2018/10/04
こんにちは、セシオスサポートチームです。
今回は弊社より提供しております、SeciossLink(セシオスリンク)の設定についてのお話です。
SeciossLinkでは構築済みの ActiveDirectory とユーザ情報を同期、認証する機能があり、この機能を使うことによりActiveDirectory のユーザアカウントでSeciossLink を介し各サービスへシングルサインオンが可能になります。
それでは早速手順を見ていきましょう。
※本設定には別途 「AD/LDAP連携(SaaS型)」のオプション契約が必要です。
まず初めに ActiveDirectory 側で同期に必要な設定をします。
「ダッシュボード」から「ActiveDirectory ユーザーとコンピューター」をクリックし、ActiveDirectory 管理画面を表示します。
下記のグループを作成します。
CN=idsync,OU=Roles,OU=IDsuite,o=ドメイン
同期させたいユーザを先程作成した idsyncグループ に所属させたら、同期の設定は終わりです。
次にSeciossLink側でユーザ同期の設定と、ユーザ認証時にActiveDirectoryで認証させるように設定します。
SeciossLink管理画面へログインし、「システム」→「AD/LDAP同期」と進んでください。
ユーザ同期に必要な設定を行います。
ここで言う送信元とは ActiveDirectory 側の情報を、送信先は SeciossLink 側の情報を指します。
同期の設定 | 有効にチェック |
送信元URI | 「ldap://」もしくは「ldaps://」から始まるActiveDirectoryの接続先URIを指定する |
送信元ユーザDN | ActiveDirectory の管理者ユーザのDNを指定 |
送信元パスワード | 送信元ユーザに対するパスワードを指定する |
送信元ベースDN | ActiveDirectory のベースとなるDNを設定する |
送信先ユーザID | SeciossLink側の管理者アカウント名 |
送信先パスワード | 送信先ユーザに対するパスワードを指定する |
ユーザの同期条件 | ユーザをActiveDirectoryからSeciossLinkに同期する際の条件を指定する |
入力後ページ下部より「保存」をクリックし、同ページの「即時同期」をクリックします。
この操作により SeciossLink にユーザが同期されます。
最後に同期したユーザをActiveDirectoryを使った認証方式でログインできるように設定します。
SeciossLink管理画面のメニューから「シングルサインオン」→「AD/LDAP 認証(LDAPS)」をクリックしてください。
認証に必要な設定を行います。
ここで表記している LDAPサーバ は ActiveDirectory サーバと読み換えていただければわかりやすいかと思います。
認証の設定 | 有効にチェック |
LDAPサーバ URI | 「ldap://」もしくは「ldaps://」から始まるActiveDirectoryの接続先URIを指定する |
LDAPサーバ ユーザDN | ActiveDirectory の管理者ユーザのDNを指定 |
LDAPサーバ パスワード | LDAPサーバ ユーザDNに対するパスワードを指定する |
LDAPサーバ ベースDN | ActiveDirectory のベースとなるDNを設定する |
ユーザIDの属性 | ActiveDirectory では「sAMAccountName」がユーザIDの属性となっているので図の通り設定します。 |
パスワード同期 | 「SSO => AD」と「AD => SSO」両方にチェック |
ユーザの同期条件 | ユーザをActiveDirectoryからSeciossLinkに同期する際の条件を指定する |
これでSeciossLinkからActiveDirectoryへユーザを認証する設定ができましたが、
SeciossLink ログイン時にこの認証を使う設定が必要です。
SeciossLink管理画面メニューより「認証」「新規登録」をクリックします。
設定値
ID | 任意なIDを設定します。 |
認証方法 | 「AD/LDAP認証(LDAPS)」を選択し、「追加 AND>」を押下 |
優先度 | 2 で設定(他にも認証ルールがある場合はより高い優先度へ設定する) |
クライアント | ブラウザPCへチェックを入れます。 |
ルールの設定 | 有効 |
ここまでが完了すると ActiveDirectory のユーザで SeciossLink へログインまでができるようになります。
ActiveDirectory のユーザでSeciossLinkにログインできれば、シングルサインオンによって office365 や Gsuite が利用でき、代理認証の設定を行うことにより、提携していないサービスへのアカウントもActiveDirectoryのユーザアカウントだけでログインできる為、非常に便利です。
これを機にぜひご活用ください。
これらの設定は SeciossLink マニュアルページでも解説しておりますので、ご覧ください。
SeciossLink サポート情報
SeciossLink クイックスタートガイド Active Directory - Microsoft365 編
以上、セシオスサポートチームでした。