前回の続きです。
AD Provisioning
「ADエージェント」と呼ばれるWebアプリケーションを使用し、Exticのユーザー情報とエージェント側で設定したグループ情報を連携する機能です。
複数のエージェントを稼働させることで、複数のADドメインに連携させることが可能です。
設定
事前準備
※Visual C++ 2015-2022 再頒布可能パッケージのインストールが前提です。
ADへの接続ユーザーにUPN
=ユーザーログオン名を設定します。接続ユーザーは必ずDomainAdmins
とAccountOperators
グループの両方に参加しているか、それ以上の権限を持っている必要があります。
Extic管理コンソール > アプリケーション から「Active Directory(オンプレミス)」を選択します。
表示名を設定し、接続キーを発行します。
Webアプリケーションの設定
管理コンソールよりadagent.war
をダウンロードします。
<tomcat_home>\webapps\
以下にコピーしてデプロイします。
<tomcat_home>\webapps\adagent\WEB-INF\classes\META-INF\application_setting.properties
を開き、サブドメイン、接続キー、sqliteのDBファイルの格納先ディレクトリを指定します。
Exticのユーザー名をマッピングする、AD側のユーザーのキー項目はデフォルトのsAMAccountName
とします。
保存してTomcatを再起動します。
http://(ホスト名):(ポート)/adagent/
にアクセスし、管理者ロールを持つユーザーでログインします。
次の画面に遷移します。
画面右上プルダウンメニューから「設定」を選択します。
「AD接続設定」ではADへの接続情報を設定します。
「ユーザーマッピング設定」からはまずエントリ・コンテナの識別属性名と値、パスワード同期識別属性名を設定します。
マッピングは以下の設定としました。
[is_enabled]
などの特別な属性名を使用することで、ADのアカウントオプション(「アカウントは無効」など)をマッピング対象にすることができます。
[organization_unit]
属性を使用した動的な格納先OUの変更も可能です。
「グループマッピング設定」ではまず、グループとコンテナの識別属性と値、空グループの削除を行うかの設定を行います。
次に、必要に応じてAD側に作成したいグループの設定を行います。ここで設定するグループはExtic側のグループとは無関係です。
ここでは、有効なアカウントがメンバーとなるtestgroup
というセキュリティグループを定義しています。
「後続処理実行機能」では追加・更新・削除の処理ごとに実行ファイルを実行することができます。
最後にポーリング間隔と自動起動の設定を行って終了です。
確認
対象ユーザーのアプリケーション設定にてADプロビジョニングを「使用する」にします。
アプリケーションを起動します。
ユーザーとグループ、グループメンバが追加されました。
アカウントを無効化してみます。
ユーザーエントリが更新され、またアカウント有効
がtrue
であることをメンバー要件にしていたtestgroup
グループから削除されました。
空グループが削除される設定ではないため、グループは残置されます。
「アカウントは無効」にチェックが入っていることがわかります。
アプリケーションを「使用しない」設定とすることで、ユーザーエントリの削除処理が実施されることもわかります。
このようにして、ExticからADへのプロビジョニングが実行されます。
次回はADのパスワード変更を検知してExticに送信する「ADパスワード同期フック」について検証します。