軽量ディレクトリアクセスプロトコル (LDAP: Lightweight Directory Access Protocol) と シングルサインオン (SSO: Single Sign-On) 機能は、ユーザーがMavisに簡単かつ安全にログインできるようにするセキュリティ認証ソリューションです。管理者が設定すると、組織のメンバーは簡単にログインできるようになります。
始める前に、以下の点に注意してください:
- Mavisは1つの外部ログイン認証方法のみを許可します。
- いずれかのログイン認証を有効にすると、Mavisで作成されたユーザーはMavisへのログインがブロックされます。(Mavisの管理者は引き続きMavisを通じてログインできます)
- 管理者がSSO (Microsoft) を有効にすると、元のMavisアカウント名がSSOプロバイダーのメールアドレスと一致する場合(つまり、MavisアカウントとMicrosoftメールが同じ)、ログインユーザーは同じMavisアカウントにリンクされます。一致しない場合は、SSOアイデンティティプロバイダーのメールアドレスをアカウント名として新しいユーザーが作成されます。
設定:
一、MavisでのLDAP統合設定
ユーザーアカウントの役割が管理者である必要があり、「管理インターフェース」からユーザー管理を行うことができます。
1. 「管理インターフェース」を選択 2. 「システム管理」を選択 3. 「ログイン認証」を選択 4. 「編集」を選択 |
5. ソースで「LDAP」にチェックを入れる |
フィールド入力情報の説明:
名称 | 説明 |
セキュア接続 (SSL) |
デフォルトでは無効。 LDAPサーバーのドメインがHTTPSでアクセスする場合は、セキュア接続設定を有効にする必要があります。 |
LDAP プロバイダー |
現在はWindows ADのみサポート |
URL | LDAPサーバーの接続情報。(IPまたはドメイン) |
Port ポート | デフォルトポートは389。 |
Bind account or DN |
ユーザー識別情報を検索するための管理者権限を持つLDAPアカウントを提供してください。 例:
|
Bind password バインドパスワード | バインドアカウントのパスワード。 |
Base DN |
例:
|
自動同期 |
デフォルトでは無効。 有効にすると、2分ごとにLDAPサーバーと同期し、LDAPのアカウントをMavisに同期します。LDAPから削除されたアカウントは、次回の同期時にMavis上で無効状態になります。 |
ユーザー同期フィルター条件 |
ユーザーの詳細フィルタリングが可能。 例:
(&(objectClass=user)(memberOf=CN=usinfra,OU=usoffice,DC=mavis,DC=ltd))
(!(useraccountcontrol:1.2.840.113556.1.4.803:=2)) |
管理者同期フィルター条件 |
ユーザーと管理者のフィルター条件の両方に一致する場合、そのLDAPユーザーは管理者として同期されます。 例: (memberOf=CN=Administrators,CN=Builtin,DC=mavis,DC=ltd) |
6. LDAPプロバイダー: "Windows AD"を選択 |
18. システムログメッセージの確認: 24時間ごとに定期的に同期 |
指定されたLDAPサーバーパス下のユーザーアカウントがMavisに同期されています。 |
設定完了後、システムとLDAPの統合には2〜3分かかる場合があることに注意してください。
LDAP設定が完了すると、ユーザーはログイン時にLDAPを使用して認証を行うことができます。(ユーザーはログインページで異なるログインボタンを見ることができます)
Troubleshooting トラブルシューティング
エラーメッセージ | 説明 |
アカウントまたはパスワードが間違っています | LDAPへのログイン試行時、アカウントまたはパスワードが無効です。ログイン資格情報が正しいことを確認してください。 |
ユーザーアカウントが重複しています | LDAPユーザーアカウントがローカルシステムに既に存在し、Mavisの一意のユーザーアカウントポリシーに違反しています。Mavisの管理者として、次の2つの選択肢があります: Mavisからそのユーザーアカウントを削除するか、LDAPユーザーアカウントを変更してMavisでの一意性を確保します。 |
ユーザーメールが重複しています | LDAPユーザーメールがローカルシステムに既に存在し、Mavisの一意のユーザーメールポリシーに違反しています。Mavisの管理者として、次の2つの選択肢があります: Mavisからそのユーザーメールを削除するか、LDAPユーザーメールを変更してMavisでの一意性を確保します。 |
メールアドレスが不足しています (Email) |
LDAPユーザーアカウントのメール情報が利用できません。この問題を解決するには、LDAP管理者に連絡し、ユーザーアカウントのメールが設定されていることを確認してください。 |
二、Microsoft認証統合の設定方法
ログイン:: https://portal.azure.com/#home 1. Azure Active Directoryを選択 2. アプリケーション登録を選択 3. 新規登録を選択 |
4. カスタム名を入力 5. サポートされているアカウントタイプ: 組織アカウントタイプを選択 この例では: このディレクトリ内のアカウントのみ(単一テナント)を選択 6. 「登録」をクリック |
7. アプリケーション(クライアント)ID: (client) ID 8. ディレクトリ(テナント)ID: Directory (tenant) ID |
9. 認証を選択 10. プラットフォームを追加を選択 11. Webアプリケーションを選択 |
12. リダイレクトURI: 自分の環境URLを入力 => ⇒ https://mavis url/sso/microsoft 範例:https://shun.mavisdemo.com/sso/microsoft 13. 設定をクリック |
ユーザーキーの作成、セキュリティ上の理由からキーの有効期限も設定してください 14. 証明書とシークレットを選択 15. クライアントシークレットを選択 16. 新しいクライアントシークレットを追加をクリック 17. 有効期限: カスタム有効期限を選択 18. 追加をクリック |
19. Secret Value: キー情報を取得します。注意: このフィールドはページを再読み込みすると非表示になります |
上記の手順を完了すると、以下の情報が得られます:
- Tenant ID
- Client ID
- Secret Value
Mavisで「システム管理」に移動し、「認証」をクリックして開き、「Microsoft」を選択して対応する情報を入力します。
ユーザーアカウントの役割が管理者である必要があり、「管理インターフェース」からユーザー管理を行うことができます。
1. 管理インターフェースを選択 2. システム管理を選択 3. ログイン認証を選択 4. 編集を選択 |
5. ソース: Microsoftを選択 6. Tenant ID を入力 7. Client ID を入力 8. Secret value を入力 9. 保存をクリック |
設定完了後、システムとMicrosoft (Azure AD) の統合には2〜3分かかる場合があることに注意してください。
Microsoft (Azure AD) 統合の設定が完了すると、ユーザーはログイン時にMicrosoftを使用して認証を行うことができます。(ユーザーはログインページで異なるログインボタンを見ることができます)