Zoho OneのクラウドLDAP

Zoho OneのクラウドLDAP

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

LDAP とは?

Zoho One の Cloud LDAP を使用すると、組織は認証とユーザー管理に LDAP(Lightweight Directory Access Protocol)を利用でき、オンプレミスの LDAP サーバーを維持する必要がなくなります。Zoho のクラウド基盤を利用することで、管理者は Zoho One を LDAP 互換のアプリケーションやサービスと連携し、ユーザー ID を一元管理して、安全にアクセス制御を行えます。

これにより、物理的なディレクトリサーバーの管理負荷をなくしつつ、従来の LDAP と同様の柔軟性を維持できます。Cloud LDAP は、次のようなニーズがある場合に特に有用です。
  1. すべてのユーザーと認証情報を一元管理できる単一の情報源。
  2. Linux システム、Atlassian Jira、OpenVPN、プリンターなど、LDAP 対応アプリケーションとの容易な連携。
  3. クラウド経由での安全な認証(LDAPS)。

サービスアカウントとは?

Cloud LDAP のサービスアカウントは、アプリケーションがディレクトリに接続し、安全に認証やディレクトリ検索を行うためだけに Zoho One 上で作成されるアカウントです。これは Jira や VPN サーバーなどのアプリケーションやサービスが Cloud LDAP にバインドする際に使用されます。LDAP の用語では、通常アプリケーションが使用する BindDN(識別名)+パスワードの組み合わせを指します。Cloud LDAP を設定・管理するには、まず Zoho One に LDAP クライアント(例:プリンター、Atlassian Jira)を追加し、各クライアントのアクセス権限を設定してから、Cloud LDAP サービスに接続する必要があります。

前提条件

  1. 管理者権限を持つ Zoho One アカウント
  2. Zoho One 管理コンソールで Cloud LDAP が有効になっていること
  3. Zoho One アカウントにユーザーが追加済み、または同期済みであること

Zoho One でサポートされている 2 種類のユーザー操作画面バージョンによって、LDAP 関連操作の手順は異なります。ご利用中の UI バージョンを、以下のタブから選択して、以降の手順に進んでください。

Spaces UI
Unified UI
Spaces UI

LDAP クライアントを追加する

  1. Zoho One にサインインし、右上隅の をクリックします。
  2. 左側パネルでLDAPに移動し、未設定の場合は Configure LDAP をクリックします。すでに設定済みの場合は、Clients タブで Add LDAP Client をクリックします。
  3. LDAP client name 項目に、名前を入力します(たとえば Printer)。

  4. まだサービスアカウントを追加していない場合は、Add service account をクリックします。サービスアカウントのユーザー名を入力し、生成されたパスワードをクリップボードにコピーしてから、Save をクリックします。

    Alert
    クライアントを LDAP サービスに接続する際に、この生成されたパスワードが必要になるため、必ずクリップボードにコピーしてください。コピーし忘れた場合は、新しいパスワードを再生成する必要があります。
  5. 追加済みのアカウントから 1 つ選択し、Save and Next をクリックします。

アクセス権限と属性を設定する

LDAP クライアントを追加すると、自動的にアクセス権限のページが表示されます。ここでは、アプリケーションがディレクトリとどのように連携し、どのデータにアクセスできるかを決定します。画面は次の 2 つのセクションで構成されています。

User Authentication - この設定では、Cloud LDAP を使って認証できるユーザーを管理者が制限できます。つまり、LDAP 権限を付与されたユーザーだけが認証に成功します。この操作は読み取り専用であり、アプリケーションから Zoho One 上のユーザー認証情報を変更することはできません。
Read User Information - この設定では、LDAP クライアントがユーザー情報を取得する際にアクセスできるユーザー属性を指定します。Zoho One の属性マッピングで公開する属性を選択できます。
  1. LDAP クライアントがユーザー認証情報を検証できるようにするには、Verify user credentials のチェックボックスをオンにします。

  2. Read user information のチェックボックスをオンにして、LDAP クライアントがアクセスできる属性を選択します。
  3. 利用可能な LDAP 属性から 1 つ選択し、Save and Next をクリックします。
  4. カスタム属性を追加するには、Attributes タブに移動し、Manage Attributes をクリックします。
  5. Add Attribute をクリックし、属性名を入力します。
  6. 項目 value では、プロフィール項目から選択するか、固定値を入力します。その後、Add をクリックします。追加したカスタム属性は、権限ページで選択できます。
Alert
クライアント情報に表示される Service account bind DN は、クライアントを LDAP サービスに接続する際に入力する必要があるユーザー名です。(完全な文字列形式:cn=ServiceAccountName,ou=Users,dc=yourdomain,dc=com)

メンバーを割り当てる

LDAP クライアントを追加して権限を設定したら、そのクライアントにメンバーを割り当てることができます。
  1. サマリーページの下部で Assign Members をクリックしてクライアントにユーザーを割り当てるか、対象のクライアントをクリックしてから をクリックし、Assign Members をクリックします。

  2. Choose Users で、ユーザーを手動で選択するか、ファイルを添付して選択します。
  3. ユーザーを選択したら、Assign をクリックします。

サービスアカウントを追加する

  1. LDAP セクションで、Service Accounts タブに移動します。
  2. Add Service Account をクリックします。
  3. サービスアカウントのユーザー名を入力し、生成されたパスワードをコピーしてから、Save をクリックします。
Alert
i. クライアントの Service account bind DN は、クライアントを Cloud LDAP サービスに接続する際に入力する必要があるユーザー名です。
ii. 生成されたパスワードも必要になるため、必ず保存してください。保存していない場合は、新しいパスワードを再生成する必要があります。

サービスアカウントを削除する

  1. LDAP セクションで、Service Accounts タブに移動します。
  2. 対象のサービスアカウントにカーソルを合わせ、削除 をクリックします。
Notes
サービスアカウントがクライアントに関連付けられている場合は、削除する前に、そのサービスアカウントからクライアントの関連付けを解除する必要があります。

アクセス権限を編集する

  1. Zoho One にサインインし、右上隅の をクリックします。
  2. LDAP に移動し、Clients タブをクリックします。
  3. 一覧から対象のクライアントをクリックし、Edit をクリックしてから、Save and Next をクリックします。
  4. 必要に応じて、アクセス権限のチェックボックスをオンまたはオフにします。

LDAP クライアントの詳細を編集する

  1. Clients タブに移動し、対象のクライアント名にカーソルを合わせます。
  2. をクリックし、Edit をクリックします。
  3. ページ上で必要な詳細を編集し、Save and Next をクリックします。

LDAP クライアントを無効化/削除する

  1. Clients タブに移動し、対象のクライアント名にカーソルを合わせます。
  2. をクリックし、Deactivate をクリックします。
  3. クライアントを削除するには、削除 をクリックします。一度削除すると、そのクライアントの情報は復元できません。

LDAP クライアントを Cloud LDAP サービスに接続する

LDAP クライアントを Cloud LDAP サービスに接続する前に、そのクライアントを Zoho One に LDAP サーバーとして追加し、アクセス権限を設定し、必要に応じてアクセス用の認証情報を生成しておいてください。
Info
クライアントの種類によって、LDAP サービスへの接続手順は異なります。
まず、LDAP クライアント側の認証またはディレクトリ設定画面を開き、以下の必要な情報を入力します。これらの情報は、Info タブ > LDAP > Directory でも確認できます。

ホスト名
ldap.one.zoho.com
ポート
LDAP ポート(StartTLS 有効)には 389
LDAPS ポート(SSL/TLS 有効)には 636
Base DN
DN 形式の自社ドメイン(LDAP クライアントの Base DN)
例:zoho.com の場合は dc=zoho, dc=com
ユーザー名とパスワード
ユーザー名とパスワードが必要な LDAP クライアントでは、LDAP クライアントを Zoho One に追加する際に作成したサービスアカウントのユーザー名と、保存しておいたパスワードを使用します。

Info
クライアントと LDAP サーバー間の暗号化には、LDAPS の利用を推奨します。ただし LDAP を使用する場合は、セキュリティ確保のために StartTLS を有効にする必要があります。

LDAP でサポートされる操作

ディレクトリ情報へ安全かつスムーズにアクセスするために、以下の操作がサポートされています。

1. リクエストレート制限
- 1 秒あたり最大 4 リクエスト:
各ユーザーまたはアプリケーションは、1 秒あたり最大 4 件まで LDAP リクエストを送信できます。短時間に過度なリクエストを送信すると、接続の問題が発生する可能性があるため避けてください。

2. 接続時間の制限
- 各接続の最大継続時間は 1 分:
サービスへの各 LDAP 接続は、最大 1 分経過すると自動的に切断されます。これにより、システムの効率性と安定性が保たれます。

3. 同時接続数の制限
- 同時接続は最大 100 件:
サービス全体で、すべてのユーザーやアプリからの同時接続を最大 100 件までサポートします。

4. サポートされる LDAP 操作
bind:ディレクトリにログインして、自身の ID を証明します。
unbind:ログアウトして、セッションを正常に終了します。
search: ディレクトリに保存されている情報(ユーザー、グループ、デバイスなど)を検索します。
拡張操作:次を含みます:
  1. StartTLS:接続を暗号化し、ネットワーク経由で送信されるデータを保護する方式です。
  2. Who Am I?:現在どのユーザーまたはアプリケーションとして認証されているかを確認できます。
以下は、いくつかの LDAP クライアント向けの設定手順へのリンクです。その他のクライアントについては、それぞれのドキュメントを参照してください。
Info
Atlassian Jira や SSSD など一部の LDAP クライアントは、ユーザー認証時にユーザー情報を取得するためのユーザー検索を行います。このような LDAP クライアントでユーザー認証を正しく機能させるには、「ユーザー認証の確認」が有効になっているすべての組織単位で「ユーザー情報の読み取り」を有効にする必要があります。
統合 UI

LDAP クライアントを追加する

  1. Zoho One にサインインし、左側メニューで[ディレクトリ]をクリックします。
  2. 左側パネルの[LDAP]に移動し、未設定の場合は[LDAP を設定]をクリックします。すでに設定済みの場合は、[クライアント]タブで[LDAP クライアントを追加]をクリックします。
  3. [LDAP クライアント名]項目に、名前を入力します(例: Printer)。

  4. [BindDN サービスアカウント]で、まだ追加していない場合は[サービスアカウントを追加]をクリックします。サービスアカウントのユーザー名を入力し、生成されたパスワードをコピーしてから[保存]をクリックします。

    Alert
    クライアントを LDAP サービスに接続する際に、生成されたパスワードが必要になります。必ず保存してください。紛失した場合は、新しいパスワードを再生成する必要があります。
  5. 追加したアカウントから 1 つ選択し、[保存して次へ]をクリックします。

アクセス権限と属性を設定する

LDAP クライアントを追加すると、自動的にアクセス権限ページが表示されます。ここでは、アプリケーションがディレクトリとどのように連携し、どのデータにアクセスできるかを設定します。セクションは次の 2 つです。

ユーザー認証 - この設定により、管理者は Cloud LDAP 経由で認証を許可するユーザーを制限できます。つまり、LDAP 権限を付与されたユーザーのみが正常に認証できます。この操作は読み取り専用であり、アプリケーションから Zoho One のユーザー認証情報を変更することはできません。
ユーザー情報の読み取り - この設定では、LDAP クライアントがユーザー情報を取得する際にアクセスできるユーザー属性を指定します。Zoho One の属性マッピングで公開する属性を選択できます。
  1. LDAP クライアントがユーザー認証情報を検証できるユーザーを含めるには、チェックボックス[ユーザー認証の確認]をオンにします。

  2. LDAP クライアントがアクセスできる属性を選択するには、チェックボックス[ユーザー情報の読み取り]をオンにします。
  3. 利用可能な LDAP 属性から 1 つ選択し、[保存して次へ]をクリックします。
  4. カスタム属性を追加するには、[属性]タブに移動し、[属性を管理]をクリックします。
  5. [属性を追加]をクリックし、属性名を入力します。
  6. [項目値]では、プロフィール項目から選択するか、固定値を入力します。その後、[追加]をクリックします。追加したカスタム属性は、権限ページで選択できます。

    Alert[サービスアカウント bind DN](クライアント情報内)は、クライアントを LDAP サービスに接続する際に入力する必要があるユーザー名です。(完全な文字列形式: cn=ServiceAccountName,ou=Users,dc=yourdomain,dc=com)

メンバーを割り当てる

LDAP クライアントを追加して権限を設定したら、各クライアントにメンバーを割り当てることができます。
  1. [概要]ページの下部にある[メンバーを割り当て]をクリックしてクライアントにユーザーを割り当てるか、対象のクライアントをクリックしてから[メンバーを割り当て]をクリックします。

  2. [ユーザーを選択]で、クリックしてユーザーを手動で選択するか、ファイルを添付します。
  3. ユーザーを選択したら、[割り当て]をクリックします。

サービスアカウントを追加する

  1. [LDAP]セクションの[サービスアカウント]タブに移動します。
  2. [サービスアカウントを追加]をクリックします。
  3. サービスアカウントのユーザー名を入力し、生成されたパスワードをコピーしてから[保存]をクリックします。

Alert
i. クライアントの[サービスアカウント bind DN]は、クライアントを Cloud LDAP サービスに接続する際に入力する必要があるユーザー名です。
ii. 生成されたパスワードも必要になるため、必ず保存してください。紛失した場合は、新しいパスワードを再生成する必要があります。

サービスアカウントを削除する

  1. [LDAP]セクションの[サービスアカウント]タブに移動します。
  2. 対象のサービスアカウントにカーソルを合わせ、[削除]をクリックします。
Notes
サービスアカウントがクライアントに関連付けられている場合は、削除する前に、そのサービスアカウントからクライアントの関連付けを解除する必要があります。

アクセス権限を編集する

  1. Zoho One にサインインし、左側メニューで[管理パネル]をクリックします。
  2. [LDAP]に移動し、[クライアント]タブをクリックします。
  3. 一覧から対象のクライアントをクリックし、[編集]をクリックしてから[保存して次へ]をクリックします。
  4. 必要に応じて、アクセス権限のチェックボックスをオンまたはオフにします。

LDAP クライアントの詳細を編集する

  1. [クライアント]タブに移動し、対象のクライアント名にカーソルを合わせます。
  2. をクリックし、[編集]をクリックします。
  3. ページ上で必要な詳細を編集し、[保存して次へ]をクリックします。

LDAP クライアントを無効化・削除する

  1. [クライアント]タブに移動し、対象のクライアント名にカーソルを合わせます。
  2. をクリックし、[無効化]をクリックします。
  3. クライアントを削除するには、[削除]をクリックします。削除すると、そのクライアントの情報は復元できません。

LDAP クライアントを Cloud LDAP サービスに接続する

LDAP クライアントを Cloud LDAP サービスに接続する前に、クライアントを Zoho One に LDAP サーバーとして追加し、アクセス権限を設定し、必要に応じてアクセス認証情報を生成しておいてください。
Info
クライアントの種類によって、LDAP サービスへの接続手順は異なります。
まず、LDAP クライアントの認証またはディレクトリ設定を開き、以下の必要な情報を入力します。これらの情報は、[情報]タブ > [LDAP] > [ディレクトリ] でも確認できます。

ホスト名
ldap.one.zoho.com
ポート
389:LDAP ポート(StartTLS 有効)
636:LDAPS ポート(SSL/TLS 有効)
ベース DN
DN 形式のドメイン名(LDAP クライアントのベース DN)
例:zoho.com の場合は dc=zoho, dc=com
ユーザー名とパスワード
ユーザー名とパスワードが必要な LDAP クライアントでは、Zoho One に LDAP クライアントを追加する際にサービスアカウント作成で設定したユーザー名と保存済みパスワードを使用してください。
Info
クライアントと LDAP サーバー間の通信を暗号化するには、LDAPS の利用を推奨します。LDAP を使用する場合は、セキュリティ確保のため必ず StartTLS を有効にしてください。

LDAP でサポートされる操作

以下は、ディレクトリ情報へ安全かつ円滑にアクセスするためにサポートされている主な操作です。

1. 要求レート制限
- 1 秒あたり最大 4 リクエスト:
各ユーザーまたはアプリケーションは、1 秒あたり最大 4 件まで LDAP リクエストを送信できます。短時間に過剰なリクエストを送信すると、接続トラブルの原因となるため避けてください。

2. 接続時間の制限
- 各接続は最大 1 分間維持可能:
サービスへの各 LDAP 接続は、最大 1 分経過すると自動的に切断されます。これにより、システムの効率性と安定性が保たれます。

3. 同時接続数の制限
- 同時接続は最大 100 件まで:
サービス全体で、すべてのユーザーおよびアプリからの同時接続を最大 100 件までサポートします。

4. サポートされる LDAP 操作
bind:ディレクトリにログインし、認証を行います。
unbind:ログアウトしてセッションを正常に終了します。
search: ディレクトリ内に保存されている情報(ユーザー、グループ、デバイスなど)を検索します。
拡張操作:以下を含みます。
  1. StartTLS:接続を暗号化し、ネットワーク上で送信されるデータを保護する方式です。
  2. Who Am I?:現在どのユーザーまたはアプリケーションとして認証されているかを確認できます。
以下は、いくつかの LDAP クライアント向けの設定手順へのリンクです。その他のクライアントについては、それぞれのドキュメントを参照してください。
Info
Atlassian Jira や SSSD など一部の LDAP クライアントは、ユーザー認証時にユーザー情報を取得するためのユーザー検索を行います。このような LDAP クライアントでユーザー認証を正しく機能させるには、「ユーザー認証の検証」が有効になっているすべての組織単位で「ユーザー情報の読み取り」を有効にする必要があります。