この記事では、Generic LDAP コネクタについて説明します。 この記事は、次の製品に適用されます。
- Microsoft Identity Manager 2016 (MIM2016)
- Microsoft Entra ID
MIM2016の場合、コネクタは Microsoft ダウンロード センターからダウンロードできます。
IETF RFC を参照する場合、このドキュメントでは形式 (RFC [RFC 番号]/[RFC ドキュメントのセクション]) を使用しています (RFC 4512/4.3 など)。 詳細については、 https://tools.ietf.org/を参照してください。 左側のパネルで、[ ドキュメント フェッチ ] ダイアログ ボックスに RFC 番号を入力し、有効かどうかをテストします。
注
Microsoft Entra ID では、MIM 同期のデプロイを必要とせずに、LDAPv3 サーバーにユーザーをプロビジョニングするための軽量エージェント ベースのソリューションが提供されるようになりました。 アウトバウンド ユーザー プロビジョニングに使用することをお勧めします。 詳細については、こちらを参照してください。
汎用 LDAP コネクタの概要
Generic LDAP コネクタを使用すると、同期サービスを LDAP v3 サーバーと統合できます。
デルタ インポートの実行に必要な操作やスキーマ要素など、特定の操作とスキーマ要素は、IETF RFC では指定されていません。 これらの操作では、明示的に指定された LDAP ディレクトリのみがサポートされます。
ディレクトリに接続するには、ルート/管理者アカウントを使用してテストします。 別のアカウントを使用してより詳細なアクセス許可を適用するには、LDAP ディレクトリ チームに確認が必要な場合があります。
コネクタの現在のリリースでは、次の機能がサポートされています。
| 特徴 | 支援 |
|---|---|
| 接続されたデータ ソース | コネクタは、サポートされていないと呼ばれる場合を除き、すべての LDAP v3 サーバー (RFC 4510 に準拠) でサポートされています。 これは、次のディレクトリ サーバーでテストされています。
|
| シナリオ | |
| オペレーション | すべての LDAP ディレクトリで、次の操作がサポートされています。 |
| スキーマ |
差分インポートおよびパスワード管理のサポート
差分インポートおよびパスワード管理がサポートされているディレクトリは次のとおりです。
- Microsoft Active Directory ライトウェイト ディレクトリ サービス (AD LDS)
- 差分インポートのすべての操作をサポート
- パスワードの設定をサポート
- Microsoft Active Directory グローバル カタログ (AD GC)
- 差分インポートのすべての操作をサポート
- パスワードの設定をサポート
- 389 ディレクトリ サーバー
- デルタインポートのすべての操作をサポートします。
- パスワードの設定とパスワードの変更をサポート
- Apache ディレクトリ サーバー
- このディレクトリには永続的な変更ログがないため、差分インポートはサポートされません
- パスワードの設定をサポート
- IBM Tivoli DS
- 差分インポートのすべての操作をサポート
- パスワードの設定とパスワードの変更をサポート
- Isode ディレクトリ
- 差分インポートのすべての操作をサポート
- パスワードの設定とパスワードの変更をサポート
- Novell eDirectory と NetIQ eDirectory
- 差分インポートの追加、更新、および名前変更操作をサポート
- 差分インポートの削除操作はサポートしていません。
- パスワードの設定とパスワードの変更をサポート
- DJ を開く
- 差分インポートのすべての操作をサポート
- パスワードの設定とパスワードの変更をサポート
- DS を開く
- 差分インポートのすべての操作をサポート
- パスワードの設定とパスワードの変更をサポート
- OPEN LDAP (openldap.org)
- 差分インポートのすべての操作をサポート
- パスワードの設定をサポート
- パスワードの変更はサポートされていません
- Oracle (以前の Sun) Directory Server Enterprise Edition
- 差分インポートのすべての操作をサポート
- パスワードの設定とパスワードの変更をサポート
- RadiantOne 仮想ディレクトリ サーバー (VDS)
- バージョン 7.1.1 以降を使用している必要があります
- 差分インポートのすべての操作をサポート
- パスワードの設定とパスワードの変更をサポート
- サン・ワン・ディレクトリ・サーバー
- デルタインポートのすべての操作をサポートします
- パスワードの設定とパスワードの変更をサポート
前提条件
コネクタを使用する前に、同期サーバーに次のものがインストールされていることを確認します。
- Microsoft .NET 4.6.2 Framework 以降
このコネクタをデプロイするには、ディレクトリ サーバーの構成と MIM の構成の変更が必要になる場合があります。 MIM を運用環境のサード パーティのディレクトリ サーバーと統合する展開の場合は、お客様がディレクトリ サーバー ベンダー、またはこの統合に関するヘルプ、ガイダンス、およびサポートのために展開パートナーと協力することをお勧めします。
LDAP サーバーの検出
コネクタは、LDAP サーバーを検出して識別するために、さまざまな手法に依存しています。 コネクタはルート DSE、ベンダー名/バージョンを使用し、スキーマを調べて、特定の LDAP サーバーに存在することがわかっている一意のオブジェクトと属性を見つけます。 このデータが見つかった場合は、コネクタの構成オプションを事前に設定するために使用されます。
接続データ ソースのアクセス許可
接続されたディレクトリ内のオブジェクトに対してインポート操作とエクスポート操作を実行するには、コネクタ アカウントに十分なアクセス許可が必要です。 コネクタには、エクスポートできる書き込みアクセス許可と、インポート可能な読み取りアクセス許可が必要です。 アクセス許可の構成は、ターゲット ディレクトリ自体の管理エクスペリエンス内で実行されます。
ポートとプロトコル
コネクタは、構成で指定されたポート番号を使用します。既定では LDAP の場合は 389、LDAPS の場合は 636 です。
LDAPS の場合は、SSL 3.0 または TLS を使用する必要があります。 SSL 2.0 はサポートされておらず、アクティブ化できません。
必要なコントロールと機能
コネクタが正常に機能するためには、LDAP サーバーで次の LDAP コントロール/機能を使用できる必要があります。
1.3.6.1.4.1.4203.1.5.3 真偽フィルター
True/False フィルターは、LDAP ディレクトリでサポートされていると報告されないことが多く、 グローバル ページ の [ 必須機能が見つかりません] に表示される場合があります。 これは、複数のオブジェクトの種類をインポートする場合などに、LDAP クエリで OR フィルターを作成するために使用されます。 複数の種類のオブジェクトをインポートできる場合、LDAP サーバーはこの機能をサポートします。
一意識別子がアンカーであるディレクトリを使用する場合は、次の機能も使用できる必要があります (詳細については、「 アンカーの構成 」セクションを参照してください)。
1.3.6.1.4.1.4203.1.5.1 すべての運用属性
ディレクトリの 1 回の呼び出しに収まるオブジェクトよりも多くのオブジェクトがディレクトリにある場合は、ページングを使用することをお勧めします。 ページングを機能させるには、次のいずれかのオプションが必要です。
オプション 1:
1.2.840.113556.1.4.319 pagedResultsControl
オプション 2:
2.16.840.1.113730.3.4.9 VLVControl
1.2.840.113556.1.4.473 ソートコントロール
コネクタ構成で両方のオプションが有効になっている場合は、pagedResultsControl が使用されます。
1.2.840.113556.1.4.417 削除されたコントロールを表示
ShowDeletedControl は、削除されたオブジェクトを表示できるようにするために、USNChanged デルタ インポート メソッドでのみ使用されます。
コネクタは、サーバーに存在するオプションを検出しようとします。 オプションを検出できない場合は、コネクタのプロパティの [グローバル] ページに警告が表示されます。 すべての LDAP サーバーでサポートされているすべてのコントロール/機能が表示されるわけではありません。この警告が存在する場合でも、コネクタは問題なく動作する可能性があります。
差分インポート
差分インポートは、それをサポートするディレクトリが検出された場合にのみ使用できます。 現在、次のメソッドが使用されています。
- LDAP アクセスログ。 ログ記録のhttp://www.openldap.org/doc/admin24/overlays.html#Accessを参照してください
- LDAP 変更ログ。 http://tools.ietf.org/html/draft-good-ldap-changelog-04 を参照してください
- タイムスタンプ。 Novell/NetIQ eDirectory の場合、コネクタは最後の日付/時刻を使用して作成および更新されたオブジェクトを取得します。 Novell/NetIQ eDirectory には、削除されたオブジェクトを取得する同等の手段はありません。 このオプションは、LDAP サーバーで他のデルタ インポート方法がアクティブでない場合にも使用できます。 このオプションでは、削除されたオブジェクトをインポートできません。
- USNChanged。 https://msdn.microsoft.com/library/ms677627.aspx を参照
サポートされていません
次の LDAP 機能はサポートされていません。
- サーバー間の LDAP 参照 (RFC 4511/4.1.10)
新しいコネクタを作成する
汎用 LDAP コネクタを作成するには、 Synchronization Service で [管理エージェント ] と [作成] を選択します。 Generic LDAP (Microsoft) コネクタを選択します。
接続性
[接続] ページで、ホスト、ポート、バインドの情報を指定する必要があります。 どのバインドが選択されているかに応じて、次のセクションで追加情報が提供される場合があります。
![MIM 同期コネクタの構成の [接続] ページ](media/microsoft-identity-manager-2016-connector-genericldap/connectivity.png)
- [接続タイムアウト] 設定は、スキーマを検出するときにサーバーへの最初の接続にのみ使用されます。
- バインディングが匿名の場合、ユーザー名/パスワードも証明書も使用しません。
- その他のバインディングの場合は、ユーザー名/パスワードに情報を入力するか、証明書を選択します。
- Kerberos を使用して認証する場合は、ユーザーの領域/ドメインも指定します。
属性エイリアス テキスト ボックスは、RFC4522構文を使用してスキーマで定義された属性に使用されます。 これらの属性はスキーマ検出中に検出できず、コネクタではそれらの属性を個別に構成する必要があります。 たとえば、userCertificate 属性をバイナリ属性として正しく識別するには、属性のエイリアス ボックスに次の文字列を入力する必要があります。
userCertificate;binary
この構成の例を次の表に示します。
サーバーによって作成された 属性も含めるには、[スキーマに操作 属性を含める] チェック ボックスをオンにします。 これには、オブジェクトが作成された日時や最終更新時刻などの属性が含まれます。
拡張オブジェクト (RFC4512/4.3) を使用し、このオプションを有効にすると、すべてのオブジェクトですべての属性を使用できる場合は、[スキーマに拡張属性を 含める ] を選択します。 このオプションを選択するとスキーマが非常に大きいため、接続されたディレクトリがこの機能を使用していない場合は、オプションを選択しないようにすることをお勧めします。
グローバル パラメーター
[グローバル パラメーター] ページで、差分変更ログと追加の LDAP 機能に DN を構成します。 このページには、LDAP サーバーによって提供される情報が事前に設定されています。
上部のセクションには、サーバー自体によって提供される情報 (サーバーの名前など) が表示されます。 コネクタは、必須のコントロールがルート DSE に存在することも確認します。 これらのコントロールが一覧にない場合は、警告が表示されます。 一部の LDAP ディレクトリでは、ルート DSE 内のすべての機能が一覧表示されず、警告が存在する場合でも、コネクタが問題なく動作する可能性があります。
サポートされているコントロールのチェック ボックスは、特定の操作の動作を制御します。
- ツリー削除を選択すると、1 つの LDAP 呼び出しで階層が削除されます。 ツリー削除が選択されていない場合、コネクタは必要に応じて再帰的な削除を実行します。
- ページングされた結果が選択されると、コネクタは、実行手順で指定されたサイズでページングされたインポートを実行します。
- VLVControl と SortControl は、LDAP ディレクトリからデータを読み取る pagedResultsControl の代替手段です。
- 3 つのオプション (pagedResultsControl、VLVControl、SortControl) がすべて選択されていない場合、コネクタは 1 回の操作ですべてのオブジェクトをインポートします。これは、大きなディレクトリの場合に失敗する可能性があります。
- ShowDeletedControl は、デルタ インポート メソッドが USNChanged の場合にのみ使用されます。
変更ログ DN は、デルタ変更ログで使用される名前付けコンテキストです。例として cn=changelog のようにが挙げられます。 デルタ インポートを実行できるようにするには、この値を指定する必要があります。
次の表は、既定の変更ログ DN の一覧です。
| ディレクトリ | 差分変更ログ |
|---|---|
| Microsoft AD LDS および AD GC | 自動的に検出されました。 USNChanged。 |
| Apache Directory Server | 未提供 |
| ディレクトリ 389 | 変更履歴 使用する既定値: cn=changelog |
| IBM Tivoli DS | 変更履歴 使用する既定値: cn=changelog |
| Isode Directory | 変更履歴 使用する既定値: cn=changelog |
| Novell/NetIQ eDirectory | 未提供 タイムスタンプ。 コネクタは、最後に更新された日付/時刻を使用して、追加および更新されたレコードを取得します。 |
| Open DJ/DS | 変更履歴 使用する既定値: cn=changelog |
| Open LDAP (オープンLDAPディレクトリサービス) | アクセス ログ。 使用する既定値: cn=accesslog |
| Oracle DSEE | 変更履歴 使用する既定値: cn=changelog |
| RadiantOne VDS | 仮想ディレクトリ。 VDS に接続されているディレクトリによって異なります。 |
| Sun One Directory Server | 変更履歴 使用する既定値: cn=changelog |
パスワード属性は、パスワード変更操作とパスワード設定操作でパスワードを設定するためにコネクタが使用する必要がある属性の名前です。 この値は既定で userPassword に設定されますが、特定の LDAP システムに必要な場合は変更できます。
追加のパーティションの一覧では、自動的に検出されない名前空間を追加できます。 たとえば、複数のサーバーが論理クラスターを構成し、すべて同時にインポートする必要がある場合に、この設定を使用できます。 Active Directory は 1 つのフォレスト内に複数のドメインを持つことができますが、すべてのドメインが 1 つのスキーマを共有する場合と同様に、このボックスに追加の名前空間を入力することで同じものをシミュレートできます。 各名前空間は、異なるサーバーからインポートでき、[パーティションと階層の構成] ページでさらに構成されます。 Ctrl + Enter キーを押して新しい行を取得します。
プロビジョニング階層の構成
このページは、OU などの DN コンポーネントを、プロビジョニングする必要があるオブジェクトの種類 (organizationUnit など) にマップするために使用されます。
プロビジョニング階層を構成することで、必要に応じて自動的に構造を作成するようにコネクタを構成できます。 たとえば、名前空間 dc=contoso,dc=com があり、新しいオブジェクト cn=Joe、ou=Seattle、c=US、dc=contoso、dc=com がプロビジョニングされている場合、コネクタは、ディレクトリにまだ存在しない場合、US の国タイプのオブジェクトと、Seattle 用の組織単位を作成することができます。
パーティションと階層の構成
[パーティションと階層] ページで、インポートおよびエクスポートするオブジェクトを含むすべての名前空間を選択します。
![MIM 同期コネクタ構成の [パーティション] ページ](media/microsoft-identity-manager-2016-connector-genericldap/partitions.png)
名前空間ごとに、[接続] 画面で指定した値をオーバーライドする接続設定を構成することもできます。 これらの値が既定の空白値のままにされている場合は、[接続] 画面の情報が使用されます。
コネクタのインポート元とエクスポート先のコンテナーと OU を選択することもできます。
検索を実行すると、これはパーティション内のすべてのコンテナーで実行されます。 コンテナーの数が多い場合、この動作はパフォーマンスの低下につながります。
注
2017 年 3 月以降、Generic LDAP コネクタの検索に対する更新プログラムの範囲は、選択したコンテナーのみに制限できます。 これは、次の図に示すように、[選択したコンテナーでのみ検索] チェック ボックスをオンにすることで実行できます。
アンカーを構成する
このページには常に構成済みの値があり、変更することはできません。 サーバー ベンダーが識別されている場合、アンカーには、オブジェクトの GUID など、変更できない属性が設定されている可能性があります。 検出されていないか、変更できない属性がないことがわかっている場合、コネクタは dn (識別名) をアンカーとして使用します。
次の表は、使用されている LDAP サーバーとアンカーの一覧です。
| ディレクトリ | アンカー属性 |
|---|---|
| Microsoft AD LDS および AD GC | objectGUID(オブジェクトGUID) |
| 389 Directory Server | dn |
| Apache Directory | dn |
| IBM Tivoli DS | dn |
| Isode Directory | dn |
| Novell/NetIQ eDirectory | GUID |
| DJ/DSを開く | dn |
| Open LDAP | dn |
| Oracle ODSEE | dn |
| RadiantOne VDS | dn |
| サンワンディレクトリサーバー | dn |
他の注意事項
このセクションでは、このコネクタに固有の側面、または知っておくべき重要なその他の理由について説明します。
差分インポート
Open LDAP の差分ウォーターマークは、UTC 日付/時刻です。 このため、FIM 同期サービスと Open LDAP の間のクロックを同期する必要があります。 そうでない場合は、デルタ変更ログの一部のエントリが省略される可能性があります。
Novell eDirectory の場合、デルタ インポートではオブジェクトの削除は検出されません。 このため、削除されたすべてのオブジェクトを検索するには、完全なインポートを定期的に実行する必要があります。
日付/時刻に基づく差分変更ログを含むディレクトリの場合は、定期的に完全なインポートを実行することを強くお勧めします。 このプロセスにより、同期エンジンは、LDAP サーバーとコネクタ スペース内の現在の内容との間の相違点を見つけ出すことができます。
トラブルシューティング
- ログ記録を有効にしてコネクタのトラブルシューティングを行う方法については、「 コネクタの ETW トレースを有効にする方法」を参照してください。