アクセストークンの更新

アクセストークンの更新

アクセストークンには有効期限があり、定期的にトークンの再発行が必要となります。
以下の手順ではDirectory Syncでのアクセストークンの更新手順を説明します。

オンプレミスのActive Directoryサーバの場合

手順	作業	備考
1	Directory Sync導入時にアクセストークンの取得をしたIIJ IDサービスのID管理者ユーザで、IIJ IDコンソールにログインします	別のID管理者ユーザを利用することも可能ですが、Directory Syncの同期によって生成されるジョブの実行ユーザが変わるため、注意してください
2	以下の内容で新たにアクセストークンを発行し、その値をメモ帳などに控えますアクセストークン名:（任意）利用するリソースサーバ: IIJ IDサービスAPI 利用するスコープ: escim_read_users, escim_write_users, escim_read_groups, escim_write_groups 有効期限:（任意）アクセストークンの発行について詳しくは「アクセストークンの発行」をご覧ください	アクセストークンをメモ帳などに控える際、改行せずそのまま控えておいてください
3	手順2で発行したアクセストークンの有効期限を確認しますこの有効期限が、次回アクセストークンの更新を行う時期となります	アクセストークン更新の実施頻度を少なくしたい場合は、有効期限を長めにしたアクセストークンを発行しなおしてください
4	Directory Syncのタスクスケジュールを停止し、Directory Syncが実行されないようにします	定期実行対象ではないDirectory Syncの場合は、この手順をスキップします
5	Directory Syncのsecret.ymlを開き、手順2で取得したアクセストークンの値に書き換えます secret.ymlの設定について詳しくは「設定ファイルサンプル」をご覧ください	更新の際、OSの再起動は不要です
6	Directory Syncのrecovery_mode_dry_run.batを実行し、新しいアクセストークンでIIJ IDサービスに問題なく接続できることを確認します実行ファイルについて詳しくは「実行ファイルの種類」をご覧ください	Directory Syncの実行ファイルのデフォルトの配置先は以下のとおりです C:\Program Files\IIJ ID Service Directory Sync\bin ファイル構成について詳しくは「ファイル構成」をご覧ください
7	Directory Syncのタスクスケジュールを再開させます	定期実行対象ではないDirectory Syncの場合は、この手順をスキップします
8	手順1のユーザでIIJ IDコンソールにアクセスし、既存のアクセストークンを削除します失効方法について詳しくは「アクセストークンの失効」をご覧ください	既存のアクセストークンの削除が必要ない場合は、この手順をスキップします新しく発行したアクセストークンを誤って削除しないように注意してください

IIJディレクトリサービス for MicrosoftのActive Directoryサーバの場合

手順	作業	備考
1	Directory Sync導入時にアクセストークンの取得をしたIIJ IDサービスのID管理者ユーザで、IIJ IDコンソールにログインします	別のID管理者ユーザを利用することも可能ですが、Directory Syncの同期によって生成されるジョブの実行ユーザが変わるため、注意してください
2	以下の内容で新たにアクセストークンを発行し、その値をメモ帳などに控えますアクセストークン名:（任意）利用するリソースサーバ: IIJ IDサービスAPI 利用するスコープ: escim_read_users, escim_write_users, escim_read_groups, escim_write_groups 有効期限:（任意）アクセストークンの発行について詳しくは「アクセストークンの発行」をご覧ください	アクセストークンをメモ帳などに控える際、改行せずそのまま控えておいてください
3	手順2で発行したアクセストークンの有効期限を確認しますこの有効期限が、次回アクセストークンの更新を行う時期となります	アクセストークン更新の実施頻度を少なくしたい場合は、有効期限を長めにしたアクセストークンを発行しなおしてください
4	Directory Syncのタスクスケジュールを停止し、Directory Syncが実行されないようにします Directory Syncの同期について詳しくは「Direcotry Syncからの同期を無効にする（IIJディレクトリサービス for MicrosoftのActive Directoryサーバと連携する場合）」をご覧ください
5	Directory Syncのsecret.ymlを開き、手順2で取得したアクセストークンの値に書き換えます secret.ymlの設定について詳しくは「設定ファイルサンプル」をご覧ください
6	下記のマニュアルを参考に、Director Syncの既存のconfig.ymlと今回書き換えたsecret.ymlを再アップロードしますこれにより自動的にリカバリーモードが実行されます Active DirectoryのユーザをDirectory SyncでIIJ IDに同期する（IIJディレクトリサービス for MicrosoftのActive Directoryサーバと連携する場合）	定期実行対象ではないDirectory Syncの場合は、この手順をスキップします
7	IIJディレクトリサービス for Microsoftのイベントビューアを確認し、正常にDirectory Syncが動作されたことを確認します	定期実行対象ではないDirectory Syncの場合は、この手順をスキップします
8	手順1のユーザでIIJ IDコンソールにアクセスし、既存のアクセストークンを削除します失効方法について詳しくは「アクセストークンの失効」をご覧ください	既存のアクセストークンの削除が必要ない場合は、この手順をスキップします新しく発行したアクセストークンを誤って削除しないように注意してください