IIJディレクトリサービス for Microsoftを利用する場合

IIJディレクトリサービス for Microsoftを利用している場合の設定ファイルのサンプルです。

Active Directory(AD)と統合Windows認証で連携する場合は、Directory SyncでexternalUserNameを設定する必要があります。
また、externalUserNameには「(samAccountName) + "@" + (ADドメイン)」となるAD属性値を割り当てる必要があります。

このサンプルでは、externalUserNameにADのuserPrincipalNameを割り当て、IIJ IDサービスに同期します。

【参考】

  • 設定ファイルは参考例です。実際の作業においては、お客様の環境に合わせて設定してください。
  • config.ymlサンプル内の「外部IDプロバイダのIssuer識別子」については、IIJ IDコンソール(https://www.auth.iij.jp/console/)の「システム」 > 「外部IDプロバイダの管理」に表示されます。

config.yml サンプル
log:
  loglevel:                      info

ad:
  ldap:
    server:
      addresses:
                                 - 127.0.0.1
      user:                      'CN=administrator,CN=Users,DC=example,DC=jp'
    base_dn:                     'DC=example,DC=jp'
    filter:
      user:                      'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp'
      group:                     'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp'

iid:
  scim:
    http:
      proxy:
        use:                     true
        address:                 proxy.example.jp
        port:                    8080
        user:                    iij-taro
    attribute:
      user:
        default:
          emails:
            - primary:           true
          idTokenClaims:
            issuer:              [外部IDプロバイダのIssuer識別子 (例: https://asiif-000000000000a.iif.auth.iij.jp/op)]
        ad_bind:
          externalId:            objectGUID
          userName:              userPrincipalName
          name:
            familyName:          sn
            givenName:           givenName
          localNames:
            familyName:          msDS-PhoneticLastName
            givenName:           msDS-PhoneticFirstName
          active:
                                 - userAccountControl
                                 - accountExpires
          externalUserName:      userPrincipalName
          emails:
            - value:             mail
      group:
        ad_bind:
          externalId:            objectGUID
          displayName:           name
          email:                 mail
secret.yml サンプル
 ad:
  ldap:
    server:
      password:   ldap_password

iid:
  scim:
    token:        scim_token
    http:
      proxy:
        password: proxy_password