Forguncy 10 オンラインヘルプ
アプリの開発 / ユーザー管理と保護 / ログインと認証 / 認証プロバイダー / Windows Active Directory
このトピックで
    Windows Active Directory
    このトピックで

    注意:本機能はWindows版のForguncy Serverでのみ利用が可能です。Linux版のForguncy Serverでは使用できません。

    次のリンク先より入手した「Windows Active Directory用認証プロバイダー」を登録することによって、Active Direcroty上のユーザー、組織単位など情報をForguncyのユーザー、ロール、組織の情報として使用できるようになります。なお、組織における「組織のロール」や「リーダー」の設定には対応していません。このような設定が必要な場合には、「Windows Active Directory用認証プロバイダー」を使用するのではなく、Windows認証ユーザーの同期機能を使用してActive Directoryのユーザーのみを利用するようにし、ロールや組織は手動で作成、メンテナンスを行う方法を検討してください。

    ダウンロードリンク

    ※利用しているバージョンによって対応する認証プロバイダーはが異なります。以下より該当するバージョンをお選びください。

    Forguncy Builder / Forguncy Serverのバージョン プロバイダー
    10.0.10.0以降の10.x.x.x adsecurityprovider_10_0_10_0.zip

    ※古いバージョンでは本ページに記載している一部の機能はサポートされていません。

    認証プロバイダーの登録

    1. ユーザーアカウント管理画面、もしくはサーバー管理ポータルにログインします。

      以降は、開発時ユーザーアカウント管理の画面を使って説明しますが、運用環境でも同様です。

    2. [認証連携] - [認証プロバイダー]をクリックした後、[認証プロバイダーの登録]ボタンをクリックしてダウンロードしたZIPファイルを選択します。

    3. 登録が完了します。

      以下の図のように「ADSecurityProvider」が「準備完了」と表示されます。

      この状態でWindows Active Directory に登録されているユーザーアカウント情報(ユーザー、ロール、組織)が、自動的にメモリにキャッシュされます(この同期は既定が20分に設定されていますが、4の手順で変更できます)。以下の画面にあるように「認証連携」の「ユーザー情報」からキャッシュされたこれらの情報を確認できます。

      参考:

      • Active Directoryから取得されたユーザーアカウント情報(ユーザー、ロール、組織)は、上記の画面左の[認証連携]で表示されるユーザー情報から確認できます。この情報は、Windows認証とフォーム認証用の[内部管理]で登録するユーザーアカウント情報とは別に管理されるアカウント情報となっており関連性はありません。

      • Windowsドメインでは、グループの名前を異なる組織単位で重複して使用できます。しかし、Forguncyでは同じ名前を使うことはできません。、同じ名前の2つのグループがあった場合、Forguncyは最初のグループのみを保持します。

    4. 必要に応じて[認証連携] - [その他の設定]をクリックして詳細を設定します。

      同時処理を行う間隔

      認証プロバイダーを登録すると、ユーザー情報がキャッシュされます。このキャッシュの値と、実際のWindows Active Directory のユーザー情報に差がないか同期を行う間隔を指定します。既定では20分です。この設定値には必ず0より大きな値を設定してください。0を設定した場合、同期処理が継続して行われることになりサーバーのパフォーマンスが低下します

      ユーザーのプロパティ

      Windows Active Directory内のユーザー属性(プロパティ)を指定することで、その項目の値を取得できます。Forguncyは常にuserName、emailのプロパティを取得します。コンマで区切って複数指定することで、複数のユーザー属性(プロパティ)を取得できます。ここで取得したユーザー属性(プロパティ)の値は、「認証設定」ー[ユーザー]から確認できます。この値はForguncyのWindows認証やフォーム認証の拡張属性と同じように扱うことができます。

      グループ種別

      Windowsドメインには、distributionGroup、securityGroupの2種類のグループがあります。どのグループのユーザーを取得するかを決めることができます。allを指定すると両方のグループのユーザーを取得します。

      グループフィルター

      Forguncyでロールとして使用できるグループを、Windows Active Directory内で指定しているグループからフィルタして取得できます。空白のままにすると、Windows Active Directory内のすべてのグループを取得します。たとえば「Sales」というグループだけForguncyでロールとして使用したい場合は、「Sales」とグループ名を入力します。複数のグループをロールとして取得したい場合は、グループ名をコンマで区切りで指定します。この設定によってフィルタされるのはロールの情報のみです。ユーザーや組織の情報はフィルタされません。

      フィルター設定

      [組織フィルター]をクリックすると、同期する組織を選択できるダイアログボックスが表示されます。同期する組織にチェックを入れると、以下のように設定が可能です。

       

    参考:

    • Windows Active Directory内のユーザーアカウント情報(ユーザー、ロール、組織)が非常に多い場合、キャッシュしきれずオーバーフローのエラーが発生することがあります。この場合、グループ種別で取得するユーザー種別を「all」以外指定することで対象ユーザーを減らせます。このエラーが発生した場合、一旦認証プロバイダーを削除し、再登録することで上記の画面で設定した情報が初期化されます。

    • ユーザー名、氏名、メールアドレスの最大文字数は190です。そのため、ドメインユーザーの中にその制限を超えるユーザーが存在した場合、エラーメッセージが表示され、同期に失敗します。

    • ドメインに参加していないコンピューターからアクセスした場合、権限設定が「誰でも」でなければログイン情報を求めるダイアログが表示されログインが可能です。この場合、Webブラウザーを閉じることで再度ログインが必要となります。

    • ドメインに参加していないコンピューターから権限設定「誰でも」を設定しているページにアクセスした場合、ログインは求められずページが表示されます。ページにログインユーザー型セルが配置されている場合には、そのセルの[ログイン]をクリックすることでログイン情報を求めるダイアログが表示されます。