IAMとMicrosoft Active Directoryの間のブリッジを作成します。
Microsoft Active Directoryエンタープライズ・ディレクトリ構造とIAM間のリンクを提供するADブリッジを作成するには、アイデンティティ・ドメイン管理者ロールまたはセキュリティ管理者ロールのいずれかに割り当てられている必要があります。ブリッジを使用してモニターするMicrosoft Active Directoryドメインにアクセスするには、管理者権限も必要です。
ブリッジの作成には、Microsoft Active DirectoryとIAMの両方の管理資格証明が用意されています。ブリッジでは、管理者としてMicrosoft Active DirectoryおよびIAMと通信するためにこれらの資格証明が必要です。
重要
ブリッジのインストールに使用するMicrosoft Active Directoryアカウントには、次の権限が必要です。
-
IAMにインポートするMicrosoft Active Directoryドメイン内のユーザーおよびグループに対する汎用読取り
-
ドメイン内のすべての組織単位(OU)に対する汎用読取り
-
ドメイン内のcn=Configurationコンテナに対する汎用読取り
-
継承のあるcn=Deleted Objectsコンテナに対する子のリストおよび読取りプロパティ
このアカウントがブリッジの委任認証の構成にも使用される場合、アカウントには次のアクセス権が必要です:
-
パスワードを変更
-
パスワードをリセット
-
pwdLastSetの読取り
-
pwdLastSetの書込み
-
lockoutTimeの読取り
-
lockoutTimeの書込み
セキュリティ設定の管理のインフォグラフィックにアクセスして、ADブリッジの作成方法を確認できます。
-
「ディレクトリ統合」リスト・ページで、「追加」を選択します。ディレクトリ統合ページの検索に関するヘルプが必要な場合は、Active Directoryブリッジのリストを参照してください。
-
「Microsoft Active Directory用のブリッジのインストール」ページで、アイデンティティ・ドメインURL、クライアントIDおよびクライアント・シークレットを書き留めます。
アイデンティティ・ドメインURLには、IAMアイデンティティ・ドメインの名前とポート番号が含まれます。クライアントIDとクライアント・シークレットは、管理者としてIAMにアクセスするためにブリッジによって使用されます。
ノート
クライアント・シークレットは、セキュリティ上の理由から暗号化されます。シークレットをクリア・テキストで表示するには、「シークレットの表示」を選択します。ブリッジのシークレットを再生成するには、「再生成」を選択します。
-
「ダウンロード」を選択します。
IAMによってブリッジのクライアントがダウンロードされます。
ノート
「Microsoft Active Directory用のブリッジのインストール」ページをクローズしないでください。ブリッジの作成時に、アイデンティティ・ドメインURL、クライアントIDおよびクライアント・シークレットを参照する必要があります。
-
ADブリッジのクライアントをインストールするには、
ad-id-bridge....exeファイルをダブルクリックします。
「ADブリッジ・インストーラへようこそ」ウィンドウが表示されます。
-
「Language Selection」領域で、ADブリッジのクライアントのインストールに使用する言語を選択し、「OK」を選択します。
IAM ADブリッジ・インストーラが表示されます。
ヒント
ADブリッジのクライアントのインストール中に、IAMによってブリッジのログ・ファイルが自動的に生成され、%Temp%ディレクトリに格納されます。
ノート
ADブリッジは、Microsoft Active Directoryドメインに接続されているマシンでのみインストールできます。そうしないと、インストールは続行されません。
-
「ファイルを開く — セキュリティ警告」ダイアログ・ボックスが表示された場合は、「実行」を選択します。そうでない場合は、手順8.に進みます
-
「Welcome」ダイアログ・ボックスで、「Next」を選択します。
-
「宛先フォルダ」ダイアログ・ボックスで、次のいずれかのインストール・オプションを選択します:
- デフォルト・ディレクトリにクライアントをインストールするには、「次」を選択します。
- 別のディレクトリを選択してクライアントをインストールするには:
-
「参照」を選択します。
-
「フォルダの参照」ダイアログ・ボックスで、IAMがクライアントをインストールするディレクトリを選択します。
-
「OK」をクリックします。
-
「次」を選択します。
-
「プロキシ・サーバーの指定」ダイアログ・ボックスで:
-
組織にファイアウォールがあり、HTTPプロキシ・サーバーを使用して通信を処理する必要がある場合は、「プロキシ・サーバーの使用」を選択します。このチェック・ボックスを選択した場合は、プロキシ・サーバーのフルパス(またはアドレス)およびプロキシ・サーバーに接続するための管理者資格証明を指定します。
-
組織でHTTPプロキシ・サーバーを使用して通信を処理する必要がない場合は、「プロキシ・サーバーの使用」を選択しないでください。
-
「次」を選択します。
-
「資格証明の指定」ダイアログ・ボックスで:
-
アイデンティティ・ドメインURL、クライアントIDおよびクライアント・シークレットを指定します。
ヒント
これらの資格証明は、IAMコンソールの「ブリッジのインストール」ページに表示されます。
-
「テスト」を選択します。
ブリッジは、IAMサーバーへの接続を試行します。
接続を確立できた場合、「接続に成功しました。」という確認メッセージが表示されます。
そうしないと、正しくないアイデンティティ・ドメインURL、クライアントIDまたはクライアント・シークレットを入力したことを示すエラー・メッセージが表示されます。間違った値を変更し、再度「テスト」を選択します。
-
「次」を選択します。
-
「Microsoft Active Directory資格証明の指定」ダイアログ・ボックスで、Microsoft Active Directoryサーバーへの次の接続詳細を指定します:
-
ユーザー名: Microsoft Active Directoryサーバーへのアクセスにブリッジが使用するMicrosoft Active Directoryアカウント。
-
パスワード: Microsoft Active Directoryアカウントのパスワード。
-
SSLの使用: SSL接続を介してサーバーに接続する場合は、このチェック・ボックスの選択を解除します。それ以外の場合は、クリアします。
ノート
「SSLの使用」チェック・ボックスは、より高速でセキュアな接続になるため、選択しておくことをお薦めします。このチェック・ボックスを選択またはクリアして、ブリッジのクライアントをインストールした後は、この設定を変更できません。
-
「テスト」を選択します。
ブリッジがMicrosoft Active Directoryサーバーへの接続を試行します。
接続を確立できた場合、「接続に成功しました。」という確認メッセージが表示されます。
それ以外の場合は、次を示すエラー・メッセージが表示されます:
ノート
ブリッジが使用するMicrosoft Active Directoryアカウントに対して「パスワードの有効期限なし」オプションを有効にすることをお薦めします。それ以外の場合、アカウントのパスワードがブリッジとMicrosoft Active Directory間の後続の通信を期限切れにすると、ブリッジでパスワードが更新されるまで失敗します。ADブリッジの管理アカウント資格証明の変更を参照してください。
-
「次」を選択します。
-
「サマリー」ダイアログ・ボックスで、「クローズ」を選択します。
-
IAMコンソールで、「ディレクトリ統合」ページにアクセスします。
Microsoft Active Directoryドメイン用に作成したブリッジは、
「一部構成済」のステータスで表示されます。ブリッジは作成されましたが、構成されていません。このブリッジの構成の詳細は、
Microsoft Active Directory (AD)ブリッジの構成を参照してください。
ノート
「ディレクトリ統合」ページにブリッジが表示されない場合は、Webブラウザをリフレッシュします。また、Microsoft Active Directoryドメインごとに1つのブリッジのみを作成できます。