ブログ|株式会社セシオス

【統合ID管理:マスタAD/LDAP】機能

作成者: 株式会社セシオス|Oct 7, 2019 7:09:27 AM

 

こんにちは、セシオスサポートチームです。

 

社内ID管理システムとして、Active Directory(社内AD)を用いて多くの企業は運用なされています。SeciossLinkのID連携機能より、社内ADを同期先として情報をプロビジョニング以外に、社内ADを源泉のマスタデータとして連携することも可能です。

 

当然、「AD/LDAP同期」機能より実現ができますが、社内AD内特定の複数OUを同期対象として指定したい場合、「統合ID管理」機能より実現可能となります。今回、実案例を挙げて、機能の一部を紹介したいと思います。

 

 

【案例背景】

  • ●複数連結会社のユーザ・グループ情報が一つの社内ADより管理されている
  • ●社内ADツリー構成上、OU毎で連結会社のユーザ・グループ情報を管理している
  • ●連結会社それぞれの管理者より、自由に自社OU配下を変更できる運用になっている

 

 

【SeciossLinkに望む管理形態】

  • ●社内AD複数のOU(連結会社のユーザ・グループ)をSeciossLinkに同期し、更にGoogle Workspaceに同期させる
  • ●SeciossLink側社内ADにないユーザ・グループを作成し、利用する場合もある

 

 

【設定方法】

まず、社内AD側の同期対象となるOUは三つであることを例とします。

 

 

 

SeciossLink側統合ID管理機能より高速同期を達成するため、差分同期方式を採用しております。通常、同期元(AD)1つのOUであれば、同期先(SeciossLink)に対しては、1→1の同期となり、差分について考慮しなくてもよいです。

 

今回の案例では、複数の「OU」毎、つまり同期元が複数であるため、3→1の同期となります。OU毎とSeciossLink側全体で生じた差分を回避しなければ、お互いの差分データで、お互いのデータを削除しあうことになってしまい、共存できなくなります。

 

 

 

お互いの同期データを影響しないように、ユーザ・グループが所属するOUを示すフラグ(flag)を作成し、統合ID管理内の同期条件にて、そのフラグによるフィルタリングかけることで同期の対象とするそれぞれのOUが特定されます。さらに、【望む管理形態】にあるSeciossLink側で作成した(社内ADにない)ユーザ・グループとの共存も可能となります。

 

 

このように、源泉となる社内AD側のOU毎に、同期が実施されたタイミングで、SeciossLink側にて該当ユーザの源泉OUを表すフラグより、他のユーザと区別し、SeciossLink側との差分を取り、OU毎の同期を実現できるようになります。また、SeciossLink側の差分同期する度にフラグが付けられるので、社内AD側OU間のユーザ・グループの移動が発生した場合にも対応できます。

 

以上、SeciossLink「統合ID管理」による特定OUのAD同期に関する紹介でした。細かい設定や仕様について、お問い合わせいただければと思います。

 

「統合ID管理」機能における設計の自由度が高いため、多様な運用に適用できることが期待されます。