有効 Directoryの統合プロセスは以下の4つのステップに分けられます:
- ドメイン設定
- AD/LDAPからのユーザーインポート
- 設定詳細
- SAML設定
注意: Zoho Vaultでのスーパー管理者だけが、自分の組織の有効 Directory統合を有効にすることができます。ユーザーが有効 DirectoryからZoho Vaultにインポートされる場合、ドメインが確認されている限り、これらのユーザーに招待メールは送信されません。
ドメインの認証
この手順はドメイン所有者の認証に重要です。ドメインを追加し、認証するためには:
- あなたの Zoho Vault アカウントにログインし、次にクリックしてください。 設定.

- 次に AD/LDAP Integration を選択し、クリックします ドメインを追加する

- あなたのドメイン名を入力し、次にクリックします追加する.

- あなたのドメインを以下の2つの方法のうちの1つで認証できます:
- CNAMEメソッド - あなたのドメインがホストされている場所(例:Godaddy、Eurodns、Bluehost)でDNSエントリを作成します。

- HTMLファイル方法 - Zoho Vaultによって提供されるファイルをあなたのWebサイトの特定の場所に追加し、その後にクリックします 認証する 下記の画面で。

メモ: あなたのドメイン名は必ずしもADドメインと一致するわけではありません。これはあなたのメールアドレスの2番目の部分です。例えば、法人メールがjohn@zillium.comの場合、認証する必要があるドメインはzillium.comになります。
ユーザーのAD/LDAPからのインポート
Zoho VaultにAD/LDAPからユーザーをインポートするには、プロビジョニングツールが必要です。このツールはZoho Vaultと有効ディレクトリ間のセキュアな接続を作成します。ADグループや組織単位からユーザーリストを取得し、必要なユーザーをZoho Vaultにインポートすることができます。以下の手順で開始します:
- Zoho Vaultの「AD/LDAP統合」セクションの「ユーザーをインポート」からプロビジョニングツールをダウンロードします。

- アプリケーションを管理者として実行します。
- 今度は確認済みのドメイン名を入力します。
- Zoho Vaultにサインアップする際に指定したデータセンターを選択し、その後開始をクリックします。
- プロビジョニングツールで指定されたURLを新規タブで開きます。

- 承認をクリックします。

- プロビジョニングツールで次 をクリックします。
- プロキシ設定を有効にする を選択し、プロキシ設定を更新します。これは、あなたの組織がプロキシ経由でインターネットに接続する場合に便利です。
- 次をクリックして続けます。

LDAP接続:
- LDAP URL 形式でサーバーホスト名を指定します。
- 環境で LDAP Secure を使用している場合は、LDAP URLで LDAPS を使用し、ポート番号 636 を設定し、オプション 使用する SSL を 真 と設定してサーバーとの接続を確立します。

- 有効 Directoryにログインし、Server Manager コンソールにアクセスします。

- 選択しますTools、次にクリックします 有効 Directory ユーザー and Computers。

- 選択します表示する そしてクリックします 詳細 features 属性 Editorをアクセスするために。

- 右クリックしてユーザーを選び、プロパティを選択します。

- それから 属性エディタ のタブを選択し、ダブルクリックしてdistinguishedName 属性を開きます。distinguishedNameをコピーして、プロビジョニングツールのBaseDN 項目に貼り付けます。

- 次に、スコープを設定します。 ユーザーを検索する範囲として 階層の1レベルか、あるいは 完全な 階層内(有効ディレクトリ全体)を検索する、のいずれかを選びます。これにより関連するユーザーのリストを取得します。
-
差出人 有効なDirectoryとユーザー の画面で、右クリックしてユーザーアカウントを選択し、次に選択しますProperties。次に選択します 属性エディタそして、ダブルクリックします distinguishedName。対応するdistinguished名前を ドメインユーザー名 欄で更新します。

メモ: ドメインで読み取り権限のある任意のアカウントがここで使用可能です。
- アカウントのパスワードを入力し、クリックしてください 次。

プロビジョニング
- Zoho Vaultに有効なDirectoryからユーザーをインポートするには、 インポートユーザーを選択します。それ以外の場合、 Syncユーザー を選択し、プロビジョニングツールを有効化してADと通信し、ADで行われた変更をZoho Vaultに反映します。
メモ: 新規に追加されたユーザーとADから削除されたユーザーのリストが表示されます。Vaultに素早く新規ユーザーをインポートする、あるいはVaultから既存ユーザーを無効にする、または削除することができます。
- 必要であれば、事前に設定されたLDAPクエリをダブルクリックして更新します。
- 初期設定のパスワードを設定し、次にクリックします次へ.

メモ:
- 初期設定のパスワードは、緊急時のバックアップとして機能します。ADとの認証に問題がある場合や、ドメインコントローラがダウンしている場合、Zoho Vaultのスーパー管理者は一時的にAD認証を無効にし、このパスワードを使用してユーザーがZoho Vaultにアクセスできるようにすることができます。このパスワードはAD認証が無効なときのみ有効です。
- LDAPクエリの詳細はこのドキュメントをご覧ください。
属性
- 特定のユーザーを選択済みのADグループまたは組織の単位から取得するための必要な属性を設定します。
- クリック 次へ.

- このリストから必要なユーザーを選択し、それらをZoho Vaultにインポートするために 完了する をクリックします。

SAML設定
PowerShellスクリプトの実行
- PowerShellスクリプトをダウンロードする そして AD FSインストールシステムのC:\ドライブに保存します。ここをクリックして PowerShellスクリプトを使用せずに手動で設定する方法を確認します。
- コマンドプロンプトを管理者として実行し、次のコマンドを実行します
- powershell
- Set-ExecutionPolicy RemoteSigned
- C:\adfsscript。ps1 your-verified-ドメイン-名前 (例:C:\adfsscript。ps1 zvaultdemo。com)


メモ: スクリプトを実行中に発生したエラーはコンソール内で赤色で表示されます。ドメインポリシーのために実行ポリシーをRemoteSignedに設定できない場合は、ドメインコントローラーで同じポリシーを設定する必要があります。
- 表示された出力情報をZoho Vaultの SAML設定 ページにコピーして、保存および有効化をクリックします。
: 12pt' class='size'> ここにあなたのIDプロバイダーのログアウトページURLを入力してください。全てのユーザーログアウトリクエストは、この指定されたURLにのみリダイレクトされます。
証明書: ここにIDプロバイダーの公開鍵証明書を入力してください。
暗号化アルゴリズム: Zoho VaultがIDプロバイダから送信されるSAMLレスポンスを復号化するために使用するアルゴリズムを選択します。

注意: CAが署名した証明書または自己署名証明書のどちらでも使用できます。自己署名証明書を使用する場合、ログインプロセス中にブラウザに証明書エラーが表示されます。これは無視できます。
AD/LDAP統合の手動設定
ADFSサーバーでのリライングパーティトラストの作成:
ADFSサーバーでRelying Party Trustを作成する方法:
- サーバーマネージャーで「Tools」 をクリックし、次に 「ADFS Management」を選択します。
- 「処理」の下で、「Relying Party Trustを追加する」をクリックします。
- 'Claims aware'を選択し、次にウェルカムページで「開始する 」をクリックします。
- 「データ元を選択する」ページで「信頼するパーティについてのデータを手動で入力する」を選択し、次に「次」をクリックします。
- 表示名としてZoho Vaultを設定し、次に「次」をクリックします。
- 「次 」をクリックします Certificate設定 のページで。
- 「SAML 2.0 WebSSOプロトコルに対するサポートを有効にする 」チェックボックスを選択します URL設定 のページで。Relying party SAML 2.0 SSO サービス URLの下に、https://取引先。Zoho。com/samlresponse/を入力します. 置き換えてください
という登録済みのドメイン名。例えば、あなたのドメインがzylker。comであれば、URLをhttps://取引先。Zoho。com/samlresponse/に書き換えますzylker。com.
- 「 Identifiers設定 」ページで、 Zoho。com を指定し、追加するをクリックし、その後次へをクリックします。
- 「アクセス制御ポリシーを選択する 」を すべて許可するに設定し、その後次へをクリックします。
- クリック 「次」 を 「追加する Trustを準備する」 ページで、信頼するパーティの情報を保存します。
- 「クレーム発行の規定を設定する」 の選択を解除する.
- 新たに作成した信頼するパーティのトラストを右クリックし、「プロパティ」を選択、その後 「詳細」を選択、続いてSecure hash algorithmで、「SHA-1」を選択し、最後に 「OK」をクリックします。
ADFS信頼するパーティのクレームルールの設定
- 「Zoho Vault Relying Party Trust」を右クリックし、その後で「クレーム発行規定の編集」をクリックしてください。
- 下記の 「発行変換ルール」 項目で「ルールを追加」をクリックします。
- で 選択する Rule テンプレート ページで、送信する Claims Using a カスタム Rule をリストから Claim rule テンプレートにあるものとして選び、その後 次をクリックします。
- 次に、Windows 勘定名 をClaim ルール名 の表示名として設定します、これは設定する Rule ページで行います。その下にあるカスタム ruleに以下のクレームルール言語構文を貼り付けます:
c:[種類 == 'http://schemas。microsoft。com/ws/2008/06/identity/claims/windowsaccountname', Issuer == 'AD 税務署'] => issue(store = '有効 Directory', types = ('http://schemas。xmlsoap。org/ws/2005/05/identity/claims/emailaddress'), query = ';メール;{+10、-10}', param = c。値);
- その後、完了するをクリックした後、追加する Ruleをクリックします。
- 最後に、送信する Claims Using a カスタム Rule をClaim rule テンプレートのリストから選んでから次をクリックします。
- 設定 メール を表示名としてClaim ルール名の下に設定します。カスタム ruleの下に、以下の言語構文をコピーしてください:
c:[種類 == 'http://schemas。xmlsoap。org/ws/2005/05/identity/claims/emailaddress'] => issue(種類 = 'http://schemas。xmlsoap。org/ws/2005/05/identity/claims/nameidentifier', 値 = c。値, Properties['http://schemas。xmlsoap。org/ws/2005/05/identity/claimproperties/形式'] = 'urn:oasis:names:tc:SAML:1。1:nameid-形式:emailAddress');
- クリック完了し、その後OKをクリックします。
SAMLログアウトエンドポイントの作成:
- 新規エンドポイントを追加するには、「追加する SAML...」 をクリックします。そして、「Endpoints」 タブを選択します。
- ' エンドポイントの種類 を'SAML Logout' に、'Binding' を'POST'に設定します。
- 次の形式でURLを作成し、それを'Trusted URL' に設定します - https://
/adfs/ls/?wa=wsignout1。+10、-10
- 設定を完了するには、'OK' を二度クリックします。
これで、Zoho Vaultの信頼関係を持つパーティーが機能するようになりました。
ADFS署名証明書のエクスポート:
- 「クリック」 「Tools」し、「選択する」「ADFS管理」 をServer Managerから。
- 「サービス」に移動し。「選択する」「証明書」を。
- 「Token-signing」証明書をクリックします。
- 「表示する」証明書をクリック。 「処理」セクションから。
- 「詳細」タブをクリックし、「選択する」「Copy to File」し、「クリック」 「次」です。
- 「Base-64 encoded X。509」(.CER)を選択し、「次」をクリックします。
- 「Browse」をクリックし、場所を選択し、ファイル名を入力した後、「保存」をクリックします。
- 「次へ」をクリックしてから、「完了」をクリックします。
Zoho Vaultの設定を構成する:
- Zoho Vaultにログインし、「設定 」タブをクリックします。
- 「AD/LDAP Integration」をIntegrations セクションから選択し、SAML設定をクリックします。次の詳細を入力します:
- ログインURL: https://
/adfs/ls
- ログアウトURL: https://
/adfs/ls/idpinitiatedsignon?SingleSignOut=SingleSignOut
- 証明書: エクスポート済みのトークン署名証明書をアップロードします
- アルゴリズム: RSA
Zoho Vaultに対してシングルサインオンが有効になりました。ユーザーは自分のドメイン認証情報を使用してZoho Vaultにアクセスできます。