0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

国産IDaaS Exticを使ってみる 7. AD Provisioning

Last updated at Posted at 2025-03-24

前回の続きです。

AD Provisioning

「ADエージェント」と呼ばれるWebアプリケーションを使用し、Exticのユーザー情報とエージェント側で設定したグループ情報を連携する機能です。
複数のエージェントを稼働させることで、複数のADドメインに連携させることが可能です。

設定

事前準備

※Visual C++ 2015-2022 再頒布可能パッケージのインストールが前提です。
ADへの接続ユーザーにUPN=ユーザーログオン名を設定します。接続ユーザーは必ずDomainAdminsAccountOperatorsグループの両方に参加しているか、それ以上の権限を持っている必要があります。
image.png
Extic管理コンソール > アプリケーション から「Active Directory(オンプレミス)」を選択します。
image.png
表示名を設定し、接続キーを発行します。
スクリーンショット 2025-01-06 102832.png

Webアプリケーションの設定

管理コンソールよりadagent.warをダウンロードします。
image.png
<tomcat_home>\webapps\以下にコピーしてデプロイします。
image.png
<tomcat_home>\webapps\adagent\WEB-INF\classes\META-INF\application_setting.propertiesを開き、サブドメイン、接続キー、sqliteのDBファイルの格納先ディレクトリを指定します。
Exticのユーザー名をマッピングする、AD側のユーザーのキー項目はデフォルトのsAMAccountNameとします。
スクリーンショット 2025-01-06 104454.png
保存してTomcatを再起動します。
http://(ホスト名):(ポート)/adagent/にアクセスし、管理者ロールを持つユーザーでログインします。
次の画面に遷移します。
image.png
画面右上プルダウンメニューから「設定」を選択します。
「AD接続設定」ではADへの接続情報を設定します。
image.png
「ユーザーマッピング設定」からはまずエントリ・コンテナの識別属性名と値、パスワード同期識別属性名を設定します。
image.png
マッピングは以下の設定としました。
[is_enabled]などの特別な属性名を使用することで、ADのアカウントオプション(「アカウントは無効」など)をマッピング対象にすることができます。
[organization_unit]属性を使用した動的な格納先OUの変更も可能です。
image.png
「グループマッピング設定」ではまず、グループとコンテナの識別属性と値、空グループの削除を行うかの設定を行います。
次に、必要に応じてAD側に作成したいグループの設定を行います。ここで設定するグループはExtic側のグループとは無関係です。
ここでは、有効なアカウントがメンバーとなるtestgroupというセキュリティグループを定義しています。
image.png
「後続処理実行機能」では追加・更新・削除の処理ごとに実行ファイルを実行することができます。
image.png
最後にポーリング間隔と自動起動の設定を行って終了です。
image.png

確認

対象ユーザーのアプリケーション設定にてADプロビジョニングを「使用する」にします。
image.png
アプリケーションを起動します。
image.png
ユーザーとグループ、グループメンバが追加されました。
image.png
image.png
image.png
image.png
アカウントを無効化してみます。
image.png
ユーザーエントリが更新され、またアカウント有効trueであることをメンバー要件にしていたtestgroupグループから削除されました。
空グループが削除される設定ではないため、グループは残置されます。
image.png
image.png
「アカウントは無効」にチェックが入っていることがわかります。
image.png
アプリケーションを「使用しない」設定とすることで、ユーザーエントリの削除処理が実施されることもわかります。
image.png
image.png
image.png

このようにして、ExticからADへのプロビジョニングが実行されます。
次回はADのパスワード変更を検知してExticに送信する「ADパスワード同期フック」について検証します。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?