本書はDirectory Synchronization Service (DSS) とDirectory Synchronization Agent (DSA) コンポーネントを使用して、組織のディレクトリサービスとOpenLMデータベースを同期する方法を説明する詳細なガイドです。
OpenLM CloudでDirectory Syncを設定したい場合はこちらのドキュメントを参照ください。
LDAP属性とOpenLM Serverユーザー属性のマッピングについてはこちらをご覧ください。
1. 概要 #
OpenLMはドメインディレクトリ(例:アクティブディレクトリ)のユーザー情報をOpenLMデータベースを同期する機能を提供します。これはDirectory Synchronization Service (DSS) とDirectory Synchronization Agent (DSA) コンポーネントを使用する事で遂行できます。
LDAP同期を実行するためには両方のコンポーネントのインストールが必要です。
構造概要:
- DSSはOpenLM Serverに直接接続します。OpenLM Serverと同じマシンか別のマシンにインストールする事ができます。DSSの機能は同期定義を保存する事とDSAを管理する事です。
- 1つ以上のDSAがDSSに接続します。DSAはDSSと同じマシンか別のマシンにインストールする事ができます。DSAの機能はDSSから同期定義を受け取り、ドメインディレクトリをクエリし、データをDSSに報告します。
- DSSがDSAからデータを受け取ると、DSSはOpenLM Serverへデータを送信します。
注意: 単一のDSAは複数のディレクトリ(例;ADとeDirectoryの両方)をクエリするように使用する事もできます。このダイアグラムは2つのDSAが使用されていますが、多くの可能な設定の中の一つに過ぎません。
2. 要件 #
- OpenLM Serverバージョン21以上
- Directory Synchronization拡張機能をサポートするOpenLMライセンスファイル(sales@openlm.comにコンタクトしてください)
- OpenLM Serverと別のマシンにDSSやDSAをインストールする場合、そのマシンがドメインコントローラーと同じネットワークに属する事を必ず確認してください。
- サポートされているデータベース; MariaDB, MS SQL, My SQL (Firebirdは廃止されました)
ポート設定:
DSAをインストールする場合、ポート8081が空いてなければいけません。占有されている場合、インストール中にエラーとなります。DSAインストレーションフォルダーにあるkestrel.configファイル(C:\Program Files \OpenLM\OpenLM Directory Synchronization Agent)を編集しポート番号を変更してDSAサービスをリスタートしてください。
更にOpenLM Serverと別のマシンにDSSやDSAをインストールする場合、適切なファイアウォール規則がアプリケーションポートに設定されているか必ず確認してください。
- OpenLM Serverマシン: インバウンド5015、アウトバウンド7026
- DSS マシン: インバウンド、アウトバウンド共に7026
- DSA マシン: アウトバウンド7026
3. インストール #
3.1. Directory Synchronization Service (DSS) #
1. ダウンロード ページから最新のDSSをダウンロードしてください。インストーラーをダブルクリックして実行してください。
2. Check the “I agree to the license terms and conditions” box and click Next.
2. “I agree to the license terms and conditions”(利用規約に同意する)ボックスをチェックしてNext(次へ)をクリック
3. 次のプロンプトで、使用したいデータベースを選択するように尋ねられます。ドロップダウンリストから選択し、Next(次へ)をクリックしてください。 アップグレードの場合でデータを移行する必要がある場合は4.2のセクションにいってください。
- データベース設定詳細を入力しNextをクリック:
このプロンプトはDBのタイプによって少し違うかもしれないです。
4. インストレーションフォルダーの変更ができます。デフォルトはC:\Program Files\OpenLM\OpenLM Directory Synchronization Service\です。 Next(次へ)をクリック
5. セットアップが完了したらFinish(終了)をクリック。セットアップウィザードを閉じてブラウザでDSSユーザーインターフェイスを開きます。
注意: DSSの使用を開始するには、少なくとも1つのDSAインスタンスをインストールする必要があります。
4. 設定 #
4.1. Directory Synchronization Service (DSS) #
DSSを操作する前に、設定を終えなければなりません。設定は次の通りです。
1. DSSのユーザーインターフェイスを開く。DSSインストーラーでFinish(終了)をクリックすると自動的に開く場合と、Windows Start(開始) → OpenLM → OpenLM Directory Sync
注意: Identity Serviceを使用している場合は、Identity ServiceでDSSを設定しDSS serviceをリスタートします。詳細はこのガイド をご覧ください。Identity Serviceを使用しない場合は、ログインは要求されません。
2. 左側のメニューで、Service Configurationタブをクリックしてください。
3. 次の通り詳細を入力します:
イラストレーション: 同じマシンにインストールされたOpenLM ServerとDSSのデフォルト設定
OpenLM Server:
- IP/Hostname – DSSが接続しデータを送るOpenLM ServerマシンのURL。 OpenLM ServerがHTTPS/SSLを使用する場合、ここでのホスト名がSSL証明書と正確に同じであることを必ず確認する。
- Port – OpenLM ServerのAPIポート (デフォルト: 5015)
DSS Server
- IP/Hostname – OpenLM ServerマシンにリポートされるDSSサーバーのURL。SSLを使用する場合、ホスト名が正確に証明書ファイルと同じであることを必ず確認する。
- Port – DSSのUIで使われるポート(デフォルト: 7026). デフォルトで、このフィールドはRead-only(リードオンリー)です。変更するには、kestrel.configファイル(C:\Program Files\OpenLM\OpenLM Directory Synchronization Service\ )を編集する。
- SSL – DSS通信ポートにHTTPSが有効か無効かチェックする。有効の場合、SSL証明書ファイル(pfx) とSSL証明書用パスワードを指定しなければならない。 DSA接続設定はDSAインストーレーションフォルダーのOpenLM.Ldap.Agent.config ファイルを編集して調整しなければならない。
追加のService Configurations:
日時
- DSS UIで使用され表示されるタイムゾーンを指定できます:
上級者向け:
- Advanced タブではDSSデータベースからユーザーとグループを削除できます。 DSSデータベースからエンティティとリレーションを削除するために使われ、DSSの初期設定のプロセスでは使用されるべきではありません。やり直しができないので気を付けてください:
4. 設定を決定するにはApply(適用)をクリックしてください。OpenLM Serverに接続リクエストが送られます。
注意: Identity Serviceを使用している場合は、 DSSは自動的にこの設定を検知します。
5. EasyAdminを開く (Windowsスタート→ OpenLM → OpenLM EasyAdmin User Interface).
6.EasyAdmin スタート → Administration(管理) から External Platformsをクリック
7. 左のDSSタブをクリックしApprove(承認)をクリック。
8. DSSへの接続が成功したら、成功のメッセージを受け取る。
その時点で、OpenLM ServerとDSSの接続は確立された。
a) 以前のLDAP同期の定義がある場合、新しいドメインや新しい同期定義を追加設定する前に、どうするか決めなければならない。続けるには下記セクション4.2を参照してください。
b) 以前のLDAP同期定義が無い場合、設定はこれで完了しました。セクション5で説明されるドメインと同期定義の追加を開始する前に、DSAインスタンスを少なくとも1つ追加しなければならない。
★SSL(HTTPS)のOpenLM ServerとIdentity ServiceとのDSSワークフロー #
OpenLM ServerとIdentity ServiceがSSLの場合 (HTTPS):
1. OpenLM ServerとIdentity ServiceがSSL(HTTPS)の場合、DSSのUIで接続タブを開き、
ServerのIP/ホスト名値をHTTPS: FQDN (例 “https://hostname.domain”)に変更してください。
SSL証明書が通常FQDNで発行されているのでそうしなければなりません。 Apply(適用)をクリック。
2. HTTPSのOpenLM ServerでDSSが認証された後、DSSのappsettings.jsonファイルのIdentity Serviceのセクションを更新しなければなりません:
- -“Authority”フィールドを“http:identityHost:port”から“https:identityHost:port”に手動で変更
- IdentityのUIのセキュリティ設定からDSSのURLの最後に “/”を追加して保存します (Identity Serviceに新しい設定を許可してDSSにリクエストを送るのを許可します)
例 http://hostname:7026からhttp://hostname:7026/に変更
3. 1,2の設定後、DSSサービスを最初にリスタートし、DSAサービスをリスタートします。
***** DSS & DSA SSL設定 ***** #
- SSLトグルスイッチをONにし、証明書パスを入力してください。
- DSSサービスをリスタート。
- Identity Service UIを開き、新しいURLを入力(https://FQDN:7026)
- DSSサービスを再びリスタート。
- 新しいURL(https://FQDN:7026)でDSSのブラウザUIを開く
- DSSのUIで [DSS SERVER IP/Hostname]フィールドに新しいURL (https://FQDN)を入力。
- Apply(適用)ボタンをクリック。
4.2.DSS 1.4 (Firebird )からDSS v21.へのアップグレードとデータベース移行: #
この ドキュメントでOpenLM Serverをv5.6にアップグレードする方法を参照してください。こちらで DSSv1.4へLDAP移行する詳細をご覧ください。
DSSをアップグレードする場合、システムがFirebirdエンジンを使用している検知した場合、DSSの移行ウィザードで特別に指定されたチェックボックスが自動的に表示されます。違うデータベースタイプを使用している場合、移行は必要ありません。準備OKです。下記ガイドはOpenLM Server5.6からv21で移行が想定される場合です。
- Migrate data”ボックスをチェックしてください。ドロップダウンリストから、 ご要望のデータベースを選び、Next(次へ)をクリック
- インストールには空のデータベーススキーマが必要です。下記スクリーンショットで設定詳細を入力する必要があります。: サーバー名、データベース名、ユーザー、パスワード。 Next(次へ)をクリック。注意: データベースタイプによって、下記スクリーンのフィールドは少し違います。
- プログラムをインストールしたいフォルダーを選びます。Browse をクリックします。デフォルトの場合はそのままにします(推奨)。フォルダーが決定したらNext(次へ)をクリック。
- DSSをインストールする準備ができました。デスクトップアイコンが欲しい場合はチェックしてInstall(インストール)をクリック。
- インストレーション/移行が完了しました。Finish(完了)をクリック。
- DSSページを開きます。Service Configurationタブをクリック。 サーバー設定詳細を入力してください。(v21の画面はv5.6と違っています) Apply(適用)をクリック。
変更が適用されたか確認するには、EasyAdminからDSSを開きます。 (Administration管理→Directory Synchronization)
- Directory Synchronization Agentアップグレードに続いてください。
4.3. DSS設定ツール #
DB設定 #
最初にDSSのシステム要件から、データベースを作成しなければなりません。そしてDSSでその外部データベースを使用する前に下記のDBアップグレード手順からスキーマをアップグレードしなければなりません。
DSSがどのデータベースにデータを保存するか設定します。
DSSは外部データベースと稼働するように設定できます: mysql / mssql/ mariadb (システム要件をご確認ください)
DB provider(データベースプロバイダ) – データベースのプロバイダを選択してください。MariaDB, MySQL、標準の認証かWindows認証を持つMicrosoft SQL Server
Server name(サーバー名) –外部データベースサーバーのIPかホスト名
Port(ポート) – (MySQLかMariaDBのみ)データベースのリスニングポート
DB Name –データベース名
UserID – (MySQL, MariaDBか SQL Server認証) データベースユーザーの名前
Password – (MySQL, MariaDBか SQL Server認証) データベースユーザー用パスワード
Test – データベースへの接続をテストするためにクリックしてください。
Apply(適用) – 設定を保存する
DB Upgrade(DBアップグレード) #
このツールはDSSデータベースを最新のデータベーススキーマにアップグレードします。この操作は、DSSスキーマにフォーマットされてない以前の新しく作成されたデータベースを使用する場合に必要です。
データベースをアップグレードするには、データベースタイプを選択し、DB設定タブでログインと接続詳細を入力し、アップグレードをクリックしてウィザードの指示に従ってください。
5. Directory Synchronization Agent #
1. ダウンロード ページから最新のDSAを入手してください。インストーラーをダブルクリックで実行してください。
2. “I agree to the license terms and conditions(使用規約)” ボックスをチェックしてNext(次へ)をクリック。
3. Agentのインスタンス用に説明的な名前を入力(スペース不可)しDSSのインストレーション詳細を入力してください (DSS UI → Service Configurationタブ)。サーバーのバージョンを選択: On-premiseかCloud。Next(次へ)をクリック。
4. 次のプロンプトは認証を尋ねられます。Identity Serviceを使用してなければこのステップはとばしてください。
5. 認証ファイルを入手するにはEasyAdminを開いてください: スタート→Administration(管理)→System&Security(システム&セキュリティ)→Security(セキュリティ)→Authorization(認証)→Add(追加)
6. ドロップダウンリストからクライアントタイプDSAを選択しSave(保存)をクリック。
(シークレットキーが一度表示されます。ウィンドウを閉じる前に保存してください。).
7. クライアントIDとクライアントシークレットを持つJSONファイルをダウンロードしてください:
8. インストレーションに戻り、JSONファイルをインポートするかコピー&貼り付けで認証を行います:
9. インストレーションフォルダーを変更できます。パスを入力するか Browseをクリックします。完了したらNext(次へ) をクリック。
10. 設定が一度完了したら、Finish(完了)をクリック。 この時点で、DSA承認リクエストがDSSに送られます。セクション6.1.1.に従ってDSSのUIを開き、Agent Managerタブで承認してください。
アップグレードが完了したら、データ移行が上手くいったか必ず確認してください。
6. Usage(使用) #
6.1. Agent Manager #
Agent Managerタブでは、DSSに制御された全てのDSAを見ることができます。
6.1.1. 新規エージェントを承認 #
DSSにリポートするように設定され新規でインストールされたDSAの全ては、操作をする前に承認されなければなりません。
実行するには:
1. Agent Manager タブをクリックしてください
2. “Pending approval(承認待ち)”のステータスのAgent行をクリックします (またはAgent編集アイコン)。
3. Agent承認画面で、ステータスドロップダウンメニューを開き、 Enabled(有効)を選びApprove(承認)をクリック。
6.1.2. エージェントプロパティの編集 #
1. 変更したいAgent行をクリックしてください。 (またはAgent編集アイコンをクリック)。そしてAdvanced Settingsをクリック。
2. 要望するフィールドを変更する。各値の意味を下記テキストで理解してください。
Agent name(エージェント名) – エージェント名。単独名でなければなりません。 (例: 他の既存エージェント名と異なる名前)
Description (optional)(説明:オプション) – エージェントを特定したり思い出したりするテキストを入力してください
Status(ステータス) – 次のいずれかに設定する
- Enabled(有効) – エージェント操作可能。同期ジョブのためDSSにクエリ問い合わせし実行。
- Suspended (一時停止)– エージェントで実行される全同期が一時停止となります。ステータスが有効に変わると、再開します。
Agent request interval (エージェントへのリクエストインターバル) – エージェントが同期ジョブをチェックするためにDSSをクエリする頻度を指定します。5~600秒の間のどの値でもかまいません。
Sync method(同期方法) – 次のいずれかに設定できます。
- Parallel (平行)– このモードはエージェントが並行して複数の同期を同時に実行する事を意味します。
- Serial mode (シリアルモード)– FIFO(First最初がINし最初がOUTする)方法に基づき、一つずつ同期が実行されます。
3. 完了したらSave(保存)をクリック
6.1.3. 一括エージェントプロパティ編集 #
一度に複数のエージェントのプロパティを変更:
1. 編集したい各エージェントのチェックボックスをチェックする
2. Bulk Edit(一括編集)をクリック
利用可能なプロパティは上記セクション6.1.2で説明されているのと同じです。
3. 完了したら、変更を適用するため、Save(保存)をクリック
6.1.4. エージェントの削除 #
1つ以上のエージェントを削除するには、削除したいエージェントのチェックボックスをチェックし、Delete(削除)をクリックする。
6.2. Domain Manager #
Domain Managerタブ ではOpenLMが同期するドメインディレクトリを設定できます。
6.2.1. 新規の同期ドメイン追加 #
1. Add Domain(ドメイン追加)を選択。ドメイン追加画面が開きます。下記指示に従い、フィールドを設定してください。
Domain type(ドメインタイプ) – 同期したいLDAPドメインディレクトリのタイプ。 現在次のいずれかを選択できます。
- Active Directory
- eDirectory
- ApacheDS
- AzureAD
- Google CDS
Domain name(ドメイン名) – ドメインコントローラのホスト名/IP
Port(ポート) – ドメインコントローラのポート
SSL – ドメインコントローラへの接続がSSLで暗号化されている場合チェック
Username(ユーザー名) –アドミニストレーターアカウントのユーザー名。読み取りアクセスが必須。サービスアカウント推奨。
通常アカウントだとパスワードの有効期限が切れて同期に失敗する可能性あり
Password(パスワード) – ドメインコントローラユーザーのパスワード
For Azure:
- ドメイン名
- Client ID
- Client Secret
- Tenant ID
AzureAdの同期についてはこのリンクの詳細を参照してください。
Google CDSの同期についてはこのリンクの詳細を参照してください。
2. Check domain connectivity(ドメインへの接続をチェック)をクリックしてTESTを実行します。接続テストを実行するエージェントを選択するように促されます。作業自体は最大2分かかります。完了したら、ボタンの下に成功か失敗かのメッセージが出ます。
3. ドメイン設定を保存するSave(保存)をクリックするか、設定を保存しこのドメインが選択されたままでAdd Sync(同期追加)画面を開くには、Save Domain & Add Sync(ドメイン保存&同期追加)をクリックします。
6.2.2. ドメインを削除 #
1つ以上のドメインを削除するには、削除したいドメインの箱をチェックしDelete(削除)をクリック。
最終確認画面がポップアップします。
注意: ドメインと結びついた同期定義がある場合、同期定義も削除されます。このチェックボックスをチェックしないと先には進みません。
6.3. Sync Manager(同期マネジャー) #
Sync ManagerタブでOpenLMが同期するドメインの同期定義を設定できます。Sync Managerは全ての同期設定へのアクセスを中央管理します。
6.3.1. 新規同期定義を追加 #
新しい同期定義を追加するには:
1. Add Sync(同期追加)をクリック。
2. 次の通りにフィールドを入力:
Sync name(同期名) – 同期定義を特定するテキストを入力。単独名でなければなりません。(例: 他の同期定義名と異なる事)
Status(ステータス) – 同期が有効か無効かチェック
Destination & Timeタブ #
Agent(エージェント) – この同期を実行するエージェントを選択
Domain name(ドメイン名) – 同期されるドメインを選択。ドロップダウンリストはDomain Managerタブのドメインがリストされます。
Start node(開始ノード) – この同期が開始するノードへのLDAPパスを入力。 大きいサービスディレクトリにおいては、ツリーのノードを指定する事で、検索を狭めパフォーマンスを向上します。デフォルトでこの値は、選択されたドメインディレクトリのルートに対応するように自動的に入力されます。ディレクトリのスタートノードを検証するにはTest(テスト)をクリックします。2分ほどかかります。LDAP接続文字列が正しいフォーマットである事を必ず確認してください。
例 #1: ドメインコントローラー10.0.0.153でドメイン“testdev1domain.openlm.biz”の組織単位“OU_AB”を選択
LDAP://10.0.0.153/OU=OU_AB,DC=testdev1domain,DC=openlm,DC=biz
例 #2 ドメインコントローラーserver2008r2ldap.openlm.bizでドメイン“openlm.com”の“SecGroup”セキュリティグループを選択
LDAP://server2008r2ldap.openlm.biz/CN=SecGroup,DC=openlm,DC=com
例 #3: “testdev1domain.openlm.biz” ドメインで順に組織単位“OU_AB”、”OU_A”の下“Group_AB1”グループを選択
LDAP://10.0.0.153/CN=Group_A2,OU=OU_A,OU=OU_AB,DC=testdev1domain,DC=openlm,DC=biz
正しいノードパスを見つけるには、LDAP Adminツール の使用をお勧めします。ノードツリーを右クリックし、“Copy dn to clipboard”(クリップボードにdnディレクトリノード?をコピー)を選択。
Sync schedule (同期スケジュール)– 同期がいつ実行されるかスケジュールを定義する
- By time(時間単位) – 同期の日と開始時間を選択しAdd(追加)をクリックしてスケージュールに追加する。複数の時間が追加可能。
- By interval(インターバル単位) – 開始時間(hh:mmフォーマット)を入力し、同期が繰り返されるインターバル(無稼働期間)を入力する。(1~720時間までのいずれかの値) DSSが再開されると、同期を引き起こす開始時間まで待ちます。
Object(対象物)タブ #
Sync object type(同期オブジェクトタイプ) – 同期するオブジェクトタイプを選択。
- Users(ユーザー) –ユーザーオブジェクトのみ同期されます。Only users monitored by OpenLM(OpenLMに監視されてるユーザーのみ)ボックスを選択できます。(下記説明参照)
- Computers(コンピューター) – コンピューターオブジェクトのみ同期されます。
注意: Azure ADの場合; ユーザーオプションのみサポート
Only users monitored by OpenLM (OpenLMに監視されてるユーザーのみ)
同期を実行する時このボックスがチェックされていると、OpenLMのユーザー名と合致するディレクトリユーザーのデータのみインポートされ同期されます。このオプションはOpenLMシステムで関連するライセンス活動の履歴データのないディレクトリユーザーを追加したくない時に便利です。
技術的注意:パフォーマンスの理由で、監視されるユーザーリストはDSSによってキャッシュされます。スケジュールした同期が引き起こされると、DSS はServerから最後に取られたリストからどのくらい時間がたったか計算します(これが初めての同期でないとの仮定)。もしこの期間がappsettings.jsonファイルのActiveUsersRefreshIntervalHoursパラメターより大きい場合、DSS は最初にOpenLM Serverにユーザーリストを更新するようにクエリし、そのリストを使用してDSAを介してディレクトリのクエリに進みます。もしこの期間が短い場合は、キャッシュのユーザーリストを使用してディレクトリをクエリします。手動の同期はこの条件を回避します。もし頻繁に同期をする必要があり、監視されるユーザーが同期と同期のインターバル中に頻繁に追加されたり変更される場合はこのパラメターを低く設定してください。
Sync attribute(同期属性) – 同期するディレクトリ属性を選択するか入力する。 特定のディレクトリータイプでその属性が存在するか必ず確認してください。“Sync attribute”(同期属性)はユーザーオブジェクトタイプでのみサポートされています。次から選択してください:
- cn はLDAPディレクトリで使用される標準の“Common Name”(共通名)属性です。
- sAMAccountName (例:“jdoe”) はWindows Server 2000より前のアクティブディレクトリのバージョンで使用されます。
- userPrincipalName (例: “john.doe@company.com”)はWindows Server 2000以降のアクティブディレクトリのバージョンで使用されます。
注意: Azure ADの場合; UserPrincipalNameオプションのみサポート
Membership filter(メンバーシップフィルター) – 全てのオブジェクト(フィルター無)を同期するか、組織ユニット(OU)かセキュリティグループに属するオブジェクトのみ同期するかを選択。
注意: Azure ADの場合: 2つのオプションがあります
- 全オブジェクト
- グループのメンバーのみ
Search depth(検索深度) – 同期深度を定義します。このオプションは特定の階層レベルに同期プロセスを限定する事ができます。
- 0 (デフォルト) – 完全にツリーグループ階層が同期されます。
- 1 – 開始ノードグループのみ同期されます。
- 2 – 開始ノードグループとその第1子達のみ同期されます。
- 3 – 開始ノードとその第2子孫達までのみ同期されます。
- これ以降同じパターンです。
グループのルールタブ #
どのグループが作成されるか規則を選択します。
No groups(グループなし) – グループの同期でデフォルトの選択です。このオプションはオブジェクトが属するどのグループも無視します。全てのオブジェクトはシステムデフォルトのOpenLM_Everyoneグループに割り当てられます。
Flat(平坦) – 全てのオブジェクトはアドミニストレーターに定義されるグループのメンバーとなります。同期ツリーで見つかる全てのオブジェクトはこの単一グループのメンバーに割り当てられます。どの階層構造も無視されます。
Hierarchical(階層) – 階層LDAPノードツリーに従ってグループが作成されます。このルールで含むオブジェクトクラスの種類を選択できます。
- Organizational Units 組織単位(OUs) – ディレクトリの既存組織単位が持つグループらは同じ名前で作成され、その中に属するオブジェクトはそれらのグループのメンバーとして割り当てられます。
- Security Groups(セキュリティグループ) – ディレクトリの既存セキュリティグループが持つグループは同じ名前で作成され、その中に属するオブジェクトはそれらのグループのメンバーとして割り当てられます。
- Distribution groups(配布グループ) – ディレクトリの既存配布グループが持つグループは同じ名前で作成され、その中に属するオブジェクトはそれらのグループのメンバーとして割り当てられます。
- Customized & Unknown Object Classes(カスタマイズか未知オブジェクトクラス) – 未知かカスタムされたオブジェクト(OU、Security GroupやDGの標準ディレクトリクラスタイプ外の物) が持つグループは同じ名前で作成され、その中に属するオブジェクトはそれらのグループのメンバーとして割り当てられます。
注意: Azure ADの場合; Security Groupsオプションのみサポート
Include start node(開始ノードを含む) – 同期に開始ノードを含めるか否か。
Search depth(検索深度) – 同期深度を定義します。このオプションは特定の階層レベルに同期プロセスを限定する事ができます。
- 0 (デフォルト) – 完全にツリーグループ階層が同期されます。
- 1 – 開始ノードグループのみ同期されます。
- 2 – 開始ノードグループとその第1子達のみ同期されます。
- 3 – 開始ノードとその第2子孫達までのみ同期されます。
- これ以降同じパターンです。
Entity attribute (エンティティ属性)– メンバーがもつ特定の属性に従ってグループが作成されます。入力するか、同期したい属性をドロップダウンメニューから選択してください。(例: “Division”, “Employee ID”, “Initials”, “Department”等)。各単独属性で、新しいOpenLMグループが作成されます。ユーザーやコンピューターが同じ属性を持つ場合、各グループに追加されます。
Regular expression to specify the sub-level of the selected attribute 選択された属性の準レベルを指定する通常表現 (オプション) – 通常表現に合致する属性で同期を可能にします。例: “Country”属性が選択され、“USA”を入力すると、“Country”属性が“USA”に設定された物のみ同期される。
Set as default group デフォルトグループとして設定 チェックボックス #
リポート目的で、デフォルトグループはユーザーのライセンス使用時間が数えられる目的のグループとして考えられます。デフォルトで、手動や同期に関わらず全ての作成されたユーザーはシステムデフォルトのOpenLM_Everyoneグループに割り当てられます。 このボックスをチェックすると、このデフォルト設定を上書きします。
- FlatとEntity Attribute(平坦とエンティティ属性)同期ルールの場合、デフォルトグループは入力したかメニューで選択したものとなります。
- Hierarchical(階層)同期ルールの場合、デフォルトグループは検索中に見つかった最初のものになります。(例; JohnDoeが順にグループ A、 B、Cに属する場合、 デフォルトグループはA)
“Set as default group”がチェックされている場合、オブジェクトのデフォルトグループは同期が実行されるたびに設定され書き換えられます。
ApacheDSについて:
ApacheDs特有のグループのルールにより、他のディレクトリタイプとは違う方法でApacheDs のグループを同期します。ApacheDsのグループは普通objectClass = groupOfNames か groupOfUniqueNamesとして特定されます。 各々、そのような場合の子オブジェクト(メンバー)は members かuniqueMemberです。これらの関係性に基づいてグループメンバーシップが定義されます。ですので、groupOfNamesはmember(s)を含みます。groupOfUniqueNamesはuniqueMember(s)を含みます。下記の例を参照してください:
6.3.2. 手動で同期を作動させる #
1つ以上の同期定義が選択された状態で、
アイコンをクリックすると、各同期の実行がこのように手動で動作します。
作動した後、進捗を示すアニメアイコンが表示されます。アイコンにマウスを運ぶと同期動作の進捗ステータスが表示されます。
6.3.3. エンティティ・リレーションシップ・データのリセット #
1つ以上の同期定義が選択された状態で 
アイコンをクリックすると、同期定義で生成された全てのリレーションシップデータはクリアされます。以前設定されたかもしれない”ignore”(無視する)フラグ(5.4.1参照)も含みます。実際のユーザーデータには影響はありません。
6.3.4. 同期停止ボタン #
ときどき同期は“Openlmデータベース更新”段階で停滞します。“Stop Sync”ボタンを使用して再度実行するために同期をキャンセルしてください
6.3.5. 同期定義の削除 #
1つ以上の同期定義を削除するには、削除したい定義ボックスをチェックしDelete(削除)をクリックします。
実際に削除する前に最終確認画面がポップアップします。
注意: 同期が実行されている場合、削除はできません。
6.4. エンティティ #
Entitiesタブで、DSS同期で作成されたエンティティを見ることができ、各々にignore(無視)フラグを設定します。列はDSSデータベースにエンティティが持つIDを表示し、定義が最後に同期したエンティティタイプ, 最後同期の日時などを表示します。どの同期でどのエンティティが修正されたか見るにはフィルターを使用するか、特定のエンティティを検索してください。また、列のリストをカスタマイズすることも可能です。印刷したりテーブルをエクスポートしたり、ページことに表示されるエンティティ数を設定することも可能です。
6.4.1. 全ての同期でエンティティを無視する #
特定のエンティティのIgnore(無視)ボックスをチェックし、Save(保存)をクリックすると、全ての同期定義でそのエンティティを無視します。ディレクトリデータで起きるかもしれない更新は、そのエンティティに関してはOpenLMデータベースに反映されません。
6.4.2. 手動でエンティティを同期する #
アイコンをクリックすると特定のエンティティに手動で同期を動作させます。このオプションは以前設定されたかもしれない”ignore(無視)”フラグに関係なく作動します。
6.4.3. エンティティ・リレーションシップを見る #
特定のエンティティで 
アイコンをクリックすると、Relationsタブを開き、特定のエンティティが持つリレーションを表示します。
6.5. リレーション #
Relationsタブで、DSSデータベースにエンティティが持つ全てのリレーションを見ることができます。このエンティティのディレクトリをクエリしたエージェント、エンティティが属するドメイン、関係する同期定義、エンティティ名、存在すればその親の名前、同期された最終日時など確認できます。フィルターを使用してどのリレーションがいつ更新されたかをご確認ください。
“Ignore”チェックボックスがエンティティごとに用意されています。列のリストはカスタマイズ可能で、テーブルも印刷したりエクスポートでき、ページごとに表示されるリレーション数も設定できます。
適切なタブにスイッチするリンクをクリックする事で、リンクされたアイテム(エージェント、ドメイン、同期、エンティティ)の詳細を表示できます。
6.5.1. 特定の同期でエンティティを無視する #
特定のエンティティでIgnore(無視)ボックスをチェックしSave(保存)をクリックすると、”Sync Name”(同期名)で関連する同期でそのエンティティを無視します。この特定の同期定義において、ディレクトリデータで起きるかもしれない更新は、そのエンティティに関してはOpenLMデータベースには反映されません。
