OneLoginとActive Directoryを連携させてユーザ情報をリアルタイム同期させてみた
まいど、大阪の市田です。Developers.IOでも度々出てきている「OneLogin」ですが、今回はActive Directoryとの連携についてご紹介したいと思います。
AWS上の構成
下記のブログで紹介している構成を前提としているので、「OneLogin AD Connector」と「Active Direcory」のサーバはVPCピアリングで通信する形となっています。詳細はこのエントリにある構成を見て頂ければと思います。
上記のエントリで「OneLogin AD Connector」の構築もご紹介しているので、今回は環境構築の詳細は割愛させて頂きます。
やってみた
それでは早速やってみます。 ユーザ情報を同期するにあたりOneLogin上で同期対象を選択することができるので、今回は下記のように全部を対象にしてみました。
その内の「CM大阪」というOUに対して、ユーザを下記のように作成してみます。
作成後にOneLoginのユーザ一覧を見ると、ほぼリアルタイムに表示されました。
ユーザ個別の詳細情報にも入力した内容が反映されていますね。「Manager」や「Company」などの情報は未設定なので空欄です。
次に先程のユーザに対して、他の情報を追加してみます。
OneLogin上でも変更が反映されました。これもリアルタイムに見ることができました。
次に、ユーザのステータスを同期してみます。ステータスを同期する場合は、OneLoginのDirectory設定を変更する必要があります。
下記のように対象Directoryを選択して、
「Advanced」タブで「Sync User Status from Active Directory」にチェックを入れます。設定を変更したら「Save」で保存です。
設定できたので、AD側で該当ユーザを「無効」にしてみます。
先程は緑色だったステータスが、赤色に変わりました。
連携は便利
管理対象がActive Directoryだけで済むのは運用的に大きなメリットだと感じました。 特に難しいことも無かったので、是非ともお試しいただければと思います。
以上です。