統合Windows認証を利用する
Active Directory(AD)に対して統合Windows認証を利用する設定のサンプルです。
統合Windows認証を利用する場合は、ユーザのexternalUserNameを設定します。
また、externalUserNameには「(samAccountName) + "@" + (ADドメイン)」となるAD属性値を割り当てます。
このサンプルでは、externalUserNameにADのuserPrincipalNameを割り当て、IIJ IDサービスに同期します。
【参考】
- 設定ファイルは参考例です。実際の作業においては、お客様の環境に合わせて設定してください。
- config.ymlサンプル内の「外部IDプロバイダのIssuer識別子」については、IIJ IDコンソールの「システム」 > 「外部IDプロバイダの管理」に表示されます。
- IIJ IDユーザのexternalUserNameのドメイン部(「@」以降の文字列)は小文字である必要があります。割り当てるAD属性値のドメイン部が大文字の場合には、「externalUserNameに指定するADサーバ内でのユーザ属性値が大文字の場合の対処方法を知りたい(統合Windows認証)」もご覧ください。
config.ymlサンプル
1 | log: |
2 | loglevel: info |
3 | |
4 | ad: |
5 | ldap: |
6 | server: |
7 | addresses: |
8 | - 127.0.0.1 |
9 | user: 'CN=administrator,CN=Users,DC=example,DC=jp' |
10 | encryption: none |
11 | base_dn: 'DC=example,DC=jp' |
12 | filter: |
13 | user: 'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp' |
14 | group: 'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp' |
15 | cache_disabled: true |
16 | |
17 | iid: |
18 | scim: |
19 | http: |
20 | proxy: |
21 | use: true |
22 | address: proxy.example.jp |
23 | port: 8080 |
24 | user: iij-taro |
25 | attribute: |
26 | user: |
27 | default: |
28 | emails: |
29 | - primary: true |
30 | idTokenClaims: |
31 | issuer: (外部IDプロバイダのIssuer識別子 [例: https://asiif-000000000000a.iif.auth.iij.jp/op]) |
32 | ad_bind: |
33 | externalId: objectGUID |
34 | userName: userPrincipalName |
35 | name: |
36 | familyName: sn |
37 | givenName: givenName |
38 | localNames: |
39 | familyName: msDS-PhoneticLastName |
40 | givenName: msDS-PhoneticFirstName |
41 | active: |
42 | - userAccountControl |
43 | - accountExpires |
44 | externalUserName: userPrincipalName |
45 | emails: |
46 | - value: mail |
47 | group: |
48 | ad_bind: |
49 | externalId: objectGUID |
50 | displayName: name |
51 | email: mail |
secret.ymlサンプル
1 | ad: |
2 | ldap: |
3 | server: |
4 | password: ldap_password |
5 | |
6 | iid: |
7 | scim: |
8 | token: scim_token |
9 | http: |
10 | proxy: |
11 | password: proxy_passwor |