Active Directory と LDAP ユーザーの同期

このセクションでは、Active Directory を LDAP ユーザー同期と統合する手順について説明します。 次の手順に従って、ユーザーは次のことができます。

• LDAP 経由でユーザーを同期
• LDAP/ADFS によるユーザー認証

インターネット接続

ネットワーク接続図

1. 由 用戶APP, Outlook插件, 管理ページ 去到 ONES伺服器

   • 打開 ONES 的 WebApps。
   • 通訊埠: TCP 443

2. 由 ONES伺服器 去到 ONES播放器

   • 給房間播放器、樓層播放器等，連接伺服器接收信號，ONES伺服器可以通過https和wss協議實時更新數據。
   • 通訊埠: TCP 443

3. 由 ONES伺服器 去到 SMTP伺服器

   • 用於通過 SMTP 伺服器發送電子郵件，將電子郵件發送到接收方。
   • 通訊埠: TCP 25, 465, or 587 (depend on the SMTP伺服器 setting)

4. 由 ONES伺服器 去到 LDAP:

   • For synchronize users data from active directory.
   • 通訊埠: TCP 389 or 636 (depend on the LDAP Server setting)

5. 由 用戶APP, Outlook插件, 管理ページ to the ADFS

   • Active Directory Federation Services(ADFS) 的單點登錄
   • 通訊埠: TCP 443

手順

前提条件

• Microsoft アクティブ ディレクトリ
• オープン LDAP
• LDAP にアクセスするためのサービス アカウント

外部統合設定

1. ONES管理ページを開いて入力します

2. 設定 > 外部統合 を選択します

3. 新しい外部統合 +ボタンをクリックし、Active Directory (LDAP ユーザー同期あり)を選択します。

4. ホスト サーバーのアドレスとポートを入力します。

   ⚠️十分では、LDAPS で実行されます。 SSL を使用しない場合は、Run in LDAPS (Secure connection) でチェック ボックスをオフにします。

   :警告: LDAP サーバーに証明書の問題がある場合は、サーバー証明書エラーを無視してエラーをスキップするを選択できます (LDAPS で実行 (安全な接続)をチェックした場合に表示されます)。

5. サービス アカウントのユーザー名 (通常の形式: admin.super@company.hk または CompanyName\admin.super) と サービス アカウントのユーザー パスワード を入力します。

6. 識別名 (必須) と LDAP フィルター (オプション) を入力します。

   💡 識別名はOU=Users,DC=ones,DC=softwareの形式にする必要があります。同期するユーザーを含む組織単位を指定してください。

   💡 LDAP フィルターは高級フィルター機能で、セキュリティ グループや指定された名前などで指定されたユーザーをフィルター処理するために使用されます。形式は次のとおりです。"memberOf=CN=Development Teams,DC=ones,DC=software"

7. デフォルトでは、システムは無効なユーザーを同期しません。 無効なユーザーを同期する場合は、無効なユーザーを同期するを有効にします

8. 指定した Active Directory アイテムをユーザー カード番号に同期する場合は、リストから必要なオプションを選択してください。 デフォルトは同期しないです。

9. シングル サインオン バイでは、 ADFSまたは LDAPを選択できます。

   • ADFS の場合
     1. ADFS / Azure Active Directory の構成 ADFS 構成ガイド および AzureAD 構成ガイドに従ってくださいazure-ad-構成)
     2. メタデータ アドレスと WtRealM を入力します。
        • Exchange サーバーの場合
          • メタデータ アドレスに、「https://{your Active Directory アドレス}/FederationMetadata/2007-06/FederationMetadata.xml」を入力します。
          • Wt RealM に、Active Directory で構成された WS-Federation パッシブ プロトコル アプリの URL を入力します。
        • Microsoft 365 の場合
          • メタデータ アドレスには、WS-Federation ミドルウェアの MetadataAddress を入力します。
          • Wt RealM で、アプリケーション ID URI を入力します。
   • LDAP の場合、追加の構成は必要ありません

10. (オプション) ログイン クリック ボタンの名前を入力します。空白のままにすると、「Active Directory 経由でログイン (Login via Active directory)」と表示されます。

11. 保存 ボタンをクリックします。

12. ユーザーはログイン ページでシングル サインオンできるようになりました

「デフォルトのユーザー グループ」を設定することもできます。 この設定は、システムがユーザーを同期するときに、ユーザーをユーザー グループに自動的に割り当てます。

Active directory 経由でログイン (Login via Active directory)

❓ ADFS シングル サインオンと LDAP の違いは何ですか?

ADFS の場合、ユーザーがブラウザで Active Directory アカウントにすでにログインしている場合、ユーザー名とパスワードを入力せずに再度ログインできます。 LDAP の場合、ユーザーはログアウト後にシステムにログインするためにユーザー名とパスワードを再入力する必要があります。

ログインページでデフォルトのログインフィールドとクリックボタンを非表示にする方法

ユーザーがシステム ローカル アカウントでログインするためのデフォルトのログイン フィールドとクリック ボタン。 ローカル ユーザー アカウントを持たないシステムを使用している場合、またはユーザーにローカル アカウント経由でログインさせたくない場合は、管理ページの手順に従ってこれらのフィールドを非表示にすることができます。

1. 設定 > 一般設定 に移動します。
2. 非表示のユーザーアプリの基本ログイン を選択します
3. 「更新」ボタンをクリックします