Active Directory でのユーザーの管理
ユーザーが Microsoft Active Directory (AD) ディレクトリサービスにすでに存在する場合、ThingWorx でユーザーおよびユーザーグループを管理できます。ThingWorx では、Active Directory ユーザーグループを ThingWorx ユーザーグループにマッピングできます。ユーザープロビジョニングオプションを使用して、ユーザーの作成、修正、または削除を行うことができます。アクセス許可は、ユーザーグループごとに ThingWorx で管理されます。
|
ThingWorx のデフォルトでは、Active Directory 機能は無効になっています。ThingWorx での認証に Active Directory を使用するには、まず ThingWorx 管理者ユーザーが Active Directory を有効にする必要があります。
|
これを行うには、Active Directory を使用するために ThingWorx を設定し、接続を設定して、接続をテストします。このトピックの以下のセクションを参照してください。
はじめに
開始するには、エンティティが含まれている XML ファイルを ThingWorx にインポートすることによって、ディレクトリサービスを ThingWorx に作成します。ファイルがインポートされた後、ThingWorx でディレクトリサービスを設定できます。XML ファイルを操作するとき、以下の規則に従ってください。
• XML ファイルには、DirectoryService エレメントの className 属性として、com.thingworx.security.directoryservices.ActiveDirectoryDirectoryService Java クラスを使用するディレクトリサービスが 1 つ以上含まれている必要があります。
• 各 DirectoryService エレメントの name には、一意の値を指定する必要があります。
• また、name の値は、ThingWorx ランタイム内に存在するすべてのディレクトリサービスにわたって一意でなければなりません。
• priority 属性には、一意の認証優先順位の番号を指定する必要があります。さらに、ファイル内および ThingWorx ランタイム内の各ディレクトリサービスに一意の優先順位を追加しなければなりません。この優先順位は、ThingWorx が資格証明を検証する際にディレクトリサービスを参照する順序に対応しています。
|
ディレクトリサービスは、リンクされた認証優先順位に従って使用されます。最も低い優先順位である 1 が設定されたディレクトリサービスがユーザー認証の検証に失敗した場合は、このチェーンで次に高い優先順位が設定されたディレクトリサービスに対してユーザーの検証が試行されます。
|
これらの規則の使用については、以下の例を参照してください。
準備が完了した後、Active Directory サーバーの XML ファイルを ThingWorx にインポートします。インポートに関する問題については、以下のいずれかのトラブルシューティングセクションを参照してください。
• インポート検証失敗後のインポートの実行 - 必須フィールドが欠落しているかコンフィギュレーションが無効であるためインポート検証は失敗したが、エンティティはインポートされて無効になった場合
ディレクトリサービスのコンフィギュレーション
Active Directory ディレクトリサービス用の XML ファイルをインポートした後、これを設定する必要があります。ThingWorx Composer のコンフィギュレーションページにアクセスするには、以下の手順に従います。
1. 「ブラウズ」ナビゲーションパネルで、「セキュリティ」を展開し、「ディレクトリサービス」を選択します。
2. 「ディレクトリサービス」ページで、Active Directory ディレクトリサービスの名前をクリックします。そのディレクトリサービスの「一般情報」ページが表示されます。
3. 「有効」チェックボックスをオンにしてこのディレクトリサービスを有効にし、「保存」をクリックします。
4. 「コンフィギュレーション」を選択して「コンフィギュレーション」ページを表示します。ディレクトリサービスを設定する準備が整いました。
|
このセクションおよび以降の各セクションで説明するコンフィギュレーションオプションはすべて、ディレクトリサービスエンティティの「コンフィギュレーション」ページに表示されます。コンフィギュレーションエラーメッセージの詳細については、 コンフィギュレーションのエラーメッセージを参照してください。
|
ThingWorx へのログイン時にユーザー入力の資格証明を検証するには、User Base Distinguished Name コンフィギュレーションテーブル設定内で、ユーザーオブジェクトとそのオブジェクトに対するパスワードを検索します。Active Directory エンティティ上のドメインを指定する場所は 2 つあり、これらは相互に完全に独立した状態にできます。グループの検索時には Domain Distinguished Name が使用されるので、グループマッピング機能を使用する場合には、ユーザーが存在するすべてのグループが、指定された Domain Distinguished Name 値に該当することを確認します。User Base Distinguished Name は、ThingWorx へのログイン時に指定されたユーザー名とパスワードによって、Active Directory 内のユーザーオブジェクトを検索するときに使用される場所です。
|
複数のディレクトリサービスオブジェクトを設定するときには、Active Directory 構造内でユーザーサーチベースが重ならないようにします。
|
接続の設定
Active Directory コンフィギュレーションの「接続の設定」には、「動的ユーザーのログイン」オプションが含まれています。このページを以下に示します。
以下の表に、ディレクトリサービスの「接続の設定」の説明を示します。接続の設定のフィールドはすべて必須です。
名前 | 説明 | XML 属性名 | デフォルト値 | 値の例 |
---|
URI スキーム | Active Directory サーバーとの通信に使用される関連プロトコルを指定する文字列。 | protocol | LDAP | LDAP |
サーバー FQDN または IP アドレス | ディレクトリの照会の対象となるサーバー名/アドレス。 | server | localhost | localhost、domainserver.acme.com、127.0.0.1 |
サーバーネットワークポート | ディレクトリの照会の対象となるサーバーのポート。 | port | 389 | 389、369、10389 |
ドメイン識別名 | ユーザーグループの検索時に使用するトップレベルディレクトリの識別名。 | domain | 該当なし | DC=test、DC=acme、DC=com |
動的ユーザーのログイン | 動的ユーザーのログインが有効かどうかを決定します。詳細については、次のセクションを参照してください。 | dynamicUserLogin | このチェックボックスは空 (無効) になっています。 | このチェックボックスをオンにします。 |
管理プリンシパル名 | 指定されたドメインオブジェクトに対して管理読み取りアクセス権を持つユーザーの名前。この名前の値は、「スキーママッピング」コンフィギュレーションテーブルで指定された User Id Attribute によって決まります。 | adminPrincipal | 該当なし | AcmeAdmin |
管理パスワード | 「接続の設定」コンフィギュレーションテーブルで指定された「管理プリンシパル名」のパスワード。 | adminPassword | 該当なし | AcmePassword |
Active Directory への接続のテスト
「ディレクトリサービス」コンフィギュレーションページの「接続の設定」セクションで、「テスト接続」の下の「検証」ボタンを使用して、現在のコンフィギュレーションに基づいて、Active Directory サーバーへの接続をテストできます。コンフィギュレーションの「接続の設定」セクションの以下のフィールドを使用して Active Directory への接続がテストされます。
• URI スキーム
• サーバー FQDN または IP アドレス
• サーバーネットワークポート
• 管理プリンシパル名
• 管理パスワード
「検証」ボタンは TestConnection サービスを開始します。このサービスは以下のパラメータをとります。
TestConnection サービスのパラメータ
パラメータ | ベースタイプ | 説明 |
---|
userName | STRING | Active Directory でのユーザーの名前。 |
password | STRING | Active Directory ユーザーの暗号化されたパスワード。 |
protocol | STRING | 使用されるスキーマ (LDAP または LDAPS)。 |
server | STRING | Active Directory インスタンスのホストまたは IP アドレス。 |
port | INTEGER | Active Directory インスタンスのポート。 |
接続テストの結果は INFOTABLE である result に返され、これには以下の情報が含まれています。
• status: (ブール) Active Directory への接続に成功したかどうかを示します。
• message: (文字列) テストに失敗した原因について、役立つ情報を提供するメッセージ。
| 動的ユーザーのログインが有効になっている場合、管理プリンシパル名と管理パスワードは使用されず、 「検証」ボタンは非表示になります。 |