統合Windows認証を利用する
Active Directory(AD)に対して統合Windows認証を利用する設定のサンプルです。
統合Windows認証を利用する場合は、ユーザのexternalUserNameを設定します。
また、externalUserNameには「(samAccountName) + "@" + (ADドメイン)」となるAD属性値を割り当てます。
このサンプルでは、externalUserNameにADのuserPrincipalNameを割り当て、IIJ IDサービスに同期します。
【参考】
- 設定ファイルは参考例です。実際の作業においては、お客様の環境に合わせて設定してください。
- config.ymlサンプル内の「外部IDプロバイダのIssuer識別子」については、IIJ IDコンソールの「システム」 > 「外部IDプロバイダの管理」に表示されます。
- IIJ IDユーザのexternalUserNameのドメイン部(「@」以降の文字列)は小文字である必要があります。割り当てるAD属性値のドメイン部が大文字の場合には、「externalUserNameに指定するADサーバ内でのユーザ属性値が大文字の場合の対処方法を知りたい(統合Windows認証)」もご覧ください。
| config.ymlサンプル |
|---|
log: |
loglevel: info |
ad: |
ldap: |
server: |
addresses: |
- 127.0.0.1 |
user: 'CN=administrator,CN=Users,DC=example,DC=jp' |
encryption: none |
base_dn: 'DC=example,DC=jp' |
filter: |
user: 'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp' |
group: 'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp' |
cache_disabled: true |
iid: |
scim: |
http: |
proxy: |
use: true |
address: proxy.example.jp |
port: 8080 |
user: iij-taro |
attribute: |
user: |
default: |
emails: |
- primary: true |
idTokenClaims: |
issuer: (外部IDプロバイダのIssuer識別子 [例: https://asiif-000000000000a.iif.auth.iij.jp/op]) |
ad_bind: |
externalId: objectGUID |
userName: userPrincipalName |
name: |
familyName: sn |
givenName: givenName |
localNames: |
familyName: msDS-PhoneticLastName |
givenName: msDS-PhoneticFirstName |
active: |
- userAccountControl |
- accountExpires |
externalUserName: userPrincipalName |
emails: |
- value: mail |
group: |
ad_bind: |
externalId: objectGUID |
displayName: name |
email: mail |
| secret.ymlサンプル |
|---|
ad: |
ldap: |
server: |
password: ldap_password |
iid: |
scim: |
token: scim_token |
http: |
proxy: |
password: proxy_passwor |