Workspace ONE Access コンソールでエンタープライズ Active Directory または LDAP ディレクトリへの接続を構成する場合は、Workspace ONE Access に同期するユーザーとグループを指定します。Workspace ONE Access でディレクトリを作成するときに、最初にユーザーとグループを指定します。その後、ディレクトリの [同期設定] ページの [ユーザー] タブと [グループ] タブからユーザーとグループを表示および変更できます。

グループを追加するときは、常に次の考慮事項に留意してください。

  • ベスト プラクティスとして、ディレクトリを作成する際は少数のグループを追加して同期します。初期セットアップの後なら、さらにグループを追加できます。
  • グループが追加され同期されると、グループ名がディレクトリと同期されます。グループのメンバーであるユーザーは、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセス ポリシー ルールに追加されるまで、ディレクトリに同期されません。
    注: この制限をオーバーライドするには、 [ID とアクセス管理] > [セットアップ] > [設定] ページで [グループを追加するときにグループ メンバーをディレクトリに同期] を選択します。
  • (Active Directory) グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。
  • (LDAP ディレクトリ)LDAP ディレクトリに同じ名前のグループが複数ある場合は、グループ ページ内でグループに一意の名前を指定する必要があります。

ユーザーを追加するときは、常に次の考慮事項に留意してください。

  • グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
  • [バインドの詳細] セクションで指定したバインド ユーザーは、デフォルトでは Workspace ONE Access サービスに同期されません。バインド ユーザーを同期する場合は、[ユーザー] ページでバインド ユーザー DN を入力します。ディレクトリが同期されてから、必要に応じてバインド ユーザーのロールを設定できます。

手順

  1. ユーザーとグループのページに移動するには、次のオプションから選択します。
    • Workspace ONE Access ディレクトリの作成中にユーザーとグループを追加する場合は、[ディレクトリの追加] ウィザードの [同期するグループを選択します] ページに進みます。
    • Workspace ONE Access ディレクトリを作成した後にユーザーおよびグループを追加または変更する場合:
      1. [ID とアクセス管理] > [管理] > [ディレクトリ] ページに移動します。
      2. 更新するディレクトリをクリックします。
      3. [同期設定] をクリックし、[グループ] タブを選択します。

        このページには、以前に追加したグループ DN と、各グループ DN で同期対象として選択されたグループの数が表示されます。[選択] をクリックすると、グループ DN の下にあるグループのリストが表示されます。

  2. エンタープライズ ディレクトリから Workspace ONE Access ディレクトリに同期するグループを選択します。
    グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。
    1. [トップレベル グループを指定] 行で [+] をクリックし、トップレベル グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。
      ヒント: 検索に長い時間がかかるため、検索するのにベース DN などの上位 DN を入力することは推奨されません。検索には、より具体的な DN を入力するようにします。
      重要: [ディレクトリを追加] ページの [ベース DN] テキスト ボックスに入力したベース DN の下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. 追加したグループ DN の下のすべてのグループを選択する場合は、[すべてを選択] チェック ボックスを選択します。
      Workspace ONE Access ディレクトリを作成してからエンタープライズ ディレクトリのグループ DN へのグループの追加または削除をした場合、その変更はそれ以降の同期で反映されます。
    3. グループ DN の下で、すべてではなく特定のグループを選択する場合は、[グループを選択] をクリックして選択を行ってから、[保存] をクリックします。
      [グループを選択] をクリックすると、DN にあるすべてのグループが一覧表示されます。検索する語句を検索ボックスに入力すると、検索結果を絞り込んだり、特定のグループを検索したりできます。
    4. 必要に応じて、[ネストされたグループ メンバーを同期] オプションを選択または選択解除します。
      [ネストされたグループ メンバーを同期] オプションは、デフォルトで選択されています。このオプションが選択されていると、グループに資格が付与されるときに、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。 Workspace ONE Access ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

      [ネストされたグループ メンバーの同期] オプションが選択されていない場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーは同期されますが、その下にネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模なディレクトリ構成では、このオプションを選択解除すると、時間を短縮できます。このオプションを選択解除する場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

  3. [ユーザー] ページに移動します。
    • [ディレクトリの追加] ウィザードからユーザーとグループを追加する場合は、[次へ] をクリックして [同期するユーザーを選択] ページに進みます。
    • ディレクトリの [同期設定] ページからユーザーとグループを追加または変更する場合は、[グループ] タブで [保存] をクリックし、[ユーザー] タブを選択します。
  4. エンタープライズ ディレクトリから Workspace ONE Access ディレクトリに同期するユーザーを選択します。
    1. [ユーザー DN を指定] 行で [+] をクリックし、ユーザー DN を入力します。例:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      重要: [ディレクトリを追加] ページの [ベース DN] テキスト ボックスに入力したベース DN の下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

      ユーザー DN が有効かどうかを確認し、同期されるユーザー数を確認するには、その行の [テスト] ボタンをクリックします。

    2. 必要に応じて、DN にユーザーを含めるか除外するフィルタを指定します。
      詳細については、 Workspace ONE Access でのディレクトリ同期のフィルタの指定を参照してください。
  5. 変更を保存します。