文書化
SSOでUUPICを使用するinSyncの設定
概要
シングルサインオン(SSO)を使用してユーザーを認証および承認するようにinSyncを設定できます。デフォルトでは、inSyncは認証のユニーク識別子としてメールアドレスを使用します。またinSyncでは、組織内のユーザーと管理者を識別するカスタム属性としてUniform Universal Personal Identification Code (UUPIC) を設定することもできます。この設定ではinSyncはActive Directoryに接続してUUPICを取得します。
Druvaサポートに連絡して、この構成オプションを有効にしてください。有効化すると、SSOを使用してログインするinSyncユーザーおよび管理者の識別子を設定できます。
inSyncユーザー/管理者向けSSOのUUPIC
以下のガイドラインは、inSyncユーザーおよび管理者向けのSSOにUUPICを使用するようにinSyncの設定を管理します。
- inSyncは、ユーザーがinSyncクライアントにアクセスすること、および管理者がinSync管理コンソールにアクセスすることを識別および承認するためだけにUUPIC値を取得および使用します。
- inSyncは、inSync管理コンソールまたはinSyncクライアントUIにUUPIC値を表示しません。
- inSync管理者向けUUPICは現在、inSync GovCloudアカウントでのみ利用できます。
- UUPICを使ってユーザーと管理者を正常に同期するには、1つ以上のAD / LDAPマッピングがinSyncに存在する必要があります。詳細については、「AD / LDAPマッピングの作成」を参照してください。
ユーザーと管理者がUUPICを使用するようinSyncを設定
SSO認証にUUPICを使用するようにinSyncを設定するには以下を行います。
- inSync管理コンソールのメニューバーで、Manage > Usersをクリックします。既存のAD / LDAPマッピング一覧を含むAD / LDAPページが表示されます。
- [ AD/LDAP Settings ]タブをクリックします。
- [ AD/LDAP Settings ] 領域で、[ Edit ] をクリックします。
- [ Custom Attribute for SSO ] ボックスに、ユーザーを一意に認証および承認するためのユニーク識別子としてUUPICを使用するようカスタムフィールドに正確な名前を入力します。たとえば、employeeNumber です。
-
[ OK ] をクリックして変更を保存します。
inSyncは、Auto sync interval (自動同期間隔) ごとに起動されるクエリによって、ADからユーザーのUUPIC情報を取得します。このクエリでは、ユーザー情報のみが読み込まれます。管理者情報以下に示すように、個別に同期させる必要があります。
注: inSyncがADからユーザーを自動的にインポートするのを待ちたくない場合、ユーザーのインポート処理を手動で開始できます。詳細については、「ADからのユーザーの手動インポート」を参照してください。
既存の管理者をUUPICと同期
この同期は、既存のinSync管理者に対してのみ実行できます。
既存の管理者をUUPICと同期するには以下を行います。
- inSync管理コンソールのメニューバーで、Manage > Usersをクリックします。既存のAD / LDAPマッピング一覧を含むAD / LDAPページが表示されます。
- [ AD/LDAP Settings ]タブをクリックします。
- [ AD/LDAP Settings ] 領域で、[ Sync Custom Attribute ] をクリックします。
成功した同期と失敗した同期の数を示す確認メッセージが表示されます。
失敗した同期の数は、inSyncが指定された識別子の値をActive Directoryで見つけられなかった管理者アカウントの数を示します。
UUPICを有効にすると、関連付けられた識別子がActive Directoryに存在する場合にのみ、新しい管理者を作成できます。
SSOのカスタム値としてUUPICを構成する際の追加サポートについては、Druvaサポートまでお問い合わせください。