直接認証

直接認証は、ユーザをActive Directoryに直接接続し、属性が限定されているユーザとグループ (TMWSaaSで設定) を同期することでユーザを認証する、エージェントレスソリューションです。十分なセキュリティが提供される簡単なソリューションを希望する場合には、この直接認証方式を使用できます (直接認証の図を参照)。この方式は、ネットワーク上にエージェントをサポートするソフトウェアをインストールする必要がありません。TMWSaaSがActive Directoryサーバに直接接続し、ユーザとグループを同期および認証します。

複数のドメインがある場合、各ドメインで同じ認証方式 (直接、AD FS、エージェント、Okta、Azure AD、Google) を使用します。同じ認証方式でも設定はドメインごとに変えることができます。

この認証方式を選択すると、透過認証を有効にできます。

  1. [管理] > [ユーザと認証] > [ディレクトリサービス] に移動します。
  2. [ディレクトリサービス] 画面の上部領域で [ここ] をクリックします。
  3. 表示される画面で、[直接] を選択して、[保存] をクリックします。
  4. 設定するドメインに対応する [ADとの連携][無効] の横にある をクリックします。
  5. 表示される [ADとの連携設定の編集] 画面で、次のパラメータを設定します。

    項目

    設定

    ドメイン名

    このフィールドは変更できません。

    認証方式

    このフィールドは変更できません。

    ADとの連携の有効化

    必要に応じて [オン] または [オフ] をクリックします。

    同期されていないユーザを許可する

    組織のADユーザのデータがTMWSaaSと同期されていない場合にTMWSaaSを介したWebサイトへのアクセスを許可するかどうかに応じて、[オン] または [オフ] をクリックします。

    注:

    この設定は、TMWSaaSゲートウェイで [ユーザ認証][透過認証] に設定されている場合のみ有効になります。

  6. [クラウドの設定] セクションを設定します。

    項目

    設定

    サーバのホスト名またはIPアドレス

    Active Directoryのホスト名またはIPアドレスを入力します。ポート番号は、Active Directoryサーバ用に別のポートを使用する場合にのみ変更してください。

    通信にLDAPSを使用する場合は SSL/TLSを使用 を選択します。

    グローバルカタログサーバまたは信頼する側のドメインを使用している場合、対応するサーバがLDAPとLDAPSのどちらを使用しているかに基づいて [ポート]3268または3269に設定します。

    セカンダリActive Directoryの有効化

    オンにすると、プライマリのActive Directoryサーバが使用できなくなった場合にもサービスを継続できます。

    サーバのホスト名またはIPアドレス

    Active Directoryのホスト名またはIPアドレスを入力します。ポート番号は、Active Directoryサーバ用に別のポートを使用する場合にのみ変更してください。

    通信にLDAPSを使用する場合は SSL/TLSを使用 を選択します。

    [ユーザ名]および[パスワード]

    Active Directoryの認証情報を入力します。

    匿名認証を有効にする

    オンにすると、管理者の認証時にActive Directory管理者のアカウントを指定する必要がなくなります。この機能を有効にするには、Active Directoryサーバで匿名認証も有効にします。

    ベース識別名

    Active DirectoryサーバがActive Directoryに問い合わせる際に参照ポイントとして使用する名前を入力します。

    [接続のテスト] をクリックして、Active Directoryサーバとの接続を確立できることを確認します。

    同期スケジュール

    手動でActive Directoryサーバと同期することも、スケジュール (日次、週次、または月次) を指定して同期することもできます。[手動] を選択した場合は、TMWSaaSに最新の情報が反映されるように、Active Directoryのユーザ情報が変更されるたびに、この画面に戻って手動で同期を実行するようにしてください。

  7. [詳細設定] をクリックします。
  8. [属性] セクションを設定します。
    重要:

    直接認証を使用する場合、ユーザの同期と認証が正しく行われるようにするには、以下の属性の設定をActive Directoryサーバと同じにする必要があります。

    これらの属性の設定は初期設定値のままにすることをお勧めします。

    項目

    設定

    ユーザ名属性

    Active DirectoryのユーザIDの属性名 (「sAMAcountName」) は変更できません。

    このフィールドは [sAMAcountName] に設定され、変更できません。

    メール属性

    Active Directoryユーザのメールアドレスを入力します。このフィールドを指定すると、Active Directoryユーザは自分のメールアドレスをアカウント名として使用してログオンできます。

    ユーザフルネーム属性

    Active Directoryユーザの名前。このパラメータは [name] で固定され、編集できません。

    部門名属性

    Active Directoryユーザが所属する部門の属性名を入力します。

    グループ属性

    ユーザとグループの間またはグループとグループの間の関係で使用されるActive Directoryのグループ属性。このパラメータは [memberOf] で固定され、編集できません。

    グループ名属性

    Active Directoryのグループ属性の名前。このパラメータは [name] で固定され、編集できません。

  9. [フィルタ] セクションを設定します。

    項目

    設定

    ユーザ検索フィルタ

    Active Directoryでユーザを照会します。

    グループ検索フィルタ

    Active Directoryでグループを照会します。

  10. [保存] をクリックします。