メニュー 日本語 Čeština Dansk Deutsch English (US) Español (Latinoamérica) Español (España) Suomi Français (Canada) Français (France) हिंदी Magyar Bahasa Indonesia Italiano 한국어 Bahasa Melayu Nederlands Norsk Polski Português do Brasil Română Русский svenska ไทย Türkçe Українська Tiếng Việt 简体中文 繁體中文

Active Directory統合(ADI)用のCONFファイルの編集方法

更新:

作成日時:

ADI用のCONFファイルの編集

Active Directory統合(ADI)を介してユーザーを管理する場合、KMSATコンソールと同期するユーザーとグループを定義する必要があります。設定プロセスでダウンロードしたADI構成(CONF)ファイルを編集して、同期するユーザーとグループを定義できます。  

この記事では、CONFファイルを編集して、特定のユーザー、グループ、ユーザー情報を同期する方法について説明します。ADIの一般情報については、「Active Directory統合(ADI)設定ガイド」を参照してください。SCIMを使用する場合は、「SCIM設定ガイド」を参照してください。

リンク先:

同期するユーザーの定義

同期するグループの定義

その他の情報の同期

     同期のユースケース

 

同期するユーザーの定義

このセクションでは、CONFファイルを編集して、ADとKMSATコンソールで同期するユーザーを定義する方法について説明します。これらのADユーザーは、KMSATコンソールのユーザーとして入力されます。グループを同期するには、最初に特定のユーザーを同期する必要があります。

CONFファイルを編集してAzureと同期するユーザーを定義するには、以下のステップに従って操作します。

  1. ADIのCONFファイルをテキストエディタで開きます。CONFを見つける方法の詳細については、「Active Directory統合(ADI)設定ガイド」を参照してください。

  2. CONFファイルの[sync.users]セクションの以下のフィールドを編集します。これらのフィールドの詳細については、以下の表を参照してください。
注:組織単位(OU)やグループ名に標準的な英語のアルファベット以外の文字が含まれている場合は、二重引用符(")を一重引用符(')に置換してください。カンマ(,)、数字記号(#)、プラス記号(+)などの特殊文字は、ダブルバックスラッシュ(\\)でエスケープしてください。詳細については、「Active Directory統合でのエスケープ文字の使用方法」の記事を参照してください。
フィールド名

フィールドの説明
includedOUs

このフィールドに、同期するユーザーを検索する必要があるOUのリストを入力します。

  • mail-enabledがオンになっている指定されたOUのユーザーが検索されます。 
    注:このフィールドには、指定されたOUに属するグループのユーザーは含まれません。これらのグループのユーザーを同期するには、以下のincludedGroupsの行の情報を参照してください。
  • 別のOUの下位にあるOUを指定する場合は、OUの場所の名前を逆順序の構文で記述し、ファイルパスをフォワードスラッシュで区切る必要があります。例えば、「All Users」というOUの下にある「Accounting」というOUを指定する場合、「Accounting/All Users」という構文を記述します。
  • 使用するOUリストに複数のOUを追加する場合、このテキストを特定のフォーマットで記述する必要があります。複数のOUを追加するには、OUを引用符で囲み、カンマで区切り、括弧で囲む必要があります。このフィールドの構文の例については、以下を参照してください。
    • includedOUs = ["Accounting/All Users","Development/All Users"]
excludedOUs

このフィールドには、除外するユーザーを検索するOUのリストを入力します。

  • 検索中に除外されるユーザーが見つかった場合、それらのユーザーは、同期対象となっているOUユーザーよりも優先され、除外されます。
  • このフィールドの構文の例については、以下を参照してください。
    • excludedOUs = ["Contractors/Development/All Users"]
includedGroups

このフィールドには、ユーザーを同期する対象グループのリストを入力します。これらのグループは、ADセキュリティグループまたは配布グループのいずれかでなければなりません。

  • includedGroupsフィールドで見つかったユーザーは、excludedOUsフィールドで定義されている対象のユーザーよりも優先されます。
  • このフィールドに複数のグループを追加する場合は、構文が正しくフォーマットされていることを確認します。複数のグループを追加するには、グループを引用符で囲み、カンマで区切り、括弧で囲む必要があります。複数のグループを追加する構文の例については、以下を参照してください。
    • includedGroups = ["Accounting","Human Resources"]
excludedGroups

このフィールドには、ユーザーを除外するグループのリストを入力します。除外の対象となるのは、指定されたADセキュリティグループまたは配布グループのメンバーです。

  • この検索で除外するユーザーが見つかった場合、includedOUsまたはincludedGroupsで見つかった対象のユーザーよりも優先され除外されます。
  • このフィールドの構文の例については、以下を参照してください。
    • excludedGroups = ["Contract Employees"]
includedUsers

このフィールドには、明示的に追加する必要があるユーザーのリストを入力します。

  • このフィールドで見つかったユーザーは、excludedGroupsフィールドまたはexcludedOUsフィールドと一致するユーザーよりも優先されます。
  • 各ユーザーのメールアドレスを入力して指定します。ユーザーは何人でも指定できます。
  • このフィールドの構文の例については、以下を参照してください。
    • includedUsers = ["user@example.com"]
excludedUsers

このフィールドには、明示的に除外する必要があるユーザーのリストを入力します。

  • このフィールドで指定されるユーザーは、他の全ての追加ルールの影響を受けずに、除外されます。
  • 各ユーザーのメールアドレスを入力して指定します。ユーザーは何人でも指定できます。このフィールドの構文の例については、以下を参照してください。
    • excludedUsers = ["user@example.com","user2@example.com"]

グループを同期する場合は、以下の「同期するグループの定義」のセクションを参照してください。

トップに戻る

 

同期するグループの定義

特定のユーザーを同期する条件を定義したら、CONFファイルを編集して、同期するADグループの条件を定義することもできます。これらのADグループは、KMSATコンソールのグループとして入力されます。

ユーザーがADグループのメンバーである場合、KMSATコンソールにおいても、そのユーザーは対応するグループのメンバーになります。KnowBe4は、グループ内のグループ、つまり、ネストされているグループはサポートしていません。

最初にユーザーを同期しなければ、同期したグループにユーザーを追加できないことに注意してください。グループを同期しようとしても、グループに同期されたユーザーが含まれていない場合、そのグループは同期されません。

注:KMSATコンソールと同期するグループのタイプは、セキュリティグループと配布グループのみになります。同期対象のOU内のグループは、コンソールでグループとして追加または同期されます。しかし、OU自体はコンソールと同期されません。

CONFファイルを編集して同期するグループを定義するには、以下のステップに従って操作します。

  1. 特定のユーザーを同期していることを確認します。詳しくは、上記の「同期するユーザーの定義」のセクションを参照してください。
  2. CONFファイルの[sync.groups]セクションにある以下のフィールドを編集します。これらのフィールドの詳細については、以下の表を参照してください。
フィールド名

フィールドの説明
includedOUs

このフィールドには、セキュリティまたは配布グループを同期するために検索するOUのリストを入力します。

  • 指定したOUで見つかったグループのみが、KMSATコンソールにグループとして追加されます。
  • 複数のOUを追加する場合は、正しいフォーマットで構文を記述する必要があります。複数のOUを追加するには、OUを引用符で囲み、カンマで区切り、括弧で囲む必要があります。複数のOUを追加する構文の例については、以下を参照してください。
    • includedOUs = ["Accounting/All Users","Development/All Users"]
excludedOUs 

このフィールドには、同期の対象としないセキュリティまたは配布グループを検索するOUのリストを入力します。

  • このフィールドの構文の例については、以下を参照してください。
    • excludedOUs = ["Contractors/Development/All Users"]
includedGroups

このフィールドには、同期する特定のADセキュリティグループまたは配布グループのリストを入力します。

  • これらのグループを同期すると、同期の対象として追加され同期されているユーザーのみが、対応するKMSATグループに追加されます。
    このオプションは、[sync.groups]セクションのexcludedOUsフィールドで指定される除外グループよりも優先されます。
  • このフィールドの構文の例については、以下を参照してください。
    • includedGroups = ["Sales","Accounting"]
excludedGroups

このフィールドに、同期の対象から除外する特定のグループのリストを入力します。

  • このオプションは、[sync.groups]セクションのincludedOUsフィールドまたはincludedGroupsフィールドの全グループよりも優先されます。
  • このフィールドの構文の例については、以下を参照してください。
    • excludedGroups = ["Consultants"]

 

自社のニーズに合わせてこれらのフィールドを編集したら、CONFファイルを保存します。ファイルを保存するには、書き込み権限が必要です。

トップに戻る

 

その他の情報の同期

同期するユーザーとグループを選択したら、CONFファイルを編集して、ADアカウントとKMSATアカウント間で同期するユーザー情報を定義できます。同期するユーザー情報を定義するには、ファイルの[sync.fields]セクションを編集します。デフォルトでは[sync.fields]セクションでフィールドを指定すると、KMSATコンソールのそのユーザー情報フィールドに、ADで定義された情報が自動的に入力されます。 

ユーザー情報があるADフィールドを追加するには、各フィールドの引用符内の値を編集します。フィールドが空白の場合、ADと一致するフィールドはありません。KMSATと同期するADのフィールドは、各フィールドの引用符で囲まれている値を手動で追加して定義できます。

特定のフィールドを同期しない場合は、そのフィールドの引用符内の値を削除します。ただし、引用符や行全体を削除しないように注意してください。テキスト行全体を削除すると、ADは自動的にテキスト行をフィールドに復元して、値を同期します。

これらの全てのフィールドでは、大文字と小文字が区別されます。

注:また、ADとKMSATコンソールと同期するデータを制限することもできます。詳細については、KnowBe4の「Active Directory統合(ADI)のFAQ」の記事にある「情報の同期」のセクションを参照してください。

CONFファイルの[sync.fields]セクションで利用可能な全てのフィールドのリストについては、以下を参照してください。

[sync.fields]
comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
phone-number = "telephoneNumber"
title = "title"

 

同期のユースケース

ADのどのフィールドをKMSATコンソールと同期するかを制御するユースケースを以下に示します。

ユースケース1:ADとの同期の対象外とするフィールドを指定する

KMSATコンソールで自社独自のフィールドを管理する場合は、それらのフィールドをADと同期するフィールドから除外できます。ADと同期しないフィールドを指定するには、CONFファイルの[sync.fields]セクションに次の構文を記述します。以下の構文では、全てのカスタムフィールドが空白になっているか、引用符で囲まれている値が削除されています。

[sync.fields]
comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = ""
organization = "o"
phone-number = "telephoneNumber"
title = "title"

 

ユースケース2:ユーザーの部門や場所を除外する

ユーザーの部署は同期させ、部門や場所は同期しない場合は、CONFファイルの[sync.fields]セクションに次の構文を記述します。以下の構文では、[division]および[location]フィールドが空白になっているか、引用符で囲まれている値が削除されています。

[sync.fields]
comment = ""
custom-date-1 = ""
custom-date-2 = ""
custom-field-1 = ""
custom-field-2 = ""
custom-field-3 = ""
custom-field-4 = ""
department = "department"
division = ""
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = ""
location = ""
manager = "manager"
mobile-number = ""
organization = "o"
phone-number = "telephoneNumber"
title = "title"

 

ユースケース:ADと同期する対象に全てのフィールドを追加する

ADと同期する対象に全てのフィールドを追加するには、CONFファイルの[sync.fields]セクションに次の構文を記述します。以下の構文では、全てのフィールドの値が引用符で囲まれています。

[sync.fields]
comment = “This is a comment!“
custom-date-1 = “This is my custom-date-1 field.“
custom-date-2 = "This is my custom-date-2 field."
custom-field-1 = "This is my custom-field-1”
custom-field-2 = "This is my custom-field-2.”
custom-field-3 = "This is my custom-field-3”
custom-field-4 = "This is my custom-field-4”
department = "department"
division = “division”
employee-number = "employeeNumber"
employee-start-date = "whenCreated"
first-name = "givenName"
last-name = “last-name”
location = "physicalDeliveryOfficeName"
manager = "manager"
mobile-number = “5555555555“
organization = "o"
phone-number = "telephoneNumber"
title = "title"

トップに戻る

この記事は役に立ちましたか?
7人中6人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

コメント

0件のコメント

記事コメントは受け付けていません。

関連記事