Active Directoryを登録する(IIJディレクトリサービス for MicrosoftのActive Directoryサーバと連携する場合)

本サービスと認証連携するActive Directoryを登録します。

【参考】

この手順で作成するActive DirectoryアカウントはSPN(Service Principal Name)としてActive Directoryに登録されます。

SPNとはクライアントがサービスのインスタンスを一意に識別する名前で、実体はサービスの名前(ポート番号)、サービスを実行するコンピュータ、及びサービスを実行するアカウント(サービスアカウント)のマッピング情報です。

  1. 本サービスからActive DirectoryサーバにアクセスするためのActive Directoryアカウントを事前に作成します。
    Active Directoryにアクセスし、「Active Directoryアカウント作成権限」と「WinRM実行権限」を持つActive Directoryアカウントを作成してください。

    【参考】

    IIJディレクトリサービス for MicrosoftでのActive Directoryアカウントの作成方法については「IIJディレクトリサービス for Microsoft ご利用の手引き」をご覧ください。

  2. 「システム」の「外部IDプロバイダの管理」をクリックします。

  3. 「統合Windows認証プロバイダ / Integrated Windows Authentication Provider」の「設定画面へのURL」に表示されるURLをクリックします。

  4. 統合Windows認証プロバイダの設定画面のダッシュボードが表示されます。


  5. 「ADの管理」をクリックします。

  6. 「ADを登録する」をクリックします。


  7. 「ADの情報を自動で取得する」を選択し、認証連携を行うActive Directoryの情報を入力します。

    項目内容
    ADドメインIIJディレクトリサービス for Microsoft で利用されているADを選択しますexample.com(サービスコード: dsm00000000)
    表示名本サービス内で表示される名前本社AD
  8. 「登録する」をクリックします。


  9. 登録されたADの「セットアップ」をクリックします。


  10. 手順1で作成したActive Directoryアカウントの情報を入力します。


  11. 新規作成する統合Windows認証 管理用ADアカウントのユーザプリンシパル名を「作成する管理者用アカウント」に入力し、「パスワード」を入力します。
    「ADアカウントを新規に作成する」をクリックします。

    項目必須内容
    作成する管理用アカウント(UPN)アカウントの名前を入力しますadmin
    パスワードアカウントのパスワードを入力します 
    アカウント作成先のDN アカウントの作成先のDN(Distinguished Name)を入力します
    空欄の場合、通常はUsersコンテナ(例: CN=Users,DC=example,DC=com)が作成先となります※1
    OU=people,DC=example,DC=com

    ※1 アカウントの作成はPowerShellのGet-ADUserコマンドで行われます。アカウントの作成先は、このコマンドのデフォルトの作成先となります。(参考 https://docs.microsoft.com/en-us/powershell/module/addsadministration/new-aduser(英語))

    【注意】

    ここで作成した統合Windows認証 管理用ADアカウントに対して、変更などの操作を行わないでください。以下の操作を行うと統合Windows認証が正常に行われなくなります。

    • アカウントを削除する
    • アカウントのパスワードを変更する
    • アカウントを無効化する

  12. 「疎通を確認する」をクリックし、IIJ IDサービスからADへの疎通を確認します。