Zoho DirectoryのクラウドLDAP

Zoho DirectoryのクラウドLDAP

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

LDAP とは?

Zoho Directory の Cloud LDAP を使用すると、組織は認証とユーザー管理に LDAP(Lightweight Directory Access Protocol)を利用でき、オンプレミスの LDAP サーバーを維持する必要がなくなります。Zoho のクラウド基盤を利用することで、管理者は Zoho Directory を LDAP 互換のアプリケーションやサービスと連携し、ユーザー ID を一元管理しながら、安全にアクセス制御を行えます。

これにより、物理的なディレクトリサーバーの管理負荷をなくしつつ、従来の LDAP と同様の柔軟性を維持できます。Cloud LDAP は、次のようなニーズがある場合に特に有用です。
  1. すべてのユーザーと認証情報を一元管理できる「信頼できる唯一の情報源」。
  2. Linux システム、Atlassian Jira、OpenVPN、プリンターなどの LDAP 対応アプリケーションとの容易な連携。
  3. クラウド経由での安全な認証(LDAPS)。

サービスアカウントとは?

Cloud LDAP におけるサービスアカウントとは、アプリケーションがディレクトリに接続し、安全に認証およびディレクトリ検索を行うためだけに Zoho Directory 上で作成されるアカウントです。これは Jira や VPN サーバーなどのアプリケーションやサービスが Cloud LDAP にバインドする際に使用されます。LDAP の用語では、通常アプリケーションが使用する BindDN(識別名)とパスワードの組み合わせを指します。Cloud LDAP を設定・管理するには、まず Zoho Directory に LDAP クライアント(例:プリンター、Atlassian Jira)を追加し、各クライアントのアクセス権限を設定してから、Cloud LDAP サービスに接続する必要があります。

前提条件

  1. 管理者権限を持つ Zoho Directory アカウント
  2. Zoho Directory 管理コンソールで Cloud LDAP が有効になっていること
  3. Zoho Directory アカウントにユーザーが追加済み、または同期済みであること

LDAP クライアントを追加する

  1. Zoho Directory にサインインし、左側メニューでADMIN PANELをクリックします。
  2. 左側パネルのLDAPに移動し、未設定の場合はConfigure LDAPをクリックします。すでに設定済みの場合は、ClientsタブでAdd LDAP Clientをクリックします。
  3. LDAP client name項目に、名前を入力します(例:Printer)。


  4. BindDN service accountで、まだ追加していない場合はAdd service accountをクリックします。サービスアカウントのユーザー名を入力し、生成されたパスワードをクリップボードにコピーしてからSaveをクリックします。


    Alert
    クライアントを LDAP サービスに接続する際に、この生成されたパスワードが必要になるため、必ず保存してください。紛失した場合は、新しいパスワードを再生成する必要があります。
  5. 追加済みのアカウントから選択し、Save and Nextをクリックします。

アクセス権限と属性を設定する

LDAP クライアントを追加すると、自動的にアクセス権限のページが表示されます。ここでは、アプリケーションがディレクトリとどのように連携し、どのデータにアクセスできるかを定義します。セクションは次の 2 つです。

User Authentication - この設定では、Cloud LDAP を使って認証できるユーザーを管理者が制限できます。つまり、LDAP 権限を付与されたユーザーのみが認証に成功します。この操作は読み取り専用であり、アプリケーションから Zoho Directory 上のユーザー認証情報を変更することはできません。
Read User Information - この設定では、LDAP クライアントがユーザー情報を取得する際にアクセスできるユーザー属性を指定します。Zoho Directory の属性マッピングで公開する属性を選択できます。
  1. LDAP クライアントがユーザー認証情報を検証できるユーザーを含めるには、チェックボックスVerify user credentialsをオンにします。

  2. チェックボックスRead user informationをオンにして、LDAP クライアントがアクセスできる属性を選択します。
  3. 利用可能な LDAP 属性から 1 つ選択し、Save and Nextをクリックします。
  4. カスタム属性を追加するには、Attributes タブでManage Attributesをクリックします。
  5. Add Attributeをクリックし、属性名を入力します。
  6. 項目 valueでは、プロフィール項目から選択するか、固定値を入力します。その後、Addをクリックします。追加したカスタム属性は、権限ページで選択できます。

AlertService account bind DN は、クライアント情報に表示されるもので、クライアントを LDAP サービスに接続する際に入力する必要があるユーザー名です。(完全な文字列形式:cn=ServiceAccountName,ou=Users,dc=yourdomain,dc=com)

メンバーを割り当てる

LDAP クライアントを追加して権限を設定したら、そのクライアントにメンバーを割り当てることができます。
  1. Summary ページ下部のAssign Membersをクリックしてクライアントにユーザーを割り当てるか、対象のクライアントをクリックし、をクリックしてからAssign Membersをクリックします。



  2. Choose Usersで、クリックしてユーザーを手動で選択するか、ファイルを添付します。
  3. 選択後、Assignをクリックします。

サービスアカウントを追加する

  1. LDAP セクションのService Accounts タブに移動します。
  2. Add Service Accountをクリックします。
  3. サービスアカウントのユーザー名を入力し、生成されたパスワードをコピーしてからSaveをクリックします。

Alert
i. クライアントのService account bind DNは、クライアントを Cloud LDAP サービスに接続する際に入力する必要があるユーザー名です。
ii. 生成されたパスワードも必要になるため、必ず保存してください。紛失した場合は、新しいパスワードを再生成する必要があります。

サービスアカウントを削除する

  1. LDAPセクションのService Accountsタブに移動します。
  2. 対象のサービスアカウントにカーソルを合わせ、削除をクリックします。
Notes
サービスアカウントがクライアントに関連付けられている場合は、削除する前に、そのサービスアカウントからクライアントの関連付けを解除する必要があります。

アクセス権限を編集する

  1. Zoho Directory にサインインし、左側メニューでADMIN PANELをクリックします。
  2. LDAPに移動し、Clientsタブをクリックします。
  3. 一覧から対象のクライアントをクリックし、EditをクリックしてからSave and Nextをクリックします。
  4. 必要に応じて、アクセス権限のチェックボックスをオンまたはオフにします。

LDAP クライアントの詳細を編集する

  1. Clientsタブに移動し、対象のクライアント名にカーソルを合わせます。
  2. をクリックし、Editをクリックします。
  3. 必要な情報を編集し、Save and Nextをクリックします。

LDAP クライアントを無効化/削除する

  1. Clients タブに移動し、対象のクライアント名にカーソルを合わせます。
  2. をクリックし、Deactivateをクリックします。
  3. クライアントを削除するには、削除をクリックします。一度削除すると、そのクライアントの情報は復元できません。

LDAP クライアントを Cloud LDAP サービスに接続する

LDAP クライアントを Cloud LDAP サービスに接続する前に、そのクライアントを Zoho Directory に LDAP サーバーとして追加し、アクセス権限を設定し、必要に応じてアクセス用の認証情報を生成しておいてください。
Info
クライアントの種類によって、LDAP サービスへの接続手順は異なります。
まず、LDAP クライアント側の認証またはディレクトリ設定画面を開き、以下の情報を入力します。これらの情報は、Infoタブ > LDAP > ADMIN PANEL からも確認できます。

ホスト名
ldap.directory.zoho.com
ポート
389:LDAP ポート(StartTLS 有効)
636:LDAPS ポート(SSL/TLS 有効)
Base DN
DN 形式の自社ドメイン(LDAP クライアントの Base DN)
例:zoho.com の場合は dc=zoho, dc=com
ユーザー名とパスワード
ユーザー名とパスワードが必要な LDAP クライアントでは、LDAP クライアントを Zoho Directory に追加する際に作成したサービスアカウントのユーザー名と、保存しておいたパスワードを使用します。

Info
クライアントと LDAP サーバー間の通信を暗号化するには、LDAPS の利用を推奨します。LDAP を使用する場合は、セキュリティ確保のために StartTLS を有効にする必要があります。

LDAP でサポートされる操作

ディレクトリ情報へ安全かつスムーズにアクセスするために、以下のような制限と操作がサポートされています。

1. リクエストレート制限
- 1 秒あたり最大 4 リクエスト:
各ユーザーまたはアプリケーションは、1 秒あたり最大 4 件まで LDAP リクエストを送信できます。短時間に過度なリクエストを送信すると、接続の問題が発生する可能性があるため避けてください。

2. 接続時間の制限
- 各接続の最大継続時間は 1 分:
サービスへの各 LDAP 接続は、最大 1 分間維持され、その後自動的に切断されます。これにより、システムの効率性と安定性が保たれます。

3. 同時接続数の制限
- 同時接続は最大 100 件:
サービス全体で、すべてのユーザーおよびアプリからの同時接続を最大 100 件までサポートします。

4. サポートされる LDAP 操作
bind:ディレクトリにログインして、自身の ID を証明します。
unbind:セッションを正しく終了するためにログアウトします。
search: ディレクトリ内に保存されている情報(ユーザー、グループ、デバイスなど)を検索します。
extended operations:次の機能が含まれます:
  1. StartTLS:接続を暗号化し、ネットワーク経由で送信されるデータを安全に保つための方式です。
  2. Who Am I?:現在どのユーザーまたはアプリケーションとして認証されているかを確認できます。
以下は、いくつかの LDAP クライアント向けの設定手順へのリンクです。その他のクライアントについては、それぞれのドキュメントを参照してください。
Info
Atlassian Jira や SSSD など一部の LDAP クライアントは、ユーザー認証時にユーザー情報を取得するためのユーザー検索を行います。これらの LDAP クライアントでユーザー認証を正しく動作させるには、「ユーザー資格情報の検証」を有効にしているすべての組織単位で、「ユーザー情報の読み取り」を有効にする必要があります。
Apache Directory Studio
Atlassian Jira
Cloudbees Core / Jenkins
Fortinet FortiGate
OpenLDAP/ldapsearch (Linux)
SSSD (Red Hat Enterprise and CentOS)
SSSD (other Linux distributions)
OpenVPN (community version)
OpenVPN Access Server (commercial version)
macOS