OneLoginとLDAPを連携する
本ページでは、OneLoginとLDAPディレクトリ連携の方法について紹介をします。LDAPディレクトリと連携することにより、スムーズにOneLoginを経由してアプリまで展開することができ、かつロール、グループなどユーザーの詳細な情報の引継ぎも効率的に行うことができます。OneLoginとLDAPディレクトリの連携方法は、LDAP via Connector(以下コネクタ)とLDAP via SSL(以下SSL)の二種類があります。ご自身のLDAPの状況に合わせて適切な方式をお選びください。
LDAP via Connector連携比較表
| LDAP →OneLogin |
OneLogin →LDAP |
|
|---|---|---|
| ユーザー情報の 同期 |
○ (リアルタイム同期) |
|
| ユーザー認証 | ○ (LDAPでユーザー判定) |
○ (OneLoginでユーザー判定) |
LDAP via SSL連携比較表
| LDAP →OneLogin |
OneLogin →LDAP |
|
|---|---|---|
| ユーザー情報の 同期 |
○ (リアルタイム同期) |
|
| ユーザー認証 | ▲ (LDAPでユーザー判定) |
○ (OneLoginでユーザー判定) |
LDAP via Connector
前提条件
このページでは以下の条件を満たしていることを前提としています。
- OneLoginの管理者(Account Owner または Super User)アカウント
- 構築済みLDAPサーバー
- Oracle JRE8 もしくはOpenJDKのJavaランタイム環境
- Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files
設定手順
-
OneLoginへ管理者としてログインをし、Users > Directoriesをクリックします。[New Directory]から[LDAP via Connector]を選択します
![]()
-
任意のコネクタ名、ディレクトリ名を入力し[Save]をクリックします
![]()
-
続いてLDAPサーバーとの接続設定を行います。Installation Tokenは後ほど必要となるためメモをしておきます。また、[Download LDAP Connector]をクリックしてコネクタをダウンロードします
![]()
-
ダウンロードしたコネクタのzipファイルをLDAPサーバーへ転送、展開します。正常に展開されると、「onelogin-ldc-{version}」というディレクトリが出現するので設定ファイル(ldc.conf)のldc.api.tokenパラメーターに先ほどコピーしたInstallation Tokenを入力します。
![]()
-
編集が終わったら、以下のコマンドを実行しコネクタプログラムを起動します。Linux, Unix, Mac OS ...
$ ./bin/start-ldc.shWindows ...$ ./bin¥start-ldc.bat -
コネクタを起動できたら再びOneLoginサイトに管理者としてログインし、Users > Directory からコネクタの設定画面を開き、Connectionタブから接続に必要な情報を入力していきます。
![]()
-
OU SeletionタブではOneLoginに同期するOuを選択することができます。
Mappingsタブでは同期する情報の設定や属性の対応付けを行うことができます。
Advancedタブではステージングや、削除の際の処理など、より高度な設定が行えます。 ここまで設定できたら最後に右上の[Save]をクリックして設定は終了です -
コネクタのステータスが ● connected となっていることと、ユーザー一覧からLDAPユーザーが同期できていることが確認できれば完了です
![]()
LDAP via SSL
前提条件
このページでは以下の条件を満たしていることを前提としています。
- OneLoginの管理者(Account Owner または Super User)アカウント
- 構築済みLDAPサーバー
設定手順
-
OneLoginへ管理者としてログインをし、Users > Directoriesをクリックします。[New Directory]から[LDAP via SSL]を選択します
![]()
-
任意のコネクタ名を設定します(例:LDAP SSL)
-
SSL化された通信をするためにLDAP Settingsにチェックを入れ、必要な各種情報を入力し[Save]をクリックします
各入力項目は以下のとおりです。- LDAP server hostname ... (LDAPサーバーのホスト名かIPアドレスを入力します)
- Port ... 636
- First Name Attribute ... givenName
- Last Name Attribute ... sn
- Base DN ... (検索の起点となるエントリです)
- Bind DN ... (LDAPサーバーを検索するLDAPの管理者DNを入力します)
- Password ... (Bind DNのパスワード)
![]()
-
Importing Users > Enable mappingsにチェックを入れることで、LDAPサーバーからOneLoginにインポートされた新規ユーザーをマッピング機能の対象とすることが可能です
Auto-create Users > Automatically create users ... にチェックを入れると、ディレクトリ経由でインポートされた新規ユーザーに対してOneLoginロールを割り当てることができますが、ペンティオではOneLogin標準のマッピング機能を使うことを強く推奨しています。
![]()
-
Originating ip address と Email Domainの設定を行います。ペンティオではどちらの項目も空欄にすることを推奨しています。
- Originating ip address ... 入力したIPアドレスからのアクセスはLDAP側で認証を行います
- Email domain ... 入力されたメールドメインを持つユーザーはLDAP側で認証を行います
![]()
-
右上の[More Actions]から[Synchronize Users]をクリックすることで指定したLDAPサーバーからユーザーの同期が開始されます
トライアル申し込み
ペンティオでは、OneLoginの30日間無料トライアルを実施しております。企業ごとに独立したアカウントを発行していますので安心してご利用いただけます。検証課題が解消していない場合にはトライアルの期間を延長することも可能です。ご興味のある方はぜひ一度お試しください。また、ご不明な点がございましたら、お問い合わせフォームよりお問い合わせください。