Active DirectoryまたはLDAPと同期
この記事は、LDAPまたはActive DirectoryサービスからのユーザーとグループをあなたのBitwarden組織に同期するためのDirectory Connectorの使用を開始するのに役立ちます。Bitwardenは、最も人気のあるLDAPディレクトリサーバーに対する組み込みのコネクタを提供しています。これには以下が含まれます:
Microsoft アクティブ ディレクトリ
Apache Directory Server (ApacheDS)
アップルオープンディレクトリ
フェドラディレクトリサーバー
Novell eDirectory
OpenDS
OpenLDAP
Sun Directory Server エンタープライズ Edition (DSEE)
一般的なLDAPディレクトリサーバー
次の手順を完了して、Directory ConnectorをLDAPまたはActive Directoryを使用するように設定します:
ディレクトリコネクタデスクトップアプリを開いてください。
設定タブに移動してください。
タイプのドロップダウンから、Active Directory / LDAPを選択してください。
このセクションで利用可能なフィールドは、選択したタイプによって変わります。
次のオプションを設定します:
オプション | 説明 | 例示 |
|---|---|---|
サーバーホスト名 | あなたのディレクトリサーバーのホスト名。 |
|
サーバーポート | あなたのディレクトリサーバーがリッスンしているポート。 |
|
ルートパス | ディレクトリコネクタがすべてのクエリを開始するべきルートパス。 |
|
このサーバーはアクティブディレクトリを使用しています。 | このボックスをチェックしてください、もしサーバーがアクティブディレクトリサーバーである場合。 | |
このサーバーは検索結果をページングします | このボックスをチェックしてください。サーバーが検索結果をページ分割する場合(LDAPのみ)。 | |
このサーバーは暗号化された接続を使�用しています | このボックスをチェックすると、以下のオプションから一つを選択するように求められます: SSLを使用する(LDAPS)あなたのLDAPSサーバーが信頼できない証明書を使用している場合、この画面で証明書のオプションを設定することができます。 TSLを使用する(STARTTLS)LDAPサーバーが自己署名証明書を使用してSTARTTLSを使用する場合、この画面で証明書のオプションを設定できます。 | |
ユーザ名 | アプリケーションがディレクトリサーバーに接続する際に使用する管理ユーザーの優れた名前。「Active Directory」について、ディレクトリから削除されたユーザーの状態を同期したい場合、ユーザーはビルトインの管理者グループのメンバーであるべきです。 | |
パスワード | 上記のユーザーのパスワード。パスワードは、オペレーティングシステムのネイティブ資格情報管理者に安全に保存されています。 |
チップ
設定が完了したら、その他タブに移動し、以前の同期操作との潜在的な競合を防ぐために同期キャッシュをクリアボタンを選択してください。詳細については、同期キャッシュのクリアをご覧ください。
次の手順を完了して、Directory Connectorを使用して同期する際に使用する設定を構成します:
備考
Active Directoryを使用している場合、これらの設定の多くはあらかじめ決定されており、したがって表示されません。
ディレクトリコネクタデスクトップアプリを開いてください。
設定タブに移動してください。
同期セクションで、必要に応じて以下のオプションを設定します:
オプション | 説明 |
|---|---|
間隔 | 自動同期チェックの間隔(分単位)。 |
同期中に無効なユーザーを削除します | このボックスをチェックして、あなたの組織で無効化されたユーザーをBitwarden組織から削除してください。 |
現在の同期設定に基づいて、既存の組織ユーザーを上書きします。 | このボックスをチェックすると、ディレクトリユーザーセットから欠けているユーザーを組織から削除するなど、各同期でユーザーセットを完全に上書きします。 このオプションを有効にした後に同期する前に、常にテスト同期を実行してください。 |
2000人以上のユーザーまたはグループが同期することが予想されます。 | このボックスをチェックしてください、もし2000以上のユーザーまたはグループを同期する予定がある場合。このボックスをチェックしないと、Directory Connectorは同期を2000ユーザーまたはグループに制限します。 |
メンバー属性 | ディレクトリがグループのメンバーシップを定義するために使用する属性の名前(例えば、 |
作成データ属性 | エントリが作成された時点を指定するためにディレクトリが使用する属性の名前(例: |
改訂日属性 | エントリが最後に変更された時点を指定するためにディレクトリが使用する属性の名前(例えば、 |
ユーザーがメールアドレスを持っていない場合、ユーザー名の接頭辞と接尾辞の値を組み合わせてメールアドレスを作成します。 | このボックスをチェックして、メールアドレスを持っていないユーザーのための有効なメールアドレスのオプションを作成します。 ディレクトリコネクターは、実際のまたは形成されたメールアドレスを持たないユーザーをスキップします。 |
メールアドレス接頭辞属性 | 形成されたメールアドレスのプレフィックスを作成するために使用される属性。 |
メールアドレスの接尾辞 | メールアドレスを作成するために使用される文字列( |
ユーザーを同期する | このボックスをチェックして、ユーザーをあなたの組織と同期させてください。 |
ユーザーフィルター | 同期フィルターを指定してください。 |
ユーザーパス | 指定されたルートパスと一緒に使用される属性で、ユーザーを検索するためのもの(例えば、 |
ユーザーオブジェクトクラス | LDAPユーザーオブジェクトに使用されるクラスの名前(例えば、 |
ユーザーのメールアドレス属性 | ユーザーの保存されたメールアドレスを読み込むために使用される属性。 |
グループを同期する | このボックスをチェックして、グループをあなたの組織と同期します。 |
グループフィルター | 同期フィルターを指定してください。 |
グループパス | 指定されたルートパスと一緒に使用される属性で、グループを検索します(例えば、 |
グループオブジェクトクラス | LDAPグループオブジェクトに使用されるクラスの名前(例えば、 |
グループ名属性 | ディレクトリがグループの名前を定義するために使用する属性の名前(例えば、 |
ユーザーとグループのフィルターは、任意のLDAP互換の検索フィルターの形式であることができます。
Active Directoryは、標準的なLDAPの指示と比較して、検索フィルターを書き込むためのいくつかの高度なオプションと制限を提供します。Active Directoryの検索フィルターの書き込みについてもっと学びましょうここ。
備考
ネストされたグループは、ディレクトリコネクタ内の単一の参照先で複数のグループオブジェクトを同期することができます。これを行うには、メンバーが他のグループであるグループを作成します。
サンプル
すべてのエントリーに対してobjectClass=userとcn(一般名)がマーケティングを含む同期をフィルタリングするには:
Bash(&(objectClass=user)(cn=*Marketing*))
(LDAPのみ)ou(組織単位)のコンポーネントがdn(識別名)のすべてのエントリで、マイアミまたはオーランドである同期をフィルタリングするには:
Bash(|(ou:dn:=Miami)(ou:dn:=Orlando))
(LDAPのみ)例えば、全てのou=Chicagoエントリを除外し、ou=Wrigleyville属性にも一致するものを除くような表現に一致するエンティティを除外するには:
Bash(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville)))
(広告限定)ヒーローズグループのユーザーのための同期をフィルタリングするには:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=Heroes,ou=users,dc=company,dc=com))
(広告のみ)ディレクトリまたはネスト経由で、ヒーローズグループのメンバーであるユーザーの同期をフィルタリングするには:
Bash(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=Heroes,ou=users,dc=company,dc=com))
チップ
同期をテストまたは実行する前に、Directory Connectorが正しいクラウドサーバー(例:USまたはEU)または自己ホスト型サーバーに接続されていることを確認してください。デスクトップアプリまたはCLIを使用して、その方法を学びましょう。
Directory Connectorがあなたのディレクトリに正常に接続し、希望のユーザーとグループを返すかどうかをテストするには、ダッシュボードタブに移動し、今すぐテストボタンを選択します。成功した場合、ユーザーとグループは、指定された同期オプションとフィルターに従って、ディレクトリコネクタウィンドウに出力されます:
一度同期オプションとフィルターが設定され、テストされたら、同期を開始できます。次の手順を完了して、ディレクトリコネクターとの自動同期を開始します:
ディレクトリコネクタデスクトップアプリケーションを開きます。
ダッシュボードタブに移動してください。
同期セクションで、同期開始ボタンを選択します。
あるいは、一度だけの手動同期を実行するために、今すぐ同期ボタンを選択することもできます。
Directory Connectorは、設定された同期オプションとフィルターに基づいて、あなたのディレクトリのポーリングを開始します。
アプリケーションを終了または閉じると、自動同期は停止します。ディレクトリコネクタをバックグラウンドで実行し続けるには、アプリケーションを最小化するか、システムトレイに隠してください。
備考
あなたがチームスタータープランにいる場合、メンバーは10人に制限されます。ディレクトリコネクタは、10人以上のメンバーを同期しようとするとエラーを表示し、同期を停止します。
Active Directoryインスタンスから同期する際に値の上限に達しました:
アクティブディレクトリのMaxValRangeは、デフォルトの設定が1500です。属性、たとえばグループのメンバーが1500以上の値を持つ場合、Active Directoryは空のメンバー属性と、MaxValRangeの値までの別の属性上の切り捨てられたメンバーのリストの両方を返します。
Active Directoryの最大グループのメンバー数よりも高い値に
MaxValRangeポリシーを調整することができます。ntdsutll.exeユーティリティを使用してActive Directory LDAPポリシーを設定するためのMicrosoftのドキュメンテーションを参照してください。