IIJディレクトリサービス for Microsoftを利用する場合
IIJディレクトリサービス for Microsoftを利用している場合の設定ファイルのサンプルです。
Active Directory(AD)と統合Windows認証で連携する場合は、Directory SyncでexternalUserNameを設定する必要があります。
また、externalUserNameには「(samAccountName) + "@" + (ADドメイン)」となるAD属性値を割り当てる必要があります。
このサンプルでは、externalUserNameにADのuserPrincipalNameを割り当て、IIJ IDサービスに同期します。
【参考】
- 設定ファイルは参考例です。実際の作業においては、お客様の環境に合わせて設定してください。
- config.ymlサンプル内の「外部IDプロバイダのIssuer識別子」については、IIJ IDコンソール(https://www.auth.iij.jp/console/)の「システム」 > 「外部IDプロバイダの管理」に表示されます。
config.yml サンプル
log:
loglevel: info
ad:
ldap:
server:
addresses:
- 127.0.0.1
user: 'CN=administrator,CN=Users,DC=example,DC=jp'
base_dn: 'DC=example,DC=jp'
filter:
user: 'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp'
group: 'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp'
iid:
scim:
http:
proxy:
use: true
address: proxy.example.jp
port: 8080
user: iij-taro
attribute:
user:
default:
emails:
- primary: true
idTokenClaims:
issuer: [外部IDプロバイダのIssuer識別子 (例: https://asiif-000000000000a.iif.auth.iij.jp/op)]
ad_bind:
externalId: objectGUID
userName: userPrincipalName
name:
familyName: sn
givenName: givenName
localNames:
familyName: msDS-PhoneticLastName
givenName: msDS-PhoneticFirstName
active:
- userAccountControl
- accountExpires
externalUserName: userPrincipalName
emails:
- value: mail
group:
ad_bind:
externalId: objectGUID
displayName: name
email: mail
secret.yml サンプル
ad:
ldap:
server:
password: ldap_password
iid:
scim:
token: scim_token
http:
proxy:
password: proxy_password