Search In: Doc:Documentation: Altium On-Prem Enterprise Server
Altium DesignerAltium 365Altium MCAD CoDesignerAltium On-Prem Enterprise ServerCompany DashboardAltium Infrastructure Server
Ver: Version: 7.0
8.07.27.17.06.05.5
Close
検索 Search on Documentation

LDAP同期の設定

Created: 5月 23, 2024 | Updated: 5月 23, 2024 | Applies to versions: 7.0 and 7.1
現在、バージョン 7.0. をご覧頂いています。最新情報については、バージョン LDAP同期の設定 の 8.0 をご覧ください。

企業ネットワークへの接続とアクセスのプロセスを簡素化するために、Enterprise Server はブラウザー・インターフェースを通じてディレクトリサービスのサポートを提供します。

これにより、Lightweight Directory Access Protocol(LDAP)に基づくドメインユーザーの同期が可能になります。LDAP はネットワークの中央 LDAP サーバーにクエリを実行し、ドメインユーザーのグループおよびロールの所属情報を取得します。このように既存のディレクトリサービスを通じてドメインユーザーを認証することで、Enterprise Server を含む社内のすべてのシステムに対して単一ログイン(シングルサインオン)を実現できる可能性があります。

Enterprise Server の LDAP 同期は、ユーザーロール単位でネットワークサービスにクエリを行い、Enterprise Server のユーザーアクセス認可のためにロール所属情報を収集します。LDAP サービスを通じてドメイン所属(同期)をポーリングすることで、同期サイクル内にドメインユーザー設定の変更へ対応できます。

LDAP の原理、機能、実装構文の詳細については、https://tools.ietf.org/html/rfc4510 およびその関連ドキュメントページを参照してください。

LDAP Sync

LDAP Sync を使用すると、Enterprise Server Workspace の管理者はネットワークドメインに既に存在するユーザー名とパスワードの資格情報を活用でき、Workspace のブラウザー・インターフェースの Users ページでユーザー資格情報を手動で1件ずつ作成する必要がなくなります。正しく設定されていれば、Users ページにユーザー資格情報が自動的に反映され、一覧に表示されたユーザーは通常の社内ネットワークのユーザー名とパスワードで Workspace にアクセスできるようになります。

Workspace にアクセスする際、Windows 認証をサポートする Workspace の機能を利用して Windows のログイン資格情報を使用するには、Use Windows Session オプション(ブラウザー・インターフェース)または Use Windows Session credentials オプション(Altium Designer の Sign in ダイアログ)を有効にします。
Enterprise Server は Standard LDAPLDAPSLDAP over SSL)の両方をサポートします。

この記事では、ドメイン上で LDAP Sync を設定する際に実際に成功している実証済みの手順を詳説します。自身のドメインで LDAP Sync を設定する際は、この手順を試してください。

何が必要ですか?

  • Workspace への管理者アクセス権。
  • 任意ですが、非常に役立つユーティリティとして LDAP Admin というアプリケーションがあります(LdapAdminExe-<version>.ziphttps://sourceforge.net/projects/ldapadmin/ からダウンロード)。
LDAP Adminこれは、Workspace の LDAP 設定ページを構成するために必要なユーザーグループのクエリ文字列と構文を正確に特定するのに使用できます。

LDAP 検索文字列(Distinguished Name)の取得

Workspace のブラウザーベースのインターフェースで LDAP Sync タスクを設定する際、LDAP Distinguished Name(DN)を指定する必要があります。これは文字列形式で入力し、LDAP 検索のベースオブジェクトを識別します。この文字列を取得するために LDAP Admin ユーティリティを使用します。まず zip ファイルをダウンロードし、そこに含まれる LdapAdmin 実行ファイルを展開してください。

LdapAdmin.exe ファイルをダウンロードして展開します。
LdapAdmin.exe ファイルをダウンロードして展開します。

LdapAdmin.exe 実行ファイルを管理者として実行します(右クリックして Run as administrator を選択)。

LDAP Admin パネルが開いたら、Start » Connect を選択して Connections ダイアログにアクセスし、次に New connection をダブルクリックして Connection properties ダイアログにアクセスします。

LDAP Admin ユーティリティ内で新しい接続を作成します。
LDAP Admin ユーティリティ内で新しい接続を作成します。

Connection properties ダイアログの General タブで、ドメインに合わせて接続情報を設定します。例は次のとおりです。

  • Connection name: 接続アイコンに使用する任意の名前。
  • Host: testsite.com
  • Port: 389
LDAPS(LDAP over SSL)を設定する場合、ポートは 636 にする必要があります。
  • Base: DC=testsite, DC=com
  • GSS-API オプションを有効にします。
LDAPS(LDAP over SSL)を設定する場合は、SSL オプションも有効にする必要があります。
  • Account: Use current user credentials オプションは有効のままにします。

標準 LDAP を使用する場合の接続設定例。LDAPS(LDAP over SSL)を使用する場合は、Port を 636 に変更し、SSL オプションを有効にします。
標準 LDAP を使用する場合の接続設定例。LDAPS(LDAP over SSL)を使用する場合は、Port を 636 に変更し、SSL オプションを有効にします。

接続プロパティを設定したら、Test connection ボタンを押します。すべて正しく設定されていれば、Connection is successful メッセージが表示されます。OK をクリックして新しい接続の作成を完了します。

次に、LDAP 検索のベースオブジェクトを指す文字列を特定する必要があります。手順は次のとおりです。

  1. 新しく作成した接続を選択し、Connections ダイアログで OK をクリックします。ネットワークドメインとユーザーグループ階層が表示されます。
  2. 必要なユーザーが含まれるフォルダーに到達するまで、該当するフォルダーパスを展開します。
  3. そのフォルダーを右クリックし、コンテキストメニューから Search コマンドを選択します。これにより Search パネルが開きます。必要な重要情報は、Path フィールドに既に入力されている文字列です。左から右へ読むと、この文字列はドメイン構造内で、このユーザーフォルダーへのパスを下位から上位へ表しています。例として、特定ユーザーのフォルダー Engineers が親フォルダー Users の子であると仮定します。この場合、文字列は OU=Engineers,OU=Users,DC=testsite,DC=com です。
  4. この文字列を後続の設定作業で使用できるようテキストファイルにコピー&ペーストするか、任意で Search パネルを開いたままにしておきます。

この時点以降の手順では、LDAP Admin ユーティリティは不要です。

Workspace を LDAP Sync を使用するように設定する

次に、ブラウザー・インターフェースから対象 Workspace に管理者としてサインインします。LDAP からユーザー資格情報を自動作成するつもりであれば、既存の手動作成ユーザーは削除したほうがよいでしょう。理想的には、既定の管理ユーザー admin(インターフェースの Admin - Users ページ)だけの状態から開始します。

既定の管理ユーザー admin のみが存在する対象 Workspace の例。
既定の管理ユーザー admin のみが存在する対象 Workspace の例。

LDAP Sync のユーザーを特定のグループに関連付けたい場合は、Groups ページに切り替えて必要に応じて新しいグループ(例:Electrical DesignersMechanical DesignersPCB Specialists など)を作成し、ユーザーは空のままにしておきます。ここでの例では、インストール済みサンプルデータに含まれていた既定グループ Engineers を使用しています。

次に LDAP Sync ページに切り替え、 ボタン(この例では Create a new one リンク)をクリックして LDAP Sync Creation ウィンドウを開きます。

Workspace のブラウザー・インターフェースから新しい LDAP Sync タスクを追加します。
Workspace のブラウザー・インターフェースから新しい LDAP Sync タスクを追加します。

次の情報を入力します(前のセクションで使用したドメイン構造の例に基づく)。

General

  • Target Role: Engineers

  • Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

    これは、前のセクションで LDAP Admin ユーティリティを使用した際に Search パネルの Path フィールドから取得した文字列です。

  • Url: LDAP://testsite.com:389

    LDAPS(LDAP over SSL)を設定する場合、この例の UrlLDAPS://testsite.com:636 になります。

  • Scope: sub

  • Attributes: sAMAccountName

  • Filter: このフィールドは空欄のままにして、ドメイン上で(DN フィールドで)指定したグループに属するすべてのユーザーを取得します。指定したドメイン構造領域にさらにユーザーのグルーピングが含まれている場合は、ここに適切なフィルタ文字列を指定して、その一部のユーザーだけを抽出できます。

    たとえば、Engineers グループ配下に管理権限を持つユーザーセット(CN=Administrators)があったとします。Engineers(ドメイン構造の OU=Engineers 領域配下)の全員ではなく、このユーザーセットだけを対象にするには、ドメイン構造のこの地点を狙うクエリ文字列を記述できます。

    (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

    Filter フィールドは空欄にして DN フィールドで定義されたパス上のすべてのユーザーを返すこともできますが、これは非常に危険です。そのパスがドメイン構造内の膨大なユーザー数を含む領域を指している可能性があり、Enterprise Server と Active Directory に過大な負荷がかかって組織全体が停止する恐れがあります。専用のフィルタリングを用いて、1つ以上の特定ユーザーセットを対象にするほうが確実です。

Attribute Mapping

  • First Name: givenName
  • Last Name: sn
  • Email: mail
  • User Name: sAMAccountName
  • Overwrite existing users – 有効にすると、ユーザー名が完全一致する限り、LDAP Sync は同期クエリで返されたユーザーで手動作成ユーザーを上書きします。

Authentication

  • User Name: domain\<your username>(例:testsite\jason.howie
  • Password: <your password>
  • User authentication type: Windows
  • Domain: testsite.com

標準 LDAP を使用する場合に必要な情報をすべて設定した LDAP Sync タスクの例。LDAPS(LDAP over SSL)を使用する場合、Url の項目は LDAPS://testsite.com:636 に変更します。
標準 LDAP を使用する場合に必要な情報をすべて設定した LDAP Sync タスクの例。LDAPS(LDAP over SSL)を使用する場合、Url の項目は LDAPS://testsite.com:636 に変更します。

すべての設定入力が完了したら、 をクリックします。これにより同期プロセスが開始され、入力した情報の処理に1~2分かかる場合があります。

次に Users ページにアクセスします。この一覧には、OU=<GroupName> 設定で定義されたすべてのユーザーが反映されているはずです(下の例の画像を参照)。これで、誰でも通常の Windows ログインで Workspace にアクセスできます。

Workspace にアクセスする際、Windows 認証をサポートする Workspace の機能を利用して Windows のログイン資格情報を使用するには、Use Windows Session オプション(ブラウザー・インターフェース)または Use Windows Session credentials オプション(Altium Designer の Sign in ダイアログ)を有効にします。
なお、LDAP Sync グループの外側に追加ユーザーを手動で追加することも可能です。つまり、手動作成ユーザーと LDAP 指定(自動作成)ユーザーを混在させることができます。

LDAP 同期を使用して Workspace にユーザーが反映された例。
LDAP 同期を使用して Workspace にユーザーが反映された例。

AI-LocalizedAI で翻訳
問題が見つかった場合、文字/画像を選択し、Ctrl + Enter キーを押してフィードバックをお送りください。
Content