Active Directory からのユーザーのインポート
Password Manager Pro は環境内の Active Directory と連携され、そこからユーザーをインポートできます。ドメインアカウントを使用して Windows システムにログインしたユーザーは、Password Manager Pro に直接ログインできます。
必要なステップ
Active Directory からユーザーをインポートするには 4 つの手順が必要です。
まず、[管理] >> [認証] >> [Active Directory]に移動します。[Active Directory設定] ページが表示されます。
1.ユーザーのインポート
最初のステップは、資格情報の詳細を提供し、Active Directory からユーザーをインポートすることです。Password Manager Pro は、実行中の Password Manager Pro が属しているサーバーの[Microsoft Windows Network]フォルダに存在するドメインのリストを自動的に取得します。リストから必要なドメインを選択し、必要なドメインコントローラーの資格情報を入力する必要があります。
そのためには:
- [今すぐインポート]をクリックします。あるいは、[ユーザー]>>[ユーザー追加]>>[Active Directory からインポート]からアクセスすることもできます。
- 表示されるポップアップフォームで、AD の一部を形成する必要なドメイン名をドロップダウンから選択します。
- ドメインコントローラーのDNS名を指定します。このドメインコントローラーが、プライマリドメインコントローラーになります。
- プライマリドメインコントローラーがダウンした場合は、セカンダリドメインコントローラーを使用できます。セカンダリドメインコントローラーが複数ある場合は、それらのDNS名をカンマ区切り形式で指定します。利用可能なセカンダリドメインコントローラーの1つが使用されます。SSLモードを使用する場合は、ここで指定するDNS名がドメインコントローラーのSSL証明書で指定するCN(共通名)と一致していることを確認してください。
- 資格情報を入力:ドメインコントローラーで読み取り権限を持つ有効なユーザー認証情報(ユーザー名とパスワード)を入力してください。(複数のドメインからユーザーをインポートする場合は、ユーザー名を次のように入力します:<DomainName>\<username>。たとえば、ドメインBのユーザー名/パスワードを指定してドメインAユーザーをインポートする場合は、ユーザー名を次のように入力する必要があります:<DOMAIN B>\username)。
- 接続モード:ドメインごとに、すべての通信で接続を暗号化チャネル経由にするかどうかをコンフィグできます。SSL モードを有効にするには、ドメインコントローラーがポート 636 で SSL を介してサービスを提供する必要があり、ドメインコントローラーのルート証明書を Password Manager Pro サーバーマシンの証明書ストアにインポートする必要があります。
- インポートするユーザー: デフォルトでは、Password Manager Pro は、Active Directory からすべての組織単位 (OU) とグループを設定します。特定のユーザーのみをインポートする場合は、必要なユーザー名をカンマ区切り形式で入力します。
- インポートするユーザーグループ/OU: 同様に、特定のユーザーグループまたは組織単位 (OU) のみをドメインからインポートすることを選択できます。それぞれのテキストフィールドにカンマ区切り形式で名前を指定できます。
- 同期間隔: 新しいユーザーが Active Directory に追加されるたびに、そのユーザーを自動的に Password Manager Pro に追加し、ユーザーデータベースの同期を保つ機能が用意されています。ユーザーデータベースの同期を維持するために、Password Manager Pro が Active Directory にクエリを実行する必要がある時間間隔を入力します。時間間隔は1分程度に短くすることも、数時間や数日の範囲にすることもできます。
- [保存]をクリックしてドメインの詳細を保存します。後続のインポート中に、AD の新しいユーザーエントリのみがローカル データベースに追加されます。
- 組織単位 (OU) および Active Directory グループをインポートする場合、対応する OU/AD グループの名前でユーザーグループが自動的に作成されます。
注:前述のように、SSLモードを有効にするには、ドメインコントローラーはポート636でSSL経由でサービスを提供している必要があります。ドメインコントローラーの証明書が認定 CA によって署名されていない場合は、証明書を Password Manager Pro サーバー マシンの証明書ストアに手動でインポートする必要があります。それぞれのルート証明書チェーンに存在するすべての証明書、つまり、Password Manager Pro サーバーマシンの証明書と中間証明書 (存在する場合) をインポートする必要があります。
ドメインコントローラーの証明書を Password Manager Pro マシンの証明書ストアにインポートするには、次の手順を実行します。(SSL証明書をマシンの証明書ストアにインポートする通常の手順を使用できます。)以下に例を示します:
- Password Manager Pro がインストールされているマシンで Internet Explorer を起動し、[ツール] >> [インターネット オプション] >> [コンテンツ] >> [証明書] に移動します。
- [インポート]をクリックします。
- 認証局によるルート証明書の問題を参照して見つけます。
- [次へ]をクリックし、[証明書の種類に基づいて証明書ストアを自動的に選択]オプションを選択してインストールします。
- もう一度[インポート]をクリックします。
- ドメインコントローラー証明書を参照して見つけます。
- [次へ] をクリックし、[証明書の種類に基づいて証明書ストアを自動的に選択] オプションを選択してインストールします。
- 変更を適用してウィザードを閉じます。
- この手順を繰り返して、他の証明書をルートチェーンにインストールします。
2.適切なユーザー役割の指定
AD からインポートされたすべてのユーザーには、デフォルトでパスワード ユーザーの役割が割り当てられます。特定のユーザーに特定の役割を割り当てるには、
- [今すぐ役割を割り当てる]をクリックします。
- 開いたポップアップ フォームに、AD からインポートされたすべてのユーザーがリストされます。
- 役割を変更したいユーザーに対して[役割の変更]をクリックし、ドロップダウンから適切な役割を選択します。
- [保存]をクリックすると、ユーザーに必要な役割が設定されます。
3.AD 認証の有効化
3番目のステップはAD認証の有効化です。これにより、ユーザーは AD ドメインのパスワードを使用して Password Manager Pro にログインできるようになります。この方式は、Active Directoryからローカルデータベースにすでにインポートされているユーザーに対してのみ機能します。
トラブルシューティングのヒント
コンピューターアカウントの資格情報が間違っている場合、ブラウザはログインページでドメインユーザーの資格情報を要求し続けます。その場合は、ポップアップをキャンセルして、Password Manager Pro ログインページにアクセスしてください。