事前準備
Active Directoryへの接続用ユーザの準備
IIJ IDユーザを指定するための外部IDの情報をActive Directoryから取得するため、Active Directory上でパスワード同期対象となる「ユーザ」に対して参照権限を持つActive Directoryのユーザを用意します。
【参考】
Directory Syncと併用する場合は、同じActive Directoryユーザを共有して利用することも可能です。必要に応じて、用意したActive Directoryユーザに対するアクセスコントロールを設定してください。
IIJ IDサービスに接続するIIJ IDユーザの準備
IIJ IDサービスへパスワード変更のリクエストを送信するIIJ IDユーザを作成します。該当ユーザには管理者権限を付与する必要があります。
IIJ IDユーザの作成及び管理者権限の付与については、「ユーザの追加」をご覧ください。
【注意】
作成したIIJ IDユーザは、削除及び無効化しないでください。ユーザを削除及び無効化した場合は、アクセストークンが失効します。誤って削除及び無効化してしまった場合は、該当のユーザを復帰及び有効化した上でアクセストークンを再度発行しなおしてください。
【参考】
Directory Syncと併用する場合は、同じIIJ IDユーザを共有して利用することも可能です。
作成したIIJ IDユーザのアクセストークンを入手
- IIJ IDコンソール(https://www.auth.iij.jp/console/)に「IIJ IDサービスに接続するIIJ IDユーザの準備」で用意したユーザでログインします。
- 「マイメニュー」の「アクセストークンの一覧」 をクリックします。
- 「アクセストークンを発行する」をクリックします。
「アクセストークン名」、「利用するリソースサーバ」、「許可するスコープ」及び「有効期限」を入力し、「発行する」をクリックします。
【参考】
有効期限は、アクセストークンの利用用途に合わせて適切に設定してください。
項目 内容 アクセストークン名 アクセストークンの名前を入力します 利用するリソースサーバ 「IIJ IDサービス API」を選択します 許可するスコープ 以下の2つのスコープを選択します
- escim_read_users
- escim_write_users
有効期限 アクセストークンの有効期限を入力します
有効期限が過ぎたトークンは失効され、アクセストークンの一覧に表示されなくなります
アクセストークンが表示されます。アクセストークンを手元に記録してから、「閉じる」をクリックします。
【注意】
入手したアクセストークンの取り扱いには十分ご注意ください。
【参考】
- アクセストークンが確認できるのは、発行直後のみです。
- アクセストークンを忘れた場合は、アクセストークンを失効させた上で再発行してください。再発行したアクセストークンは、Password Syncに反映する必要があります。
Password Sync以外でのIIJ IDユーザのパスワード変更/リセットを無効化
IIJ IDコンソール(https://www.auth.iij.jp/console/)に管理者ユーザでログインします。
「システム」の「システム情報」 をクリックします。
- 「外部IDが設定されたユーザに対する制限」の「コンソールでのパスワード変更を許可しない」を選択して、「更新する」をクリックします。
