scim









attribute









user









ad_bind




















externalId

外部ID(ユーザ)

下記のいずれかの値
(ver3.0.0以降は複数指定可能)

  • objectGUID

  • mS-DS-ConsistencyGuid

  • userPrincipalName

  • sAMAccountName *1

  • mail *1


例 1)
- objectGUID

例 2)
- mS-DS-ConsistencyGuid
- objectGUID

配列で指定した場合、配列の先頭の要素が優先して適用されます
要素に指定された属性値が存在しない場合は、次の要素が適用されます

Active Directoryユーザの該当の属性の値がすべて空、あるいは他のユーザと重複している場合は、ユーザの同期が失敗します

userName

ID

下記のいずれかの値

  • userPrincipalName

  • mail

  • sAMAccountName *2


mail

属性値にマルチバイトは利用できません

同期対象のActive Directoryユーザの属性値が空、あるいは重複している場合は、ユーザ同期が失敗します

emails

(最大5個までの配列指定)

value 通知先メールアドレス 下記のいずれかの値
  • userPrincipalName

  • mail

  • mailNickName
  • proxyAddresses *3 *4

例 1)

mail

例 2)

- mail
- proxyAddresses

Active Directoryユーザの該当の属性の値がすべて空の場合は、ユーザ同期が失敗します

name


familyName

氏名(姓)


下記のいずれかの値

  • sn

  • displayName

  • など


sn

 

givenName

氏名(名)


下記のいずれかの値

  • givenName

  • displayName

  • など


givenName

 
localNames

familyName

氏名カナ(姓)


下記のいずれかの値

  • msDS-PhoneticLastName

  • msDS-PhoneticDisplayName


msDS-PhoneticLastName

属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます

givenName

氏名カナ(名)


下記のいずれかの値

  • msDS-PhoneticFirstName

  • msDS-PhoneticDisplayName


msDS-PhoneticFirstName

属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます
preferredLanguage 言語

下記の値のみ

  • preferredLanguage


preferredLanguage
department 所属

下記の値のみ

  • department


department

title

役職


下記の値のみ

  • title


title


active

状態(有効・無効)


配列で下記の値などを複数指定可能

  • userAccountControl

  • accountExpires

  • など

例1)
- userAccountControl

例2)
- userAccountControl
- accountExpires

次の属性値が含まれるときに、ユーザを無効と判定します

  • userAccountControl:アカウントが無効のとき
  • accountExpires:有効期限が切れているとき
  • その他の属性:属性に値があるとき(値の内容は評価しない)

複数指定した場合は、1つ以上の属性が無効と判定されると、ユーザが無効になります

externalUserName

外部IDプロバイダでのユーザ名


下記の値などを指定可能

  • userPrincipalName
  • mail
  • sAMAccountName
  • など

userPrincipalName IIJ IDサービスから外部IDプロバイダ(OpenID Connect)に認可リクエストを送る際のlogin_hintの値としても利用されます
idTokenClaims subject

外部IDプロバイダでのユニークなID

(外部IDプロバイダが発行するIDトークンのsubに対応)


下記の値などを指定可能

  • objectGUID
  • userPrincipalName
  • mail
  • sAMAccountName
  • など

- objectGUID idTokenClaims.subjectは外部IDプロバイダとの認証プロトコルがOpenID Connectの場合に利用されます

phoneNumbers

(最大10個までの配列指定)

value 電話番号

下記の値などを指定可能

  • facsimileTelephoneNumber
  • pager
  • telephoneNumber
  • など

例1)
facsimileTelephoneNumber

例2)
telephoneNumber

IIJ IDサービスに送信される値はRFC3966のGlobal Numbers形式である必要があります

(例: tel:+1-201-555-0123)

ims

(最大10個までの配列指定)

value インスタンスメッセンジャーのIDなど




entitlements

(最大20個までの配列指定)

value ユーザのentitlement

下記の値などを指定可能

  • userPrincipalName

  • sAMAccountName

  • mail

  • など

userPrincipalName

x509Certificates

(最大20個までの配列指定)

value X.509証明書

下記の値などを指定可能

  • userCertificate
  • など


DER形式のBase64エンコードされたX.509証明書である必要があります
downstreamId
アプリケーション連携ID

下記の値などを指定可能

  • mS-DS-ConsistencyGuid
  • など

mS-DS-ConsistencyGuid

*1 sAMAccountName属性、email属性の値はActive Directoryによって一意性が保証されていないため、推奨されません。
*2 sAMAccountName属性はメールアドレス形式ではないため、そのままでは利用できません。convert機能を利用してメールアドレス形式にする必要があります。
*3 proxyAddressesの「SMTP:」「smtp:」プレフィックスに設定された属性値が、プレフィックスを除外した形式ですべてIIJ IDに同期されます。またproxyAddressesがプライマリになるような設定の場合、「SMTP:」(全て大文字)プレフィックスの設定されたメールアドレスがプライマリのメールアドレスに設定されます。
*4 proxyAddressesに複数のメールアドレスが登録されている場合、設定によってはIIJ IDのemails属性に登録できる最大数を超過する可能性があります。超過した場合、プライマリを除いたメールアドレスの中で、アルファベット順で5つ目以降のメールアドレスがIIJ IDに同期されません。

【注意】

Password Syncもあわせて導入する場合には、Directory SyncとPassword Syncで設定するユーザの外部IDが同一になるように設定してください。

【参考】

ここで設定するユーザの外部IDは、Active DirectoryとIIJ IDサービスを紐付ける属性となります。

【参考】

Directory Sync 2.1.0 から「通知先メールアドレス」の指定方法が変わりましたが、以前の設定方法も利用可能です。

新旧の設定を混在させることはできません。

【旧設定】

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid

scim

attribute

user

default

emails

通知先メールアドレス(デフォルト値)


メールアドレス形式の文字列
iij-taro@mail.example.jp
ad_bind emails 通知先メールアドレス(Active Directoryの属性値)

下記のいずれかの値

  • userPrincipalName

  • sAMAccountName

  • mail


mail 属性値が空の場合は、ユーザ同期が失敗します
exclude emails 通知先メールアドレス(除外条件)
メールアドレス形式の文字列

- 'iij-jiro@example.co.jp'
- iij-saburo@example.co.jp'



変換(convert)

default、ad_bindで設定された属性値を変換します。

各パラメータごとに、patternに一致する文字をreplacementの文字に置換します。pattern、replacement の値には正規表現を記載できます。設定可能な正規表現については「利用可能な正規表現」をご覧ください。

変換する条件は複数指定可能です。複数指定した場合は記述された条件の順に処理されます。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iid scim attribute user convert

userName


ID




例1)ドメイン部を変更します

- pattern: '@example.com\z'

  replacement: '@example.jp'

例2)末尾に「"@" + (AD ドメイン名)」を追加します

- pattern: '\z'
  replacement: '@example.jp'

externalUserName


外部 ID プロバイダでのユーザ名




例)末尾に「"@" +(AD ドメイン名)」を追加します

- pattern: '\z'
  replacement: '@example.jp'


phoneNumbers
(最大10個までの配列指定)
value 電話番号


例1)080-0000-0000などの電話番号をRFC3966のGlobal Numbers形式に変換します

- pattern: '\A0'
  replacement: 'tel:+81'



除外条件(exclude)

IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したいずれかのパラメータ値と完全一致するユーザは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

iid







scim







attribute







user







exclude







userName

ID


メールアドレス形式の文字列
'iij-taro@example.co.jp'  
name

familyName

氏名(姓)


- 'IIJ'
- '斉藤'

givenName

氏名(名)


- '太郎'
- '次郎' 

emails
(最大5個までの配列指定)
value 通知先メールアドレス
メールアドレス形式の文字列

- 'iij-taro@example.co.jp'
- 'iij-jiro@example.co.jp'

localNames

familyName

氏名カナ(姓)


- 'アイアイジェイ'
- 'サイトウ' 

givenName

氏名カナ(名)


- 'タロウ'
- 'ジロウ'  

preferredLanguage 言語


'en-US'
department 所属


- 'ネットワーク本部'
- 'プロダクト本部' 

title 役職


- '係長'
'' 

entitlements
(最大20個までの配列指定)
value ユーザのentitlement




IIJ IDグループ設定

IIJ IDサービスにプロビジョニングするグループの設定をします。

以下の項目が設定できます。

  • デフォルト値(default)
  • Active Directoryの属性値(ad_bind)
  • 変換(convert)
  • 除外条件(exclude)
【参考】

  • default > ad_bind > exclude の順に処理が行われます。
  • グループのメールアドレス属性のプロビジョニングはサポートされません。


デフォルト値(default)
パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid

scim

attribute

group

default

description グループの説明


関西支社のグループ
email グループのメールアドレス


groupA@example.jp
groupType グループタイプ

下記のいずれかの値

  • security

  • distribution


security

  

Active Directoryの属性値 (ad_bind)

IIJ IDサービスのグループに紐付けする Active Directory の属性を指定します。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid     scim     attribute     group    

ad_bind

 



  

externalId

外部ID(グループ)

下記の値のみ

  • objectGUID


objectGUID

displayName

グループ名

下記の値のみ

  • name


name
description グループの説明


description
email グループのメールアドレス


mail
groupType グループタイプ


groupType

セキュリティグループが指定されている場合は'security', 配布グループが指定されている場合は'distribution'の文字列に変換してIIJ IDサービスに同期します

【参考】

ここで設定するグループの外部IDは、Active DirectoryとIIJ IDサービスを紐付ける属性となります。


除外条件(exclude)

IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したいずれかのパラメータ値と完全一致するグループは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

iid scim attribute group exclude

externalId

外部ID(グループ)


abc01234-12ab-12ab-0123-456abc

displayName

グループ名


- GroupD
- GroupA

description グループの説明


関西支社のグループ

email グループのメールアドレス


delta.group@example.jp

groupType グループタイプ


- security
- distribution

SCIMオプション設定

IIJ IDサービスにプロビジョニングするときのオプションを設定します。


base64_disabled


以下のActive Directory属性は、デフォルトでBase64エンコードされて本サービスにプロビジョニングされます。これは、本サービスに直接バイナリ値を同期できないためです。


  • mS-DS-ConsistencyGuid
  • objectGUID
  • objectSID
  • userCertificate

ただし、mS-DS-ConsistencyGuid属性にバイナリ値以外が設定されている場合など、Base64エンコードを無効にするには以下のオプションを設定します。


パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iid scim attribute base64_disabled Base64エンコードによる変更を無効にするActive Directory属性
mS-DS-ConsistencyGuid

- mS-DS-ConsistencyGuid

Azure AD Connectを利用している場合、mS-DS-ConsistencyGuid属性のBase64エンコードを無効にする必要はありません
mS-DS-ConsistencyGuid属性にバイナリ値以外が設定されている場合にのみ、Base64エンコードは必要ありません