次のリンク先より入手した「Windows Active Directory用認証プロバイダー」を登録することによって、Active Direcroty上のユーザー、組織単位など情報をForguncyのユーザー、ロール、組織の情報として使用できるようになります。なお、組織における「組織のロール」や「リーダー」の設定には対応していません。このような設定が必要な場合には、「Windows Active Directory用認証プロバイダー」を使用するのではなく、Windows認証ユーザーの同期機能を使用してActive Directoryのユーザーのみを利用するようにし、ロールや組織は手動で作成、メンテナンスを行う方法を検討してください。
Windows Active Directory用認証プロバイダーのダウンロードはこちら
adsecurityprovider_6_0_44_0.zip
認証プロバイダーの登録
-
ユーザーアカウント管理画面、もしくはサーバー管理ポータルにログインします。
-
開発環境では、開発時ユーザーアカウント管理へのログインに従ってログインします。
-
運用環境では、サーバー管理ポータルに従ってログインします。
以降は、開発時ユーザーアカウント管理の画面を使って説明しますが、運用環境でも同様です。
-
-
[認証連携] - [認証プロバイダー]をクリックした後、[認証プロバイダーの登録]ボタンをクリックしてダウンロードしたZIPファイルを選択します。
-
登録が完了します。
以下の図のように「ADSecurityProvider」が「準備完了」と表示されます。
この状態でWindows Active Directory に登録されているユーザーアカウント情報(ユーザー、ロール、組織)が、自動的にメモリにキャッシュされます(この同期は既定が20分に設定されていますが、4の手順で変更できます)。以下の画面にあるように「認証連携」の「ユーザー情報」からキャッシュされたこれらの情報を確認できます。
参考:
-
Active Directoryから取得されたユーザーアカウント情報(ユーザー、ロール、組織)は、上記の画面左の[認証連携]で表示されるユーザー情報から確認できます。この情報は、Windows認証とフォーム認証用の[内部管理]で登録するユーザーアカウント情報とは別に管理されるアカウント情報となっており関連性はありません。
-
Windowsドメインでは、グループの名前を異なる組織単位で重複して使用できます。しかし、Forguncyでは同じ名前を使うことはできません。同じ名前の2つのグループがあった場合、Forguncyは最初のグループのみを保持します。
-
-
必要に応じて[認証連携] - [その他の設定]をクリックして詳細を設定します。
同時処理を行う間隔
認証プロバイダーを登録すると、ユーザー情報がキャッシュされます。このキャッシュの値と、実際のWindows Active Directory のユーザー情報に差がないか同期を行う間隔を指定します。既定では20分です。この設定値には必ず0より大きな値を設定してください。0を設定した場合、同期処理が継続して行われることになりサーバーのパフォーマンスが低下します
ユーザーのプロパティ
Windows Active Directory内のユーザー属性(プロパティ)を指定することで、その項目の値を取得できます。Forguncyは常にuserName、emailのプロパティを取得します。コンマで区切って複数指定することで、複数のユーザー属性(プロパティ)を取得できます。ここで取得したユーザー属性(プロパティ)の値は、「認証設定」ー[ユーザー]から確認できます。この値はForguncyのWindows認証やフォーム認証の拡張属性と同じように扱うことができます。
グループ種別
Windowsドメインには、distributionGroup、securityGroupの2種類のグループがあります。どのグループのユーザーを取得するかを決めることができます。allを指定すると両方のグループのユーザーを取得します。
グループフィルター
Forguncyでロールとして使用できるグループを、Windows Active Directory内で指定しているグループからフィルタして取得できます。空白のままにすると、Windows Active Directory内のすべてのグループを取得します。たとえば「Sales」というグループだけForguncyでロールとして使用したい場合は、「Sales」とグループ名を入力します。複数のグループをロールとして取得したい場合は、グループ名をコンマで区切りで指定します。この設定によってフィルタされるのはロールの情報のみです。ユーザーや組織の情報はフィルタされません。
参考:
-
Windows Active Directory内のユーザーアカウント情報(ユーザー、ロール、組織)が非常に多い場合、キャッシュしきれずオーバーフローのエラーが発生することがあります。この場合、グループ種別で取得するユーザー種別を「all」以外指定することで対象ユーザーを減らせます。このエラーが発生した場合、一旦認証プロバイダーを削除し、再登録することで上記の画面で設定した情報が初期化されます。