Active Directory または LDAP からユーザーを同期する

適用対象： AuthPoint 多要素認証、AuthPoint Total Identity Security 本トピックは、AuthPoint 多要素認証ライセンスまたは AuthPoint Total Identity Security ライセンスが割り当てられているアカウントに適用されます。

Active Directory または Lightweight Directory Access Protocol (LDAP) データベースからユーザーを同期するには、LDAP 外部アイデンティティ を追加し、単数か複数のクエリを作成する必要があります。

AuthPoint では、LDAP 外部アイデンティティは外部のユーザー データベースを表します。外部アイデンティティは、ユーザー データベースに接続してユーザー アカウント情報を取得したりパスワードを検証します。外部アイデンティティに追加するクエリは、Active Directory または LDAP データベースからどのユーザーを同期するかを指定します。このクエリはデータベースからユーザー情報をプルし、そのユーザーの AuthPoint ユーザー アカウントを作成します。

ユーザーのクエリを実行する方法は 2 つあります。

• グループ同期 — ユーザーの同期元の LDAP グループを選択し、AuthPoint がクエリを作成する。
• 高度なクエリ — 独自の LDAP クエリを作成してどのグループやユーザーを同期するかを指定する。

Active Directory からユーザーを同期させるグループ同期を構成する際に 新しい同期グループを作成する トグルを有効にすると、ユーザーの同期元の Active Directory のグループに基づいて、AuthPoint に新しいグループを作成することができます。同期された LDAP ユーザーを複数のグループに追加するには、この機能を使用することをお勧めします。

新しい同期グループを作成するオプションは、グループ同期の追加時にのみ使用できます。高度なクエリでは、この機能を使用することはできません。

開始する前に、いくつかの一般的な LDAP オブジェクトについて学んでおくことをお勧めします。

LDAP 外部アイデンティティを Gateway とリンクし、AuthPoint Gateway が企業ネットワークのインターネット アクセスのある LDAP サーバーに接続可能な場所にインストールされている必要があります。Gateway は WatchGuard Cloud と Active Directory または LDAP データベース間の通信を可能にします。

高可用性のため、以下を構成することをお勧めします。

• 冗長アドレスを持つ 1 つの外部アイデンティティ。
• 1 つのプライマリ Gateway と 5 つまでのセカンダリ Gateway (以下を参照：Gateway について).

同じドメインに対して複数の外部アイデンティティを構成しないでください。

AuthPoint で LDAP ユーザーを削除する際のベストプラクティスは、Active Directory または LDAP グループからのユーザーを削除し、AuthPoint でそれらに検疫ステータスを与え、AuthPoint でそのユーザーを削除することです。詳細については、次を参照してください：検疫済みユーザー。

外部アイデンティティを追加する

1. 外部アイデンティティ を選択します。

2. 外部アイデンティティを追加する をクリックします。
   外部アイデンティティを追加する ページが開きます。

3. 種類 ドロップダウン リストから、LDAP 構成 を選択します。
   追加のフィールドが表示されます。
4. 名前 テキスト ボックスに、外部アイデンティティの記述的な名前を入力します。
5. LDAP 検索ベース テキスト ボックスに LDAP データベースを入力します。この例ではドメインが example.com なので、dc=example,dc=com と入力します。ヒント！ 検索ベース設定の標準形式は、ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot> です。

   LDAP 構文の詳細についてと、外部アイデンティティがユーザーの検索をできる認証サーバー上のディレクトリーを制限するための検索ベースの使用方法については、次を参照してください：Active Directory 検索ベースを探す。

6. システム アカウント と パスフレーズ テキスト ボックスに、LDAP 検索とバインドを実行する権限があるユーザーの認証情報を入力します。このユーザーが既定のユーザー フォルダにない場合は、トグルを選択してユーザーの完全な識別名を入力します。最大 255 文字までのパスフレーズを指定することができます。ヒント！ ユーザーの識別名の標準形式は以下の通りです： cn=<name of user>,ou=<name of organizational unit>,dc=<first part of the distinguished server name>,dc=<any part of the distinguished server name that appears after the dot>。

   この例では、AuthPoint と呼ばれる OU に administrator という名前のユーザーがいます (既定のユーザー フォルダではない)。そのため、トグルを選択してユーザーの識別名を CN=administrator,OU=AuthPoint,DC=example,DC=com と入力します。このユーザーが既定のユーザー フォルダに含まれている場合は、ユーザー名 管理者 を入力するだけです。

   ユーザーがユーザー フォルダーに含まれており、ユーザー名がアカウント名 (sAMAccountName) と異なる場合は、システム アカウント テキスト ボックスにアカウント名を入力する必要があります。

7. 同期間隔 ドロップダウン リストから、LDAP データベースを同期する頻度を指定します。24 時間毎 を選択した場合は、毎日何時に同期を開始するかも指定する必要があります。

   24 時間おきに同期するように構成された LDAP 外部アイデンティティでは、同期間隔の時間に LDAP サーバーのタイム ゾーンが使用されます。

8. 種類 では、これが Active Directory サーバーであるか、異なるタイプの LDAP データベースであるかを選択します。他のデータベースでは、各属性値を指定する必要があります。Active Directory では属性値が既知であるため、これを行う必要はありません。
9. ドメイン テキスト ボックスに LDAP ドメイン名を入力します。
10. これが Active Directory サーバーではない場合は、各属性の値を入力します。

    Active Directory のユーザーが ADFS を使用している場合は、ユーザーのログインに関連する属性の sAMAccountName の値を既定のまま維持する必要があります。

11. サーバー アドレス テキスト ボックスに、LDAP サーバーの IP アドレスを入力します。

    Active Directory インスタンスが LDAPS 安全な Lightweight Directory Access Protocolを使用していない場合、外部アイデンティティの LDAPS トグルを無効化する必要があります。これを行うと、既定のポートが 636 から 389 に変わります。

12. サーバー ポート テキスト ボックスにサーバーのポートを入力します。

13. (任意) 外部アイデンティティ用の冗長アドレスを追加するには、冗長アドレスの追加 をクリックして、同じ LDAP データベースの別のアドレスとポートを入力します。
14. 保存 をクリックします。

外部アイデンティティを Gateway 構成に追加する

外部アイデンティティは、企業ネットワークにインストールされ、LDAP サーバーにアクセスできる Gateway の構成に追加されている必要があります。その後、LDAP データベースへの接続をテストすることができます。

既存の Gateway がない場合は追加する必要があります。詳細については、次を参照してください：Gateway について。

外部アイデンティティを Gateway の構成に追加するには、以下の手順を実行します。

1. ナビゲーション メニューから Gateway を選択します。
2. Gateway の 名前 をクリックします。

3. LDAP セクションの LDAP 外部アイデンティティの選択 リストで、LDAP または Active Directory サーバー の外部アイデンティティを選択します。

4. 保存 をクリックします。

外部アイデンティティはこれで Gateway に接続されます。これにより、WatchGuard Cloud と Active Directory または LDAP データベース間の通信が可能になります。

外部アイデンティティへの接続をテストするには、以下の手順を実行します。

1. ナビゲーション メニューで 外部アイデンティティ を選択します。
2. LDAP データベース用に追加した外部アイデンティティの横で をクリックし、接続の確認 を選択します。

   接続テストが失敗し、NPS が Gateway サーバー上で実行されている場合は、AuthPoint Gateway が使用する RADIUS ポートを変更してください。

   接続テストが成功したものの、AuthPoint がユーザーを同期しない場合は、システム アカウント ユーザーの認証情報と権限を確認することをお勧めします。Active Directory インスタンスが LDAPS を使用していない場合は、外部アイデンティティの LDAPS トグルを無効にする必要があります。

ユーザーを同期する

LDAP データベースの外部アイデンティティを作成し、外部アイデンティティを Gateway 構成に接続した後、LDAP データベースからどのユーザーを同期するかを指定する必要があります。

ユーザーのクエリを実行する方法は 2 つあります。

• グループ同期機能を使用する (推奨)
• 高度なクエリを追加する

ユーザーを検索するクエリを (手動またはグループ同期で) 作成する際、AuthPoint に同期されたユーザーのモバイル トークンを作成させ、モバイル トークンをアクティブ化するための電子メールを同期されたユーザーに送信させるかどうかを選択します。AuthPoint はこれを既定で行います。ほとんどの場合、ユーザーにトークンを割り当て、ユーザーにトークン アクティベーション用の電子メールを送信することをお薦めします。ユーザー アカウントが AuthPoint で認証するためにはトークンが必要です。認証にハードウェア トークンを使用するユーザーや、基本認証により MFA をバイパスするサービス アカウントには、これを行わない選択が可能です。

クエリを追加した後、AuthPoint は、次の 同期間隔 これは外部アイデンティティの LDAP 構成 ページの同期間隔ドロップダウン リストで定義されます。 で Active Directory または LDAP データベースと同期され、クエリで特定されたユーザーごとに AuthPoint ユーザー アカウントを作成します。クエリの結果に、使用可能なライセンスよりも多いユーザーがいる場合、同期は AuthPoint ライセンスによってサポートされる数のユーザーしか作成しません。

クエリによって特定されたユーザーが、異なる既存の AuthPoint ユーザー アカウントと同じ電子メール アドレスを持っている場合、AuthPoint はその外部ユーザーを同期しません。

AuthPoint が Active Directory または LDAP データベースと同期するのは、直近の同期以降に変更が加えられた場合のみです。

作成されたユーザー アカウントは ユーザー ページに、ユーザー名の横のアクティブ化されていることを示す緑のステータス アイコンとともに表示されます。アクティブ化されていることを示すステータス アイコンは、そのユーザーが作成済みで、現在アクティブである (ブロックされていない) ことを示します。外部アイデンティティから同期されたユーザーは、ユーザー リストにある 種類 列の LDAP ラベルによって識別できます。

各ユーザーは、AuthPoint モバイル アプリでトークンをアクティブ化するのに使用する電子メールを受信します。ユーザーがトークンをアクティブ化すると、トークン情報が トークン 列に、そのトークンの横にある緑のアクティブ化ステータス アイコンとともに表示されます。

ユーザーがトークンのアクティベーション メールを実際に受け取っていた場合は、トークンのアクティブ化ができるよう、そのユーザーに新しいアクティベーション メールを送信することができます。ユーザーにモバイル トークンを自動的に割り当てない選択をした場合は、このオプションを使用して、そのユーザー用のトークンを作成し、トークンのアクティベーション用電子メールを送信します。アクティベーション メールを再送信する方法の詳細については、次を参照してください：アクティベーション メールを再送信する。

ユーザーを同期する前に、各ユーザー アカウントに有効な電子メール アドレスがあることを確認してください。ユーザー アカウントの電子メール アドレスが正しくないと、そのユーザーはトークンをアクティブ化するための電子メール メッセージを受信できません。

Active Directory のユーザーのグループ同期を作成する際に 新しい同期グループを作成する チェックボックスを選択すると、ユーザーの同期元の Active Directory のグループに基づいて、AuthPoint に新しいグループを作成することができます。選択した AuthPoint グループに加えて、Active Directory のグループ メンバーシップに基づいて、ユーザーが新しいグループに同期されます。このオプションを使用するとグループの管理がより簡単になり、必要なグループ同期も 1 つで済むため、使用することをお勧めします。

LDAP ユーザーを AuthPoint の複数のグループに追加するには、グループ同期で新しい同期グループを作成するトグルを有効化し、Active Directory グループの構造を使用してユーザーを管理します。

グループ同期

グループ同期では、ユーザーの同期元とする LDAP グループと、ユーザーの追加先の AuthPoint グループを選択します。グループ同期を使うとクエリが作成されるため、この方法によりユーザーを同期することをお勧めします。

続行する前に、以下の要件にご注意ください：

• 選択した LDAP グループに、使用可能な AuthPoint ライセンスよりも多いユーザーがいる場合、同期はライセンスによってサポートされる数のユーザーしか作成しません。
• 名 (名前) やユーザー名、電子メール アドレスを持っていない LDAP ユーザーは同期に含まれません。

• AuthPoint は memberOf 属性を使用して、LDAP ユーザーがどの Active Directory グループに属しているかを特定します。この属性には、Active Directory ユーザーのプライマリ グループ (通常はドメイン ユーザー グループ) は含まれません。グループ同期を構成する際にはプライマリ グループを含めないことをお勧めします。

Caution: 同じ LDAP グループを複数のグループ同期に追加したり、同じ LDAP ユーザーを含む複数のグループ同期を作成したりしないでください。LDAP データベースから同期されたユーザーは、複数のローカル AuthPoint グループに属することはできません。LDAP ユーザーが複数のグループ同期に属している場合、AuthPoint が LDAP データベースと同期するたびに、ユーザーが属するローカル AuthPoint グループが変更される可能性があります。Active Directory ユーザーを複数のグループに追加するには、新しい同期グループを作成する トグルを有効化し、Active Directory グループの構造を使用してユーザーを管理します。詳細については、次を参照してください：外部アイデンティティ。

LDAP グループを同期するには、以下の手順を実行します。

1. 外部アイデンティティ を選択します。
2. 外部アイデンティティの横で をクリックし、グループ同期 を選択します。

3. グループ同期 ページで 同期する新規グループの追加 をクリックします。

4. グループ同期を追加する ウィンドウで、ユーザーを同期する LDAP グループを選択する ドロップダウン リストから、ユーザーを同期する LDAP グループを選択します。複数のグループを選択できます。

5. ユーザーを同期する Active Directory グループに基づいて、AuthPoint に新しいグループを作成したい場合は、新しい同期グループを作成する チェックボックスを選択します。このオプションを選択すると、選択した AuthPoint グループに加えて、LDAP データベースのグループ メンバーシップに基づいて、ユーザーが新しいグループに同期されます。AuthPoint 内の複数のグループに LDAP ユーザーを追加したい場合は、このオプションをお勧めします。

   このオプションは、Active Directory および Azure Active Directory LDAP データベースでのみ使用可能です。この機能を利用するには、バージョン 6.1 以降の AuthPoint Gateway をインストールする必要があります。

   AuthPoint で新しい同期グループを作成するオプションには、グループ同期で指定されていない Active Directory グループは含まれません。同期されたユーザーが、グループ同期で指定されていない Active Directory グループのメンバーである場合、その Active Directory グループは AuthPoint で作成されません。

6. ユーザーを追加する AuthPoint グループを選択する ドロップダウン リストから、ユーザーを追加する AuthPoint グループを選択します。同期したユーザーは、AuthPoint グループに追加する必要があります。

   各グループ同期では、すべてのユーザーが同一の AuthPoint グループに追加されます。LDAP ユーザーを複数のグループに追加するには、新しい同期グループを作成する トグルを有効化し、Active Directory グループの構造を使用してユーザーを管理することをお勧めします。

7. AuthPoint にそれらのユーザー アカウントのモバイル トークンを作成させたくない場合、またはユーザーにモバイル トークンをアクティブ化するための電子メールを送信したくない場合は、モバイル トークンを同期されたユーザーに自動的に割り当てる および アクティベーション電子メールを同期されたユーザーに自動的に送信する チェックボックスの選択を解除します。

   ユーザー アカウントを同期した後にこの設定を変更することはできません。これらのオプションが選択されていないユーザーにトークンを割り当てるには、トークン アクティベーション用電子メールを再送信する必要があります。詳細については、次を参照してください：アクティベーション メールを再送信する。

8. 保存 をクリックします。
   グループ同期を追加するウィンドウが閉じます。

AuthPoint は、次の 同期間隔 これは外部アイデンティティの LDAP 構成 ページの同期間隔ドロップダウン リストで定義されます。 で Active Directory または LDAP データベースと同期され、クエリで特定されたユーザーごとに AuthPoint ユーザー アカウントを作成します。

すぐに同期を開始するには、外部アイデンティティ ページの外部アイデンティティの横で をクリックし、同期の開始 を選択します。

ユーザーが Active Directory または LDAP データベースで削除された場合、関連する AuthPoint ユーザー アカウントは削除されません。その代わりに、ユーザーが検疫ステータスになります。詳細については、次を参照してください：検疫済みユーザー。

新しい同期グループを作成する トグルを有効にすると、同期されたグループが AuthPoint に作成されます。新しく作成されたグループは、グループ ページに表示されます。グループ リストの同期グループは、種類 列の LDAP ラベルで識別することができます。

同期されているグループの名前を Active Directory で変更すると、AuthPoint に同期されているグループも自動で一致するよう更新されます。同期グループを AuthPoint で編集することはできません。

Active Directory でグループを削除したり、グループ同期を削除しても、AuthPoint に同期されたグループは削除されません。AuthPoint に同期したグループは、手動で削除する必要があります。

高度なクエリを追加する

高度なクエリでは、独自の LDAP クエリを作成してどのグループやユーザーを同期するかを指定することができます。高度なクエリを追加して検証すると、そのクエリによって特定された各ユーザーに AuthPoint ユーザー アカウントが作成されます。

続行する前に、以下の要件にご注意ください：

• クエリの結果に、使用可能なライセンスよりも多いユーザーがいる場合、AuthPoint はライセンスによってサポートされる数のユーザーしか作成しません
• 名 (名前) やユーザー名、電子メール アドレスを持っていない LDAP ユーザーは同期に含まれません。

高度なクエリを追加するには、以下の手順を実行します。

1. 外部アイデンティティ を選択します。
2. 追加した LDAP 外部アイデンティティの横で をクリックし、高度なクエリ を選択します。

3. 高度なクエリ ページで 高度なクエリを追加する をクリックします。

4. 名前 テキスト ボックスに、クエリの記述的な名前を入力します。
5. グループ ドロップダウン リストから、このクエリからのユーザーの追加先となる AuthPoint グループを選択します。同期したユーザーは、AuthPoint グループに追加する必要があります。

   高度なクエリごとに、すべてのユーザーが同一の AuthPoint グループに追加されます。各 LDAP グループのユーザーを別々の AuthPoint グループに追加するには、LDAP グループごとに別々の高度なクエリを作成する必要があります。

6. 高度なクエリ テキスト ボックスにクエリを入力します。ほとんどの場合、クエリは、memberOf= の後にクエリにより同期するグループの識別名が続く形式となります。たとえば、グループの識別名が CN=MyAuthGroup,CN=Users,DC=myorg,DC=local の場合、クエリは memberOf=CN=MyAuthGroup,CN=Users,DC=myorg,DC=local となります。
   Active Directory グループの識別名を探すには、以下の手順を実行します。

   1. Active Directory を開きます。
   2. 表示 > 詳細機能 の順に選択します。
   3. 同期するグループを右クリックし、プロパティ を選択します。
      プロパティ ウィンドウが開きます。
   4. プロパティ ウィンドウで 属性エディタ を選択します。
   5. distinguishedName 値を選択し、表示 をクリックします。
   6. 値 をコピーします。この値の冒頭に "memberOf=" を追加すると、それは高度なクエリになります。

7. AuthPoint にそれらのユーザー アカウントのモバイル トークンを作成させたくない場合、またはユーザーにモバイル トークンをアクティブ化するための電子メールを送信したくない場合は、モバイル トークンを同期されたユーザーに自動的に割り当てる および アクティベーション電子メールを同期されたユーザーに自動的に送信する チェックボックスの選択を解除します。
8. クエリの結果をプレビューするには 高度なクエリを検証する をクリックします。クエリから返されるユーザー数と最初の 10 人のユーザーのプレビューを表示することができます。

   クエリの検証時にはユーザーは同期されません。クエリが外部アイデンティティに追加され、変更が保存されるまではユーザーは同期されません。

9. クエリを外部アイデンティティに追加するには、追加 をクリックします。

AuthPoint は、次の 同期間隔 これは外部アイデンティティの LDAP 構成 ページの同期間隔ドロップダウン リストで定義されます。 で Active Directory または LDAP データベースと同期し、高度なクエリで特定されたユーザーごとに AuthPoint ユーザー アカウントを作成します。

すぐに同期を開始するには、外部アイデンティティ ページの外部アイデンティティの横で をクリックし、同期の開始 を選択します。

ユーザーが Active Directory または LDAP データベースで削除された場合、関連する AuthPoint ユーザー アカウントは削除されません。その代わりに、ユーザーが検疫ステータスになります。詳細については、次を参照してください：検疫済みユーザー。

高度なクエリを編集する

1. 外部アイデンティティ を選択します。
2. 追加した LDAP 外部アイデンティティの横で をクリックし、高度なクエリ を選択します。

3. 高度なクエリ ページのクエリ リストから編集するクエリの 名前 をクリックします。

4. 高度なクエリを更新する ウィンドウで変更を行います。
5. 更新 をクリックします。

関連トピック

外部アイデンティティへの接続をテストする

Azure Active Directory からユーザーを同期する

Gateway について

検疫済みユーザー

ビデオ チュートリアル：外部ユーザーを AuthPoint に同期する