統合Windows認証を利用する
Active Directory(AD)に対して統合Windows認証を利用する設定のサンプルです。
統合Windows認証を利用する場合は、ユーザのexternalUserNameを設定します。
また、externalUserNameには「(samAccountName) + "@" + (ADドメイン)」となるAD属性値を割り当てます。
このサンプルでは、externalUserNameにADのuserPrincipalNameを割り当て、IIJ IDサービスに同期します。
【参考】
- 設定ファイルは参考例です。実際の作業においては、お客様の環境に合わせて設定してください。
- config.ymlサンプル内の「外部IDプロバイダのIssuer識別子」については、IIJ IDコンソールの「システム」 > 「外部IDプロバイダの管理」に表示されます。
- IIJ IDユーザのexternalUserNameのドメイン部(「@」以降の文字列)は小文字である必要があります。割り当てるAD属性値のドメイン部が大文字の場合には、「externalUserNameに指定するADサーバ内でのユーザ属性値が大文字の場合の対処方法を知りたい(統合Windows認証)」もご覧ください。
config.ymlサンプル
log:
loglevel: info
ad:
ldap:
server:
addresses:
- 127.0.0.1
user: 'CN=administrator,CN=Users,DC=example,DC=jp'
encryption: none
base_dn: 'DC=example,DC=jp'
filter:
user: 'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp'
group: 'memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp'
cache_disabled: true
iid:
scim:
http:
proxy:
use: true
address: proxy.example.jp
port: 8080
user: iij-taro
attribute:
user:
default:
emails:
- primary: true
idTokenClaims:
issuer: (外部IDプロバイダのIssuer識別子 [例: https://asiif-000000000000a.iif.auth.iij.jp/op])
ad_bind:
externalId: objectGUID
userName: userPrincipalName
name:
familyName: sn
givenName: givenName
localNames:
familyName: msDS-PhoneticLastName
givenName: msDS-PhoneticFirstName
active:
- userAccountControl
- accountExpires
externalUserName: userPrincipalName
emails:
- value: mail
group:
ad_bind:
externalId: objectGUID
displayName: name
email: mail
secret.ymlサンプル
ad:
ldap:
server:
password: ldap_password
iid:
scim:
token: scim_token
http:
proxy:
password: proxy_passwor