Active Directoryのトポロジーについて
Active Directoryのトポロジーごとの、Directory Syncの設定方法を説明します。
シングルフォレスト・シングルドメイン
Directory Syncを1台のシステムにインストールして、動作させます。
ドメインコントローラを複数用意している場合は、Directory SyncのLDAPサーバ接続先にすべてのドメインコントローラを指定することが出来ます。
LDAPサーバの接続先が複数指定されている場合は、接続が成功したドメインコントローラのうち1つがDirectory Syncの参照先として選ばれます。
システムの冗長化のために複数台にDirectory Syncをインストールした場合は、次のように利用してください。
- 定期実行は1台のDirectory Syncのみで行ないます。
- 定期実行するDirectory Syncを変更する場合は、最初にリカバリーモードを実施した上で定期実行を設定します。
マルチフォレスト・マルチドメイン
Active DirectoryのドメインごとにDirectory Syncを動作させる
Active Directoryのドメインごとに、Directory Syncを1台のシステムにインストールして動作させてください。
同一ドメインでドメインコントローラを複数用意している場合は、Directory SyncのLDAPサーバ接続先にすべてのドメインコントローラを指定することができます。
LDAPサーバの接続先が複数指定されている場合は、接続が成功したドメインコントローラのうち1つがDirectory Syncの参照先として選ばれます。
同一ドメインに対してDirectory Syncを複数台で同時に動作させることはできません。複数台で同時にDirectory Syncを動作させると、正常な同期が行われません。
システムの冗長化のために複数台にDirectory Syncをインストールした場合は、次のように設定してください。
- 定期実行は1台のDirectory Syncのみで行ないます。
- 定期実行するDirectory Syncを変更する場合は、最初にリカバリーモードを実施した上で定期実行を設定します。
ユーザにSCIMフィルタを設定する
Directory Syncは参照先のドメインコントローラごとに異なるユーザをIIJ IDサービスに同期します。
Directory Syncが定期実行される際に、別のDirectory Syncが作成及び同期したユーザを削除しないようにするために、SCIMフィルタを利用してIIJ IDサービスで同期対象とするユーザを絞り込む必要があります。
以下の例を参考にして、Directory Syncごとに参照先ドメインコントローラに対応するユーザのみをIIJ IDサービスに同期するように、SCIMフィルタを設定してください。
例1)ユーザのIDのドメイン部によるフィルター
ユーザのIDが「example.com」ドメイン、あるいは「example.jp」ドメインのユーザのみを同期対象とします。
iid:
scim:
filter:
user: 'userName ew "@example.com" or userName ew "@example.jp"'
例2)ユーザの属するグループによるフィルター
グループ名「本社」に属しているユーザのみを同期対象とします。指定された名前のグループは、別のDirectory Syncで同期対象となっていないことが条件です。
iid:
scim:
filter:
user: 'groups.display eq "本社"'
例3)ユーザの所属によるフィルター
所属が「営業部」から始まるユーザのみを同期対象とします。指定された所属は、別のDirectory Syncで同期対象となっていないことが条件です。
iid:
scim:
filter:
user: 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.department sw "営業部"'
パラメータ | 内容 |
|---|---|
| userName | ユーザのID |
| groups.display | ユーザが所属するグループのグループ名 |
| urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.department | 所属 |
| or | 論理和 |
| ew | 属性値が指定された値で終わること ends withの略 |
| eq | 属性値が指定された値と一致していること equalの略 |
| sw | 属性値が指定された値で始まること starts withの略 |
グループにSCIMフィルタを設定する
Directory Syncは参照先のドメインコントローラごとに異なるグループをIIJ IDサービスに同期します。
Directory Syncが定期実行される際に、別のDirectory Syncが作成及び同期したグループを削除しないようにするために、SCIMフィルタを利用してIIJ IDサービスで同期対象とするグループを絞り込む必要があります。
以下の例を参考にして、Directory Syncごとに参照先ドメインコントローラに対応するグループのみをIIJ IDサービスに同期するように、SCIMフィルタを設定してください。
例)グループのdescriptionによるフィルター
iid:
scim:
filter:
group: 'urn:iij:params:scim:schemas:extension:enterprise:2.0:Group.description eq "example.comドメインのグループ"'
| パラメータ | 内容 |
|---|---|
| displayName | グループ名 |
| urn:iij:params:scim:schemas:extension:enterprise:2.0:Group.description | グループの説明 |
| or | 論理和 |
| ew | 属性値が指定された値で終わること ends withの略 |
| eq | 属性値が指定された値と一致していること equalの略 |
| sw | 属性値が指定された値で始まること starts withの略 |