inSync AD/LDAPコネクタのよくある質問
inSync Cloud Editions: Elite Plus
Elite
Enterprise
Business
質問
- どのような場合にinSync Connectorを使用しますか?
- どのようにinSync Connectorを設定しますか?
- inSync Connectorはどのポートを使用しますか?
- inSync ConnectorとinSync Cloud間の通信に他のポートを設定できますか?
- AD/LDAPサーバーにアクセス詳細情報を問い合わせなければならないのはなぜですか?
- 他の人がAD/LDAPサーバー情報をアクセスできますか?
- inSync ConnectorはAD/LDAPサーバーとコネクションを維持しますか?
- inSyncクラウドはAD/LDAPからどのような情報を取得しますか?
- データのセキュリティはどのように保たれますか?
- AD/LDAPサーバーのデータはどこかに保存されますか?
- AD/LDAP認証情報を使用したユーザーデバイスの手動アクティベーションはどのような手順で行われますか?
- 統合一括導入 (IMD) を使用したユーザーデバイスのアクティベーションはどのような手順で行われますか?
- inSync Connectorサービスを停止させた場合、何が起きますか?
- inSync Connectorサービスの現在のステータスをどのように確認できますか?
回答
どのような場合にinSync Connectorを使用しますか?
inSync Connectorにより、組織のActive Directory (AD) またはLDAPをinSyncと連携させ、以下のタスクを自動化することができます。
- inSync上のユーザーの作成と管理 (ユーザーのインポートにのみ適用)
- AD/LDAPマッピングを使用したユーザー登録
- リアルタイムインポートと自動化された定期インポート
- オプションでユーザーへの通知
- AD/LDAPマッピングを使用したリアルタイム、自動化、定期的なユーザーの登録
- ユーザーによるinSync Webへのログイン時にAD/LDAP認証情報の使用を許可
- ユーザーのAD/LDAP認証情報を使用したデバイスの手動アクティベート
- 統合一括導入を使用したデバイスのアクティベーション
どのようにinSync Connectorを設定しますか?
組織のファイアウォール内部にあるWindowsコンピューター上にinSyncのinSync Connectorをインストールすることができます。inSync ConnectorがADとinSync Cloudに接続できることを確認してください。
上図のように、inSync Connectorインストール後、the connection between the inSync ConnectorとinSyncクラウド間で永続的なコネクションが接続されます。しかし、inSync ConnectorはAD/LDAPサーバーと必要なときのみ接続されます。
inSync Connectorのダウンロード、インストール、設定方法に関する詳細はAD/LDAPの登録を参照してください。
inSync Connectorはどのポートを使用しますか?
以下にinSync Connectorが使用するポート番号をまとめます。
ポート番号 | 使用先 |
---|---|
443 |
inSync ConnectorとinSyncクラウド間
|
389 (内部ポート) |
LDAP |
3268 |
グローバルカタログ上のLDAP |
636 |
Secure LDAP |
3269 |
グローバルカタログ上のSecure LDAP |
inSync ConnectorとinSync Cloud間の通信に他のポートを設定できますか?
はい。inSync ConnectorとinSyncクラウド間の通信では、デフォルトポートの443の代わりに以下のポートが設定できます。
- 80
- 6061
設定を変更するには、Druva Supportまでお問い合わせください。
AD/LDAPサーバーにアクセス詳細情報を問い合わせなければならないのはなぜですか?
inSyncユーザーを作成し、inSync Webでユーザーを認証できるようにするには、inSyncクラウドがAD/LDAPサーバーに正しいクエリを送信し、必要な情報を取得できるようにする必要があります。これには、AD/LDAPサーバーの読み込みアクセス権限が必要です。アクセス情報はAD/LDAPサーバーから必要な情報を取得するためにinSync Connectorによって使用されます。AD/LDAPサーバーの設定を変更する必要はありません。
inSyncクラウドによりクエリが送信されていることを確認するため、AD/LDAPサーバーへのログインを確認できます。
他の人がAD/LDAPサーバー情報をアクセスできますか?
いいえ。inSyncクラウドに入力した情報はinSyncのエンタープライズクラスのセキュリティ機能によって保護されます。適切な分離と256ビットAES暗号キーを使用した暗号化により、各顧客向けに仮想プライベートクラウドが作成されます。さらに、二要素暗号キーの管理と認証を使用することで、組織の管理者以外誰もAD/LDAPサーバー情報へアクセスすることはできません。
inSyncのエンタープライズクラスのセキュリティ機能に関する詳細は、 inSyncのエンタープライズクラスのセキュリティを参照してください。
inSync ConnectorはAD/LDAPサーバーとコネクションを維持しますか?
いいえ。inSync Connectorは必要なときだけAD/LDAPサーバーと接続します。inSync Connectorの利用例には以下があります。
- AD/LDAPマッピング作成時: AD/LDAPサーバーから情報をインポートしてinSyncユーザーを作成したい場合、AD/LDAPマッピングを作成する必要があります。AD/LDAPマッピングを作成するとき、inSyncクラウドはBase DN、組織単位 (OU)、グループの名前を取得するためAD/LDAPサーバーを照会します。inSync Connectorはこのやりとりを行いやすくします。AD/LDAPマッピングの作成に関する詳細はAD/LDAPマッピングの作成を参照してください。
- ユーザー情報のインポート時: AD/LDAPサーバーからユーザー情報をインポートしてユーザーを作成するとき、inSyncクラウドはAD/LDAPサーバーからユーザー情報を取得します。inSync Connectorはこのやりとりを行いやすくします。inSyncクラウドが定期的にユーザー情報を取得するよう設定されている場合、AD/LDAPサーバーにデフォルトで24時間に一回クエリを送信します。AD/LDAPからのユーザー情報のインポートに関する詳細は、AD/LDAPから情報をインポートして複数ユーザーを追加 を参照してください。
- inSyncクライアントの手動アクティベート時: AD/LDAP認証情報を使用してinSyncクライアントを手動でアクティベートするとき、inSyncクラウドはinSync Connector経由でAD/LDAPサーバーに確認要求を送信します。
- inSync Webでのユーザー認証時: AD/LDAP認証情報をinSyncで使用するよう設定されたユーザーがinSync Webにログインしようとした場合、inSyncクラウドはinSync Connector経由でAD/LDAPサーバーに確認要求を送信します。
- 統合一括導入 (IMD) を使用したデバイスのアクティベート時: IMDによってデバイスのアクティベートが行われる場合、inSyncクラウドはinSync Connector経由でAD/LDAPサーバーからユーザー情報を取得します。
inSyncクラウドはAD/LDAPからどのような情報を取得しますか?
各利用例においてAD/LDAPサーバーから取得されるデータ種別の説明を以下の表にまとめます。各利用例におけるデータサイズと実際の頻度も説明します。
利用例 |
取得されるデータ |
データサイズ |
頻度 |
---|---|---|---|
AD/LDAPマッピング作成時 |
Base DN、組織単位 (OU)、グループの名前。これら情報を取得するために3つのクエリがAD/LDAPに送信されます。 |
非常に小さい |
AD/LDAPマッピングの作成は通常一度だけの操作 |
ユーザー情報のインポート時 |
ユーザーのメール、部署、国コード、コモンネーム、ログイン名 |
10,000ユーザーで約1MB |
定期的なインポートの場合、デフォルトで24時間ごとに一回の照会 |
統合一括導入を使用したinSyncクライアントのアクティベート時 |
アクティベーション時にユーザーが作成されていなかった場合、ユーザーのメール、部署、国コード、コモンネーム、ログイン名 |
非常に小さい |
ユーザーごとに一回の照会 |
inSync Webでのユーザーの認証時 |
パスワード一致の確認 |
非常に小さい |
稀 |
データのセキュリティはどのように保たれますか?
下図にinSyncクラウド、inSync Connector、AD/LDAPサーバー間のデータフローを示します。
図に示される内容は以下です。
- inSyncクラウドとinSync Connector間のすべての通信はTLSを使用して暗号化されます。
- inSync ConnectorとAD/LDAPサーバー間のすべての通信は組織のファイアウォール内部で発生するため、保護されます。
- inSync ConnectorとAD/LDAPサーバー間のすべての通信は、AD/LDAPサーバーでLDAPSを使用している場合暗号化されます。
AD/LDAPサーバーのデータはどこかに保存されますか?
AD/LDAPサーバーから取得したデータがいつ、どこに保存されるかを以下の表にまとめます。
利用例 |
取得されるデータ |
データ保存場所 |
---|---|---|
AD/LDAPマッピング作成時 |
Base DN、組織単位 (OU)、グループの名前。これら情報を取得するために3つのクエリがAD/LDAPに送信されます。 |
データはAES-256で暗号化されinSyncクラウドに保存されます。 |
ユーザー情報のインポート時 |
ユーザーのメール、部署、国コード、コモンネーム、ログイン名 |
データはAES-256で暗号化されinSyncクラウドに保存されます。 |
統合一括導入を使用したinSyncクライアントのアクティベート時 |
アクティベーション時にユーザーが作成されていなかった場合、ユーザーのメール、部署、国コード、コモンネーム、ログイン名 |
データはAES-256で暗号化されinSyncクラウドに保存されます。 |
inSync Webでのユーザーの認証時 |
パスワード一致の確認 |
保存されません。 |
AD/LDAP認証情報を使用したユーザーデバイスの手動アクティベーションはどのような手順で行われますか?
AD/LDAP認証情報を使用したユーザーデバイスの手動アクティベーションについて以下に図示します。
inSync Connectorサービスを停止させた場合、何が起きますか?
上で述べた通り、inSync Connectorの利用例は非常に少ないです。inSync Connectorサービスを停止させると、これら利用例のみが影響されます。inSync ConnectorはinSyncクラウドとのバックアップや復元について影響を与えません。
inSync Connectorを停止させると、以下の影響があります。
- ユーザーがinSync Webにログインできなくなります。
- AD/LDAP認証情報を使用したユーザーデバイスの手動アクティベートを行う場合、認証失敗によりinSyncクライアントがアクティベートされません。
- 統合一括導入 (IMD) 機能を使用したユーザーデバイスのアクティベートを行う場合、inSyncクラウドがAD/LDAPサーバーにアクセスしてユーザー情報を取得できなくなるためinSyncクライアントのアクティベーションが失敗します。