Workspace ONE Access コンソールでエンタープライズ Active Directory または LDAP ディレクトリへの接続を構成する場合は、Workspace ONE Access に同期するユーザーとグループを指定します。ディレクトリを作成する際は、最初にユーザーとグループを指定します。ユーザーとグループは後で、[同期設定] > [ユーザー] タブと [同期設定] > [グループ] タブから表示したり変更したりできます。

グループを追加するときは、常に次の考慮事項に留意してください。

  • ベスト プラクティスとして、ディレクトリを作成する際はごく少数のグループを追加して同期します。初期セットアップの後なら、さらにグループを追加できます。
  • グループを追加して同期すると、グループ名のみがディレクトリに同期されます。グループのメンバーであるユーザーは、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセス ポリシー ルールに追加されるまで、ディレクトリに同期されません。
    注: この制限を上書きするには、 [設定] > [ログイン設定] ページで [グループを追加するときにグループ メンバーをディレクトリに同期] オプションを選択します。
  • (Active Directory) グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。
  • (LDAP ディレクトリ)LDAP ディレクトリに同じ名前のグループが複数ある場合は、グループ セクション内でグループに一意の名前を指定する必要があります。

ユーザーを追加するときは、常に次の考慮事項に留意してください。

  • グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
  • ディレクトリの [バインド ユーザーの詳細] セクションで指定したバインド ユーザーは、デフォルトでは Workspace ONE Access サービスに同期されません。バインド ユーザーを同期する場合は、[ユーザー] セクションでバインド ユーザー DN を入力します。ディレクトリが同期されてから、必要に応じてバインド ユーザーのロールを設定できます。

手順

  1. ユーザーとグループのページに移動するには、次のオプションから選択します。
    • Workspace ONE Access ディレクトリの作成時にユーザーとグループを追加する場合は、ウィザードの [グループの同期] セクションに進みます。
    • Workspace ONE Access ディレクトリを作成した後にユーザーおよびグループを追加または変更する場合:
      1. [統合] > [ディレクトリ] の順に選択します。
      2. 更新するディレクトリをクリックします。
      3. [同期設定] > [グループ] タブを選択します。

        以前に追加したグループ DN のほか、同期対象として選択したグループも、各グループ DN に表示できます。

  2. エンタープライズ ディレクトリから Workspace ONE Access ディレクトリに同期するグループを選択します。
    グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。
    1. [追加] をクリックします。
    2. [グループの作成] ダイアログ ボックスで、トップレベルのグループ DN を入力して [追加] をクリックします。
      たとえば、CN=users,DC=example,DC=company,DC=com と指定します。
      ヒント: 検索に長い時間がかかるため、検索するのにベース DN などの上位 DN を入力することは推奨されません。検索には、より具体的な DN を入力するようにします。
      重要: ディレクトリの [ベース DN] テキスト ボックスに入力したベース DN の下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    3. 追加したグループ DN の下のすべてのグループを選択する場合は、[すべてを選択] チェック ボックスを選択します。
      例:
      [すべてを選択] オプションがトップレベル グループ CN=Users,DC=example,DC=com に選択されている。
      Workspace ONE Access ディレクトリを作成してからエンタープライズ ディレクトリのグループ DN へのグループの追加または削除をした場合、その変更はそれ以降の同期で反映されます。
    4. グループ DN の下で、すべてではなく特定のグループを選択する場合は、[グループを選択] をクリックして選択を行ってから、[保存] をクリックします。
      [グループを選択] オプションがトップレベル グループ CN=Users,DC=example,DC=com に選択されている。
      グループ マッピングは、 [マッピングされたグループの結果] セクションに表示されます。
    5. 必要に応じて、[ネストされたグループ メンバーを同期] チェック ボックスをオンまたはオフにします。
      [ネストされたグループ メンバーを同期] チェック ボックスは、デフォルトではオンになっています。このチェック ボックスがオンになっていると、グループに資格が付与されるときに、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。 Workspace ONE Access ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

      [ネストされたグループ メンバーの同期] チェック ボックスがオンになっていない場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーは同期されますが、その下にネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模なディレクトリ構成では、このオプションを選択解除すると、時間を短縮できます。このオプションを選択解除する場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

    6. [グループ] セクションで [保存] をクリックします。
  3. [ユーザー] ページに移動します。
    • ディレクトリの作成時にユーザーとグループを追加する場合は、ウィザードの [ユーザーの同期] セクションに進みます。
    • ディレクトリを作成した後にユーザーやグループを追加または変更する場合は、ディレクトリの [同期設定] > [ユーザー] タブに移動します。
  4. エンタープライズ ディレクトリから Workspace ONE Access ディレクトリに同期するユーザーを選択します。
    1. [追加] をクリックし、ユーザー DN を入力してから [追加] をクリックします。
      たとえば、CN=username,CN=Users,OU=Sales,DC=example,DC=com と指定します。
      ""
      重要: [ディレクトリを追加] ページの [ベース DN] テキスト ボックスに入力したベース DN の下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
      ユーザー DN が有効かどうかを確認し、同期されるユーザー数を確認するには、その行の [テスト] ボタンをクリックします。
      ""
    2. 必要に応じて、DN にユーザーを含めるか除外するフィルタを指定します。
      詳細については、 Workspace ONE Access でのディレクトリ同期のフィルタの指定を参照してください。
  5. 変更を保存します。