config.yml

【参考】

config.ymlを変更した場合は、古いキャッシュを削除するためにリカバリーモード(recovery_mode.bat)を1回実行してください。

ログ設定

ログに関する設定項目です。

パラメータ名説明必須入力可能な値デフォルト設定例備考
log

loglevel

出力するログのログレベル

下記のいずれかの値

  • info
  • warn
  • error
 

info

ログレベルに関しては項目「ログ」をご覧ください

loggerログの出力先 

eventlog

 eventlog

 

Active Directory設定

Active Directoryに関する設定項目です。

パラメータ名説明必須入力可能な値デフォルト設定例備考
ad




ldap




server

addresses

AD DSのIPアドレス、またはホスト名

複数指定可能

IPアドレス、またはホスト名

 

例1)
- 127.0.0.1

例2)
- ad1.example.co.jp
- ad2.example.co.jp

 

port

AD DSが提供するLDAPサービスのポート

 

1から65535の値

389

389

 

user

AD DSのログインユーザ

DN(識別名)

 

'CN=IIJ Taro,CN=Users,DC=example,DC=co,DC=jp'

 
timeoutAD DSとの通信のタイムアウト値 (秒) 1から36000の値360010800 
encryptionAD DSとの通信の暗号化 none、またはstart_tlsnone

例1) 暗号化を利用しない

- none

例2) STARTTLSを利用する

- start_tls

  • IIJディレクトリサービス for MicrosoftのActive Directoryでは、現在この項目は利用できません
  • LDAPS通信を利用する場合はstart_tlsを指定してください

base_dn

ベース識別名

DN(識別名)

 

'DC=example,DC=co,DC=jp' 

 
filteruserユーザをLDAP searchする場合のフィルタ指定 ldapsearchで使用できる検索フィルタ(RFC1558準拠)形式 'CN=IIJ Taro' 
groupグループをLDAP searchする場合のフィルタ指定 ldapsearchで使用できる検索フィルタ(RFC1558準拠)形式 'CN=IIJ Group' 

 

IIJ IDサーバ設定

IIJ IDサービスのSCIMサーバ接続に関する設定をします。 

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid


  
scim




 http


proxy


use

SCIMサーバとの通信にプロキシを使用する

 

下記のいずれかの値

  • true

  • false

falsetrue 

address

プロキシサーバのIPアドレス、もしくはホスト名

 IPアドレス、またはホスト名 proxy.example.co.jp 
port

プロキシサーバのポート番号

 

1 から 65535 の値

8080

8080

 
userプロキシ認証時のユーザ名    iij-taro

secret.yml の iid.scim.http.proxy.password と併記時に有効 

filteruser SCIMのユーザ取得時のフィルタルール SCIMで使用できるフィルタルール(RFC7644準拠) userName ew "@example.jp"詳しくは、「Active Directoryのトポロジーについて」をご覧ください
group SCIMのグループ取得時のフィルタルール SCIMで使用できるフィルタルール(RFC7644準拠) displayName eq "IIJ IDグループ"

詳しくは、「Active Directoryのトポロジーについて」をご覧ください

 

IIJ IDユーザ設定

IIJ IDサービスにプロビジョニングするユーザの設定をします。
以下の項目が設定できます。

  • デフォルト値(default)
  • Active Directoryの属性値(ad_bind)
  • 変換(convert)
  • 除外条件(exclude)
【参考】

default > ad_bind > convert > exclude の順に処理が行われます。

 

デフォルト値 (default)

ユーザの属性値のデフォルト値を指定します。Active Directoryに該当する属性の値が無い場合は、デフォルト値がIIJ IDサービスにプロビジョニングされます。

パラメータ名 

説明

必須

入力可能な値

デフォルト

設定例

備考
iid



 scim



 attribute



 user



 default



 

 

 

 

 

 

 

 

 

 

preferredLanguage

 

言語

 

下記のいずれかの値

  • ja-JP

  • en-US

ja-JP

ja-JP

 

timezone

 

タイムゾーン

 

下記の値のみ

  • Asia/Tokyo

Asia/Tokyo

Asia/Tokyo

 

active

 

状態(有効・無効)

 

下記のいずれかの値

  • true

  • false

true

true

 

emails

(最大5個までの配列指定)

primaryこのメールアドレスがプライマリかどうか

下記のいずれかの値

  • true

  • false

 falseprimaryに設定できるものは1つのみ

phoneNumbers

(最大10個までの配列指定)



display電話番号の表示名     
type電話番号のタイプ   "work", "home", "mobile", "fax", "pager", and "other" 
primaryこの電話番号がプライマリかどうか 

下記のいずれかの値

  • true

  • false

 falseprimaryに設定できるものは1つのみ

idTokenClaims

issuer

外部IDプロバイダのissuer

   https://idp.example.jp/ 

ims

(最大10個までの配列指定)



display

インスタンスメッセンジャーの表示名

   メッセンジャーA 
type

インスタンスメッセンジャーのタイプ

   "aim", "gtalk", "icq", "xmpp", "msn", "skype", "qq", "yahoo", or "other" 
primaryこのインスタンスメッセンジャーがプライマリかどうか 

下記のいずれかの値

  • true

  • false

 false

primaryに設定できるものは1つのみ

entitlements

(最大20個までの配列指定)




value

ユーザのentitlement

     
display

entitlementの表示名

     
type

entitlementのタイプ

     
primary

このentitlementがプライマリかどうか

 

下記のいずれかの値

  • true

  • false

 falseprimaryに設定できるものは1つのみ

x509Certificates

(最大20個までの配列指定)




display

X.509証明書の表示名

   

証明書A

 

type

X.509証明書のタイプ

   laptop, smartphone 

primary

このX.509証明書がプライマリかどうか

 

下記のいずれかの値

  • true

  • false

 falseprimaryに設定できるものは1つのみ

 

Active Directoryの属性値 (ad_bind)

IIJ IDサービスのユーザに紐付けするActive Directoryの属性を指定します。
デフォルト値が設定されている場合は、ad_bindで指定された属性の値に上書きします。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid









scim









attribute









user









ad_bind









externalId

外部ID(ユーザ)

下記のいずれかの値

  • objectGUID

  • userPrincipalName

  • sAMAccountName *

  • mail *

 

objectGUID

同期対象のActive Directoryユーザの属性値が空、あるいは重複している場合は、ユーザ同期が失敗します

userName

ID

下記のいずれかの値

  • userPrincipalName

  • mail

 

mail

属性値にマルチバイトは利用できません

同期対象のActive Directoryユーザの属性値が空、あるいは重複している場合は、ユーザ同期が失敗します

emails

(最大5個までの配列指定)

value通知先メールアドレス下記のいずれかの値
  • userPrincipalName

  • mail

 mail 同期対象のActive Directoryユーザの属性値が空、あるいは重複している場合は、ユーザ同期が失敗します

name

 

familyName

氏名(姓)

 

下記のいずれかの値

  • sn

  • displayName

  • など

 

sn

 

givenName

氏名(名)

 

下記のいずれかの値

  • givenName

  • displayName

  • など

 

givenName

 
localNames

familyName

氏名カナ(姓)

 

下記のいずれかの値

  • msDS-PhoneticLastName

  • msDS-PhoneticDisplayName

 

msDS-PhoneticLastName

属性値がひらがなの場合は、カタカナに換してIIJ IDサービスに同期されます

givenName

氏名カナ(名)

 

下記のいずれかの値

  • msDS-PhoneticFirstName

  • msDS-PhoneticDisplayName

 

msDS-PhoneticFirstName

属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます
preferredLanguage言語 

下記の値のみ

  • preferredLanguage

 preferredLanguage 
department所属 

下記の値のみ

  • department

 department 

title

役職

 

下記の値のみ

  • title

 

title

 

active

状態(有効・無効)

 

配列で下記の値などを複数指定可能

  • userAccountControl

  • accountExpires

  • など
 

例1)
- userAccountControl

例2)
- userAccountControl
- accountExpires

次の属性値が含まれるときに、ユーザを無効と判定します

  • userAccountControl:アカウントが無効のとき
  • accountExpires:有効期限が切れているとき
  • その他の属性:属性に値があるとき(値の内容は評価しない)

複数指定した場合は、1つ以上の属性が無効と判定されると、ユーザが無効になります

externalUserName

外部IDプロバイダでのユーザ名

 

下記の値などを指定可能

  • userPrincipalName
  • mail
  • sAMAccountName
  • など
 userPrincipalNameIIJ IDサービスから外部IDプロバイダ(OpenID Connect)に認可リクエストを送る際のlogin_hintの値としても利用されます
idTokenClaimssubject

外部IDプロバイダでのユニークなID

(外部IDプロバイダが発行するIDトークンのsubに対応)

 

下記の値などを指定可能

  • objectGUID
  • userPrincipalName
  • mail
  • sAMAccountName
  • など
 objectGUIDidTokenClaims.subjectは外部IDプロバイダとの認証プロトコルがOpenID Connectの場合に利用されます

phoneNumbers

(最大10個までの配列指定)

value電話番号 

下記の値などを指定可能

  • facsimileTelephoneNumber
  • pager
  • telephoneNumber
  • など
 

例1)
facsimileTelephoneNumber

例2)
telephoneNumber

IIJ IDサービスに送信される値はRFC3966のGlobal Numbers形式である必要があります

(例: tel:+1-201-555-0123)

ims

(最大10個までの配列指定)

valueインスタンスメッセンジャーのIDなど     

entitlements

(最大20個までの配列指定)

valueユーザのentitlement 

下記の値などを指定可能

  • userPrincipalName

  • sAMAccountName

  • mail

  • など
 userPrincipalName 

x509Certificates

(最大20個までの配列指定)

valueX.509証明書 

下記の値などを指定可能

  • userCertificate
  • など
  DER形式のBase64エンコードされたX.509証明書である必要があります

* sAMAccountName属性, email属性の値はActive Directoryによって一意性が保証されていないため、推奨されません。

【注意】

Password Syncもあわせて導入する場合には、Directory SyncとPassword Syncで設定するユーザの外部IDが同一になるように設定してください。

【参考】

ここで設定するユーザの外部IDは、Active DirectoryとIIJ IDサービスを紐付ける属性となります。

【参考】

Directory Sync 2.1.0 から「通知先メールアドレス」の指定方法が変わりましたが、以前の設定方法も利用可能です。

新旧の設定を混在させることはできません。

【旧設定】

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid

scim

attribute

user

default

emails

通知先メールアドレス(デフォルト値)

 

メールアドレス形式の文字列 iij-taro@mail.example.jp 
ad_bindemails通知先メールアドレス(Active Directoryの属性値)

下記のいずれかの値

  • userPrincipalName

  • sAMAccountName

  • mail

 mail属性値が空の場合は、ユーザ同期が失敗します
excludeemails通知先メールアドレス(除外条件) メールアドレス形式の文字列 - 'iij-jiro@example.co.jp'
- 'iij-saburo@example.co.jp'
 


変換 (convert)

default, ad_bind で設定された属性値を変換します。

各パラメータごとに、pattern に一致する文字を replacement の文字に置換します。
pattern、replacement の値には正規表現を記載できます。

変換する条件は複数指定可能です。複数指定した場合は記述された条件の順に処理されます。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考
iidscimattributeuserconvert

externalUserName

 

外部 ID プロバイダでのユーザ名

   

例) 末尾に「"@" + (AD ドメイン名)」を追加します

- pattern: '\z'
  replacement: '@example.jp'

 
     phoneNumbers
(最大10個までの配列指定)
value電話番号   

例1) 080-0000-0000などの電話番号をRFC3966のGlobal Numbers形式に変換します

- pattern: '\A0'
  replacement: 'tel:+81'

 

 

除外条件 (exclude)

IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したいずれかのパラメータ値と完全一致するユーザは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

iid







scim







attribute







user







exclude







userName

ID

 

メールアドレス形式の文字列 - 'iij-taro@example.co.jp'  
name

familyName

氏名(姓)   - 'IIJ'
- '斉藤'

givenName

氏名(名)   - '太郎'
- '次郎' 
emails
(最大5個までの配列指定)
value通知先メールアドレス メールアドレス形式の文字列 - 'iij-taro@example.co.jp'
- 'iij-jiro@example.co.jp'
localNames

familyName

氏名カナ(姓)   - 'アイアイジェイ'
- 'サイトウ' 

givenName

氏名カナ(名)   - 'タロウ'
- 'ジロウ'  
preferredLanguage言語   - 'en-US'
department所属   - 'ネットワーク本部'
- 'プロダクト本部' 
title役職   - '係長'
- '' 
entitlements
(最大20個までの配列指定)
valueユーザのentitlement    

 

IIJ IDグループ設定

IIJ IDサービスにプロビジョニングするグループの設定をします。

以下の項目が設定できます。

  • デフォルト値(default)
  • Active Directoryの属性値(ad_bind)
  • 除外条件(exclude)
【参考】

  • default > ad_bind > exclude の順に処理が行われます。
  • グループのメールアドレス属性のプロビジョニングはサポートされません。

 

デフォルト値(default)
パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid

scim

attribute

group

default

descriptionグループの説明   関西支社のグループ 
emailグループのメールアドレス   groupA@example.jp 
groupTypeグループタイプ 

下記のいずれかの値

  • security

  • distribution

 security 

  

Active Directoryの属性値 (ad_bind)

IIJ IDサービスのグループに紐付けする Active Directory の属性を指定します。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

備考

iid    scim    attribute    group    

ad_bind

 

 


  

externalId

外部ID(グループ)

下記の値のみ

  • objectGUID

 objectGUID 

displayName

グループ名

下記の値のみ

  • name

 name 
descriptionグループの説明   description 
emailグループのメールアドレス   mail 
groupTypeグループタイプ   groupType

セキュリティグループが指定されている場合は'security', 配布グループが指定されている場合は'distribution'の文字列に変換してIIJ IDサービスに同期します

【参考】

ここで設定するグループの外部IDは、Active DirectoryとIIJ IDサービスを紐付ける属性となります。

 

除外条件 (exclude)

IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したいずれかのパラメータ値と完全一致するグループは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。

パラメータ名

説明

必須

入力可能な値

デフォルト

設定例

iidscimattributegroupexclude

externalId

外部ID(グループ)   

- abc01234-12ab-12ab-0123-456abc

displayName

グループ名   

- GroupD
- GroupA

descriptionグループの説明   

- 関西支社のグループ

emailグループのメールアドレス   

- delta.group@example.jp

groupTypeグループタイプ   

- security

- distribution