現象

Directory SyncでActive DirectoryのグループがIIJ IDに同期されない。

原因

Directory Syncの設定ミスやActive Directoryグループが同期対象になっていない、Directory Syncでエラーが発生しているなど、様々な原因が考えられます。

対応

以下の項目を確認します。

1. Directory Syncでエラーが発生していないか

イベントログを確認し、Directory Syncのエラーが発生していないかを確認します。
エラーが発生している場合は、そのエラーの内容を確認し、問題を解消します。

2. 該当のグループがDirectory Syncの同期対象になっているか

Directory Syncのconfig.ymlを確認し、同期対象かの確認を行います。

config.ymlで同期対象とするかは以下の条件で決まります。

• ad.ldap.base_dn
  • ユーザ及びグループの検索対象のベースとなるDN（識別名）
• ad.ldap.filter.group
  • LDAPフィルター条件
• iid.scim.attribute.group.exclude
  • AD属性値による除外条件

ad.ldap.base_dn及びad.ldap.filter.groupの条件によって同期されるActive Directoryのグループは、以下の手順で確認できます。

1. PowerShellを管理者権限で起動します。

2. 以下のコマンドを実行します。

   Import-Module ActiveDirectory
   Get-ADGroup -SearchBase "<ad.ldap.base_dnの値>" -LDAPFilter "(<ad.ldap.filter.groupの値>)" | select DistinguishedName
   
   （実行例）
   Get-ADGroup -SearchBase "DC=example,DC=jp" -LDAPFilter "(memberOf:1.2.840.113556.1.4.1941:=CN=IIJ IDサービス利用者グループ,OU=OU1,DC=example,DC=jp)" | select DistinguishedName

3. 同期対象のグループがすべて表示されます。

上記のコマンドに加えて、該当グループがiid.scim.attribute.group.excludeの除外条件に一致していないことを確認します。

3. Directory Syncの最新版を利用しているか

最新版のDirectory Syncを利用しているかを確認し、最新版を利用していない場合はアップデートしてください。