オンプレミスディレクトリをZoho Directory Identity Connectと連携する方法

オンプレミスディレクトリをZoho Directory Identity Connectと連携する方法

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

この操作を実行するために必要なロール

  1. 組織管理者
  2. 組織担当者
Zoho Directory Identity Connect は、組織の Active Directory を Zoho Directory に接続するオンプレミス エージェントです。ユーザー、グループ、ディレクトリ属性をオンプレミスのディレクトリから Zoho Directory へ自動同期できるため、ユーザー管理を手動で行う必要がほとんどなくなります。
Identity Connect エージェントは組織のネットワーク内で動作し、Zoho Directory と安全に通信して、組織単位、属性、フィルターなど、設定した同期ルールに基づいてディレクトリ データを最新の状態に保ちます。
Identity Connect では、オプション機能としてパスワード同期エージェントもサポートしています。これは選択したドメイン コントローラーにインストールし、Active Directory でのパスワード変更をほぼリアルタイムで検知して Zoho Directory に同期できます。これにより、ユーザーは Active Directory の認証情報を使って Zoho サービスへのサインインを継続できます。
Notes
パスワード同期を有効にする予定がある場合は、このガイドの後半にあるパスワード同期エージェントの前提条件を確認してください。
このガイドでは、Identity Connect のインストール、ディレクトリ同期の設定、必要に応じてパスワード同期エージェントのセットアップまでの手順を説明します。

以下の要件を満たすマシンに Identity Connect エージェントをダウンロードしてインストールする

  1. サポート対象プラットフォーム: 64 ビット版 Windows Server 2008 以降 / Windows 10 以降
  2. ディレクトリを読み取り可能な権限を持つ LDAP ユーザーの認証情報
  3. エージェントは、LDAP サーバーと同一ネットワーク内のマシンにインストールする必要があります(パスワード同期エージェントもインストールする場合は、可能であればドメイン コントローラーを推奨)。

  1. エージェントをダウンロードする

    1. Zoho Directory にサインインします。左側メニューから Admin Panel をクリックします。
    2. Directory ストア タブに移動します。Directory を追加 をクリックします。
    3. Active Directory を探して 追加 をクリックします。
    4. エージェントのダウンロード画面で次を行います。
      1. 前提条件を確認します。
      2. 表示されているインストール キーをコピーします。
      3. エージェントをダウンロード をクリックし、ダウンロードが完了するまで待ちます。

  2. エージェントをインストールする

    1. ダウンロードしたファイル ZohoDirectory_IdentityConnect.msi を実行して、インストールを開始します。
    2. インストール キーを貼り付けます。正しく検証されると、自動的に設定ウィザードが表示され、残りのインストール手順を完了できます。
    3. Welcome 画面で、使用する言語を選択します。
    4. ソフトウェア ライセンス契約をよく読み、条件に同意します。続ける をクリックします。一部のレガシー システムでは、URL をクリックしても自動的にページへリダイレクトされない場合があります。その場合は、🔗 をクリックして URL をコピーし、ブラウザーに貼り付けて内容を確認してください。

           

    5. ブラウザーで、表示されたログイン用 URL を開きます。

           

    6. まだサインインしていない場合は、Zoho Directory の管理者アカウントでサインインします。
    7. インストーラーに表示されている確認コードを入力します。
    8. サインインに成功すると、Zoho アカウントのメールアドレスと表示名が記載された確認画面が表示されます。続ける をクリックします。

           

    9. エージェントのインストールが完了したら、Zoho Directory で同期設定を行います。

      この手順で発生する可能性のあるエラーと対処方法:

      エラー
      対処方法
      確認コードには有効期限があり、期限(5 分)を過ぎると無効になります。
      もう一度試す をクリックして新しいコードを生成し、そのコードを使用してサインインし、LDAP 設定の構成を続行します。
      ネットワークの問題により、エージェントが Zoho サーバーに接続できない場合があります。
      もう一度試す をクリックします。エラーが解消しない場合は、サポートにお問い合わせください。

  3. Zoho Directory で同期を設定する

    1. LDAP 接続情報を設定する

      1. この手順は重要です。ここでエージェントが Active Directory に接続し、同期対象となるユーザーとグループのデータを取得できるようにします。
      2. ディレクトリ情報を入力します: ドメイン名、ドメイン コントローラー、ユーザーの識別名 (DN)、パスワード。すべて正しい値であることを確認してください。

             

      3. 安全な接続のために SSL を有効にします。
      4. SSL を有効にすることで、送信中の機密ディレクトリ データを保護できます。
      5. SSL を使用するには、次の条件を満たす必要があります。
        1. ドメイン コントローラーに、そのドメイン向けに発行された有効な SSL 証明書がインストールされていること。
        2. ドメイン コントローラー名を入力する項目には、必ず FQDN(完全修飾ドメイン名)を使用すること(例: ldap-server-1.zylker.com)。ホスト名のみを使用すると、SSL 接続に失敗します。
      6. 次へ をクリックして LDAP 設定を検証します。'LDAP server goes unreachable' エラーが表示された場合は、もう一度試す をクリックして再度接続を試行します。エージェントが動作しているマシンと LDAP サーバーの間に接続性の問題がないことを確認してください。

    2. インストールを完了する

      1. Install をクリックして、エージェントのセットアップを完了します。
      2. 完了すると、エージェントはトレイ アプリとしてバックグラウンドで動作します。アイコンを選択すると、次の操作を実行できます。
        1. 担当者を変更 - 組織の元の管理者が退職した場合や LDAP へのアクセス権を失った場合などに、エージェントに紐づく Zoho Directory 管理者アカウントを切り替えます。

               

        2. LDAP 設定を変更 - ここで LDAP サーバーの詳細を変更できます。変更後は 更新 をクリックして保存します。
      3. Zoho Directory の Admin Panel に戻り、残りの設定を完了します。

    3. 同期オプションを設定する

      1. 組織単位 (OU) を選択する

        1. Admin Panel から Active Directory に移動します。
        2. Zoho Directory と同期する OU を選択します。
        3. 同期に含めるオブジェクト種別を選択します:
          1. ユーザー
          2. グループ
          3. セキュリティ グループ
          4. カスタム LDAP クエリー - 有効な LDAP クエリーを入力し、保存 をクリックすると、特定の LDAP 属性に基づいて同期できます。
        4. 選択した OU を確認します。
          1. 既存の OU 設定を編集または削除できます。
          2. 別の OU を追加するには、OU を追加 をクリックします。
          3. 設定が完了したら、追加して続行 をクリックします。

      2. Zoho Directory の項目と LDAP 項目をマッピングする

        1. ユーザー データが正しく移行されるようにするための重要な設定です。
        2. ユーザー マッピンググループ マッピング を切り替えて設定します。
        3. 項目は自動提案されますが、手動でマッピングすることもできます。
        4. タブを使用して、すべての項目マッピング済み未マッピング の項目でフィルターできます。たとえば、Zoho Directory の「姓」項目を LDAP の「Surname」属性にマッピングできます。
        5. カスタム属性の場合:
          1. 表示されている既定の属性の横にある 編集 をクリックします。
          2. カスタム AD 属性 を選択します。
          3. 属性名を入力して保存します。

      3. 同期条件を定義する

        1. [SET SYNC CRITERIA] 画面で、同期に含めるユーザーまたはグループを指定します。必要に応じて [Groups] タブに切り替えます。
        2. インポート方法を選択します: 条件に基づく / すべてのユーザー
        3. 条件を使用する場合は、項目、関係、値を定義します。保存して次へ をクリックします。

    4. 同期設定を構成する

      1. パスワード同期エージェント(個別インストール)

        1. メインの Identity Connect エージェントは、有効な Active Directory 情報と連携することで、複数のパスワード同期エージェント(ドメインコントローラーごとに 1 つ)をデプロイできるようにします。これにより、これらのドメインコントローラー上で行われたパスワード変更を即座に検知し、Zoho Directory に安全に同期できます。
        2. パスワード同期エージェントを使用する前提条件:
          1. ドメイン管理者レベルの権限を持つ LDAP アカウントを使用します。Identity Connect の設定時に指定したのと同じアカウント資格情報が、このインストールでも使用されます。
          2. パスワード同期エージェントをインストールする予定の各ドメインコントローラーで、Powershell リモート(WinRM)が有効になっていることを確認します。エージェントをインストールしないドメインコントローラーでは、WinRM を有効にする必要はありません。WinRM を有効にする方法を参照
          3. SMB(Server Message Block)が、インストールを開始するマシンと対象のドメインコントローラーの両方で有効になっており、かつファイアウォールで許可されていることを確認します(SMB は通常 ポート 445 を使用します)。SMB を検出および有効化する方法を参照
          4. Identity Connect エージェントがインストールされているマシンは、有効な Active Directory ドメインに参加している必要があります。
        3. 有効化手順:
          1. トグルを有効にして、ユーザーのパスワードを Active Directory から Zoho Directory へ安全に同期します。
          2. (ドメイン名は、Identity Connect エージェントのインストール時に入力した情報に基づいて自動入力されます。)
          3. パスワード同期を行いたいドメインコントローラーを選択し、これらすべてがエージェントを配置するための要件を満たしていることを確認します。
            Info
            Zoho Directory Identity Connect エージェントは、パスワード同期エージェントのインストーラーファイルを SMB 経由で選択したドメインコントローラーに転送します。SMB が無効またはブロックされている場合、ファイル転送は失敗し、インストールを続行できません。
            転送されるファイルはパスワード同期エージェントの MSI インストーラーファイル(ZohoDirectory_PasswordSynchronizer.msi)であり、Identity Connect エージェントがインストールされているマシンから、選択したドメインコントローラーへ正常にコピーされる必要があります。SMB が必要となるのはこのファイル転送の段階のみです。インストールが完了した後は、SMB は不要になります。
          4. インストール後にドメインコントローラーを自動再起動するかどうかを選択します。どちらを選択した場合でも、パスワード同期エージェントが有効になるのは、ドメインコントローラーの再起動後です。
        4. インストールが失敗した場合、インストーラーには「インストール失敗」とのみ表示されます。よくある原因は、前提条件のいずれかが満たされていない場合です。
          1. 指定したアカウントにドメイン管理者権限がない
            権限不足が原因でインストールに失敗する場合
            パスワード同期エージェントのインストールでは、ドメインコントローラー上でのファイル転送やコマンド実行などのリモート操作を行うために、昇格された権限が必要です。Identity Connect エージェントで設定されているアカウントに十分な権限がない場合、インストールは失敗する可能性があります。
            解決方法:
            1. Identity Connect エージェントがインストールされているマシンで、Identity Connect エージェントを開きます。
            2. ディレクトリの資格情報を、ドメイン管理者権限を持つアカウントに更新します。
            3. 変更を保存し、管理者パネルからパスワード同期エージェントのインストールを再試行します。

            資格情報の更新にあたって、Identity Connect エージェント自体を再インストールする必要はありません。権限、WinRM、SMB の利用可否を確認してもインストールに失敗する場合は、Zoho Directory サポートまでお問い合わせください。
          2. ドメインコントローラーで WinRM が有効になっていない。
          3. エージェントファイルをドメインコントローラーに転送できませんでした。これは、いずれかのマシンで SMB サービスが無効になっているか、またはファイアウォール(ポート 445)によってブロックされている場合に発生します。

      2. ユーザー同期設定

        1. Active Directory の変更内容に基づいて、ユーザーアカウントをどのように処理するかの自動ルールを設定します。
          設定項目
          用途
          設定内容
          パスワード通知
          新規ユーザーに初期パスワードをどのように通知するかを決定します
          ユーザーにメールで OTP を送信 - 新規ユーザーの登録メールアドレス宛に、OTP を記載したメールが直接送信されます。
          管理者にメールで OTP を送信 - 管理者が OTP または設定情報を受け取り、その後ユーザーに手動で転送します。
          通知しない - 自動通知は送信されません。管理者が別の手段でユーザーにログイン情報を手動で通知する必要があります。
          ステータス同期

          ユーザーの AD アカウントステータスの変更を、Zoho Directory でどのように反映するかを選択します。
          反映する - AD で無効になった場合、ZD アカウントも無効になります(復元された場合は再度有効になります)。
          何もしない - AD のステータス変更を無視します。

          「何もしない」を選択した場合、システムはユーザーステータスを管理しなくなります。「ユーザーが選択済み OU を離れたとき」の設定は無効化され、利用できなくなります。この設定にはステータス同期が有効であることが前提となるためです。この相互動作の詳細は、表の後の説明を参照してください。
          メール通知
          同期されたユーザーに通知メールを送信するかどうかを選択します。
          送信する - 新たに同期されたユーザーにメールを送信し、保留中のユーザーには招待リンクを再送信します。
          送信しない - ユーザーにはメール通知を送信しません。
          ユーザーが選択済み OU を離れたとき
          ユーザーが選択/同期対象の AD OU から移動された場合に、Zoho Directory でどのように処理するかを定義します。
          無効にする - ユーザーの Zoho アカウントを自動的に無効にします。
          何もしない - ユーザーの Zoho アカウントは有効のままですが、今後の同期対象からは除外されます。
          重要なメモ:設定 2 と設定 4 の間には重要な連動があります。「ユーザーが選択済み OU を離れたとき」の設定は、ステータス同期に依存しています。Zoho Directory でステータス同期を「反映する」に設定している場合にのみ利用できます。ステータス変更に対して「何もしない」を選択した場合、システムは OU 所属に基づいてユーザーステータスを管理できません。そのため、設定 4 は完全に無効になります。
        2. 例として、AD に Dexter というユーザーがいると仮定し、次の 2 つの設定で同期された場合にどのような影響があるかを見てみます。
          ステータス同期
          ユーザーが選択済み OU から移動したとき
          Dexter に対して AD で行われた操作
          ZD での結果
          ZD に反映する
          ZD で無効にする
          Dexter は OU から削除されるが、AD では有効なまま
          Dexter の Zoho アカウントは無効になる(OU ルールが適用)
          何もしない

          (「何もしない」を選択すると、この項目は無効になります)
          Dexter は OU から削除される
          Dexter の Zoho アカウントは有効のままだが、ステータス同期設定がステータス変更を無視しており、OU ベースの処理もオフになっているため、以後は同期されない

      3. 同期スケジュール

        1. 同期の頻度(毎日/毎週/毎月)と時刻を設定します。[保存して次へ] をクリックします。

      4. 確認と同期の完了

        1. インポートされた一覧から Zoho Directory に追加するユーザーを確認・選択します。この画面では、次のフィルターを利用できます。
          1. 新規ユーザー - ディレクトリ内に存在するが、まだ Zoho Directory には存在しないユーザー。
          2. 更新対象ユーザー - 次回の同期で、ディレクトリの情報に基づいて情報が更新される既存の ZD ユーザー。
          3. 有効化/無効化対象 - ディレクトリ上のステータスに基づいて、有効化または無効化されるユーザー。意図しないアクセスレベルの変更を防ぐため、同期前にこのカテゴリのユーザーを必ず確認してください。
          4. 無視 - 定義した同期条件を満たさないユーザー。
        2. [追加して続行] をクリックします。
        3. 概要を確認し、[完了] をクリックして設定を完了します。複数のドメインコントローラーにインストールされると、パスワード同期エージェントは同一の Identity Connect 設定のもとで連携し、追加の手作業なしで、すべてのパスワード更新を同期し続けます。
この時点で、Identity Connect の設定は完了です。以後、定義したルールに基づいて、AD のユーザーとグループが自動的に Zoho Directory と同期されます。
さらに、Identity Connect エージェントとパスワード同期エージェントの詳細なステータスを、次の形式で表示できます。
Identity 接続エージェント
ドメイン コントローラー:エージェントが同期するように設定されているドメイン コントローラーです。
エージェントバージョン:エージェントの現在のバージョンです。
デバイス名:エージェントがインストールされているマシンの名前です。
ステータス:接続済み / Disconnected
最終同期:最後に正常に同期された日時です。

パスワード同期エージェント
このセクションには、各ドメイン コントローラーとそのパスワード同期ステータスが一覧表示されます。ここに表示されるすべてのエージェントは同じ Identity 接続設定に属しており、複数のドメイン コントローラーを一元的に監視できます。

ステータス:接続済み / Disconnected。ステータスが「Disconnected」のドメイン コントローラーは再開してください。
インストールステータス:インストール開始済み / インストール完了 / インストール失敗 / アンインストール開始済み / アンインストール完了 / アンインストール失敗
 

    Zoho CRM 管理者向けトレーニング

    「導入したばかりで基本操作や設定に不安がある」、「短期間で集中的に運用開始できる状態にしたい」、「運用を開始しているが再度学び直したい」 といった課題を抱えられているユーザーさまに向けた少人数制のオンライントレーニングです。

    日々の営業活動を効率的に管理し、導入効果を高めるための方法を学びましょう。

    Zoho CRM Training



              Zoho Campaigns Resources

                Zoho WorkDrive Resources




                  • Desk Community Learning Series


                  • Digest


                  • Functions


                  • Meetups


                  • Kbase


                  • Resources


                  • Glossary


                  • Desk Marketplace


                  • MVP Corner


                  • Word of the Day


                  • Ask the Experts






                          Latest Feature Updates



                                  • Related Articles

                                  • Zoho DirectoryのAWS Identity Center連携

                                    お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 前提条件 AWS Identity Center アカウントでの Application admin ロール。 AWS アカウントのルートユーザー権限。 Zoho One / Directory での SAML 設定 1. Zoho One ユーザーの場合: Zoho One ...

                                  • Zoho DirectoryでAWS Identity Centerのプロビジョニングを設定する

                                    お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 AWS Identity Center でのユーザープロビジョニングを使用すると、Zoho Directory 管理者パネルから AWS Identity Center のユーザーをプロビジョニングおよびプロビジョニング解除でき、Zoho Directory ...

                                  • Ping IdentityからZoho Directoryへのユーザーインポート

                                    お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 現在、クラウドディレクトリサービスとして Ping Identity を使用して組織データを保存している場合は、ユーザーを Zoho Directory にインポートできます。 Ping Identity ...

                                  • Zoho Directory用Blink

                                    お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 前提条件 Blink 組織の管理者権限 Zoho One/Directory で SAML を設定する 1. Zoho One ユーザーの場合: Zoho One にサインインし、左側のメニューから Directory を選択します。 マーケットプレイス ...

                                  • Zoho Directory向けCobalt

                                    お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 前提条件 Cobalt 組織管理者の権限が必要です Zoho One または Zoho Directory で SAML を設定する 1. Zoho One ユーザーの場合: Zoho One にサインインし、左側メニューで Directory をクリックします。 マーケットプレイス ...

                                  Resources

                                  Videos

                                  Watch comprehensive videos on features and other important topics that will help you master Zoho CRM.



                                  eBooks

                                  Download free eBooks and access a range of topics to get deeper insight on successfully using Zoho CRM.



                                  Webinars

                                  Sign up for our webinars and learn the Zoho CRM basics, from customization to sales force automation and more.



                                  CRM Tips

                                  Make the most of Zoho CRM with these useful tips.