Active Directoryを登録する(IIJディレクトリサービス for MicrosoftのActive Directoryサーバと連携する場合)
本サービスと認証連携するActive Directoryを登録します。
【参考】
この手順で作成するActive DirectoryアカウントはSPN(Service Principal Name)としてActive Directoryに登録されます。
SPNとはクライアントがサービスのインスタンスを一意に識別する名前で、実体はサービスの名前(ポート番号)、サービスを実行するコンピュータ、及びサービスを実行するアカウント(サービスアカウント)のマッピング情報です。本サービスからActive DirectoryサーバにアクセスするためのActive Directoryアカウントを事前に作成します。
Active Directoryにアクセスし、「Active Directoryアカウント作成権限」と「WinRM実行権限」を持つActive Directoryアカウントを作成してください。【参考】
IIJディレクトリサービス for MicrosoftでのActive Directoryアカウントの作成方法については「IIJディレクトリサービス for Microsoft ご利用の手引き」をご覧ください。
「システム」の「外部IDプロバイダの管理」をクリックします。
「統合Windows認証プロバイダ / Integrated Windows Authentication Provider」の「設定画面へのURL」に表示されるURLをクリックします。
- 統合Windows認証プロバイダの設定画面のダッシュボードが表示されます。
「ADの管理」をクリックします。
- 「ADを登録する」をクリックします。
「ADの情報を自動で取得する」を選択し、認証連携を行うActive Directoryの情報を入力します。
項目 内容 例 ADドメイン IIJディレクトリサービス for Microsoft で利用されているADを選択します example.com(サービスコード: dsm00000000) 表示名 本サービス内で表示される名前 本社AD - 「登録する」をクリックします。
- 登録されたADの「セットアップ」をクリックします。
手順1で作成したActive Directoryアカウントの情報を入力します。
新規作成する統合Windows認証 管理用ADアカウントのユーザプリンシパル名を「作成する管理者用アカウント」に入力し、「パスワード」を入力します。
「ADアカウントを新規に作成する」をクリックします。
項目 必須 内容 例 作成する管理用アカウント(UPN) 〇 アカウントの名前を入力します admin パスワード 〇 アカウントのパスワードを入力します アカウント作成先のDN アカウントの作成先のDN(Distinguished Name)を入力します
空欄の場合、通常はUsersコンテナ(例: CN=Users,DC=example,DC=com)が作成先となります※1OU=people,DC=example,DC=com ※1 アカウントの作成はPowerShellのNew-ADUserコマンドで行われます。アカウントの作成先は、このコマンドのデフォルトの作成先となります。(参考 https://learn.microsoft.com/en-us/powershell/module/activedirectory/new-adgroup?view=windowsserver2022-ps(英語))
【注意】
ここで作成した統合Windows認証 管理用ADアカウントに対して、変更などの操作を行わないでください。以下の操作を行うと統合Windows認証が正常に行われなくなります。
- アカウントを削除する
- アカウントのパスワードを変更する
- アカウントを無効化する
- 「疎通を確認する」をクリックし、IIJ IDサービスからADへの疎通を確認します。
