アカウント認証外部連携機能のご紹介

投稿日: / 更新日:

こんにちは!

今回はver. 6.2.2から追加された、アカウント認証外部連携機能についてご紹介いたします。

Hinemosのユーザアカウント認証に、LDAPv3対応の外部認証サーバを利用することが出来る機能です。

LDAPv3認証を構成するツールとしては、Active DirectoryやOpenLDAP等があります。

今回は、Active Directoryを例にご紹介していきたいと思います。

設定方法

例として、以下のような「mydomain.com」ドメインのOU(組織単位)「my_org」>「hinemos_org」内のユーザで認証し、Hinemosにログインしてみます。

外部認証を使用する場合、Hinemosがログインユーザを検索するために、OU配下への参照権限を持ったユーザが必要です(例:ドメインの管理者ユーザ)

本例では、「searcher」ユーザを検索用ユーザとして使用します。

1. Hinemosプロパティを変更する

メンテナンスパースペクティブから、メンテナンス[Hinemosプロパティ]ビューより「access.authenticator.id」の値を「ldap」に変更します。

2. ログインしたいユーザIDでHinemosのユーザを登録する。

外部認証でログインしたいユーザをHinemosのユーザとして登録する必要があります。

本例ではアカウントパースペクティブより「user01」、「user02」を作成します。

認証はActive Directoryサーバが行うため、パスワードの設定は必要ありません。

3. 専用のプロパティファイルにLDAP接続設定を記載する。

Hinemosマネージャサーバに配置している専用のプロパティファイルを編集し、LDAPサービスへの接続設定を記載します。

配置場所:Hinemosマネージャのインストール先/etc/hinemos_authenticator.properties

設定項目

  • access.authenticator.ldap.url.1
    LDAP接続先URLを指定します。
  • access.authenticator.ldap.basedn.1
    ログインユーザを検索するDN(識別名)を指定します(RFC4514準拠)。
    本例の「hinemos_org」内から検索する場合、DNは以下になります。
    「OU=hinemos_org,OU=my_org,DC=mydomain,DC=com」
  • access.authenticator.ldap.searchuserdn.1
    ログインユーザ検索用に使用するユーザのDN(識別名)を指定します。
    本例では「searcher」を使用するため、以下DNを設定します。
    「CN=searcher,OU=hinemos_org,OU=my_org,DC=mydomain,DC=com」
  • access.authenticator.ldap.password.1
    検索用ユーザのログインパスワードを指定します。
  • access.authenticator.ldap.searchuserdn.1
    ユーザ検索時に使用するフィルタ条件式(RFC1558準拠)を指定します。
    以下のフィルタ条件式で、ユーザIDから検索出来ます。
    「(CN={0})」
  • access.authenticator.ldap.XXXXXX.2
    上記項目と同様の設定を指定することで、セカンダリサーバを使用することが可能です。
    (本例では使用しません。)

hinemos_authenticator.propertiesの設定例:

4. Hinemosマネージャを再起動する

アカウント外部連携の有効化にはHinemosマネージャの再起動が必要です。

5. Active DirectoryサーバのユーザでHinemosマネージャにログインする。

「user01」のユーザIDとログインパスワードでHinemosマネージャにログインしてみます。

ログイン出来ました!

もちろん、「user02」でもログイン可能です。

ご紹介は以上になります。

外部認証サーバを利用していたら、是非活用してみて下さい!

Hinemos導入はアトミテックにお任せください

見積もりを依頼する

最新情報発信中

Xやメルマガでも、Hinemosの保守、
開発、導入、構築やカスタマイズ等の
お役立ち情報を発信しています。
是非ご登録ください。