AD連携の同期とは
Microsoft Active Directory(以下、AD)と連携する「AD連携」の同期についてご案内します。
ここでは具体的に、同期の仕組みや実行方法、同期履歴の確認やエラー発生時の通知設定について解説します。 これらの設定・操作は、 CloudGate UNO 管理者サイト( CloudGate UNO Administrator Site )で行うことができます。
AD同期の仕組み
基本を理解する3つのポイント
- 参照起点 OUは、CloudGate UNOの1つのレルムと対応します。
- 参照起点配下にあるユーザーオブジェクトやグループオブジェクトは、「連携フラグ」が付与されたものを同期対象とします。
- 同期完了後、ユーザーは CloudGate UNOを介して連携する様々なサービスへSSOが可能です。
AD連携の同期機能は、ADの参照起点OU(Organizational Unit)配下にあるオブジェクトを対象とします。OUは階層構造のまま同期され、 「アカウント連携フラグ」が設定されているユーザーオブジェクトおよびグループオブジェクトのみが同期対象となります。
AD連携構築後の初回同期時に、ADのオブジェクトを元に CloudGate UNO のユーザーアカウントとグループが作成され、連携されます。連携後は基本的に AD側で作成・更新・削除された状態が自動的に CloudGate UNO へ反映されます。
同期には「アカウント連携フラグ」が必須であり、さらに「サービス連携フラグ」を設定すると、 各サービスへの SSO連携が可能になります。各連携フラグの記載方法については 連携フラグとは をご参照ください。
ユーザー情報・グループ情報の同期
参照起点として設定された OU配下のユーザーオブジェクトとグループオブジェクトの各種属性は、 CloudGate UNO のユーザー情報とグループ情報へ同期されます。これらの項目(属性)ごとに、同期の対象にするかどうか決定できます。設定操作については AD連携設定を変更する をご確認ください。
CloudGate UNO 管理者サイトの以下の画面で設定と確認ができます。
[設定] > [レルム管理] >(該当レルムの)「編集」をクリック
■ ユーザーオブジェクトを同期する場合
「ユーザー同期設定」の項目
■ グループオブジェクトを同期する場合
「グループ同期設定」の項目
CloudGate UNO と連携する ADの属性値は、 CloudGate UNO のユーザー情報やグループ情報の項目ごとに個別で設定できます。その際、AD側が正(マスターデータ)となるため設定された項目は CloudGate UNO 側では変更ができなくなります。もし、 CloudGate UNO 側のユーザー情報にない項目を新しく追加したい場合は、 カスタムフィールド を利用して項目の追加をすることができます。なお、同期されているユーザーオブジェクトやグループオブジェクトは、削除操作でも同期が実行されます。 同期により削除された CloudGate UNO 側のユーザーアカウントは復元できません。 AD連携済みのアカウントを削除する で注意事項を参照の上、操作してください。
- ユーザーアカウントやグループの新規作成時は、 必須項目 に値がないと同期エラーとなります。
- CloudGate UNO 側の項目によって使用可能な文字種などが異なります。 入力制限に反すると同期エラーが発生するため、あらかじめ 更新可能な項目一覧の入力制限 を確認してください。
- 運用開始後に、同期対象とする AD側の属性を変更したい場合は、CloudGateサポートに お問い合わせ ください。
SSO連携サービスとの同期
「サービス連携フラグ」が設定されたユーザーオブジェクトやグループオブジェクトは、ADからの情報同期によって CloudGate UNO 上でのサービス利用が有効となります。さらに、プロビジョニングが設定されている場合は、 CloudGate UNO から各サービス(Microsoft 365や Google Workspaceなど)へユーザー情報やグループ情報が同期されます。
CloudGate UNO 管理者サイトの以下の画面で設定と確認ができます。
■ ユーザーアカウントのサービス利用を確認する場合
[アカウント管理] > [ユーザー] > (該当のユーザーをクリック)
> [ユーザー設定]タブの「サービス」で、利用可能なサービスにはチェックが付きます
■ プロビジョニング設定を確認する場合
[設定] > [サービスプロバイダー] > (該当サービスの)「編集」 > [プロビジョニング設定]タブ
「アカウントプロビジョニング」 または 「グループプロビジョニング」
※ 削除時の挙動:「サービスアカウント削除時の動作」 または 「サービスグループ削除時の動作」
- バックグラウンドで定期的に処理されるため、反映まで時間を要する場合があります。
- 手動などによる、任意のタイミングでの即時反映はできません。
- 同期連携後は、連携サービス側で直接情報を更新しても、次回の同期実行時(変更箇所の同期タイミング)に CloudGate UNO の情報で上書きされます。
- 削除操作の挙動は、「削除」または「停止」のどちらかで設定できます。 削除すると、関連する情報等も元に戻せなくなる可能性があるため「停止」の設定をお勧めします。
- CloudGate UNO 管理者サイトの
2種類の同期方法
CloudGate UNOと ADの同期には、2つの方法があります。それぞれの特徴と使い分けについて説明します。
「今すぐ同期」
レルム管理メニューから 「今すぐ同期」を開始する と、連携する OU配下を対象に同期処理がすぐに開始されます。 参照起点配下のすべての同期対象オブジェクトが同期されるため完了までに時間がかかります。 この機能は、AD連携構築後の初回同期や同期されているデータを最新の状態に一致させたい場合に利用します。 また「差分同期」で、データに不整合が発生した場合のリカバリ同期にも使用されます。
「差分同期」
差分同期タイマーがオンの場合、設定された間隔で同期処理が自動的に実行されます。
前回の同期から変更があったデータのみを対象とするため、「今すぐ同期」よりも効率的です。 必要な同期を最小限の時間で行うことができるため、日々の運用には「差分同期」をお勧めします。
具体的な設定手順は 同期タイマーを設定する をご確認ください。
履歴の確認とエラー通知
同期の履歴は、 CloudGate UNO 管理者サイトの で確認できます。
同期中にエラーが発生した場合または ADへの接続に複数回連続で失敗した場合は、 CloudGate UNO 管理者サイトの通知機能で通知されます。これらの通知は Webhookやメールで受け取ることも可能です。
詳しい設定方法は、 CloudGate UNO からの通知をWebhookで行う や CloudGate UNO からの通知をメールで受信する ご確認ください。なお、このメッセージカテゴリーは「エラー」となり、 通知の内容とタイミング で通知頻度や通知保持期間を確認できます。
