【OneLogin】Active Directoryとの連携方法

AWS運用自動化サービス「Cloud Automator」
この記事は1年以上前に書かれたものです。
内容が古い可能性がありますのでご注意ください。

こんにちは。高橋@技術4課です。

OneLoginはディレクトリ・サービス連携機能をもっています。これにより Active Directory(以下、AD)や LDAPなどのディレクトリと連携することができ、ユーザの情報をリアルタイムに同期することが可能です。

ADにユーザ情報が追加されると OneLoginに自動でユーザが追加され、ADからユーザが削除されると OneLoginからもユーザが削除されます。

今回は Active Directoryとの連携の方法をご紹介します。Active Directoryとの連携には Active Directory Connector(AD Connector)というツールを使用します。

この AD Connectorは OneLoginが提供しているものであって、AWSの提供しているディレクトリサービスの一つ AD Connector とは関係はありません。

作業手順

それでは AD Connectorを利用した OneLoginと Active Directoryの連携の手順を記載していきます。

これから紹介する作業は、OneLogin社の公式マニュアル(英語)をベースとしています。
Installing Active Directory Connector 5

システム要件

  • OS: Windows Server 2012 r2 以上
  • .NET Framework 4.5.1(このバージョンのみサポート)
  • Processor:  Pentium 4 あるいはそれ以上
  • RAM: 512MB
  • Disk space: 120MB
  • Outbound TCP Port 443が OneLoginの IPレンジにアクセスできること

1.Active Directory Connectorのインストーラをダウンロードする

ます始めに、AD Connectorのインストーラをダウンロードしてください。
リンクはこちらです。


Download the installer here: onelogin_ad_connector.msi
You can also download release notes and the md5.

2.トークンの取得

  1. OneLoginに adminユーザで入り、メニューの [USERS]-[Directories] を選んでください
  2. [NEW DIRECTORY] を選択します
  3. ディレクトリのタイプを選ぶ画面がでますので、Active Directory を選んでください
  4. セットアップ画面がでてきます
  5. [Name Directory] に今回連携する ADの名前をつけてください。OneLogin上でリソース管理するためのものですので、分かりやすい名前がいいでしょう(例:”AD – sample.local” )
  6. Enter this token during installation に記載されているトークンIDを控えておいてください

3.Active Directory Connectorのインストール

  1. ADのメンバーサーバに、ドメイン管理ユーザでログインします
  2. 先程ダウンロードした AD Connectorのインストーラを起動します
  3. Connector Token のページでは、Installation Token の入力が求められます。ここに先程取得したトークンを入力してください
  4. Service Log On Credentials のページでは、クレデンシャルの入力が求められます。AD Connector用のユーザを作成するので、 Create a OneLogin Service Account (recommended)  を選択してください。パスワードの欄に、新しく作成する OneLogin用ユーザのパスワードを指定してください
    1. Select Port for Desktop SSO の画面では、Desktop SSO に利用するポート番号を指定します。今回 Desktop SSOの機能は利用しないため、デフォルトのまま進みます。8080 のまま次の画面に移ってください
  5. Select Shard のページでは、OneLoginのデータをどの地域に保存するかを指定します。US、EU、そしてDEから一つ選択してください。日本からの利用でしたら、デフォルトの US で構いません
  6. Ready to install OneLogin Active Directory Connector のページがでるので、 Install をクリックしてください
  7. インストールが完了したら、Finish を押してインストーラを閉じてください

ユーザの登録と削除

OneLoginとの連携が成功したかを確認しましょう。

OneLoginに入り、メニューの [USERS]-[Directories] を選んでください。すると先程登録したディレクトリのステータスが Connected となります。

ユーザのインポート

次にこのディレクトリから OneLoginへ、どのユーザをインポートするかを指定します。

登録したディレクトリをクリックし、メニューの [OU Selection] を選んでください。

AD内の OU一覧が表示されますので、どの OUのユーザをインポートするかを指定します。

対象のOUにチェックをつけ、[SAVE] を押してください。

1分程経ちますと、OneLoginにユーザが追加されます。トップメニューの [USERS]-[All Users] を開いてください。ユーザが追加されますと、一覧に表示されます。

ユーザの削除

ユーザの削除もインポートと同じく、自動で行うことが可能です。

ディレクトリのメニューより [Advanced] を選択してください。画面下部の [Delete users in AD…] の選択で [are deleted in OneLogin] を選びますと、AD上でユーザが削除されるのと同時に、OneLoginからもユーザが削除されます。

 

インポートされたユーザを利用する

試しに追加されたユーザでログインを行ってみます。ADに登録されているユーザ名(or メールアドレス)とパスワードを使用して、OneLoginに入ってみてください。

デフォルトの設定ではログインはできますが、権限が割り当てられていないため何も表示されません。

このままでは何もできないので、ユーザにロールを割り当ててみます。

管理者ユーザとしてログインし、トップメニュー [USERS]-[All Users] からインポートしたユーザを選択します。[Applications] メニューに移り、ユーザに割り当てるロールを選択します。

登録後、ユーザ一覧の画面より、ユーザにどのロールがアタッチされているかを確認することができます。

ユーザへ自動的に権限を割り当てる方法

上記の手順では、手作業でユーザにロールを割り当てました。手動での割り当ては、インポートするユーザの数が多い場合は手間がかかります。

OneLoginの機能により、ADのユーザ情報を基に自動でロールを割り当てることが可能です。次回はこの自動割り当ての方法をご紹介したいと思います。

おわりに

AD Connectorを利用することで、ADと OneLoginの連携をスムーズに行うことができます。問題がなければ、作業時間は 1時間ほどで済むでしょう。

今後も OneLoginの記事を書いていきたいと思います。ではでは

AWS運用自動化サービス「Cloud Automator」