パスワード同期エージェント

まず初めに

パスワード同期は、エンドユーザーが、単一のパスワードポリシーに従う単一のアイデンティティを、様々なシステムやアプリケーションにわたって使用することを可能にします。ADSelfService Plusは、パスワード同期エージェントを使用することで、ネイティブのWindowsパスワード変更でさえもサポートするようになった、堅牢なパスワード同期技術を備えています。

パスワード同期エージェントは、あなたのドメイン内のドメインコントローラーにインストールされると、ネイティブのパスワード変更(例:Ctrl+Alt+Del画面を介したパスワード変更、またはADUCコンソールでの管理者によるパスワードリセット)を検知し、新しいパスワードを暗号化し、それらを複数のシステムやアプリケーションと自動的に同期します。

仕組み

パスワード同期エージェントの構造
  • ネイティブのパスワード変更が開始すると、ドメインコントローラーよりパスワード同期エージェントに通知されます。
  • パスワード同期エージェントは、新しいパスワードを取得し、暗号化します。そして、同期を行うために、ADSelfService Plusにその暗号化したパスワードを送信します。
  • ADSelfService Plusサーバーは、アクセスキー情報を用いてワンタイムコードの正当性を検証し、検証に成功すると、ユーザーの様々なリンクされたアカウントとパスワードを同期します。
  • ADSelfService Plusが実行されているサーバーに到達できない場合、エージェントはサーバーが利用可能になるまで待機し、その後、同期のために暗号化されたパスワードを送信します。

インストール

このセクションには、パスワード同期エージェントをインストールするための前提条件に関する情報が含まれており、それに続いてインストール手順、ならびに変更、アップグレード、またはパスワード同期エージェントの再インストールを行うための説明が含まれています。

必須条件

  • パスワード同期エージェントは、プライマリドメインコントローラーを含む、ドメイン内のすべてのドメインコントローラーにインストールされる必要があります。
  • パスワード同期エージェントのインストールが必要なドメインコントローラーが、ADSelfService Plusの設定済みドメインのリストに追加されていることが不可欠です。
  • ドメインコントローラーには、Microsoft .NET Framework バージョン 4.8 がインストールされている必要があります。Microsoft .NET Framework バージョン 4.8 をダウンロードするには、こちらをクリックしてください。
  • パスワード同期エージェントのインストールを開始する前に、メッセージキュー(MSMQ)サービスが有効であり、実行されていることを確認してください。

インストール手順:

  1. ManageEnginePasswordSyncAgent.msi ファイルをインストールするドメインコントローラーにコピーします。(場所:<インストールフォルダ>\bin\)
  2. 管理者権限、すなわち「管理者として実行」で ManageEnginePasswordSyncAgent.msi ファイルを実行して、パスワード同期エージェントをインストールしてください。
  3. 表示されるインストールウィザードで、「次へ」をクリックしてください。ADSelfService Plusで使用されているプロトコル(http または https)を選択してください。
    フォルダー選択
  4. ADSelfService PlusがインストールされているサーバーのIPアドレスポート番号を入力してください。
  5. Access keyのフィールドに、ADSelfService Plusポータルで提供されているアクセスキーを貼り付けてください。アクセスキーは、「設定」→「管理ツール」→「GINA/Mac/Linux (Ctrl+Alt+Del)」→「パスワード同期エージェントのインストール」から取得できます。「次へ」をクリックしてください。
    サーバー詳細情報
  6. インストールが完了したら、エージェントが動作を開始するために、ドメインコントローラーを再起動する必要があります。

メモ: 初期設定で、パスワード同期エージェントは次の場所にインストールされています;

64-bit システムにおいて - C:\Program Files (x86)\ZOHO Corp\Password Sync Agent

32-bitシステムにおいて - C:\Program Files\ZOHO Corp\Password Sync Agent

パスワード同期エージェントに変更を加える場合

パスワード同期エージェントは、インストール時に入力されたIPアドレス、ポート番号、およびアクセスキーの詳細情報を使用してADSelfService Plusと接続します。インストール時に誤った情報を入力した場合、ADSelfService Plusを新しいサーバーに移動した場合、アクセスキーを再生成した場合、または「パスワードポリシーの強化」の設定を更新した場合には、パスワード同期エージェントが適切に動作するために、それらの変更を反映させる必要があります。詳細は以下の手順に従って変更できます:

  1. システムトレイにある 「パスワード同期エージェント」アイコンを右クリックし、「Edit Settings」を選択します。
  2. ダイアログボックスが開きます。
    パスワード同期エージェント
  3. 「サーバー名/ IPアドレス」、 「ポート番号」、そして「プロトコル」 (HTTPS/HTTP)を入力します。

    注:「パスワードポリシーの強化」タブ(設定 > セルフサービス > パスワードポリシーの強化)において、パスワードポリシー設定を有効化または変更した場合は、システムトレイにあるパスワード同期エージェントのアイコンを単に右クリックし、「Edit Settings」を選択してください。フィールドの値は変更せずに、「保存」をクリックしてください。

  4. 「保存」をクリックします。
  5. 新しい情報がパスワード同期エージェントに更新されます。

注:アクセスキーを再生成するたびに、パスワード同期エージェントで新しいアクセスキーを必ず更新してください。アクセスキーを再生成するには、「設定」→「管理ツール」→「GINA/Mac/Linux (Ctrl+Alt+Del)」→「パスワード同期エージェント」へと進み、「アクセスキーの再生」をクリックしてください。

パスワード同期エージェントをより新しいバージョンにアップグレードする場合、または既存のマシンにエージェントを再インストールする場合は、以下の手順に従ってください:

  • コントロールパネルから既存のパスワード同期エージェントをアンインストールします。
  • 新しいMSIファイルを使用して、新しいパスワード同期エージェントをインストールします。

注:新しいMSIファイルを使用して直接パスワード同期エージェントを修復(リペア)しないでください。