config.yml
【参考】
config.ymlを変更した場合は、古いキャッシュを削除するためにリカバリーモード(recovery_mode.bat)を1回実行してください。
ログ設定
ログに関する設定項目です。
| パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | |
|---|---|---|---|---|---|---|---|
| log | loglevel | 出力するログのログレベル | ○ | 下記のいずれかの値
| info | ログレベルに関しては項目「ログ」をご覧ください | |
| logger | ログの出力先 | eventlog | eventlog |
| |||
Active Directory設定
Active Directoryに関する設定項目です。
| パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | |||
|---|---|---|---|---|---|---|---|---|---|
| ad | ldap | server | addresses | AD DSのIPアドレス、またはホスト名 複数指定可能 | ○ | IPアドレス、またはホスト名 |
| 例1) | |
port | AD DSが提供するLDAPサービスのポート |
| 1から65535の値 | 389 | 389 | ||||
user | AD DSのログインユーザ | ○ | DN(識別名) |
| 'CN=IIJ Taro,CN=Users,DC=example,DC=co,DC=jp' | ||||
| timeout | AD DSとの通信のタイムアウト値 (秒) | 1から36000の値 | 3600 | 10800 | |||||
| encryption | AD DSとの通信の暗号化 | none、またはstart_tls | none | 例1) 暗号化を利用しない - none 例2) STARTTLSを利用する - start_tls |
| ||||
base_dn | ベース識別名 | ○ | DN(識別名) |
| 'DC=example,DC=co,DC=jp' | ||||
| filter | user | ユーザをLDAP searchする場合のフィルタ指定 | ldapsearchで使用できる検索フィルタ(RFC1558準拠)形式 | 'CN=IIJ Taro' | |||||
| group | グループをLDAP searchする場合のフィルタ指定 | ldapsearchで使用できる検索フィルタ(RFC1558準拠)形式 | 'CN=IIJ Group' | ||||||
IIJ IDサーバ設定
IIJ IDサービスのSCIMサーバ接続に関する設定をします。
パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | ||||
|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | http | proxy | use | SCIMサーバとの通信にプロキシを使用する |
| 下記のいずれかの値
| false | true | |
address | プロキシサーバのIPアドレス、もしくはホスト名 | IPアドレス、またはホスト名 | proxy.example.co.jp | |||||||
| port | プロキシサーバのポート番号 | 1 から 65535 の値 | 8080 | 8080 | ||||||
| user | プロキシ認証時のユーザ名 | iij-taro | secret.yml の iid.scim.http.proxy.password と併記時に有効 | |||||||
| filter | user | SCIMのユーザ取得時のフィルタルール | SCIMで使用できるフィルタルール(RFC7644準拠) | userName ew "@example.jp" | 詳しくは、「Active Directoryのトポロジーについて」をご覧ください | |||||
| group | SCIMのグループ取得時のフィルタルール | SCIMで使用できるフィルタルール(RFC7644準拠) | displayName eq "IIJ IDグループ" | 詳しくは、「Active Directoryのトポロジーについて」をご覧ください | ||||||
IIJ IDユーザ設定
IIJ IDサービスにプロビジョニングするユーザの設定をします。
以下の項目が設定できます。
- デフォルト値(default)
- Active Directoryの属性値(ad_bind)
- 変換(convert)
- 除外条件(exclude)
【参考】
default > ad_bind > convert > exclude の順に処理が行われます。
デフォルト値 (default)
ユーザの属性値のデフォルト値を指定します。Active Directoryに該当する属性の値が無い場合は、デフォルト値がIIJ IDサービスにプロビジョニングされます。
| パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | user | default
| preferredLanguage | 言語 | 下記のいずれかの値
| ja-JP | ja-JP | |||
timezone | タイムゾーン | 下記の値のみ
| Asia/Tokyo | Asia/Tokyo | ||||||||
active | 状態(有効・無効) | 下記のいずれかの値
| true | true | ||||||||
emails (最大5個までの配列指定) | primary | このメールアドレスがプライマリかどうか | ○ | 下記のいずれかの値
| false | primaryに設定できるものは1つのみ | ||||||
phoneNumbers (最大10個までの配列指定) | display | 電話番号の表示名 | ||||||||||
| type | 電話番号のタイプ | "work", "home", "mobile", "fax", "pager", and "other" | ||||||||||
| primary | この電話番号がプライマリかどうか | 下記のいずれかの値
| false | primaryに設定できるものは1つのみ | ||||||||
idTokenClaims | issuer | 外部IDプロバイダのissuer | https://idp.example.jp/ | |||||||||
ims (最大10個までの配列指定) | display | インスタンスメッセンジャーの表示名 | メッセンジャーA | |||||||||
| type | インスタンスメッセンジャーのタイプ | "aim", "gtalk", "icq", "xmpp", "msn", "skype", "qq", "yahoo", or "other" | ||||||||||
| primary | このインスタンスメッセンジャーがプライマリかどうか | 下記のいずれかの値
| false | primaryに設定できるものは1つのみ | ||||||||
entitlements (最大20個までの配列指定) | value | ユーザのentitlement | ||||||||||
| display | entitlementの表示名 | |||||||||||
| type | entitlementのタイプ | |||||||||||
| primary | このentitlementがプライマリかどうか | 下記のいずれかの値
| false | primaryに設定できるものは1つのみ | ||||||||
x509Certificates (最大20個までの配列指定) | display | X.509証明書の表示名 | 証明書A | |||||||||
type | X.509証明書のタイプ | laptop, smartphone | ||||||||||
primary | このX.509証明書がプライマリかどうか | 下記のいずれかの値
| false | primaryに設定できるものは1つのみ | ||||||||
Active Directoryの属性値 (ad_bind)
IIJ IDサービスのユーザに紐付けするActive Directoryの属性を指定します。
デフォルト値が設定されている場合は、ad_bindで指定された属性の値に上書きします。
| パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | user | ad_bind | externalId | 外部ID(ユーザ) | ○ | 下記のいずれかの値
| objectGUID | 同期対象のActive Directoryユーザの属性値が空、あるいは重複している場合は、ユーザ同期が失敗します | ||
userName | ID | ○ | 下記のいずれかの値
|
| 属性値にマルチバイトは利用できません 同期対象のActive Directoryユーザの属性値が空、あるいは重複している場合は、ユーザ同期が失敗します | |||||||
emails (最大5個までの配列指定) | value | 通知先メールアドレス | ○ | 下記のいずれかの値
| 同期対象のActive Directoryユーザの属性値が空、あるいは重複している場合は、ユーザ同期が失敗します | |||||||
name
| familyName | 氏名(姓) | 下記のいずれかの値
|
| sn | |||||||
givenName | 氏名(名) | 下記のいずれかの値
|
| givenName | ||||||||
| localNames | familyName | 氏名カナ(姓) |
| 下記のいずれかの値
|
| msDS-PhoneticLastName | 属性値がひらがなの場合は、カタカナに換してIIJ IDサービスに同期されます | |||||
givenName | 氏名カナ(名) |
| 下記のいずれかの値
|
| msDS-PhoneticFirstName | 属性値がひらがなの場合は、カタカナに変換してIIJ IDサービスに同期されます | ||||||
| preferredLanguage | 言語 | 下記の値のみ
| preferredLanguage | |||||||||
| department | 所属 | 下記の値のみ
| department | |||||||||
title | 役職 | 下記の値のみ
| title | |||||||||
active | 状態(有効・無効) |
| 配列で下記の値などを複数指定可能
| 例1) | 次の属性値が含まれるときに、ユーザを無効と判定します
複数指定した場合は、1つ以上の属性が無効と判定されると、ユーザが無効になります | |||||||
| externalUserName | 外部IDプロバイダでのユーザ名 | 下記の値などを指定可能
| userPrincipalName | IIJ IDサービスから外部IDプロバイダ(OpenID Connect)に認可リクエストを送る際のlogin_hintの値としても利用されます | ||||||||
| idTokenClaims | subject | 外部IDプロバイダでのユニークなID (外部IDプロバイダが発行するIDトークンのsubに対応) | 下記の値などを指定可能
| objectGUID | idTokenClaims.subjectは外部IDプロバイダとの認証プロトコルがOpenID Connectの場合に利用されます | |||||||
phoneNumbers (最大10個までの配列指定) | value | 電話番号 | 下記の値などを指定可能
| 例1) 例2) | IIJ IDサービスに送信される値はRFC3966のGlobal Numbers形式である必要があります (例: tel:+1-201-555-0123) | |||||||
ims (最大10個までの配列指定) | value | インスタンスメッセンジャーのIDなど | ||||||||||
entitlements (最大20個までの配列指定) | value | ユーザのentitlement | 下記の値などを指定可能
| userPrincipalName | ||||||||
x509Certificates (最大20個までの配列指定) | value | X.509証明書 | 下記の値などを指定可能
| DER形式のBase64エンコードされたX.509証明書である必要があります | ||||||||
* sAMAccountName属性, email属性の値はActive Directoryによって一意性が保証されていないため、推奨されません。
【注意】
Password Syncもあわせて導入する場合には、Directory SyncとPassword Syncで設定するユーザの外部IDが同一になるように設定してください。
【参考】
ここで設定するユーザの外部IDは、Active DirectoryとIIJ IDサービスを紐付ける属性となります。
【参考】
Directory Sync 2.1.0 から「通知先メールアドレス」の指定方法が変わりましたが、以前の設定方法も利用可能です。
新旧の設定を混在させることはできません。
【旧設定】
| パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | user | default | emails | 通知先メールアドレス(デフォルト値) |
| メールアドレス形式の文字列 | iij-taro@mail.example.jp | ||
| ad_bind | emails | 通知先メールアドレス(Active Directoryの属性値) | ○ | 下記のいずれかの値
| 属性値が空の場合は、ユーザ同期が失敗します | ||||||
| exclude | emails | 通知先メールアドレス(除外条件) | メールアドレス形式の文字列 | - 'iij-jiro@example.co.jp' - 'iij-saburo@example.co.jp' | |||||||
変換 (convert)
default, ad_bind で設定された属性値を変換します。
各パラメータごとに、pattern に一致する文字を replacement の文字に置換します。
pattern、replacement の値には正規表現を記載できます。
変換する条件は複数指定可能です。複数指定した場合は記述された条件の順に処理されます。
| パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | user | convert | externalUserName | 外部 ID プロバイダでのユーザ名 | 例) 末尾に「"@" + (AD ドメイン名)」を追加します - pattern: '\z' | |||||
| phoneNumbers (最大10個までの配列指定) | value | 電話番号 | 例1) 080-0000-0000などの電話番号をRFC3966のGlobal Numbers形式に変換します - pattern: '\A0' | |||||||||
除外条件 (exclude)
IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したいずれかのパラメータ値と完全一致するユーザは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。
パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | user | exclude | userName | ID |
| メールアドレス形式の文字列 | - 'iij-taro@example.co.jp' | ||
| name | familyName | 氏名(姓) | - 'IIJ' - '斉藤' | ||||||||
givenName | 氏名(名) | - '太郎' - '次郎' | |||||||||
| emails (最大5個までの配列指定) | value | 通知先メールアドレス | メールアドレス形式の文字列 | - 'iij-taro@example.co.jp' - 'iij-jiro@example.co.jp' | |||||||
| localNames | familyName | 氏名カナ(姓) | - 'アイアイジェイ' - 'サイトウ' | ||||||||
givenName | 氏名カナ(名) | - 'タロウ' - 'ジロウ' | |||||||||
| preferredLanguage | 言語 | - 'en-US' | |||||||||
| department | 所属 | - 'ネットワーク本部' - 'プロダクト本部' | |||||||||
| title | 役職 | - '係長' - '' | |||||||||
| entitlements (最大20個までの配列指定) | value | ユーザのentitlement | |||||||||
IIJ IDグループ設定
IIJ IDサービスにプロビジョニングするグループの設定をします。
以下の項目が設定できます。
- デフォルト値(default)
- Active Directoryの属性値(ad_bind)
- 除外条件(exclude)
【参考】
- default > ad_bind > exclude の順に処理が行われます。
- グループのメールアドレス属性のプロビジョニングはサポートされません。
デフォルト値(default)
| パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | group | default | description | グループの説明 | 関西支社のグループ | ||||
| グループのメールアドレス | groupA@example.jp | ||||||||||
| groupType | グループタイプ | 下記のいずれかの値
| security | ||||||||
Active Directoryの属性値 (ad_bind)
IIJ IDサービスのグループに紐付けする Active Directory の属性を指定します。
| パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | 備考 | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | group | ad_bind
| externalId | 外部ID(グループ) | ○ | 下記の値のみ
| objectGUID | ||
displayName | グループ名 | ○ | 下記の値のみ
| name | |||||||
| description | グループの説明 | description | |||||||||
| グループのメールアドレス | |||||||||||
| groupType | グループタイプ | groupType | セキュリティグループが指定されている場合は'security', 配布グループが指定されている場合は'distribution'の文字列に変換してIIJ IDサービスに同期します | ||||||||
【参考】
ここで設定するグループの外部IDは、Active DirectoryとIIJ IDサービスを紐付ける属性となります。
除外条件 (exclude)
IIJ IDサービスへのプロビジョニング対象から除外する条件を指定します。
設定したいずれかのパラメータ値と完全一致するグループは、IIJ IDサービスへのプロビジョニング(作成、更新、削除)が行われなくなります。
除外する条件は複数指定可能です。
| パラメータ名 | 説明 | 必須 | 入力可能な値 | デフォルト | 設定例 | |||||
|---|---|---|---|---|---|---|---|---|---|---|
| iid | scim | attribute | group | exclude | externalId | 外部ID(グループ) | - abc01234-12ab-12ab-0123-456abc | |||
displayName | グループ名 | - GroupD | ||||||||
| description | グループの説明 | - 関西支社のグループ | ||||||||
| グループのメールアドレス | - delta.group@example.jp | |||||||||
| groupType | グループタイプ | - security - distribution | ||||||||