統合Windows認証を利用する

Active Directory(AD)に対して統合Windows認証を利用する設定のサンプルです。


統合Windows認証を利用する場合は、ユーザのexternalUserNameを設定します。
また、externalUserNameには「(samAccountName) + "@" + (ADドメイン)」となるAD属性値を割り当てます。


このサンプルでは、externalUserNameにADのuserPrincipalNameを割り当て、IIJ IDサービスに同期します。

【参考】

config.ymlサンプル
1
log:
2
  loglevel:                      info
3
4
ad:
5
  ldap:
6
    server:
7
      addresses:
8
                                 - 127.0.0.1
9
      user:                      'CN=administrator,CN=Users,DC=example,DC=jp'
10
      encryption:                none
11
    base_dn:                     'DC=example,DC=jp'
12
    filter:
13
      user:                      'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp'
14
      group:                     'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp'
15
    cache_disabled:              true
16
17
iid:
18
  scim:
19
    http:
20
      proxy:
21
        use:                     true
22
        address:                 proxy.example.jp
23
        port:                    8080
24
        user:                    iij-taro
25
    attribute:
26
      user:
27
        default:
28
          emails:
29
            - primary:           true
30
          idTokenClaims:
31
            issuer:              (外部IDプロバイダのIssuer識別子 [例: https://asiif-000000000000a.iif.auth.iij.jp/op])
32
        ad_bind:
33
          externalId:            objectGUID
34
          userName:              userPrincipalName
35
          name:
36
            familyName:          sn
37
            givenName:           givenName
38
          localNames:
39
            familyName:          msDS-PhoneticLastName
40
            givenName:           msDS-PhoneticFirstName
41
          active:
42
                                 - userAccountControl
43
                                 - accountExpires
44
          externalUserName:      userPrincipalName
45
          emails:
46
            - value:             mail
47
      group:
48
        ad_bind:
49
          externalId:            objectGUID
50
          displayName:           name
51
          email:                 mail
secret.ymlサンプル
1
ad:
2
  ldap:
3
    server:
4
      password:   ldap_password
5
6
iid:
7
  scim:
8
    token:        scim_token
9
    http:
10
      proxy:
11
        password: proxy_passwor