Lightweight Directory Access Protocol (LDAP) ID プロバイダー (IdP) を Secure Access Service Edge (SASE) に接続することで、従業員は既存の LDAP アカウントを使用して SASE クライアントにログインできます。これにより、SASE 用に個別の ID システムを維持する必要がなくなり、SASE コンソールからプライベートアクセスとインターネットアクセスの権限を管理できます。
前提条件
開始する前に、以下を準備してください。
SASE クライアントがインストールされた、アクティブ化済みの SASE サブスクリプション。「無料トライアルを申し込む」と「設定機能を使用する」をご参照ください。
組織構造とセキュリティグループを管理する、実行中の LDAP ディレクトリサービス (Microsoft Active Directory (AD) または OpenLDAP)。
ディレクトリを読み取ることができる認証情報 (DN とパスワード) を持つ LDAP 管理者アカウント。
シナリオ
企業A は、Microsoft Active Directory (AD) を使用して、2 つの部署と 1 つのセキュリティグループにわたるユーザーを管理しています。
| グループ | メンバー | 備考 |
|---|---|---|
| 部署 1 | user1, user2, user3 | user2 は管理者です |
| 部署 2 | user4, user5 | |
| セキュリティグループ | user2, user4 |
このトピックでは、セキュリティグループの組織構造を同期することで、LDAP IdP を SASE に接続する手順を説明します。この例では、以下の値を使用します。
セキュリティグループのベース DN:
CN=Organizational-Unit,CN=Schema,CN=Configuration,DC=sasetest,DC=com管理者 user2 のベース DN:
CN=Person,CN=Schema,CN=Configuration,DC=sasetest,DC=com管理者パスワード:
123456******
このトピックでは、デフォルトの LDAP 属性を使用します。属性をカスタマイズした場合は、実際の属性名に置き換えてください。
概要
このトピックでは、LDAP セットアップについては説明しません。前提条件として、企業がすでに LDAP を使用して組織構造を管理している必要があります。
ステップ 1: LDAP IdP と SASE の接続
LDAP IdP を SASE に接続して組織構造を同期し、ユーザーの LDAP ベースのログインを有効にします。
「SASE コンソール」にログインします。左側のナビゲーションウィンドウで、[ID 認証および管理] > [ID アクセス] を選択します。
[IdP 管理] タブで、[IdP の追加] をクリックします。
[追加] パネルで、[認証タイプ] を [単一IdP] に設定し、[エンタープライズIdP] を [LDAP] に設定してから、3 ステップにわたって設定を構成します。
3a. 基本情報
LDAP サーバー接続および管理者の認証情報を設定し、[次へ] をクリックします。
| パラメーター | 説明 | 例 |
|---|---|---|
| IdP 構成ステータス | IdP を有効化または無効化します。他の IdP または IdP の組み合わせが既に有効になっている場合は、本 IdP を有効化する前に、IdP 管理 ページでそれらを無効化してください。 | 有効 |
| タイプ | ディレクトリサービスの種類です。 | Windows AD |
| 構成名 | 本 IdP の一意の名前です。文字数は 2~100 文字で、英字、数字、ハイフン (-)、アンダースコア (_) のみ使用可能です。 | test_001 |
| 説明 | SASE クライアント上にログインタイトルとして表示され、ユーザーがどの IdP にログインしているかを識別できます。 | LDAP |
| サーバーアドレス | AD または OpenLDAP サーバーの IP アドレスまたはホスト名です。 | 10.10.XX.XX |
| サーバーポート番号 | AD または OpenLDAP サーバーのポート番号です。実際のポート番号が不明な場合は、管理者にお問い合わせください。 | 389 |
| SSL 接続 | SASE と LDAP サーバー間の通信データを暗号化します。 | いいえ |
| ベース DN | 認証対象のユーザーノードの識別名 (DN) です。SASE は、このノード配下のすべてのアカウントを認証します。文字数は 2~100 文字です。 | CN=Organizational-Unit,CN=Schema |
| 組織構造の同期 | 管理者アカウントの識別名 (DN) およびパスワードです。SASE はこれらの認証情報を用いて組織構造を読み取り、バッチポリシー管理を実行します。ユーザーのデータは保存されません。 | DN: CN=user1,OU=Security Group,DC=sasetest,DC=com;パスワード: 123456**** |
認証対象のユーザーおよびグループが異なるノードに属している場合、[ユーザー基本DN] および [グループ基本DN] を [詳細設定] セクションで設定し、[基本DN] を使用しないでください。
3b. 属性構成
LDAP ディレクトリ属性を SASE フィールドにマッピングして、SASE がユーザーおよびグループを識別できるようにした後、[次へ] をクリックします。
| パラメーター | 説明 | 例 |
|---|---|---|
| ログインユーザー名属性 | 従業員がログインするときに入力するユーザー名を保持する LDAP 属性。デフォルトオプション: cn、name、givenName、displayName、userPrincipalName、sAMAccountName。カスタム属性を入力することもできます。 | cn |
| 表示ユーザー名属性 | SASE クライアントでアカウントユーザー名として表示される LDAP 属性。上記と同じデフォルトオプション。 | cn |
| グループ名属性 | グループ名として使用される LDAP 属性。デフォルトオプション: cn、name、sAMAccountName。カスタム属性を入力することもできます。 | cn |
| グループマッピング属性 | ユーザーをグループにマッピングする LDAP 属性。デフォルト: memberOf。これが LDAP ディレクトリの属性名と一致することを確認してください。 | memberOf |
| グループフィルター | 同期するグループを選択するための LDAP フィルター。一般的な例: (objectClass=organizationalUnit)、(&(objectClass=organizationalUnit)(objectClass=organization))。フィルター構文については、「LDAP Filters」をご参照ください。 | (objectClass=organizationalUnit) |
| ユーザーフィルター | 同期するユーザーを選択するための LDAP フィルター。一般的な例: (objectClass=person)、(&(objectClass=person)(objectClass=user))。フィルター構文については、「LDAP Filters」をご参照ください。 | (objectClass=person) |
| メール属性 | メールアドレスの LDAP 属性。デフォルト: email。これがディレクトリの属性名と一致することを確認してください。 | |
| 携帯電話番号属性 | 電話番号の LDAP 属性。デフォルト: telephoneNumber。これがディレクトリの属性名と一致することを確認してください。 | telephoneNumber |
userPrincipalName にはドメインサフィックスが含まれます。ログインユーザー名属性として選択した場合、ユーザーはログイン時に完全なドメインサフィックスを入力する必要があります。例: user***@aliyundoc.com。
3c. ログインと認証方法
従業員が SASE クライアントにログインする際の認証方法を構成します。
| パラメーター | オプション |
|---|---|
| PC ログイン方法 | アカウントとパスワードでログイン / パスワードなしでログイン |
| 二要素認証 | 検証コードベース認証 (テキストメッセージ検証 — 各ユーザーに携帯電話番号が必要です) / OTP ベース認証 (動作する OTP クライアントが必要です。サポートされているクライアント: Google Authenticator、Microsoft Authenticator、および Alibaba Cloud App) |
[OK] をクリックします。
接続の検証:
「[ログオンテスト]」をクリックして、構成が有効であるかを確認します。テストが失敗し、「[LDAP サーバーへの接続に失敗しました。管理者に連絡してください。]」というメッセージが表示された場合は、サーバーアドレス、ポート番号、およびネットワーク接続が正しいことを確認してください。
組織構造が同期されたことの確認:
「ユーザー グループ管理」タブに移動し、「ユーザー グループの作成」をクリックします。パネルには、LDAP IdP からの組織構造が表示されるはずです。初期同期の完了には最大 30 秒かかる場合があります。構造が表示されない場合は、ページをリフレッシュしてください。
ステップ 2: IdP 接続の検証
LDAP ユーザーとして SASE クライアントにログインすることで、接続がエンドツーエンドで機能することを確認します。
SASE クライアントを開きます。
[SASE クライアントログオン] ページで、企業認証識別子を入力し、[確認] をクリックします。 企業認証識別子は、SASE コンソールの設定項目ページで確認します。
(オプション) SMS 検証を構成した場合は、受信した検証コードを入力します。
user1 のアカウントとパスワードでログインします。認証が成功した場合、IdP は SASE に接続されています。