すべてのプロダクト
Search

このプロダクト

    Drive and Photo Service:AD ドメイン/LDAP ログイン構成

    ドキュメントセンター

    Drive and Photo Service:AD ドメイン/LDAP ログイン構成

    最終更新日:May 22, 2025

    このトピックでは、ドライブおよびフォトサービス (Developer Edition) が LDAP 内の組織構造とユーザーを同期できるように、Lightweight Directory Access Protocol (LDAP) を構成する方法について説明します。構成後、LDAP アカウントを使用して ドライブおよびフォトサービス (Developer Edition) に直接ログインできます。これにより、ドライブ内のユーザーとチームの管理が容易になります。

    前提条件

    • [ドライブおよびフォトサービス (PDS)] コンソールを操作する権限が必要です。RAM ユーザー を使用していて、ドライブおよびフォトサービス (AliyunPDSFullAccess) の操作権限が付与されていない場合は、RAM ユーザーに権限を付与する必要があります。

    • [ドライブおよびフォトサービス (Developer Edition)] ドメインを作成済みであること。

    • LDAP サーバーがデプロイされていること。LDAP サーバーに接続するには、サーバーアドレス、ポート番号、および Base DN 情報が必要です。

    • LDAP サーバーにインターネット経由でアクセスできること。

    手順

    ステップ 1: LDAP ログインを構成する

    1. ドライブおよびフォトサービス (Developer Edition) コンソールの [ドメイン] ページに移動します。

    2. ページの左上隅で、Developer Edition ドメインが配置されているリージョンを選択します。

      image

    3. 構成するドメイン xx を見つけ、[アクション] 列の [詳細] をクリックします。

      image

    4. ドメインの詳細ページで、[ユーザーシステム] タブをクリックします。[ユーザーシステム] タブで、[構成] をクリックします。[PDS ログインページの構成] パネルが表示されます。

    5. [LDAP によるログインを有効にする] をオンにし、次の表に示すパラメーターを構成します。

      パラメーター

      サンプル値

      説明

      ホスト名

      ldap://120.XX.XX.XX

      LDAP サーバーのアドレス。アドレスは Idap:// で始まる必要があります。フォーマット:

      • IP アドレス: Idap://120.XX.XX.XX

      • ドメイン名: Idap://www.exmple.com

      ポート

      389

      デフォルトのポート番号は 389 です。ポート番号が変更された場合は、新しいポート番号を入力します。

      UID

      sAMAccountName

      LDAP にログインするときのアカウントのユーザー名。値は、LDAP のプロパティエディターと同じである必要があります。

      管理者 DN

      CN=admin,DC=chwl,DC=com

      管理者の識別名 (DN)。管理者は、BaseDN 内のすべてのユーザーと組織に対するアクセス権限を持っている必要があります。

      管理者パスワード

      *****

      LDAP の管理者アカウントのログインパスワードを入力します。ドライブおよびフォトサービス (Developer Edition) サーバーは、この管理者アカウントを介して LDAP システムにログインし、ユーザー情報を読み取り、同期およびログイン機能を完了します。

      BaseDN

      DC=chwl,DC=com

      これは、このディレクトリスクープ内の組織単位とユーザーのみが Alibaba Cloud Drive Enterprise Edition に同期できることを示します。Windows AD 環境で BaseDN を取得するには、「BaseDN を取得する」を参照してください。

      重要

      この項目は慎重に入力し、追加後は任意に変更しないでください。ドライブおよびフォトサービス (Developer Edition) が LDAP (または AD) とデータを同期する場合、BaseDN が変更されると、双方の組織ディレクトリが対応できなくなり、データ同期が失敗します。

    6. 構成が完了したら、[確認] をクリックして設定を保存します。

    ステップ 2: LDAP ログインを使用する

    1. デスクトップクライアント またはブラウザを使用して、URL https://domainID.apps.aliyunpds.com にアクセスします。

      重要

      ブラウザからアクセスする場合は、例の domainID を置き換えます。

    2. ログインページで、[AD/LDAP] をクリックします。

      image

    3. LDAP ユーザー名とパスワードを入力してログインします。

    ステップ 3: LDAP アカウント同期を構成する

    重要

    LDAP アカウント同期はデフォルトでは有効になっていません。この機能を使用する必要がある場合は、お問い合わせ ください。

    1. 管理者アカウントで ドライブおよびフォトサービス (Developer Edition) にログインし、[管理コンソール] に移動します。

    2. 左側のナビゲーションバーで、[専用ログイン構成] > [LDAP 構成] を選択します。

      image

    3. [同期構成] モジュールで、[編集] をクリックします。

    4. [ログイン構成] に入力します。

      1. [LDAP 構成] ページで、[ログイン構成] に入力します。

        登录配置

        次の表でパラメーターについて説明します。

        パラメーター

        値の例

        説明

        ログインユーザー名フィールド

        sAMAccountName

        このフィールドは、ユーザーがログインするときのアカウント名として使用されます。LDAP の属性エディターのフィールドと一致している必要があります。

        表示名フィールド

        displayName

        このフィールドは、クラウドドライブでのユーザーの表示名として使用されます。LDAP の属性エディターのフィールドと一致している必要があります。

      2. [次へ] をクリックします。

    5. [同期構成] に入力します。

      • LDAP 同期機能を有効にする必要がない場合は、この手順をスキップします。同期構成を有効にせずに LDAP ログイン機能のみを有効にした場合、組織範囲内の LDAP ユーザーは誰でもエンタープライズクラウドドライブにログインできます。アカウントは、ユーザーがログインすると自動的に作成され、組織構造はありません。

      • 同期機能を有効にすると、LDAP からユーザーと組織構造をインポートできます。次の手順を実行して同期を構成します。

        1. [同期構成] ページで、[同期構成] スイッチをオンにし、同期情報を構成します。

          image

          次の表でパラメーターについて説明します。

          説明

          • LDAP の組織とユーザーを同期する場合は、チームとユーザーの両方を設定する必要があります。

          • LDAP の組織のみを同期する場合は、チームのみを設定する必要があります。

          • LDAP ユーザーのみを同期する場合は、ユーザーのみを設定する必要があります。

          パラメーター

          値の例

          説明

          チームオブジェクトクラス

          organizationalUnit

          OU と略され、ユーザー、グループ、コンピューター、およびその他の組織単位を含めることができる AD コンテナーです。グループポリシーを割り当てたり、管理権限を委任したりできる最小のスコープまたは単位です。グループはサポートされていません。

          ユーザーオブジェクトクラス

          User

          organizationalPersoninetOrgPerson、または User を入力できます。

          • organizationalPerson は、組織に関連する基本的な属性を提供します。

          • inetOrgPerson は、organizationalPerson のすべての属性を提供し、インターネット通信に関連する属性を追加します。

          • User には、特定のアプリケーションまたは組織のユーザーアカウント用にカスタマイズされた特定の属性セットが含まれています。

          同期時間設定

          自動同期

          パラメーターの有効な値:

          • 手動同期: 組織またはユーザーをクラウドドライブに手動で同期します。手動同期を使用する場合、元のデータが更新されても、変更は CDE に同期されません。データを再度手動で同期する必要があります。たとえば、企業の人事管理シナリオでは、新しい従業員がいる場合、関連する変更が CDE にタイムリーに反映されない可能性があります。その結果、新しい従業員は CDE にログインできません。

          • 自動同期: 指定された同期頻度と時刻に従って、組織またはユーザーをクラウドドライブに同期します。同期頻度を毎日、毎週、または毎月に設定し、1 日の任意の時刻を同期時刻として指定できます。

        2. [構成検出] をクリックします。

        3. [今すぐ同期] をクリックします。

          同期が完了すると、[インポート結果] が表示されます。インポートに失敗した場合、失敗の理由は [インポート結果] に表示されます。

          image

        4. [インポートの確認] をクリックします。

        5. [最後の同期情報] セクションで、[最後の同期時刻][最後の同期ステータス] を表示できます。最後の同期の詳細を表示するには、右側の [詳細] をクリックします。

          image

    付録: Windows 環境でサーバー接続情報を取得する

    付録 1: BaseDN を取得する

    1. LDAP ドメインコントローラーで、[Active Directory ユーザーとコンピューター] に移動します。

    2. 同期するルートディレクトリのプロパティにアクセスします。たとえば、chwl の下のすべてのユニットとユーザーを PDS に同期するには、次のようにします。

    3. chwl プロパティを右クリックし、[属性エディター] に移動します。

    4. distinguishedName 属性を見つけ、ダブルクリックして [文字列属性エディター] を開き、値 DC=chwl,DC=com をコピーします。

    付録 2: 管理者 DN を取得する

    1. LDAP ドメインコントローラーで、[ Active Directory ユーザーとコンピューター] に移動します。

    2. BaseDN の下のすべての組織単位とユーザーにアクセスできる権限を持つ管理者アカウントを見つけ、右クリックして [プロパティ] を選択します。次に、[属性エディター] に移動します。

    3. distinguishedName 属性を見つけ、ダブルクリックして [文字列属性エディター] を開き、[値] を取得します。例: CN=admin,DC=chwl,DC=com

    関連情報