フィールド
最終更新日 :
2022年9月30日
|
次にも適用 : Adobe Connect 10, Adobe Connect 9
Adobe Connect ユーザーアカウントを自動的に作成する方法および Adobe Connect ユーザーを LDAP ディレクトリサービスを使用して認証する方法を学習します。
ディレクトリサービス統合の概要
Adobe Connect をディレクトリサービスと統合して LDAP ディレクトリに対するユーザーの認証を行うと、ユーザーとグループを手動で個別に追加する必要がなくなります。ユーザーアカウントは、組織のディレクトリとの手動同期または予定された同期により Adobe Connect に自動的に作成されます。
Adobe Connect と統合するには、ディレクトリサーバーで Lightweight Directory Access Protocol(LDAP)または安全な Lightweight Directory Access Protocol(LDAPS)を使用する必要があります。LDAP は、インターネット対応のクライアントサーバープロトコルです。LDAP 準拠のディレクトリサーバーからユーザーの連絡先情報を検索できます。
Adobe Connect は、LDAP クライアントとして LDAP ディレクトリに接続します。Adobe Connect では、ユーザーとグループが読み込まれ、ユーザーとグループに関する情報と LDAP ディレクトリとが同期されます。また、LDAP ディレクトリに対してユーザーの認証を行うように Adobe Connect を設定することもできます。
LDAP 準拠のディレクトリサービスは Adobe Connect と統合できる場合があります。認定された LDAP ディレクトリの一覧については、www.adobe.com/go/learn_cnn_sysreqs_jp を参照してください。
LDAP ディレクトリ構造について
LDAP ディレクトリでは、X.500 標準に従って情報が整理されます。
LDAP ディレクトリ内のユーザーやグループはエントリと呼ばれます。 各エントリは、複数の属性の集まりです。 各属性は、1 つの型と、1 つ以上の値で構成されます。 型には、ニーモニック文字列を使用します(組織単位に ou 、共通名に cn など)。属性値は、電話番号、電子メールアドレス、写真などの情報で構成されます。 自社で使用している LDAP ディレクトリの構造については、LDAP 管理者に問い合わせてください。
各エントリには、ツリー構造をエントリからルートまでたどる形でエントリへのパスを示す識別名(DN)があります。 LDAP ディレクトリのエントリの DN は、相対識別名(RDN)と呼ばれるエントリの名前と、ツリー構造内でのそのエントリの祖先の名前をつなげたものです。
ツリー構造は、地理上の場所や社内の部署の区分に対応させることができます。 たとえば、フランスにある Acme, Inc. 社の QA 部門に所属する Alicia Solis というユーザーの場合、DN は次のようになります。
cn=Alicia Solis, ou=QA, c=France, dc=Acme, dc=com
ディレクトリの分岐の読み込み
ユーザーとグループを LDAP ディレクトリから Adobe Connect に読み込む場合は、セクションの DN を使用して LDAP ツリーのセクションへのパスを指定します。これにより、検索の対象範囲が指定されます。 例えば、組織内の特定のグループのユーザーのみを読み込むとします。 このような場合は、そのグループのエントリがディレクトリのツリー構造内のどこに存在するか特定します。
一般的に使用される方法の 1 つが、組織のインターネットドメインをツリー構造のルートとして使用するという方法です。 例えば、Acme, Inc. には dc=com を使用してツリーのルート要素を指定します。Acme, Inc. のシンガポール営業所を指定する DN は、ou=Singapore、ou=Marketing、ou=Employees、dc=Acme、dc=com となります(この例では、ou は組織単位、dc はドメインコンポーネントの略語を示します)。
注意:
LDAP ディレクトリによっては、ルートが単一でない場合もあります。 その場合、別個の分岐を読み込むことができます。
ユーザーとグループの読み込み
LDAP ディレクトリでユーザーとグループのエントリを構造化する方法には、1 つの分岐の同じノードの下に配置する方法と、異なる分岐の下に配置する方法の 2 つがあります。
ユーザーとグループが 1 つの LDAP 分岐の同じノードの下にある場合、エントリを読み込むためのユーザーとグループの設定では、同じ分岐の DN を使用します。 したがって、ユーザーを読み込むときには、ユーザーのみを選択するフィルターを使用する必要があり、グループを読み込むときには、グループのみを選択するフィルターを使用する必要があります。
ツリー内でユーザーとグループが別々の分岐の下に配置されている場合、ユーザーを読み込むときには、ユーザーの分岐を選択する DN を使用し、グループを読み込むときには、グループの分岐を選択する DN を使用します。
また、サブ分岐を読み込んで、特定のレベル以下のすべての分岐からユーザーを読み込むこともできます。 例えば、営業部のすべての従業員を読み込む場合は、次の分岐 DN を使用できます。ou=Sales, dc=Acme, dc=comただし、営業部の従業員はサブ分岐に保存されている可能性があります。その場合は、ユーザープロファイルマッピング画面で、サブツリー検索パラメーターを「はい」に設定して、ツリーのそのレベル以下のサブ分岐からユーザーが読み込まれたことを確認します。
ou=Sales, dc=Acme, dc=com
選択したエントリのフィルタリング
フィルターとは、選択するエントリが満たす条件を指定するものです。 これによって、ツリーの特定の部分で選択するエントリが絞り込まれます。 例えば、フィルターに (objectClass=organizationalPerson) が指定されている場合、organizationalPerson 属性を持つエントリのみが読み込み対象として選択されます。
注意:
objectClass 属性は、LDAP ディレクトリ内のすべてのエントリに存在する必要があります。
内部および外部のユーザーとグループ
LDAP ディレクトリから読み込まずに Adobe Connect に直接作成したユーザーとグループを、内部ユーザーおよびグループと呼びます。LDAP ディレクトリから Adobe Connect データベースに読み込んだユーザーとグループを、外部ユーザーおよびグループと呼びます。
読み込んだグループが外部の LDAP ディレクトリと同期された状態を維持することを確認するには、内部のユーザーおよびグループを外部のグループに追加することはできません。ただし、外部のユーザーおよびグループを内部のグループに追加することは可能です。
読み込んだユーザーやグループのエントリのログインまたは名前の値が、既存の内部ユーザーまたはグループのログインと一致する場合、ディレクトリを同期すると、読み込んだユーザーまたはグループが内部から外部に変更され、同期ログに警告が記録されます。
Adobe Connect と LDAP ディレクトリの統合
ディレクトリサービス統合には、アプリケーション管理コンソールの「ディレクトリサービスの設定」タブを使用します。 管理者アカウントを使用してください。
ユーザー認証と LDAP 同期用のディレクトリサーバーを設定できます。設定は、ディレクトリサービスの 1 つ以上の分岐に対して行うことができます。
アプリケーション管理コンソールを開きます。
スタート/すべてのプログラム/Adobe Connect Server/Adobe Connect Server の設定を選択します。
LDAP サーバーの接続設定を入力します。
「ディレクトリサービスの設定」タブを選択します。 「LDAP の設定」の接続設定画面で値を入力し、「保存] をクリックします。
「保存」をクリックすると、Adobe Connect で LDAP 接続がテストされます。テストに失敗すると、次のメッセージが表示されます。
設定は正常に保存されました。ただし、LDAP 接続を確認できませんでした。LDAP の URL とポートを確認してください。
フィールド |
デフォルト値 |
説明 |
|---|---|---|
LDAP サーバー URL |
デフォルト値なし。 |
通常の形式は、ldap://[servername:portnumber] です。安全な LDAP サーバーが使用されている場合は "ldaps://" を使用します。 ポートが指定されていない場合、Adobe Connect は標準 LDAP ポート(389)または LDAPS ポート(636)を使用します。LDAPS には SSL 証明書が必要です。グローバルカタログが有効な Microsoft Active Directory フォレストで Adobe Connect が稼働するように設定する場合は、グローバルカタログ(標準ポート:3268)を使用します。 |
LDAP 接続認証方式 |
デフォルト値なし。 |
Adobe Connect (管理者権限)の LDAP サービスアカウントの資格情報(LDAP ユーザー名、LDAP パスワード)の認証メカニズム。 シンプル(標準的な認証 - 推奨)。匿名(パスワードなし - 匿名ログインを許可するように LDAP サーバーを設定する必要があります)。Digest MD5(ダイジェスト認証を許可するように LDAP サーバーを設定する必要があります)。 |
LDAP 接続ユーザー名 |
デフォルト値なし。 |
LDAP サーバーの管理ログイン。 |
LDAP 接続パスワード |
デフォルト値なし。 |
LDAP サーバーの管理パスワード。 |
LDAP クエリタイムアウト |
デフォルト値なし。 |
クエリがキャンセルされるまでの秒数です。 このフィールドを空白にした場合、タイムアウトはありません。この値を 120 に設定します。 |
LDAP エントリクエリページのサイズ制限 |
デフォルト値なし。 |
LDAP サーバーから返される結果のページサイズです。 このフィールドを空白または 0 にした場合、ページサイズは使用されません。 結果の最大サイズが設定された LDAP サーバーにはこのフィールドが使用されます。 サーバーからすべての結果を複数ページで取得できるように、ページサイズを結果の最大サイズ未満に設定します。 例えば、統合する LDAP ディレクトリに表示可能なユーザーの上限が 1,000 ユーザーで、読み込むユーザーが 2,000 ユーザーの場合、統合は失敗します。 クエリページサイズを 100 に設定すると、結果は 20 ページで返され、すべてのユーザーを読み込むことができます。 |
接続設定の LDAP シンタックスの例を次に示します。
URL:ldap://ldapserver.mycompany.com:389 UserName:MYCOMPANY\jdoe Password:password123 Query timeout:120 Authentication mechanism:Simple Query page size:100
Adobe Connect と LDAP ディレクトリのユーザープロファイルをマッピングします。
「ユーザープロファイルマッピング」タブを選択し、値を入力して、「保存」をクリックします。
|
|
デフォルト値 |
説明 |
|---|---|---|
|
ログイン |
デフォルト値なし。 |
ディレクトリサービスのログインの属性。 |
|
名 |
デフォルト値なし。 |
ディレクトリサービスの名の属性。 |
|
姓 |
デフォルト値なし。 |
ディレクトリサービスの姓の属性。 |
|
電子メール |
デフォルト値なし。 |
ディレクトリサービスの電子メールの属性。 |
カスタムフィールドを定義している場合、ユーザープロファイルマッピング画面に追加されます。 この例では、Adobe Connect のユーザープロファイルを Active Directory LDAP のユーザープロファイルにマッピングします。「ネットワークログイン」はカスタムフィールドです。
Login:mail FirstName:givenName LastName:sn Email:userPrincipalName NetworkLogin:mail
(オプション)ユーザー分岐を追加します。
「追加」をクリックして、会社の特定の分岐からのユーザー情報を追加します。 「分岐 DN」フィールドと「フィルター」フィールドに値を入力し、「保存」をクリックします。
サブ分岐からユーザーを読み込む場合は、サブツリー検索メニューから「はい」を選択します。読み込まない場合は、「いいえ」を選択します。
詳しくは、「LDAP ディレクトリ構造について」を参照してください。
|
フィールド |
デフォルト値 |
LDAP 属性/メモ |
|
分岐 DN |
デフォルト値なし。 |
分岐ルートノードの DN(識別名)。選択した分岐へのリンクが表示されます。 |
|
フィルター |
デフォルト値なし。 |
クエリのフィルター文字列。 |
|
サブツリー検索 |
はい |
「はい」または「いいえ」。「はい」の場合、分岐内の全サブツリーの再帰検索を実行します。 |
Adobe Connect と LDAP ディレクトリのグループプロファイルをマッピングします。
「グループプロファイルマッピング」タブを選択し、値を入力して、「保存」をクリックします。
注意:Adobe Connect のグループプロファイルは、カスタムフィールドをサポートしていません。
|
フィールド |
デフォルト値 |
LDAP 属性/メモ |
|
グループ名 |
デフォルト値なし。 |
ディレクトリサービスのグループ名の属性。 |
|
グループメンバー |
デフォルト値なし。 |
ディレクトリサービスのグループメンバーの属性。 |
LDAP グループエントリ属性と Adobe Connect グループプロファイル間のマッピングを次に示します。
Name:cn Membership:member
(オプション)グループ分岐を追加します。
「追加」をクリックして、組織の分岐からのユーザー情報を追加します。 「分岐 DN」フィールドと「フィルター」フィールドに値を入力し、「保存」をクリックします。
サブ分岐からグループを読み込む場合は、サブツリー検索メニューから「はい」を選択します。読み込まない場合は、「いいえ」を選択します。
詳しくは、「LDAP ディレクトリ構造について」を参照してください。
|
フィールド |
デフォルト値 |
LDAP 属性/メモ |
|
分岐 DN |
デフォルト値なし。 |
分岐ルートノードの DN(識別名)。組織の各分岐には、その分岐専用の LDAP DN 属性があります。選択した分岐へのリンクが表示されます。 |
|
フィルター |
デフォルト値なし。 |
クエリのフィルター文字列。 |
|
サブツリー検索 |
はい |
「はい」または「いいえ」のブール値です。「はい」を選択すると、分岐内のすべてのサブ分岐の再帰検索が開始されます。 |
組織の分岐を追加し、そのグループを定義する LDAP シンタックス例を次に示します。
DN:cn=USERS,DC=myteam,DC=mycompany,DC=com Filter:(objectClass=group) Subtree search:True
認証設定を入力します。
「認証の設定」タブを選択します。組織のディレクトリサービスに対して Adobe Connect ユーザーの認証を行う場合は、「LDAP ディレクトリの認証を有効にする」を選択します。このオプションを選択しない場合、Adobe Connect ではネイティブ認証(Adobe Connect データベースに格納されたユーザーの資格情報)が使用されます。
「LDAP ディレクトリの認証に失敗した場合は、Connect のフォールバックを有効にする」にチェックを入れると、Adobe Connect ではネイティブ認証が使用されます。
注意:
このオプションは、ネットワークで LDAP 接続が一時的に失敗した場合に便利です。ただし、LDAP の資格情報は Adobe Connect データベースの資格情報とは異なる場合があります。
「LDAP ディレクトリの認証に成功した場合は、Connect ユーザーアカウントを作成する」をオンにして、LDAP 認証に成功した場合に初めてのユーザーを Adobe Connect サーバーにプロビジョニングするよう設定します。ディレクトリサービスに Adobe Connect の使用を許可されているユーザーが存在する場合は、このオプションをオンにして、ユーザーアカウントタイプに「内部」を選択します。詳しくは、「内部および外部のユーザーとグループ」を参照してください。
「最初のログインでのみ、グループ登録を可能にする」をオンにして Adobe Connect のログイン ID を作成し、ユーザーが Adobe Connect に最初にログインするときに、指定したグループにユーザーを配置します。「グループ名」ボックスにグループを入力します。
同期をスケジューリングします。
「同期設定」タブを選択します。 スケジュールの設定画面の「予定された同期を有効にする」チェックボックスをオンにして、日、週、または月に一度の決まった時間に定期的に同期を行うようにスケジュールします。 詳しくは、「推奨される同期方法」を参照してください。
同期操作画面で手動同期を実行することもできます。
パスワードポリシーと削除ポリシーを設定します。
「ポリシーの設定」タブを選択して、「パスワード設定ポリシー」と「削除ポリシー」を選択し、「保存」をクリックします。 パスワードポリシーについて詳しくは、「パスワードの管理」を参照してください。
注意:
同期中に「ユーザーおよびグループを削除」オプションを選択すると、LDAP サーバーから削除されたすべての外部ユーザーが Adobe Connect サーバーからも削除されます。
同期をプレビューします。
「同期操作」タブを選択します。 「ディレクトリ同期をプレビュー」セクションで、「プレビュー」をクリックします。詳しくは、「推奨される同期方法」を参照してください。
パスワードの管理
LDAP 認証が有効でない場合は、Adobe Connect のユーザー認証方法を選択する必要があります。
Adobe Connect で外部ディレクトリからユーザー情報を読み込む場合、ネットワークパスワードは読み込まれません。そのため、Adobe Connect ディレクトリに読み込んだユーザーのパスワード管理に他のメソッドを実装する必要があります。
パスワード設定を求める通知をユーザーに送信
「同期設定」タブのポリシーの設定画面では、読み込んだユーザーにパスワード設定を求めるリンク付きの電子メールを送信するように設定できます。
いずれかの LDAP 属性でパスワードを設定
読み込んだユーザーの初期パスワードを、ユーザーのディレクトリエントリのいずれかの属性値に設定できます。 たとえば、LDAP ディレクトリのフィールドの 1 つに社員の ID 番号がある場合、各ユーザーの初期パスワードを社員 ID 番号に設定できます。 ユーザーは、このパスワードでログインした後で、パスワードを変更できます。
推奨される同期方法
管理者は、次の 2 つの方法で Adobe Connect を外部の LDAP ディレクトリと同期できます。
同期が定期的に実行されるようにスケジューリングします。
手動同期を実行し、Adobe Connect ディレクトリを組織の LDAP ディレクトリと直ちに同期します。
最初の同期でユーザーおよびグループを読み込む前に、LDAP ブラウザーを使用して接続パラメーターを確認することをお勧めします。 オンラインで入手できるブラウザーとしては、LDAP Browser/Editor や LDAP Administrator があります。
注意:
同期中は、LDAP サーバーを再起動したり、並列ジョブを実行したりしないでください。 LDAP サーバーを再起動したり、並列ジョブを実行したりすると、Adobe Connect からユーザーやグループが削除される可能性があります。
予定された同期
予定された同期では、組織の LDAP ディレクトリから読み込んだユーザーとグループの最新の情報が、Adobe Connect に確実に反映されるので、こちらの方法を使用することをお勧めします。
多くのユーザーやグループを読み込む場合、最初の同期で大量のリソースが消費されることがあります。 このような場合は最初の同期を利用の少ない深夜などの時間帯に予定してください。または、最初の同期を手動で実行する方法もあります。
予定された同期をセットアップするには、アプリケーション管理コンソールで、同期設定/スケジュールの設定画面を使用します。
同期の実行時には、Adobe Connect によって LDAP ディレクトリのエントリが Adobe Connect ディレクトリのエントリと比較され、変更されたフィールドがあるエントリのみが読み込まれます。
同期のプレビュー
最初の同期でユーザーとグループを実際に読み込む前に、同期をプレビューしてマッピングをテストすることをお勧めします。 プレビューでは、ユーザーとグループは読み込まれませんが、エラーはログに記録されます。これらのエラーを調べることで、同期の問題を突き止めることができます。
同期ログにアクセスするには、同期ログ画面を使用します。 ログの各行は、1 つの同期イベントを示します。同期処理では、処理されるプリンシパル(ユーザーまたはグループ)ごとに、最低 1 つのイベントが生成されます。プレビューで警告またはエラーが生じた場合、2 番目の警告ログに記録されます。
ログファイルの値
同期ログには、カンマ区切り形式で値が記録されます。 次の表で、プリンシパルとは、ユーザーおよびグループのエントリのことを指します。 ログのエントリには、以下の値が記録されています。
|
フィールド |
説明 |
|
Date |
ミリ秒まで指定された日付時刻形式の値。 形式は、yyyyMMdd’T’HHmmss.SSS です。 |
|
Principal ID |
ログイン名またはグループ名。 |
|
Principal type |
次のいずれかの 1 文字。U はユーザー、G はグループを示します。 |
|
Event |
実行されたアクションまたは発生した条件。 |
|
Detail |
イベントに関する詳細情報。 |
次の表は、同期ログファイルに記録される可能性があるイベントの種類の一覧です。
|
イベント |
説明 |
詳細 |
|---|---|---|
|
add |
Adobe Connect にプリンシパルが追加された。 |
<fieldname>value</fieldname> のような形式で一連のタグのペアを使用して更新されたフィールドを示す簡略化された XML パケット(例:<first-name>Joe</first-name>)。親ノードと未更新フィールドは省略されます。 |
|
update |
プリンシパルは外部ユーザーで、一部のフィールドが更新された。 |
|
|
update-members |
プリンシパルは外部グループで、グループのメンバーにプリンシパルが追加または削除された。 |
追加または削除されたメンバーを示す簡略化された XML パケット。 親ノードは省略されます。 <add>ID list</add> <remove>ID list</remove>ID リストの形式は一連の <id>principal ID</id> パケットです。このprincipal ID の部分には、プリンシパル ID 列に表示される ID(ユーザーログイン名やグループ名など)が入ります。ID リストのメンバーがない場合、親ノードは <add/> または <remove/> として出力されます。 |
|
delete |
プリンシパルが Adobe Connect から削除された。 |
|
|
up-to-date |
プリンシパルは Adobe Connect の外部プリンシパルで、外部ディレクトリと既に同期されている。変更はありません。 |
Adobe Connect で作成されたユーザーまたはグループは内部プリンシパルと見なされます。同期処理によって作成されたユーザーまたはグループは外部プリンシパルと見なされます。 |
|
make-external |
プリンシパルは Adobe Connect の内部プリンシパルであり、外部プリンシパルに変換されている。 |
このイベントでは、同期によるプリンシパルの変更または削除が可能で、そのいずれかのイベントが後に続きます。 このイベントは警告ログに記録されます。 |
|
warning |
警告レベルのイベントが発生した。 |
警告メッセージです。 |
|
error |
エラーが発生した。 |
Java 例外メッセージです。 |
LDAPS について
Adobe Connect では、安全な LDAP プロトコルである LDAPS をネイティブでサポートします。LDAP ディレクトリサーバーは SSL に接続する必要があります。 LDAP ディレクトリサーバーに安全に接続するには、接続 URL で LDAPS プロトコルを使用します(例:ldaps://exampleDirectoryServer:portNumber )。
