Active Directory でディレクトリ同期サービスを構成した後、Workspace ONE Access コンソールの [エンタープライズ認証] ページでパスワード(クラウド)認証を構成および編集できます。

パスワード(クラウド)認証用に構成するテキスト ボックスは、選択したディレクトリ タイプに基づきます。次に、パスワード認証のためのディレクトリのタイプを列記します。
  • ホストとポートが固定された Active Directory
  • DNS ルックアップを使用する Active Directory
  • グローバル カタログ ディレクトリ
  • IWA ディレクトリ
  • LDAP ディレクトリ

『Workspace ONE Access でのディレクトリ統合』ガイドを参照して、ディレクトリ同期サービスが Active Directory とどのように統合されているかを学習してください。

前提条件

  • ディレクトリ同期サービスが Workspace ONE Access Connector にインストールされていること。
  • ディレクトリが Workspace ONE Access コンソールの [ID とアクセス管理] セクションに構成されていること。
  • ユーザー属性が Active Directory に正しくマッピングされていること。

手順

  1. Workspace ONE Access コンソールの [ID とアクセス管理] タブで、[管理] > [エンタープライズ認証方法] を選択します。
  2. [新規] をクリックして、[パスワード (クラウド デプロイ)] を選択します。
  3. [ディレクトリとホスト] 画面で、[ディレクトリ][サービス ホスト] を選択して、パスワード認証を使用して構成します。
  4. [構成] ページでパスワード(クラウド)認証方法を構成します。
    ディレクトリ タイプ オプション 操作
    すべてのタイプ 許可されている認証試行回数。 ディレクトリに対してパスワード認証を使用する場合のログイン失敗が許可される最大回数を入力します。デフォルトは、2 回です。
    すべてのタイプ ディレクトリ タイプ コネクタ サーバにディレクトリ同期サービスをインストールした場合に、設定したディレクトリのタイプを選択します。

    ホストとポートが固定された Active Directory サーバ ポート Active Directory で使用されるポートを選択します。標準 LDAP クエリの場合は 389 または 636 のいずれかです。

    グローバル カタログ クエリの場合は、ポート 3268 または 3269 のいずれかを入力します。

    ホストとポートが固定された Active Directory サーバ ホスト 使用する 1 つ以上のディレクトリ同期サービス インスタンスを選択します。
    すべてのタイプ 通信モード デフォルトで基本モードが選択されています。通信モードを変更することができます。
    • ディレクトリとの通信に SSL/TLS が使用されている場合は、SSL を選択します。
    • ディレクトリとの通信に DNS サービス ロケーションおよび SSL が使用されている場合は、STARTTLS を選択します。証明書を追加します。
    すべてのタイプ ディレクトリ証明書 エンタープライズ ディレクトリで SSL 経由のアクセスが必要な場合は、エンタープライズ ディレクトリ サーバのルート CA SSL 証明書をコピーしてテキスト ボックスに貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」および「END CERTIFICATE」行を含んでいることを確認します。
    DNS ルックアップを使用する Active Directory DNS サービス ロケーションの使用 DNS サービス ロケーション レコードを使用して Active Directory ドメインを検索するには、このボックスをオンにします。

    DNS サービス ロケーション ルックアップを使用しない場合、このチェック ボックスをオフにして、Active Directory サーバのホスト名とポートを入力します。

    • ホストとポートが固定された Active Directory
    • DNS ルックアップを使用する Active Directory
    • IWA ディレクトリ
    • LDAP ディレクトリ
    ベース DN ディレクトリ内の検索を開始する DN を入力します。例:cn=users,dc=example,dc=com
    すべてのタイプ バインド DN/ユーザー名 (IWA) ユーザーの検索に使用するユーザー名を入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。
    注: 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
    すべてのタイプ バインド パスワード バインド DN ユーザーのパスワードを入力します。
    • ホストとポートが固定された Active Directory
    • DNS ルックアップを使用する Active Directory
    • IWA ディレクトリ
    属性を検索 ユーザー名を含むアカウント属性を入力します。これは sAMAcountName、UPN、または Custom のどれかにすることができます。
    • LDAP ディレクトリ
    ユーザーのためのカスタム ディレクトリ検索属性 [検索属性] テキスト ボックスに Custom を入力した場合は、LDAP ディレクトリのクエリに使用するカスタム検索属性を入力して、ユーザーとグループの名前を取得します。例:[UID]
    • ホストとポートが固定された Active Directory
    • DNS ルックアップを使用する Active Directory
    • IWA ディレクトリ
    Active Directory ユーザーを取得するフィルタ クエリ エンタープライズ ディレクトリのクエリに使用する検索フィルタを入力します。
    • グループを取得する場合はグループ検索フィルタ。例:(objectClass=groupOfNames)
    • 同期するユーザーを取得する場合はユーザー検索フィルタ。例:(&(objectClass=user) (objectCategory=person))
    • ホストとポートが固定された Active Directory
    • DNS ルックアップを使用する Active Directory
    • IWA ディレクトリ
    • グローバル カタログ ディレクトリ
    SAML 名前-ID の形式 認証後にユーザーを識別するために使用される nameIdFormat 値を入力します。デフォルトでは、この値はディレクトリ検索 UID 属性になります。
    すべてのタイプ パスワードの変更機能が有効です ユーザーが Workspace ONE Access ログイン ページから Active Directory パスワードをリセットできるようにするには、この機能を有効にします。
    すべてのタイプ ログイン ページでのドメインの表示 ユーザーがサインオンしているときにオプションでシステム ドメインを表示するには、これを有効にします。これを無効にし、1 つのドメインしか使用できない場合、ドメインの選択ページは表示されません。
  5. [次へ] をクリックし、構成を確認して [保存] をクリックします。

結果

次のタスク

パスワード(クラウド デプロイ)を、組み込み ID プロバイダに認証方法として追加します。

デフォルトのアクセス ポリシーに認証方法を追加します。[ID とアクセス管理] > [管理] > [ポリシー] ページの順に移動し、デフォルトのポリシー ルールを編集して、パスワード認証方法をルールに追加します。アクセス ポリシーの管理 を参照してください。