Gluegent Blog

Gluegent Blog

Active Directory (AD)とのクラウド連携は意外に簡単です

  • Gluegent Gate
x facebook Line url copyコピーしました
Active Directory (AD)とのクラウド連携は意外に簡単です

既存のオンプレミスシステムからクラウドへの移行に伴い、様々なサービスとのシングルサインオンをご希望されているお客様も多いかと思います。

弊社ではそのようなお客様にGluegent Gateをご提案しておりますが、最近増えてきたのが「現在Active Directory(以降、AD)でユーザ管理しているため、そのADと連携することでシングルサインオンやG Suite(旧Google Apps)やOffice 365とのユーザ同期を実現できないか」というもので、弊社ではAD連携が可能なGluegent Gateをご提案しております。

Gluegent Gateをご利用することで、AD上のユーザ・グループの同期およびAD認証ができますので、ADでの一元管理が可能となります。 ただ、AD連携を行うための設定作業は何かとシステム管理者に対して「重い」ことが多いため、「大変じゃないの?」と思われているケースも少なくありません。 今回は、お客様AD環境とGluegent Gateを連携するために必要となる作業の概要をご説明したいと思います。

Gluegent GateとADを連携するために必要なお客様作業手順

基本的にAD環境への作業はお客様にて実施していただくよう、お願いしております。 以下、AD連携時にお客様にご依頼している作業の概要をご説明します。


1.Gluegent Gateからお客様ADへの通信経路を確保する
LDAPS通信が発生します。そのため、ファイアウォールやルータ等で通信を制限している場合、Gluegent Gateサーバからの通信を許可していただきます。


2.お客様ADへのSSLサーバ証明書をインストールする
ADへのLDAP参照のために、SSLサーバ証明書がインストールされている必要があります。サーバ証明書は公的機関から発行されたものでも、自己署名証明書でも構いません。自己署名署名書はIISから発行することができます。


3.お客様ADへ接続するための専用ユーザをADに追加する
ADへのLDAPS接続のため、ADに1名専用のユーザ(LDAP Bind用ユーザ)を作成していただきます。


4.同期対象ユーザ・グループを定義する
ADでどのユーザ・グループを同期対象とするか、限定するため、ADのセキュリティグループを用いて定義します。 以下、ユーザの同期対象を例にご説明します。
①任意の名前でセキュリティグループを作成する(ルートグループの作成)
②Gluegent Gateにおいてサービス毎に決められているセキュリティグループを作成し、手順1で追加したルートグループにメンバー登録する。(例:G Suite→googleapps、Office 365→office365)
③手順2で追加したセキュリティグループへ同期対象のユーザをメンバー登録する
※同期対象のグループも上記と同様に指定することができます


5.Gluegent Gateに設定するパラメータシートを記入する
接続先URIおよびBind DN、LDAP BindユーザID/パスワード、ユーザ属性のマッピング情報、同期グループDN等、弊社指定のパラメータシートに記入して頂きます。このパラメータシートの設定内容を踏まえ、弊社にてGluegent Gateを設定します。

    gate-ad-setting-process.png

    AD連携の設定作業に関するご質問例

    前述のAD連携に関するお客様設定作業に関するご質問とその返答例を以下にご紹介します。
    • Gluegent GateとAD連携するために、専用のソフトウェアをインストールする必要がありますか?

    → Gluegent GateとAD連携するために特別なソフトウェアのインストールは不要です。

    • 複数のADサーバがあるが、その中の1台としか認証連携はできませんか?

    → 認証時の連携先として複数のADを指定できます。具体的には半角スペース区切りでADサーバを指定します。ただし、同期対象は1台となりますのでご注意下さい

    • AD上の全てのユーザが同期されてしまいますか?

    → 弊社からご依頼したセキュリティグループをAD上に追加し、その配下にメンバー登録することで同期対象を制限できるようになっております。全てが勝手に同期されるようなことはございません。

    • ADサーバに導入が必要なSSLサーバ証明書は自己署名証明書だと公的機関から発行されたものより安全ではないですか?

    → 公的機関から発行された証明書は、保証されている安心である反面、コストが高くかかります。Gluegent Gateとの連携において、通信経路におけるアクセス元も限定しているため、自己署名証明書だからセキュリティ強度が弱くなる、ということはございません。

    • ユーザのマッピング情報はどこで指定しますか?

    → AD連携オプションを導入するお客様にはパラメータシートに設定値を記載していただき、それを踏まえて弊社にて設定作業を行います。その中に記載していただければ、弊社側で設定いたします。同期後、正しくマッピングされているかご確認ください。

    以上、Gluegent GateとAD連携を行う際に必要となるお客様作業の概要をご説明しました。上記のような設定作業を行うだけでADを源泉としたユーザ・グループ同期に加え、認証もAD経由で行うことができるようになりますので、メンテナンス作業も効率化でき、運用コストの削減も期待できるようになるでしょう。なお、より詳しく知りたい方はぜひ弊社お問い合わせフォームからお問い合わせください。