Password Manager Pro と ManageEngine ADSelfService Plus (ADSSP) の連携

このドキュメントでは、Password Manager Pro を ManageEngine ADSelfService Plus (ADSSP) と連携する手順について説明します。ここでは次のトピックについて説明します。

  1. 連携の主な利点
  2. 連携を実行するための前提条件
  3. 連携を構成する手順
  4. ドメインアカウントの詳細をマッピングする手順
  5. トラブルシューティングのヒント

1.連携の主な利点

ManageEngine Password Manager および Password Manager Pro は、連携された Web ベースのセルフサービス パスワード管理およびシングル サインオン ソリューションである ManageEngine ADSSP と連携されています。ADSSP は、ドメイン ユーザーがセルフサービス パスワード リセット、セルフサービス アカウントのロック解除などのアクティビティを実行できるように支援します。ADSSP は、Password Manager Pro を利用して、ドメイン コントローラーのパスワード、特に特権アカウントを管理します。

以前は、ADSSP 特権ドメイン アカウントのリモート パスワード リセットを Password Manager Pro で実行する場合、新しいパスワードを ADSSP で手動で更新する必要がありました。そうでない場合、ADSSP は古いパスワードを保持したままになるため、AD ユーザーによるパスワードのリセット、アカウントのロック解除などのタスクの実行が制限されます。これにより、ヘルプ デスクへの問い合わせが増える可能性があります。PMP-ADSSP の連携により、ADSSP の特権ドメイン アカウントの詳細が Password Manager Pro のドメイン アカウントにマッピングされます。そのため、Password Manager Pro にマップされた ADSelfService Plus の特権ドメイン アカウントのパスワードが更新されるたびに、Password Manager Pro は ADSelfService Plus の特権ドメイン アカウントのパスワードも自動的に更新します。

2.連携を実行するための前提条件

連携を開始する前に、以下の前提条件がすべて満たされているかどうかを確認してください。

  1. Password Manager Pro は、ADSSP が実行されているサーバーからアクセスできる必要があります。これを確認するには、ADSSP サーバーから Password Manager Pro Web クライアントを起動してみてください。
  2. この連携が機能するには、ADSSP が保護された HTTPs モードでのみ実行されている必要があります。 
  3. ADSSP は HTTPs モードで実行されているため、システムの ID は有効な SSL 証明書を通じて検証する必要があり、これを Password Manager Pro 証明書ストアにインポートする必要があります。以下の手順に従ってください:
    1. Password Manager Pro サービスを停止します。
    2. コマンドプロンプトを開いて、<PMP_Installation_Folder>/bin ディレクトリに移動します。
    3. 次のコマンドを実行します:

      importCert.bat <ADSSP によって使用される証明書のパス> 

    4. Password Manager Pro サービスを再起動します。

3.連携を構成する手順

PMP-ADSSP 連携に関連するすべての構成は、Password Manager Pro ポータル自体から実行できます。連携を構成するには、ADSSP がインストールされているマシンの詳細を指定する必要があります。詳細には、ホスト名、ポート番号などが含まれます。必要な詳細をすべて入力して構成を保存すると、Password Manager Pro は ADSSP との接続を設定しようとします。接続が成功すると、ドメインの詳細が ADSSP から取得され、Password Manager Pro データベースに保存され、連携が確立されます。

以下に手順を示します:

  1. [管理] >> [連携] >> [他のManageEngine製品との連携] に移動します。

    2. ManageEngine Integration 役割を持つユーザーのみに、[連携]の下に [他のManageEngine製品との連携] オプションが表示されます。

integ_me_products_sdp1
  1. 表示されたページには、以下のいずれかのオプションを備えた ADselfService Plus ブロックが表示されます。
    integ_me_products_adssp1

ボタンと定義:

Sl.No: ボタン 定義

1

有効化

 連携が無効になっている場合、このオプションが表示されます。このボタンをクリックすると、[ADselfService Plus 連携]ウィンドウが表示されます。

2

編集

 このボタンをクリックすると、[ADselfService Plus 連携]ウィンドウが表示されます。必要に応じて、構成の詳細を変更します。

3

無効化

 連携が有効になっている場合、このオプションが表示されます。連携を無効にするには、このボタンをクリックします。
  1. [編集]ボタンをクリックすると、以下のウィンドウが表示されます。
    integ_me_products_adssp2
  2. 次の詳細を構成します:
    1. ADselfService Plus のホスト名を入力します。
    2. ADselfService Plus がリッスンするポートを指定します。
    3. 管理者権限のみを持つ ADSSP ユーザーのユーザー名パスワードを入力します。
    4. [有効化]をクリックします。

これで、連携が有効になり、ADSSP から取得したドメインの詳細が Password Manager Pro データベースに保存されます。ADSSP のドメイン アカウント詳細を Password Manager Pro にマッピングする作業に進みます。

4.ドメインアカウントの詳細をマッピングする手順

ADSSP の正しいドメイン アカウントが Password Manager Pro のドメイン アカウントにマッピングされていることを確認してください。この場合のみ、ADSSP の適切なドメイン アカウントを使用してパスワードの自動更新が行われます。

  1. [リソース] >> [リソース アクション] に移動します。[ADSelfService Plus ドメインの詳細を設定する] オプションをクリックします。

    2. このオプションは次の場合のみ使用できます:

    • Windows ドメイン のリソースに対して。
    • ADSSP 連携が構成されている場合。
  2. 選択されたリソース名がタイトルに付加されたウィンドウがポップアップ表示されます。PMP のドメイン名はデフォルトで表示されます。 
    1. PMP のドメイン名にマッピングする ADSSP のドメイン名を選択します。  ドメイン名が見つからない場合は、[取得]リンクをクリックして ADSSP からドメインをインポートします。
    2. [ADSSPドメイン アカウント名]フィールドと[PMP のドメイン アカウント名]フィールドは、手順 i で選択した ADSSP のドメイン名に基づいて自動的に入力されます。PMP に別のアカウントを選択することもできます。
      integ_me_products_adssp3

      3. ADSSP-PMP ドメイン アカウントの詳細の不一致が疑われる場合は、警告メッセージが表示されます。PMP で ADSSP の正しいドメイン アカウントの詳細がマッピングされているかどうかを確認します。そうすることで初めて、ADSSP の適切なドメイン アカウントを使用してパスワードの自動更新が行われます。

  3. [保存]をクリックします。

PMP と ADSSP のドメイン アカウント詳細のマッピングが正常に完了すると、Password Manager Pro でアカウントのパスワード リセットが行われるたびに、Password Manager Pro によって ADSSP のドメイン アカウントのパスワードが自動的に更新されます。

5.トラブルシューティングのヒント

  1. 証明書が正しくインポートされているかどうかを確認してください。
  2. 2 台のマシン間の接続を確認します。接続は双方向である必要があります。
  3. [Windows DC] >> [リソース アクション] >> [ADSelf サービスとドメインの詳細の構成] の下にある [フェッチ] をクリックして、ドメインの詳細を取得します。失敗した場合は、<PMP_Installation_Folder>/logs ディレクトリにある pmp0 ファイルにエラーがないか確認してください。

関連項目: