OneLoginとActive Directoryを連携させてユーザ情報をリアルタイム同期させてみた

2018.04.19

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

まいど、大阪の市田です。Developers.IOでも度々出てきている「OneLogin」ですが、今回はActive Directoryとの連携についてご紹介したいと思います。

AWS上の構成

下記のブログで紹介している構成を前提としているので、「OneLogin AD Connector」と「Active Direcory」のサーバはVPCピアリングで通信する形となっています。詳細はこのエントリにある構成を見て頂ければと思います。

OneLoginを使ってWorkSpacesでMFAをしてみた

上記のエントリで「OneLogin AD Connector」の構築もご紹介しているので、今回は環境構築の詳細は割愛させて頂きます。

やってみた

それでは早速やってみます。 ユーザ情報を同期するにあたりOneLogin上で同期対象を選択することができるので、今回は下記のように全部を対象にしてみました。

49-ou

その内の「CM大阪」というOUに対して、ユーザを下記のように作成してみます。

40-new-user-on-ad-2

作成後にOneLoginのユーザ一覧を見ると、ほぼリアルタイムに表示されました。

41-user-sync

ユーザ個別の詳細情報にも入力した内容が反映されていますね。「Manager」や「Company」などの情報は未設定なので空欄です。

42-onelogin-user

次に先程のユーザに対して、他の情報を追加してみます。

43-soshiki

OneLogin上でも変更が反映されました。これもリアルタイムに見ることができました。

44-update-onelogin-info

次に、ユーザのステータスを同期してみます。ステータスを同期する場合は、OneLoginのDirectory設定を変更する必要があります。
下記のように対象Directoryを選択して、

45-cmtest-directory

「Advanced」タブで「Sync User Status from Active Directory」にチェックを入れます。設定を変更したら「Save」で保存です。

46-sync-user-status-on

設定できたので、AD側で該当ユーザを「無効」にしてみます。

47-kuramesotaro-disabled

先程は緑色だったステータスが、赤色に変わりました。

48-active-change

連携は便利

管理対象がActive Directoryだけで済むのは運用的に大きなメリットだと感じました。 特に難しいことも無かったので、是非ともお試しいただければと思います。

以上です。