Active Directoryのトポロジーについて

Active Directoryのトポロジーごとの、Directory Syncの設定方法を説明します。

シングルフォレスト・シングルドメイン

Directory Syncを1台のシステムにインストールして、動作させます。

ドメインコントローラを複数用意している場合は、Directory SyncのLDAPサーバ接続先にすべてのドメインコントローラを指定することが出来ます。
LDAPサーバの接続先が複数指定されている場合は、接続が成功したドメインコントローラのうち1つがDirectory Syncの参照先として選ばれます。

システムの冗長化のために複数台にDirectory Syncをインストールした場合は、次のように利用してください。

  • 定期実行は1台のDirectory Syncのみで行ないます。
  • 定期実行するDirectory Syncを変更する場合は、最初にリカバリーモードを実施した上で定期実行を設定します。
マルチフォレスト・マルチドメイン
Active DirectoryのドメインごとにDirectory Syncを動作させる

Active Directoryのドメインごとに、Directory Syncを1台のシステムにインストールして動作させてください。

同一ドメインでドメインコントローラを複数用意している場合は、Directory SyncのLDAPサーバ接続先にすべてのドメインコントローラを指定することができます。
LDAPサーバの接続先が複数指定されている場合は、接続が成功したドメインコントローラのうち1つがDirectory Syncの参照先として選ばれます。

同一ドメインに対してDirectory Syncを複数台で同時に動作させることはできません。複数台で同時にDirectory Syncを動作させると、正常な同期が行われません。

システムの冗長化のために複数台にDirectory Syncをインストールした場合は、次のように設定してください。

  • 定期実行は1台のDirectory Syncのみで行ないます。
  • 定期実行するDirectory Syncを変更する場合は、最初にリカバリーモードを実施した上で定期実行を設定します。
ユーザにSCIMフィルタを設定する

Directory Syncは参照先のドメインコントローラごとに異なるユーザをIIJ IDサービスに同期します。
Directory Syncが定期実行される際に、別のDirectory Syncが作成及び同期したユーザを削除しないようにするために、SCIMフィルタを利用してIIJ IDサービスで同期対象とするユーザを絞り込む必要があります。

以下の例を参考にして、Directory Syncごとに参照先ドメインコントローラに対応するユーザのみをIIJ IDサービスに同期するように、SCIMフィルタを設定してください。

例1)ユーザのIDのドメイン部によるフィルター
ユーザのIDが「example.com」ドメイン、あるいは「example.jp」ドメインのユーザのみを同期対象とします。

 iid:
  scim:
    filter:
      user: 'userName ew "@example.com" or userName ew "@example.jp"'

例2)ユーザの属するグループによるフィルター

グループ名「本社」に属しているユーザのみを同期対象とします。指定された名前のグループは、別のDirectory Syncで同期対象となっていないことが条件です。

iid:
  scim:
    filter:
      user: 'groups.display eq "本社"'

例3)ユーザの所属によるフィルター

所属が「営業部」から始まるユーザのみを同期対象とします。指定された所属は、別のDirectory Syncで同期対象となっていないことが条件です。

iid:
  scim:
    filter:
      user: 'urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.department sw "営業部"'
パラメータ
内容
userNameユーザのID
groups.displayユーザが所属するグループのグループ名
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User.department所属
or論理和
ew属性値が指定された値で終わること
ends withの略
eq属性値が指定された値と一致していること
equalの略
sw属性値が指定された値で始まること
starts withの略
グループにSCIMフィルタを設定する

Directory Syncは参照先のドメインコントローラごとに異なるグループをIIJ IDサービスに同期します。
Directory Syncが定期実行される際に、別のDirectory Syncが作成及び同期したグループを削除しないようにするために、SCIMフィルタを利用してIIJ IDサービスで同期対象とするグループを絞り込む必要があります。

以下の例を参考にして、Directory Syncごとに参照先ドメインコントローラに対応するグループのみをIIJ IDサービスに同期するように、SCIMフィルタを設定してください。

例)グループのdescriptionによるフィルター

iid:
  scim:
    filter:
      group: 'urn:iij:params:scim:schemas:extension:enterprise:2.0:Group.description sw ""'