IIJディレクトリサービス for Microsoftを利用する場合
IIJディレクトリサービス for Microsoftを利用している場合の設定ファイルのサンプルです。
Active Directory(AD)と統合Windows認証で連携する場合は、Directory SyncでexternalUserNameを設定する必要があります。
また、externalUserNameには「(samAccountName) + "@" + (ADドメイン)」となるAD属性値を割り当てる必要があります。
このサンプルでは、externalUserNameにADのuserPrincipalNameを割り当て、IIJ IDサービスに同期します。
【参考】
- 設定ファイルは参考例です。実際の作業においては、お客様の環境に合わせて設定してください。
- config.ymlサンプル内の「外部IDプロバイダのIssuer識別子」については、IIJ IDコンソール(https://www.auth.iij.jp/console/)の「システム」 > 「外部IDプロバイダの管理」に表示されます。
config.yml サンプル
log: loglevel: info ad: ldap: server: addresses: - 127.0.0.1 user: 'CN=administrator,CN=Users,DC=example,DC=jp' base_dn: 'DC=example,DC=jp' filter: user: 'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp' group: 'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp' iid: scim: http: proxy: use: true address: proxy.example.jp port: 8080 user: iij-taro attribute: user: default: emails: - primary: true idTokenClaims: issuer: [外部IDプロバイダのIssuer識別子 (例: https://asiif-000000000000a.iif.auth.iij.jp/op)] ad_bind: externalId: objectGUID userName: userPrincipalName name: familyName: sn givenName: givenName localNames: familyName: msDS-PhoneticLastName givenName: msDS-PhoneticFirstName active: - userAccountControl - accountExpires externalUserName: userPrincipalName emails: - value: mail group: ad_bind: externalId: objectGUID displayName: name email: mail
secret.yml サンプル
ad: ldap: server: password: ldap_password iid: scim: token: scim_token http: proxy: password: proxy_password