前回の続きです。
ADアグリゲータとは
ADのユーザー情報をExticに連携するためのWebアプリケーションです。
パスワード同期フックモジュールを併用することで、パスワード情報の連携も可能です。
設定
事前準備
管理コンソール > アプリケーションから「Active Directory(オンプレミス) アグリゲータ」を選択します。
表示名を設定し、接続キーを発行します。
連携対象のADのドメインコントローラーにてパスワード同期フックモジュールをインストールします。(手順は前回と同一です)
ADPasswdSyncHookCfg.exeを起動します。
ここでは、ユーザー識別属性名と識別文字を空欄とし、エージェント接続情報にhttp://(ホスト名):(ポート)/adaggregator/pwdhookを指定、また接続キーにADアグリゲータ用に発行した接続キーを指定します。
Webアプリケーションの設定
adaggregator.warをダウンロードします。
adaggregator.warを<tomcat_home>\webapps\以下にコピーしてデプロイします。
<tomcat_home>\webapps\adaggregator\WEB-INF\classes\META-INF\application_setting.propertiesを開き、接続キー、サブドメイン、SQLiteのディレクトリと連携用CSVファイルの文字コードを指定します。
指定した文字コードとExtic本体側のCSVファイルの文字コードを合わせる必要があります。
保存してTomcatを再起動します。
http://(ホスト名):(ポート)/adaggregator/にアクセスし、テナント管理者グループのユーザーでログインします。
次の画面に遷移します。
画面右上プルダウンメニューから「設定」を選択します。
「AD接続設定」ではADへの接続情報と抽出フィルターを設定します。今回はcn=*とします。
「ユーザーマッピング設定」ではユーザーエントリのキー属性の指定とマッピングを行います。
今回は以下の通りとしました。
最後にポーリング間隔、開始時間と自動起動の設定を行って完了です。
確認
Webアプリケーションとパスワード同期フックサービスを起動します。
ADにユーザーを追加します。
するとこのように、Exticにユーザーが追加されます。
このユーザーの情報を変更します。
Exticにも連携されました。
ちなみに、ExticにADのユーザーが追加される契機はパスワード情報の更新です。
フィルターではcn=*としていても、ベースDN以下のユーザーエントリがすべて追加されることはなく、パスワード変更を行ったユーザーのみがExticに追加される仕様になっています。
応用 - ADエージェント(アグリゲータモード)の使用
ADエージェント(アグリゲータモード)を使用することで、AD→Extic間の連携中でもExtic側で変更したパスワードをADに連携することができます。
設定
<tomcat_home>\webapps\以下にadagent.warをコピーしてデプロイします。ここでは設定の都合上ファイル名をadagent-agg.warに変更しています。
<tomcat_home>\webapps\adagent-agg\WEB-INF\classes\META-INF\application_setting.propertiesを開きます。
サブドメインとADアグリゲータ用の接続キーを指定します。
user_filter_key_attributeの設定値はADアグリゲータの設定でExticのユーザー名属性にマッピングしたADの属性と同一である必要があります。
http://(ホスト名):(ポート)/adagent-agg/にアクセスし、テナント管理者グループのユーザーでログインします。
ログイン後、右上プルダウンメニューから「設定」を選択します。
「AD接続設定」で連携するADへの接続情報を指定します。
「ユーザーマッピング設定」ではパスワード同期フックモジュールのパスワード同期識別名に指定した属性と同じ属性を指定します。
また、プリセットのAD属性とExtic属性をマッピングします。
最後にポーリング間隔を設定します。
確認
では、アプリケーションを起動し、Exticにて対象ユーザーのパスワードを変更します。
パスワード変更の処理が実行されます。
このようにして、ADからExticへのユーザー情報の連携が行われます。
次回はローカルのサーバー上にCSVファイルを作成する「CSV(オンプレミス)出力」、CSVインポート処理を行うAPI「CSVインポートAPI」について検証します。