株式会社ダイレクトクラウド２０１６年06月02日 更新

DirectCloud-BOX

LDAP認証ガイド

LDAPを利用したADサーバー連携のSSO構築

■目的既存社内で構築されているADサーバーのユーザーアカウントとパスワードを利用してDirectCloud-BOXにログインできる、SSO（Single Sign-On）環境を構築。

■用語説明・ADサーバー

-Active Directoryの略称。マイクロソフトによって開発されたディレクトリ・サービス・システムであり、Windows 2000 Serverから導入された、ユーザとコンピュータリソースを管理するコンポーネント群の総称である。

・LDAP-Lightweight Directory Access Protocolの略称。ディレクトリ・サービスに接続するために使用される通信プロトコルの一つ。

・SSO-Single Sign-Onの略称。一度のユーザ認証処理によって独立した複数のソフトウェアシステム上のリソースが利用可能になる特性である。この特性によって、ユーザはシステムごとにユーザIDとパスワードの組を入力する必要がなくなる。

LDAP認証によるログインの流れ

User DirectCloud-BOX Active Directory

ユーザーログイン

LDAP認証

ユーザー認証情報取得

AD接続

ADでユーザー認証情報取得

ユーザー認証

ユーザーログイン成功

エラーメッセージを表示

ユーザー認証

①会社ID、ユーザーID、パスワードを入力

②使用する

使用しない

ADからユーザー情報を取得・ユーザーID・メールアドレス・携帯番号

④認証成功

認証失敗

認証成功

認証失敗

⑤BOX接続許可

BOX接続不可

③接続成功

接続失敗

セキュリティ設定

LDAP認証設定

番号 項目名 内容

1 URL LDAPサーバーの接続アドレス及びポート

2 Bind DN LDAPを利用してBINDする DN値 LDAP 認証用に設定されたユーザー名とパスワード

3 Bind PW LDAPを利用してBIND DNでログインする際に必要なパスワード

4 Base DN LDAPディレクトリサーバを使用した認証の際にユーザーを検索する起点となるエントリー

5 Search Query LDAPからユーザーIDをもとにユーザー情報を検索するためのクエリ

6 Subtree Base DNの下位組織を検索する際はチェックが必要

7 Capacity 各ユーザーのマイボックスに付与する容量（個人のファイル保存場所の容量）

①

②

③

④

⑤

⑥

⑦

LDAP設定時の参考事項

■参考事項

・BIND DNはADサーバーのDomain Serviceの管理者権限が必要です。・Search Queryは ADサーバーを使用している場合、 (samaccountname=%id%)に固定（OpenLDAPを利用する場合は、ユーザーアカウントを検索するクエリを入力します）・SubtreeはADサーバーにツリー構造でグループが構築された場合、チェックを入れます。・CapacityはDirectCloud-BOXを利用する各ユーザーに付与するファイル保管容量の初期値となります。

■その他

・DirectCloud-BOXのユーザー情報の中の［割当容量］はLDAP認証後、変更することができます。・LDAPを設定すると［ユーザーの追加・削除］及び［パスワードの定義］が使用不可になります。・LDAP認証を行うとLDAPサーバーからID、名前、パスワード、メールアドレス、携帯電話情報を照会し、該当情報を取得します。取得した情報はDirectCloud-BOX上で変更または削除ができません。

・ADサーバー上のユーザーの名前、メールアドレス、携帯電話の値が変更された場合、当ユーザーがDirectCloud-BOXにログインした際に変更された情報が更新されます。

・ADサーバー設定により、パスワード変更時期になったユーザーは、パスワードを変更が完了するまでDirectCloud-BOXにログインができません。エラーメッセージが表示されます。

DirectCloud-BOXの

LDAP認証の設定手順

6

1.管理ページへログイン

DirectCloud-BOXの管理ページにログインします。

2.使用権限作成

ユーザー（グループ）が使用する機能権限を設定するために「使用権限」を作成します。

①

②

③

3.ユーザーグループ作成と使用権限の付与

①

②

③

④

各部署に排他的なアクセス権を付与するため、ユーザーグループごとに［使用権限の追加］から、各々の「使用権限」を選択します。

4.LDAPを利用したユーザー登録（1/2）

LDAPの項目を入力して「保存」ボタンをクリックします。LDAPの正常動作は認証テストを利用して確認ができます。

①

②

③

④

4.LDAPを利用したユーザー登録（2/2）

「基本設定」の「ユーザー管理」に入ると登録されているユーザーが表示されます。※LDAPを利用したユーザーは一度DirectCloud-BOXにログインしたユーザーのみ、管理ページのユーザー一覧に表示されます。

①

② ③

5.ユーザーをユーザーグループに割り当てる。（1/2）

「ユーザー管理」のユーザー一覧の右端の［操作］ボタンの中の水色のボタンをクリックしてください。※水色のボタンは「ユーザー変更」画面、赤色のボタンは「ユーザー削除」になります。

①

②

③

yoneda1

tabata

米田

田畑

5.ユーザーをユーザーグループに割り当てる。（2/2）

「グループ追加」ボタンをクリックするとグループ一覧が表示されます。グループを選択し、「追加」ボタンをクリックすと所属グループに追加されます。［修正］ボタンをクリックして設定を完了します。

③

①

②

③

6.共有フォルダ作成

［BOX管理］メニューから［共有］を選択し、「共有フォルダ」を作成します。

①

②

③

④

7.共有フォルダにアクセス権を付与

共有する各フォルダを選択し［アクセス権追加］ボタンをクリックします。フォルダ別［アクセス権］は、下記（図.アクセス権管理）の通り設定されます。

② ③

①

15

ユーザーグループ

権限

▲図.アクセス権管理

ありがとうございました。

©DirectCloud

16