Active Directory からのユーザーのインポート

PAM360は、お客様の環境内のActive Directory（AD）とシームレスに統合され、ADからユーザーを直接インポートできます。この統合により、ドメインアカウントを使用してWindowsシステムにログインするユーザーは、別途認証情報を入力することなくPAM360にアクセスできるようになります。

統合を開始するには、[管理] >> [認証] >> [Active Directory]または[ユーザー] >> [ユーザー追加] >> [Active Directory からインポート]に移動します。これにより、Active Directoryからインポートページが開きます。

PAM360でActive Directoryを構成し、ユーザーをPAM360にインポートするための詳細な手順は以下のとおりです。

1. ユーザーのインポート
2. 適切なユーザーロールの指定
3. Active Directory 認証の有効化
4. Active Directory スケジュールの管理

1.ユーザーのインポート

このプロセスの最初のステップは、認証情報を設定し、Active Directoryからユーザーをインポートすることです。PAM360は、PAM360がインストールされているサーバーのMicrosoft Windowsネットワークフォルダにあるドメインのリストを自動的に検出します。その後、このリストから目的のドメインを選択し、必要なドメインコントローラーの認証情報を入力して、ユーザーのインポートを続行できます。

Active Directory設定ページからいますぐインポートボタンをクリックします。開いたダイアログボックスで、以下の項目を設定してください。

1. ドメインコントローラーの設定 - プライマリ権限として機能するプライマリドメインコントローラーのDNS名を指定します。プライマリドメインコントローラーが利用できなくなった場合、セカンダリドメインコントローラーを利用できます。セカンダリドメインコントローラーを設定している場合は、それらのDNS名をカンマ区切り形式でリストしてください。障害発生時、PAM360は自動的に、これらのセカンダリコントローラーのいずれかへの接続を試みます。SSLとして接続モードで動作する場合、ここで指定するDNS名がドメインコントローラーのSSL証明書に指定されているコモンネーム（CN）と一致していることを確認してください。これは、安全で暗号化された接続を確立するために不可欠です。
2. ユーザー認証情報: ドメインコントローラーに対する読み取り権限を持つ有効な認証情報（ユーザー名とパスワード）を提供してください。複数のドメインからユーザーをインポートする場合は、ユーザー名を <DomainName>\<username> の形式で指定してください。例えば、ドメインBの認証情報を使用してドメインAからユーザーをインポートする場合、ユーザー名はDOMAIN B\usernameの形式で入力する必要があります。
3. 接続モード：各ドメインについて、接続を暗号化されたチャネル経由で確立するかどうかを指定します。SSLモードを有効にするには、ドメインコントローラーがポート636でSSL経由でサービスを提供するように構成されていることを確認してください。さらに、この安全な接続を確立するために、ドメインコントローラーのルート証明書をPAM360サーバーマシンの証明書ストアにインポートしてください。
4. 役割：デフォルトでは、Active Directory (AD) からインポートされたユーザーには、パスワードユーザーのロールが割り当てられます。これを変更するには、ドロップダウンメニューから希望するロールを選択してください。選択されたロールは、AD内の指定されたグループまたは組織単位（OU）からインポートされたすべてのユーザーに適用されます。

   メモ：

   インポート時に適用された初期設定は、変更されない限り、その後のスケジュールでも一貫して維持されます。

5. 言語: インポートしたユーザーの言語設定は、言語フィールドを使用してカスタマイズできます。
6. 2段階認証：Active Directoryからインポートされたユーザーに対しては、2段階認証がデフォルトで有効になっています。これらのユーザーに対して2段階認証を無効にする場合は、［2段階認証］フィールドの横にあるスイッチを切り替えてください。管理者タブで2FAが全体的に無効になっている場合、この期間中にインポートされたユーザーの2段階認証は自動的に無効になりますのでご注意ください。
7. 特定のユーザー、グループ、またはOUのインポート: デフォルトでは、PAM360はActive Directoryからすべての組織単位（OU）とグループを取得します。特定のユーザーをインポートする場合は、ユーザー名をカンマ区切りで入力してください。同様に、それぞれのテキストフィールドに名前を入力することで、特定のユーザーグループや組織単位（OU）をインポートすることもできます。
8. 同期間隔: PAM360のユーザーデータベースがADと常に最新の状態に保たれるようにするには、同期間隔を設定してください。PAM360はこの間隔でActive Directoryにクエリを実行し、新規ユーザーを自動的にインポートします。同期間隔は、インポートするグループとOUの数に応じて、少なくとも3時間に設定する必要があります。

これらの設定が完了したら、保存をクリックしてドメインの詳細を保存してください。以降のインポートでは、Active Directory の新規エントリのみがローカルデータベースに追加されます。

特定のユーザー、ユーザーグループ、または組織単位を検索するには、グループとOUの取得ボタンをクリックして、次の操作を実行します。

1. グループまたは組織単位のいずれかを選択し、Active Directoryからインポートする必要なグループ/組織単位を選択してください。各グループまたは組織単位ごとに、ロールと使用言語を指定することもできます。
2. 選択したグループを表示するには、右上隅にある選択したグループを表示リンクをクリックしてください。
3. 必要なグループまたは組織単位を選択したら、インポートをクリックします。
   

組織単位（OU）およびActive Directoryグループをインポートする場合、対応するOU/ADグループ名でユーザーグループが自動的に作成されます。

1.1 ドメインコントローラーの証明書をPAM360にインポートする

ドメインコントローラーの証明書をPAM360マシンの証明書ストアにインポートするには、通常SSL証明書をマシンの証明書ストアにインポートする際に使用する手順であればどれでも使用できます。以下に一例を示します。

1. PAM360がインストールされているマシン上で、コントロールパネル >> ネットワークとインターネット >> インターネット オプションの順に移動します。
   
2. 開いたダイアログボックスで、コンテンツタブをクリックし、次に証明書をクリックします。
3. インポート(I)...をクリックし、CA によって発行されたルート証明書を参照して選択し、証明書の種類に基づいて、自動的に証明書ストアを選択するオプションを使用してインストールします。
   
4. ドメインコントローラー証明書についても、上記と同じ手順に従ってインポート処理を繰り返してください。
   
5. ルートチェーンに必要なすべての証明書をインポートしたら、変更を適用してウィザードを閉じます。

2.適切なユーザーロールの指定

デフォルトでは、Active Directory (AD) からインポートされたすべてのユーザーには、インポート処理中に別途指定がない限り、パスワードユーザーのロールが割り当てられます。インポート処理時に特定のユーザーに対して特定のロールを変更するには：

1. いますぐ役割を設定をクリックしてください。
2. 表示されるポップアップフォームには、Active Directoryからインポートされたすべてのユーザーのリストが表示されます。
   
3. ロールを変更したいユーザーごとに、役割変更ボタンをクリックし、ドロップダウンメニューから希望のロールを選択してください。
4. 新しいロールを適用するには、保存をクリックしてください。これにより、適切なユーザーに適切なロールが割り当てられることが保証されます。
   

3.Active Directory 認証の有効化

3つ目のステップは、Active Directory認証を有効にすることです。これで、ユーザーがAD ドメインパスワードを使って、PAM360にログインできます。この方式は、Active Directoryからローカルデータベースに既にインポートされているユーザーにのみ有効であることに注意してください。

4.Active Directory スケジュールの管理

Active Directory スケジュールの管理方法について詳しくは、このヘルプ ドキュメントを参照してください。