Skip to main content

 

 

 

 

Template:OutSystems/Documentation_KB/Breadcrumb_New_Layout

 

 

Template:OutSystems/OSLanguageSwitcher

 

 

 

OutSystems

LDAP認証を構成する

OutSystemsアプリケーションのエンドユーザーを認証するためにLDAP(Lightweight Directory Access Protocol)を構成するには、2つの方法があります。

LDAPプロトコルを使用してActive Directory(AD)に接続する
接続するActive Directoryインフラがあるが、OutSystemsフロントエンドサーバーをActive Directoryドメインに含めることができない場合に使用します(クラウドインフラ内など)。このオプションを使用すると構成プロセスを簡素化できます。ただし、フロントエンドサーバーがActive Directoryドメインコントローラにアクセスできる必要があります。
標準的なLDAPを使用する
OpenLDAPなどの非ADインフラに接続する場合に使用します。

Active Directoryを使用したLDAP認証の構成

LDAPとActive Directoryによるエンドユーザー認証をOutSystemsで構成するには、以下の手順を実行します。

  1. Usersアプリケーションで、サイドバーにある[Configure Authentication]をクリックします。

  2. Authentication]ドロップダウンリストから[LDAP]を選択します。

  3. LDAP URL]フィールドに、URLを以下の形式で入力します。

    ldap://<LDAPサーバー>:<ポート>/<ベース識別名>

    このフィールドの値の作成方法の詳細については、「Active Directoryの構成情報を取得する」をご覧ください。

    注記:
    Secure LDAPを使用する場合は、プロトコルをldaps://に変更します。
    ldap://のプレフィックスはURLから省略できますが、Secure LDAPを使用する場合はldaps://のプレフィックスを含める必要があります。

  4. Use AD credentials]を選択します。

  5. または、[Default Domain]フィールドに、エンドユーザー認証を行うドメインを入力します。

  6. 各フィールドにテスト用の資格情報を入力して構成をテストします。

以下の例では、Windowsのリモートサーバー管理ツール(RSAT)に含まれるADSI Editツールを使用して、Active Directoryの階層ツリーを参照しています。

この場合、ドメインコントローラのアドレス(これをサーバーアドレスとして使用します)はDOMAINCONTROLLER.domain.outsystems.comで、デフォルトポートとして構成されており、表示されるルートLDAPノードの識別名(DN)はDC=domain,DC=outsystems,DC=comです。

CN=Users LDAPノードに構成されているエンドユーザーを認証する場合、[LDAP URL]フィールドでは以下のベース識別名を使用します。

CN=Users,DC=domain,DC=outsystems,DC=com

識別名は右(ルート)から左(リーフ)に向かって読み取られます。[LDAP URL]フィールドの最終的な値は以下のようになります。

ldap://DOMAINCONTROLLER.domain.outsy...systems,DC=com

標準的なLDAP認証を構成する

標準的なLDAP認証(つまり、Active Directoryに関連付けられていないLDAP)を使用したOutSystemsのエンドユーザー認証を構成するには、以下の手順を実行します。

  1. Authentication]ドロップダウンリストから[LDAP]を選択します。

  2. LDAP URL]フィールドに、URLを以下の形式で入力します。

    ldap://<LDAPサーバー>:<ポート>/<ベース識別名>

    注記:
    Secure LDAPを使用する場合は、ldaps:// URLスキームを代わりに使用します。
    ldap://のプレフィックスはURLから省略できますが、Secure LDAPを使用する場合はldaps://のプレフィックスを含める必要があります。

  3. Use Standard LDAP]を選択します。

  4. User Search Filter]で、ユーザー検索時に使用するフィルタを記述します。{0}のプレースホルダはユーザー名を示します。クエリが定義されていない場合、指定されたとおりのユーザー名がLDAPサーバーに送信されます。

    User Search Filter]フィールドの下のヘルプテキストに、検索フィルタの例がいくつか示されています。検索フィルタの詳細については、Microsoftのドキュメントの「Search Filter Syntax」をご覧ください。

    MicrosoftのActive Directory Explorerなどのツールを使用して、LDAPプロバイダに保存されている情報を参照することや検索フィルタの作成およびテストを行うことができます。なお、LDAPサーバーで非認証の操作が許可されていない場合、検索操作の実行権限を持つユーザーの資格情報を入力する必要があります。

    注記: 一部のLDAPサーバー(特に非ADサーバー)は、ユーザーのLDAP識別名(DN)でしかログインできません。検索フィルタを使用することにより、プラットフォームでOutSystemsユーザー名を取得し、その識別名をLDAPサーバーで検索してからユーザーのログインを試行することができます。

  5. 各フィールドにテスト用の資格情報を入力して構成をテストします。

Active Directoryの構成情報を取得する{ #obtain-ad-info }

Active Directoryに含まれるコンピュータを使用する

エンドユーザーの認証に使用するActive Directoryドメインに含まれるコンピュータを使用する場合、追加設定なしで使用できるWindowsのツールを使用して必要な情報(ドメイン名、ベース識別名、ドメインコントローラのアドレス)を確認し、[LDAP URL]フィールドの値を作成することができます。

  1. 現在のドメイン名を取得します。

    Windows 8以上を使用している場合は、Settingsアプリを開いて[Accounts> Access work or school]に移動します。Active Directoryドメインに接続していることとそのドメイン名を示す通知が表示されます。

    Windows 7を使用している場合は、コントロールパネルを開き、[システムとセキュリティ]に移動して[システム]をクリックします。[コンピューター名、ドメインおよびワークグループの設定]に現在のドメインが表示されます。

  2. ドメイン名からベース識別名を取得します。

    以下のような変換を行って、ドメイン名からベース識別名を作成します。

    1. ドメインアドレス内の「.」(ドット)文字を「,」(カンマ)文字に置き換えます。
    2. アドレスの各部分の前にDC=を追加します。

    たとえば、domain.outsystems.comDC=domain,DC=outsystems,DC=comになります。

    ヒント: より具体的なベース識別名(BDN)を指定すると、LDAP検索を絞り込むことができます。以下の例では、BDNに別の部分を追加し、CN=Users LDAPノードに構成されているユーザーのみを認証するようにしています。

    CN=Users,DC=domain,DC=outsystems,DC=com

  3. LDAPサーバーアドレス(この場合、ADドメインコントローラのサーバーアドレス)を取得します。

    この情報を取得するには、複数の方法があります。2つの方法を以下に示します。

    A) コマンドラインコンソールを開き、nslookupコマンドを実行します。>のプロンプトが表示されます。ここで以下のコマンドを実行します。DOMAINNAME.mycompany.comはご利用のドメイン名に置き換えます。

    set type=all
    _ldap._tcp.dc._msdcs.DOMAINNAME.mycompany.com

    2つ目のコマンドでは情報が出力されます。以下の形式の行を検索します。

    svr hostname = SERVERNAME.mycompany.com

    これらがActive Directoryドメインコントローラのアドレスです。いずれかのサーバーアドレスを選択して[LDAP URL]フィールドに入力します。
    詳細については、Microsoftのドキュメントの「How to verify that SRV DNS records have been created for a domain controller」をご覧ください。

    ヒント: 複数のアドレスが表示された場合は、ネットワーク管理者に最適なアドレスを確認してください。

    B) または、コマンドラインコンソールを開いて以下のコマンドを実行します。DOMAINNAME.mycompany.comはご利用のドメイン名に置き換えます。

    nltest /dclist:DOMAINNAME.mycompany.com

    Active Directoryドメインコントローラのアドレスのリスト(1つまたは複数のエントリ)が表示され、それと合わせて各行にその他の情報が表示されます。いずれかのサーバーアドレスを選択して[LDAP URL]フィールドに入力します。

    ヒント: 複数のアドレスが表示された場合は、ネットワーク管理者に最適なアドレスを確認してください。

Active Directoryに含まれないコンピュータを使用する

エンドユーザーの認証に使用するActive Directoryドメインに含まれないコンピュータを使用する場合、ネットワーク管理者に適切なLDAPサーバーのアドレスとベース識別名を問い合わせてください。

  • Was this article helpful?