事前準備
Directory Syncを実行するWindowsユーザの準備
Directory Syncをタスクスケジュールに基づいて定期実行するためのWindowsユーザを準備します。
用意したユーザはタスクスケジュールに基づいてDirectory Syncを定期実行します。
ユーザは以下の条件を満たしている必要があります。
- 「バッチジョブとしてログオン」の権限が付与されていること
「バッチジョブとしてログオン」の権限を付与する操作は、該当するアカウントの環境に応じて以下の内容で設定してください。
アカウント | 操作 |
|---|---|
| Active Directoryドメイン配下で、ドメインコントローラーのサーバ上のActive Directoryユーザ | グループポリシー内の「Default Domain Controllers Policy」にて「バッチジョブとしてログオン」の権限を付与 |
| Active Directoryドメイン配下で、ドメインコントローラーではないサーバ上のActive Directoryユーザ | グループポリシー内の「Default Domain Policy」にて「バッチジョブとしてログオン」の権限を付与 |
| Active Directoryドメイン配下ではないサーバ上のWindowsローカルアカウント | 「ローカルセキュリティポリシー」にて「バッチジョブとしてログオン」の権限を付与 |
Active Directoryへの接続用ユーザの準備
Active Directory上の同期対象となるすべての「ユーザ」及び「グループ」に対して参照権限を持つActive Directoryユーザを用意します。
用意したユーザはDirectory SyncがLDAP接続を行なうときに認証を行い、「ユーザ」及び「グループ」の情報を取得します。
【参考】
必要に応じて、用意したActive Directoryユーザに対するアクセスコントロールを設定してください。
IIJ IDサービスに接続するIIJ IDユーザの準備
Active Directoryの変更内容をIIJ IDサービスへ送信する際に利用するIIJ IDユーザを作成し、管理者権限を付与します。
IIJ IDユーザの作成及び管理者権限の付与については、「IIJ IDサービス オンラインヘルプ[管理者用]」をご確認ください。
【注意】
ここで作成したIIJ IDサービスのユーザは削除及び無効化をしないでください。ユーザを削除及び無効化した場合は、アクセストークンが失効し、利用できなくなります。
作成したIIJ IDユーザのアクセストークンの入手します。
「IIJ IDコンソール(https://www.auth.iij.jp/console/)」に「IIJ IDサービスに接続するIIJ IDユーザの準備」で用意したユーザでログインします。
「マイメニュー」の「アクセストークンの管理」をクリックします。
- 「アクセストークンを発行する」をクリックします。
「アクセストークン名」、「利用するリソースサーバ」、「許可するスコープ」及び「有効期限」を入力し、「発行する」をクリックします。
【参考】
有効期限は、アクセストークンの利用用途に合わせて適切に設定してください。
項目 内容 アクセストークン名 アクセストークンの名前を入力します 利用するリソースサーバ 「IIJ IDサービス API」を選択します 許可するスコープ 以下の4つのスコープを選択します
- escim_read_users
- escim_write_users
- escim_read_groups
- escim_write_groups
有効期限 アクセストークンの有効期限を入力します
有効期限が過ぎたトークンは失効され、アクセストークンの一覧に表示されなくなります
アクセストークンが表示されます。
【注意】
アクセストークンの取り扱いには十分ご注意ください。
【参考】
- アクセストークンが確認できるのは、発行直後のみです。
- アクセストークンを忘れた場合は、アクセストークンを失効させた上で再発行してください。再発行したアクセストークンは、Directory Syncに反映する必要があります。
