レルム設定画面（LDAP認証）

CAUTION:

本画面はご契約状況によっては表示されません。

ここでは Active Directoryと連携するレルムの設定を確認・編集することが可能です。

Active Directoryとの連携に関する初期設定は、現在弊社支援の元、実施しております。新しく連携したい場合は弊社営業部へご連絡ください。また、設定の変更や解除、Active Directoryサーバーのリプレイス等、サーバーの変更をご希望の場合は CloudGateサポートにお問い合わせください。

左メニューの設定 > アイデンティティプロバイダー > 外部IdPタブにて外部IdP が追加されている場合は、認証を行うアイデンティティプロバイダーを変更することも可能です。

基本情報

レルムの表示名など基本情報を確認することができます。

項目	内容
レルム表示名*	ユーザー管理画面にて確認できる組織ツリー情報では、こちらの表示名が表示されます。半角記号 ; : を除く、半角全角64文字以内で変更可能です。必須項目のため空欄にすることはできません。
レルムタイプ	「LDAP」と表示されます。変更はできません。
アイデンティティプロバイダー	「CloudGate UNO」と表示されます。ただし、外部IdP を利用している場合は、ユーザー認証を行うアイデンティティプロバイダーを選択することができます。 Note: 外部IdP を利用するには、「外部 Idp 連携オプション」の契約が必要です。

スケジュール設定

「差分同期」のスケジュールを設定することができます。ここで設定した間隔で「差分同期」処理が行われ、Active Directoryの変更箇所が CloudGate UNO へ同期されます。

項目	内容
差分同期タイマー	On にすると、差分同期が下記の「差分同期間隔」で実行されます。
差分同期間隔	差分同期の時間間隔を10分・30分・60分から選択できます。

LDAP設定

Active Directoryと接続するため、LDAP通信の設定をすることができます。

項目	内容
ホスト*	Active DirectoryサーバーのグローバルIPアドレスもしくはホスト名を設定します。必須項目のため空欄にすることはできません。
ポート*	Active Directoryサーバーとの LDAPS通信に使用するポート番号を指定します。必須項目のため空欄にすることはできません。
接続ユーザ名*	Active Directoryサーバーに接続するためのユーザー名を設定します。このアカウントを使用して Active Directoryとの同期やパスワードの変更を行います。必須項目のため空欄にすることはできません。 Note: 事前の接続確認：設定前に、このユーザー名とパスワードを使用して Active Directoryサーバーへ正常にログインできるか確認しておくと、構築がスムーズです。参照権限：「参照起点」配下の OU、ユーザーオブジェクト、グループオブジェクト、および各属性に対する参照権限が必要です。 Active Directory機能の「制御の委任」などをご利用ください。（任意設定）パスワードリセット権限：「参照起点」配下にあるユーザーオブジェクトに対してのパスワード更新権限を付与すると、 CloudGate UNO からのパスワード変更機能や、 Google Workspaceとのパスワード同期、パスワードリカバリー機能を利用できます。（任意設定）ゴミ箱の参照権限： Deleted Objects Container（ゴミ箱）およびゴミ箱内のオブジェクトに対して参照権限を付与すると、Active Directoryで削除されたオブジェクトを検知し、 CloudGate UNO へ自動で削除同期できるようになります。
パスワード	接続ユーザーのパスワードを設定します。マスクされた状態で表示されます。
参照起点	CloudGate UNO が参照する OUの起点を設定します。この OU配下の OU・ユーザーオブジェクト・グループオブジェクトを同期対象とします。サインオンするユーザーオブジェクトは、必ず参照起点 OU配下に配置されている必要があります。 DC（ドメイン）を直接参照起点に設定することはできません。 Usersや Builtinなどの既定の CN（コンテナ）を参照起点に設定することはできません。同期対象は必ず OUの中に配置してください。参照起点を変更したい場合は、新しい参照起点を添えて作業変更依頼をしてください。
ADで削除されたオブジェクトが配置されるDN	Active Directoryのゴミ箱（Deleted Objects Container）のDNを指定します。
接続確認	接続のテストをクリックすると、設定した値で接続テストを開始します。成功すると、上記の設定が保存可能となります。失敗した場合は、 AD接続確認テストが失敗した場合の対処法をご確認ください。

ユーザー認証設定

ユーザーアカウントの認証に関する以下の設定値が表示されます。

認証キャッシュのみ変更可能で、キャッシュの有効な日数を指定できます。

CloudGateユーザー名の属性
認証する属性
パスワード属性
パスワード変更機能
検索IDパターン
AD認証IDパターン
認証キャッシュ

Note: 外部IdP を利用している場合、ここでの設定は無効となります。

ユーザー同期設定

CloudGate UNO のユーザー情報と同期する Active Directoryの属性が設定されています。

LDAPオブジェクトクラス
姓属性
名属性
表示名属性
表示名（ふりがな）属性
役職属性
会社名属性
メールアドレス属性
電話番号属性
内線番号属性
携帯番号属性
社員コード属性
部門コード属性
管理コード属性
パスワードリカバリーメールアドレス属性
セキュリティプロファイル属性
連携フラグ属性
CloudGateアカウント連携フラグ

Note:

「パスワードリカバリーメールアドレス属性」は、パスワードリカバリー機能で利用される「メールアドレス」に同期する属性が表示されます。
「CloudGateアカウント連携フラグ」に設定されている文字列を同期するアカウントの「連携フラグ属性」へ設定すると、設定したアカウントが同期対象となります。

以降の「利用可能サービスの連携フラグ」および「カスタムフィールド属性設定」は変更可能です。

利用可能サービスの連携フラグプルダウンメニューで連携するサービスを選択すると、自動で必要な属性の入力欄が表示されます。
共通	アカウント名属性*：連携先サービスのアカウントを設定するAD属性を入力します。連携フラグ：任意の文字列を入力します。サービスの利用を許可するアカウントにはこの値を「連携フラグ属性」に設定します。
「SCIM 2.0」指定のサービス	SCIM user resource ID属性：サービスプロバイダー設定画面：プロビジョニング設定の各設定によって表示される入力欄です。プロビジョニング方法が SCIM 2.0 で指定され、「アカウントプロビジョニング」がＯｎで、かつ「SCIM user resource IDの入力方法」が手動で設定されている場合にのみ表示されます。連携先サービスの既存アカウントと連携する場合はサービス側のアカウントが登録されたAD属性を入力します。空欄にすると、既存アカウントは検索されず、サービス側に新規に作成したアカウントと連携します。「SCIM user resource IDの入力方法」が自動で設定されている場合は、この値を自動取得しますので入力は不要となります。
Google Workspace	ドメイン：「アカウント名属性」の値に対してドメインを強制変更させたい場合に入力します。入力するドメインに＠マークは不要です。ドメインの変換はレルム内のすべてのユーザーアカウントを対象に行われます。変換しない場合はこの欄を空欄にしてください。例：ドメインに「protest.co.jp」と入力した場合：　　「sato」 → 「sato@protest.co.jp」　　「sato@abcx.co.jp」→ 「sato@protest.co.jp」ドメインを空欄にした場合：　　「sato」 → 「sato」　　「sato@abcx.co.jp」→ 「sato@abcx.co.jp」 Note: 「ドメイン」の変更によりすべての「アカウント名属性」値が書き変わる可能性があります。変更には充分注意してください。「ドメイン」を空欄にすると、プロビジョニングの際、「アカウント名属性」値に＠マーク以下がない場合や Google Workspaceに存在しないドメインである場合はエラーとなります。同じレルム内のユーザーアカウントで異なるGoogleドメインと同期させたい場合は、この「ドメイン」を空欄の状態にし、すべての「アカウント名属性」値に正しいドメインを含めたアカウント名を設定する事で、それぞれのドメインと連携が可能となります。
Microsoft 365	イミュータブルID属性：「objectGUID」または「mS-DS-ConsistencyGuid」を入力します。ただし、運用環境に合わせて他の参照属性を入力することもできます。その際は、下の「イミュータブルID変換」を Off にします。イミュータブルID変換：「objectGUID」または「mS-DS-ConsistencyGuid」を利用する場合は On 、別の属性を使う場合は Off にして、「イミュータブルID属性」に参照属性を入力します。これらの値は、以下のメニューで設定可能な「アカウントプロビジョニング」設定が Off の場合のみ表示されます。左メニューの設定 > サービスプロバイダー > Microsoft 365「編集」 > プロビジョニング設定タブ
Microsoft 365/ cybozu.com	ライセンスプロファイル属性：連携するサービスの「ライセンスプロファイル」が登録されているAD属性を入力します。この属性には CloudGate UNO Administrator Site （管理者サイト）で作成したライセンスプロファイル名を設定します。以下でご確認ください。左メニューの設定 > サービスプロバイダー > Microsoft 365または cybozu.com「編集」 > ライセンスプロファイル設定タブこちらの値は、以下のメニューで設定可能な「ライセンスプロビジョニング」設定が On の場合のみ表示されます。左メニューの設定 > サービスプロバイダー > Microsoft 365または cybozu.com「編集」 > プロビジョニング設定タブ
Form-based認証のサービス	パスワード属性：連携するサービスのパスワードが登録されているAD属性を入力します。

カスタムフィールド属性設定

ユーザー情報の「カスタムフィールド」と同期する属性が指定できます。

共通

「カスタムフィールド」と同期する場合は、プルダウンメニューからユーザー管理で登録されているカスタムフィールドIDを選択します。選択後は自動で属性の入力欄が表示されますので、同期する Active Directoryの属性を入力します。属性の入力にはオートコンプリート（入力補完）が表示されるのでそちらを選択するだけで設定可能です。なお現在のところ、プロビジョニングで利用する場合は LINE WORKSサービスと SCIMを使ったプロビジョニングでのみ有効となりますのでご注意ください。

グループ同期設定

CloudGate UNO のグループ情報と同期する Active Directoryの属性で以下の設定値が表示されます。

グループシンクロ
LDAPオブジェクトクラス
CloudGateグループID属性
表示名属性
説明属性
メンバーのID属性
連携フラグ属性
CloudGateグループ連携フラグ

Note:

「グループシンクロ」は、グループ情報の同期をするかどうか有効・無効で表示されます。
「メンバーのID属性」は、グループ情報の「メンバーID」と同期する属性で、ユーザー、グループ、その他それぞれに設定されています。
「CloudGateグループ連携フラグ」に設定されている文字列を、同期するグループオブジェクトの「連携フラグ属性」へ設定すると同期対象となります。

以降の「利用可能サービスの連携フラグ」は変更可能です。

利用可能サービスの連携フラグ

プルダウンメニューで連携するサービスを選択すると、自動で必要な属性の入力欄が表示されます。プルダウンメニュー内では複数選択や検索が可能です。

共通

グループID属性*：連携するサービスのグループやグループIDが登録されているAD属性を入力します。

連携フラグ：任意の文字列を入力します。同期するにはこの値を「グループ同期設定の連携フラグ属性」に設定します。

組織同期設定

CloudGate UNO の組織情報と同期する以下の Active Directoryの属性で以下の設定値が表示されます。

LDAPオブジェクトクラス
組織名属性

画面最下部の操作ボタン

画面上に表示されている設定について以下の操作を行うことが可能です。

アクションボタン	処理内容
保存	表示されている設定値が保存されます。
履歴	変更履歴の確認画面へ遷移することが可能です。

このセクションの記事