こんにちは。情シス先輩です。
上司に「AD連携を進めてほしい」と言われたが、何をすれば良いのかわからないので不安だ。
セキュリティは大丈夫?と聞かれて、なんだか不安になった。
そもそもAD連携が何なのかわからない。
そんな悩みを抱えていませんか?
実は私も以前はAD連携について全く知りませんでしたが、今ではAD連携や属性のカスタマイズもこなしています。
この記事ではAD連携の基本から連携のメリット、進め方、注意すべきセキュリティ設定まで解説します。
AD連携とは
Microsoftのディレクトリサービス「Active Directory(AD)」を他のシステムやアプリケーションと統合し、ユーザー認証やアクセス制御を一元管理する仕組みです。
これにより、AD連携された機器やソフトウェアではPCのログイン情報がそのまま利用できます。
難しそうに感じるかもしれませんが、コツをつかめば設定はそれほど複雑ではありません。
セキュリティ設定のポイントを押さえれば不安も軽減され、認証が統合されれば社員からも喜ばれるはずです。
自信を持って進めていきましょう。
AD連携のメリットとポイント
認証統一による主なメリット
多くの企業でパスワードの使い回しが禁止されていますが、その結果ユーザーは機器やソフトごとに異なるパスワードを使わなければなりません。
几帳面な方は手帳などで管理していますが、ブラウザにパスワードを保存している人も多いです。
もしブラウザのデータが消えると再設定が必要になり、手間に感じるユーザーは少なくありません。
AD連携を導入すればパスワード管理の負担が軽減され、ユーザーの満足度も高まるでしょう。
シス管の作業はメリットが見えにくいことが多いですが、AD連携はその効果がわかりやすい作業です。
ユーザー目線に立ったこの取り組みを通じて、あなたのやる気も向上するかもしれません。
設定すべき主要なポイント
AD連携に必要な設定箇所は基本的に決まっており、以下の情報が求められます。
- サーバー名(ドメイン名)
普段使用しているADサーバーのIPやホスト名、あるいはドメイン名です。ADサーバーが複数ある場合、複数登録が可能なこともあります。機器によって設定方法は異なることがあります。 - バインドユーザーの情報
機器やソフトがADにログインし、必要な情報を取得するために使用します。 - 連携で利用する属性
ユーザーの情報項目を指します。機器やソフトによって、どの属性を使用するか設定できます(例:samAccountName、givenNameなど)。 既に利用中の機器やソフトの認証をAD連携に変更する場合、ユーザー名やその他の情報がAD上のどの属性と一致するのか確認する必要があり、この点が少し難しく感じるかもしれません。 ただし一度やれば理解ができると思いますので、テスト環境などでしっかり練習・確認してから本番環境に臨みましょう。
なおこれらの情報はソフトや機器により異なりますが、すべてドキュメントに記載してあります。
調べてみれば案外簡単だった、ということがほとんどなので、下請けのベンダーがいる場合でも丸投げせずに自分で調べることをお勧めします。
押さえておくべきセキュリティ設定の重要事項
基本的な方法はある程度決まっているため、過度に不安になる必要はありません。
以下は代表的な設定です。
環境に応じて多少調整は必要ですが、担当者が1から全てを考える必要はありません。
- バインドユーザーの権限
管理者権限は避け、最小限の権限だけを付与しましょう。 - 暗号化の使用
ADでは暗号化通信(LDAPS)が利用可能です。
ほとんどの場合、複雑な設定は不要で機器やソフトに応じて数回のクリックで有効化できます。 - AD運用上のベストプラクティス
ADのセキュリティ保護に関するベストプラクティスはMicrosoftから公開されています。
パッチ適用やウイルス対策ソフトのインストールなど推奨事項を参考にし、自社に必要な対策を講じましょう。
AD連携の進め方
最後に例として、GitLabでAD連携する場合の進め方を紹介します。
1. 公式のドキュメントを探す
まずは公式ドキュメントを確認しましょう。
GitLabの場合、以下のページが公式ドキュメントになります。 https://docs.gitlab.com/ee/administration/auth/ldap/index.html
日本語のブログ記事等(二次情報)を参考にする場合でも、必ず公式情報に目を通すことが大切です。
公式情報が英語のみでも最近の翻訳アプリの精度は高いため、英語が苦手な方でも問題なく対応できるでしょう
2. 注意事項を確認する
注意事項を確認しましょう。
ADの属性とソフトのどの情報が紐づけられるかなど、いくつかの重要な点があります。
また、ADからユーザーを削除した際の動作にも触れられているので、これらの情報を事前に確認しておきましょう。
特にGitLabのドキュメントにはセキュリティ面での注意も記載されているため、しっかりと理解しておくことが必要です。
3. 必要な項目を確認する
必要な項目を確認していきます。
GitLabでは以下の情報が必要です。
- label:任意の文字列
- host:ADサーバーのホスト名、IPアドレス、ドメイン名など。
- port:636、または389
- uid:ユーザー名が格納される属性名。sAMAccountNameなどです
- base:ユーザーを検索する階層。
- encryption:暗号化方式。’start_tls‘ ‘simple_tls‘が良いでしょう。
4. 確認する
設定が終わったらログインできるか確認し、ログを確認しましょう。
認証に失敗した場合でもログに解決のヒントが記載されています。
まとめ
いかがでしたでしょうか。
この記事では、AD連携における設定のポイントやセキュリティの考え方、メリットについて解説しました。
さらに、GitLabを例に挙げて、AD連携の進め方についてもご紹介しました。
基本的な設定内容やセキュリティの重要なポイントは、要点を押さえればほとんど同じです。 ぜひ、スキルを磨いて、自分の武器として活用してください。
勉強方法
最後に、Active Directoryの理解を深めるためのおすすめの書籍とUdemy講座を紹介します。
ADには多くの便利な機能がありますが、ブログの記事だけで完全に理解するのは難しいです。
さらに知識を深めたい方は、基礎から体系的に学べる書籍や講座でしっかりと勉強しましょう。
これらのリソースを活用して、ADに関するスキルを確実に身につけてください。
本
この本は画像が豊富で分かりやすく、初心者でも基礎からしっかり学べます。
さらに中級者以上の方にとっては、リファレンスとしても活躍します。
ぜひ、学習に役立つこの一冊を手に取ってみてください。
Udemy
本での学習が苦手な方には、Udemyのコースがおすすめです。
私も購入しましたが、非常に分かりやすく気に入っています。
このコースには、Active Directory(AD)の基本からしっかり学べる内容が揃っています。
実践的なスキルを身につけたい方はぜひチェックしてみてください。
コメント