認証設定

認証設定 では、組織のActive Directory環境へのLDAP(Lightweight Directory Access Protocol)接続を構成できます。このエリアは管理者のみが使用できます。

接続を構成する前に、組織のActive Directory環境内のユーザー数を考慮する必要があります。デフォルトでは、LDAPサーバーでは同期できるユーザー数が10,000人に制限されます。この制限は、LDAPサーバーのMaxTempTableSize値によって制御されます。10,000人を超えるユーザーがいる場合は、Hubと同期する前に制限値を増やす必要があります。そうしないと同期が失敗し、Hubにインポートするユーザーを選択できなくなります。MaxTempTableSizeの値を増やす方法の詳細は、次のMicrosoftの記事を参照してください:
https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/view-set-ldap-policy-using-ntdsutil

[認証設定]ページを開くには、プロファイルアイコンをクリックして[設定]ページを開き[認証設定]をクリックします。

認証設定ページには、次の情報と機能が表示されます。

  1. ビューを編集 – 表示される列を定義します。トグルスイッチを使用して、列を表示または非表示にできます。

  2. フィルター – 表示される情報にフィルターを適用します。その後、必要なフィルターをオンにして、表示する適切な情報を入力または選択できます。たとえば、次をオンにできます。[ドメイン]フィルターをオンにしてドメイン名を入力します。

  3. ビューを保存 – 現在の列の 設定を保存します。ビューを読み込むときに簡単に識別できるように、ビューの名前を入力できます。

  4. ビューを読み込む – 保存したビューを読み込みます。目的のビューを選択し、[適用]をクリックします。

  5. 新規追加新しい接続を追加します。
  6. 編集 – 選択した接続の詳細を編集します。
  7. 再同期 - Hubにユーザーを再同期します。新しいユーザーがActive Directoryに追加された場合は、これを実行する必要があります。

  8. ステータス – このアイコンは、接続を選択すると接続のステータスに応じて変わります。 

  9. 削除選択した接続を削除します。削除できるのは、廃止済みの接続のみです。

  10. ページごとの行数 – 数字を入力するか、上下矢印を使用してページに表示される行数を変更します。

  11. 前へと次へ – [前へ]または[次へ]をクリックすると、フォームのページを移動できます.

新しい接続を追加する

同じユーザー(名前、メールアドレス、ドメインなど)を含む複数のLDAP接続をHubに追加すると、重複したユーザーが作成され、ログインの問題が発生することがあります。以下の手順でユーザーを同期する場合は、重複するユーザーがインポートされないように、必要なユーザーのみを選択します。

  1. 認証設定ページで、[新規追加]をクリックします。

    [認証接続を作成]ページが表示されます。

  2. 以下の[構成]フィールドに入力します。

    • 接続名 – 接続の名前を指定します。

    • ドメイン – 接続しているドメインの名前。たとえば、「bp」です。

      ドメインの完全修飾ドメイン名(FQDN)は使用しないでください。短い名前形式を使用する必要があります。

    • LDAPサーバー ‐ LDAPサーバーのホスト名。たとえば、「blueprism-srv1.local」です。

    • ポート番号 - 運用に使用するポート番号。デフォルトではポート389です。

    • ポートを暗号化 – ポートを暗号化する場合は、このオプションを選択します。ポート636(LDAPSポート)を使用する場合は、このオプションをオンにする必要があります。

    • ベースDN - Active Directory内でシステムがユーザーの検索を開始する開始ポイント。たとえば、「dc=blueprism, dc=local」です。

  3. 以下の[クエリのバインド]フィールドに入力します。

    • タイムアウト - Active Directoryサーバーから応答を受信するまでシステムが待機するタイムアウト期間(秒)。
    • クエリバインドユーザー名 – 組織のLDAPシステムへのアクセス権を持つActive Directoryユーザー。
    • クエリバインドパスワード – Active Directoryユーザーのパスワード。

  4. [属性]フィールドに入力します。このセクションの目的は、Active Directoryの属性を[Hub]フィールドにマップすることです。これらのフィールドに入力するテキストは、Active Directoryのユーザープロファイル内の名前付き属性と一致する必要があります。ユーザーを選択し[属性エディター]タブをクリックして属性の値へのマッピングを表示することで、Active Directoryユーザーとコンピューター(ADUC)ツールを使用してユーザー属性を検索できます。

    • ユーザー名 – ユーザー名のActive Directory属性名。たとえば、「SAMAccountName」。
    • – ユーザーの名のActive Directory属性名。たとえば、「givenname」。
    • – ユーザーの姓のActive Directory属性名。たとえば、「sn」。
    • メール – ユーザーのメールのActive Directory属性名。たとえば、「mail」。

  5. すべてが正しく設定されていることを確認するには、[ユーザー名をテスト]フィールドにユーザー名を入力し[ユーザーを検索]をクリックします。[ユーザー名をテスト]フィールドに入力するテキストは、Active Directory属性のテキスト形式と一致する必要があります。たとえば、ユーザー名が以下の場合には:

    • 「SAMAccountName」と設定されている場合は、テストデータはdomain\userの形式になります。
    • 「name」と設定されている場合は、テストデータはuserの形式になります。

    関連情報が取得され、対応する[属性]フィールドに入力されます

  6. 認証接続を作成]をクリックします。

    接続が成功しユーザーをインポートするように促す通知メッセージが表示されます。

  7. はい]をクリックして同期します。または[いいえ]を選択し、「 」のプロセスを使用して後で同期することもできます。

    見つかったユーザー数を示すメッセージが表示されます。

    多数のユーザー(たとえば、数万人)をインポートする場合、データベースAuthenticationServerDB、HubDB、InteractDB のデータベーストランザクションログファイルのサイズは大きくなります。最大ファイルサイズが小さすぎること、またはファイルサイズの引き上げが許可されていないことでこれら3つのデータベースのいずれかのトランザクションログファイルのサイズが制限される場合、インポートに失敗することがあります。インポートの失敗を防ぐには、最大サイズを十分な大きさに設定し、かつデータベーストランザクションログファイルの自動拡張設定を有効にし、拡張設定を1024 MBに設定することをお勧めします。自動拡張の詳細については「Microsoftのドキュメント」を参照してください。

  8. 続行]をクリックします。

    ユーザーのリストが表示されます。必須ユーザーの許可と役割を構成する必要があるため、ユーザーはHubにはまだインポートされていません。

  9. インポートするユーザーを選択し、適切なHubの役割やInteractの責任を割り当てます。

    Hub管理者の役割を持つようにユーザーを構成する場合、ユーザーは、新しいデータベースとLDAP接続およびその他のセキュリティ機能を作成する機能を含む、Hubのすべてのプラグインと機能にアクセスできます。したがってこの役割は慎重に割り当てることが重要です。

  10. 必要なすべてのユーザーに対して、この手順を繰り返します。

  11. アクセスと役割を保存]をクリックします。

    役割と許可が定義されたユーザーのみが保存され、[ユーザー]ページに新しいユーザーが表示されます。

接続を編集する

  1. [認証設定]ページで、必要な接続のチェックボックスをオンにします。
  2. 編集]をクリックします。
  3. 必要に応じて情報を編集します。ドメイン、LDAPサーバー、ポート番号、またはベースDNは変更できません。
  4. 保存]をクリックします。

Active Directoryユーザーを同期する

多数のユーザー(たとえば、数万人)をインポートする場合、データベースAuthenticationServerDB、HubDB、InteractDB のデータベーストランザクションログファイルのサイズは大きくなります。最大ファイルサイズが小さすぎること、またはファイルサイズの引き上げが許可されていないことでこれら3つのデータベースのいずれかのトランザクションログファイルのサイズが制限される場合、インポートに失敗することがあります。インポートの失敗を防ぐには、最大サイズを十分な大きさに設定し、かつデータベーストランザクションログファイルの自動拡張設定を有効にし、拡張設定を1024 MBに設定することをお勧めします。自動拡張の詳細については「Microsoftのドキュメント」を参照してください。

Active Directoryにユーザーを追加する場合、それらのユーザーはHubと同期する必要があります。

  1. [認証設定]ページで、必要な接続のチェックボックスをオンにします。

  2. 再同期]をクリックします。

    同期されたユーザー数(Active Directoryで有効な情報(名、姓、ユーザー名、メール)を持つユーザー)と見つかったユーザーの合計数を示すメッセージがユーザーのリストの上に表示されます。同期されたユーザーのみがリストに表示されます。必要なユーザーの許可と役割を構成する必要があります。

    名、姓、ユーザー名、メールをHubに提供するActive Directory属性についての詳細は、「 」を参照してください。Hubは、マッピングされたすべての属性に情報を持つユーザーのみを同期します。

  3. Hubユーザーベースに追加し、適切なHubの役割やInteractの責任を割り当てるために必要なユーザーを選択します。
  4. 必要なすべてのユーザーに対して、この手順を繰り返します。

  5. アクセスと役割を保存]をクリックします。

    役割と許可が定義されたユーザーのみが保存され、[ユーザー]ページに新しいユーザーが表示されます。

接続を廃止、復元する

接続を廃止しても、関連付けられているユーザーのステータスには影響しません。ユーザーは引き続きログインしてアプリケーションを使用できます。LDAP接続に関連付けられているすべてのユーザーは、接続を削除することで廃止できます。

  1. [認証設定]ページで、必要な接続のチェックボックスをオンにします。

    接続が以下の場合には:

    • ライブの場合は、[ステータス]アイコンが[廃止]として表示されます。
    • 廃止の場合は、[ステータス]アイコンが[ライブにする]として表示されます。
  2. 接続を廃止するには:

    1. 廃止]をクリックします。

      確認を求めるメッセージが表示されます。

    2. [はい]をクリックします。

      接続が廃止され、[廃止]が[ライブにする]に変わります。

  3. 廃止済みの接続をライブにするには、[ライブにする]をクリックします。

    接続はすぐに復元し、[ライブにする]が[廃止]に変わります。

    ライブ]フィルターを使用して、廃止済みの接続のリストをフィルタリングできます。

接続を削除する

削除できるのは、廃止済みの接続のみです。

  1. [認証設定]ページで、必要な接続のチェックボックスをオンにします。

  2. 削除]をクリックします。

    確認を求めるメッセージが表示されます。

  3. [はい]をクリックします。

    接続が削除され、それに関連付けられたすべてのユーザーが廃止されます。

フィルターを使用する

フィルターを使用すると、選択した条件に基づいて特定の接続や類似の接続を簡単に検索できます。

  1. 認証設定ページで[フィルター]をクリックして[フィルター]パネルを開きます。

  2. 切り替えを使用して必要なフィルターをオンにし、情報を入力して目的の接続を見つけます。同時に複数のフィルターを適用できます。

    使用可能なフィルターは次のとおりです。

    フィルター

    説明

    ライブ

    次のオプションから接続のステータスを選択します。

    • ライブ – 廃止されていないアクティブな接続を表示します。
    • 廃止 – 管理者が廃止した接続を表示します。

    接続名

    接続名の全体または部分名を入力します。

    LDAPサーバー

    サーバーのホスト名、またはサーバーホスト名の一部を入力します。

    ベースDN

    一致するベースDNまたはベースDNの一部を入力します。

    ドメイン

    ドメイン名の全体または一部を入力します。

    ユーザーインポート数

    数値範囲を入力します。

    • 最初のフィールドで、最小インポート数を入力します。
    • 2番目のフィールドで、最大インポート数を入力します。

    これにより、その範囲内のユーザーをインポートしたすべての接続が表示されます。

    最終同期

    日付範囲を入力します。

    • 最初のフィールドで、最も早い日付を選択します。
    • 2番目のフィールドで、最も遅い日付を選択します。
    • 必要に応じて、時間フィールドを調整します。デフォルトで、最初の日付の時刻は00:00:00、最後の日付の時刻は23:59:59になっているため、丸一日が含まれることになります。

    このタイムフレームの間に同期されたすべての接続を表示します。

    同期者

    ユーザーのユーザー名、またはユーザー名の一部を入力します。

    ユーザー名の一部を入力すると、すべての部分一致の結果が表示されます。ユーザーが意図したユーザーに加えて、他のユーザーも対象にできます。

    認証設定ページの情報は、すぐにフィルターされます。

    フィルターを設定済みで、フィルタリングされていない情報を再度表示する場合は、必要なフィルターをオフにするか、フィルター内の設定をすべて削除して空白にします。

  3. ドロワーを閉じる]をクリックして、[フィルター]パネルを閉じます。