Active Directory(AD)

Active Directory(AD)

お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

[Active Directory(AD)]タブでは、Qntrl BridgeでMicrosoft Active Directoryと連携し、組織内のユーザー、コンピューター、グループを安全に管理できます。

ADは、ユーザー、コンピューター、アプリケーションなどのネットワークリソースを一元管理するためにMicrosoftが開発したディレクトリサービスです。これらのエンティティはオブジェクトとして保存され、1つ以上のドメイン内の組織単位(OU)の配下で管理されます。

QntrlはBridgeを通じてADに接続するため、ワークフローから直接、ユーザーやグループの追加、アカウントの無効化、パスワードのリセットなどのタスクを自動化できます。

 

使用例
ADにユーザーを追加する場合、Qntrlでジョブ要求を作成してジョブを実行できます。Bridgeを通じてQntrlがADに接続し、ユーザーを追加して、成功レスポンスを返します。
 

前提条件

  1. ADサーバーに組織単位を作成しておく必要があります。
  2. 認証情報を作成する際は、[種類][Active Directory] を選択し、ADの[ユーザーDN][パスワード]を入力してください。こちらをクリックして、認証情報の作成方法を確認してください。
  3. AD Lightweight Directory Servicesが有効になっていることを確認してください
  4. AD Lightweight Directory Serviceの詳細を確認する
  5. 既定では、LDAP要求はLDAP(非SSL)経由でのみ行われます。LDAPS(SSL)を使用する場合は、ADサーバーでLDAPSポートを有効にしてください。 
Notes
  1. Bridge ADサーバーに接続できない場合は、ホスト名とネットワーク設定を確認してください。
  2. 既定では、LDAP要求はLDAP(非SSL)経由でのみ行われます。LDAPS(SSL)を使用する場合は、ADサーバーでLDAPSポートを有効にしてください。
  3. LDAPSを有効にするには、AD Lightweight Directory Servicesが有効になっていることを確認してください。詳しい手順については、こちらをクリックしてください。
    AD Lightweight Directory Servicesの詳細については、こちらをクリックしてください。

LDAP over SSL(LDAPS)の有効化

  1. LDAPSの設定SSL要求を処理するには、LDAP over SSL(LDAPS)を有効にする必要があります。こちらを参照して、Windows ServerでLDAPSを設定してください。
  2. LDAPS証明書の取得LDAPSを有効にすると、証明書を取得できます。形式は、可能であれば.pfx(パスワード保護あり)または .cer形式にしてください。この証明書を、Bridgeがインストールされているマシンにコピーします。
  3. LDAP設定ファイルの変更Bridge/conf/ldap-config.propertiesファイルを開き、bridge.ldap.use.ssl=falseプロパティを見つけます。値を「false」から「true」に変更します(つまり、bridge.ldap.use.ssl=true)。
  4. 証明書形式の指定
    1. .cer形式の場合:bridge.ldap.file.type=cer
    2. .pfx形式の場合:bridge.ldap.file.type=pfx(初期設定は.pfxです)
  5. 証明書のファイルパスを、プロパティbridge.ldap.ssl.certificate.path=<PATH_TO_CERTIFICATE>に指定します。
  6. .pfx証明書のみ
    1. 証明書のパスワードを設定に追加する前に暗号化するには、 Bridge/bin ディレクトリーに移動し、encrypt.bat <PASSWORD>を実行します。
    2. 暗号化されたパスワードを設定に追加します:bridge.ldap.ssl.certificate.password=<ENCRYPTED_PASSWORD>
  7. カスタムポートの設定(任意)初期設定では、非SSL要求にはポート389、SSL要求にはポート636が使用されます。カスタムポートを使用するには、プロパティbridge.ldap.use.custom.port=<CUSTOM_PORT>で指定します。
  8. Bridgeの再起動すべての設定が完了したら、変更を適用するためにBridgeを再起動します。

LDIFスクリプトの利用     

Qntrl Bridgeでは、AD操作を自動化するためのLDIF(LDAPデータ交換形式)スクリプトに対応しています。
  • LDIFスクリプトでは、読み取り操作を除くほとんどのADタスクを実行できます。
  • 標準のLDIFスクリプトは変数に対応していませんが、Qntrlの[AD]タブではLDIFの機能を拡張して変数置換をサポートしているため、動的なスクリプト実行が可能です
  • これらのスクリプトは、ADタスクの一部としてBridge経由でアップロードして実行できます。

これにより、自動化されたワークフローからディレクトリーエントリー、属性、関連付けを直接管理でき、柔軟性が高まります。

LDIFスクリプトの例。

dn:%q_dn%
changeType: modify
replace: mail
mail: %q_mail_id%
 

変数の書式  

  • LDIFスクリプト内の変数の形式は%q_<variable_name>%
    例:%q_mail_id%
  • 変数名はsnake_case(小文字とアンダースコア)にする必要があります。
  • BridgeペイロードまたはCircuit変数でこれらの変数を参照する場合は、
    %q_%接頭辞を省略し、snake_caseの名前のみを使用します
    • 例:
      • LDIFスクリプト内 → %q_mail_id%
      • Bridgeペイロード内 → 'mail_id': 'sample@domain.com'
Info
Bridge ADサーバーに接続できない場合は、ホスト名とネットワーク設定を確認してください。

ADタスク

次のセクションでは、[AD Engine]タブに関連付けられたタスクと、Bridge経由でActive Directoryで実行される各種操作の要求データについて説明します。

 

要求データの共通キー
キー
説明
task_details
タスクの詳細を含むJSONオブジェクトです。
ad_host
ADの場所です。
ad_dn
ADの識別名です。
activity_name
ADで実行される操作の名前です。LDIFスクリプトを実行する場合は、この値にfileを指定します。
task_name
各タブに対してシステムで定義された名前です。「ad_task」は、Active Directoryのタスク名です。
credential
ADサーバーの認証情報名を含むJSONオブジェクトです。
name
ADサーバーの認証情報名です。
object_name
オブジェクトの名前です。
object_type
オブジェクトの種類です。
organization_unit
OUの名前です。
properties
ユーザーに関連する追加情報を含むJSONオブジェクトです。
objectClass
オブジェクトのカテゴリー/種類です。
givenName
ユーザーの表示名です。
user_name
ADにおけるユーザーのログイン名です。
password
ユーザーのパスワードです。

ADタスク 

Bridgeを通じてLDIFスクリプトを実行し、任意のAD操作を行うために使用します。
このタスクは、事前定義された処理の柔軟な代替手段として機能し、動的な実行のための変数置換に対応しています。
要求データ   
{
'task_name': 'ad_task',
'task_details': {
      'ad_host': '<HOST_NAME>',
      'ad_dn': '<DN>',
      'activity_name': 'file',
      'script_name': '<SCRIPT_NAME>',
      'variable': {
             '<KEY>': '<VALUE>',
             '<KEY>': '<VALUE>'
      }
},
'credential': {
'name': '<CREDENTIAL_NAME>'
}
}

 ADユーザーの追加 

プライベートネットワーク内のActive Directoryに新しいユーザーを追加します。

要求データ  

{
'task_name': 'ad_task', 
'task_details': {
 'ad_host': '<HOST_NAME>',
 'ad_dn': '<DN OF THE AD MACHINE>',
 'activity_name': 'create_object',
 'object_name': '<OBJECT_NAME>',
 'organization_unit': '<ORGANIZATION_UNIT_NAME>',
 'object_type': 'user',
 'properties': {
 'ObjectClass': 'user',
 'givenName': '<DISPLAY NAME OF THE USER>'
 }
},
    'credential': {
 'name': '<CREDENTIAL_NAME>'
    }
}

ADコンピューターの追加

クライアントのネットワークのActive Directoryに新しいコンピューターを追加します。

要求データ  

{
    'task_name': 'ad_task', 
    'task_details': {
 'ad_host': '<HOST_NAME>',
 'ad_dn': '<DN OF THE AD MACHINE>',
 'activity_name': 'create_object',
 'object_name': '<OBJECT_NAME>',
 'organization_unit': '<ORGANIZATION_UNIT_NAME>',
 'object_type': 'computer',
 'properties': {
 'ObjectClass': 'computer',
 'givenName': '<DISPLAY NAME OF THE OBJECT>'
 }
},
'credential': {
 'name': '<CREDENTIAL_NAME>'
}
}

ADグループの追加 

クライアントのネットワークのActive Directoryに新しいグループを追加します。

要求データ  

{
    'task_name': 'ad_task', 
    'task_details': {
 'ad_host': '<HOST_NAME>',
 'ad_dn': '<DN OF THE AD MACHINE>',
 'activity_name': 'create_object',
 'object_name': '<OBJECT_NAME>',
 'organization_unit': '<ORGANIZATION_UNIT_NAME>',
 'object_type': 'group',
 'properties': {
 'ObjectClass': 'group',
 'givenName': '<DISPLAY NAME OF THE GROUP>'
 }
},
'credential': {
 'name': '<CREDENTIAL_NAME>'
}
}

グループへのユーザー追加

クライアントのネットワークのActive Directoryで、ユーザーをグループに追加します。

要求データ

{
'task_name': 'ad_task', 
'task_details': {
 'ad_host': '<HOST_NAME>',
 'ad_dn': '<DN OF THE AD MACHINE>',
 'activity_name': 'create_object',
 'object_name': '<OBJECT_NAME>',
 'organization_unit': '<ORGANIZATION_UNIT_NAME>',
 'object_type': 'group',
 'properties': {
 'ObjectClass': 'group',
 'givenName': '<DISPLAY NAME OF THE GROUP>'
 }
},
'credential': {
 'name': '<CREDENTIAL_NAME>'
}
}
group_name - ADでのグループ名。 

ADユーザーの無効化 

Active Directory内の既存ユーザーを無効にします。

要求データ  

{
'task_name': 'ad_task', 
'task_details': {
 'ad_host': '<HOST_NAME>',
 'ad_dn': '<DN OF THE AD MACHINE>',
 'activity_name': 'disable_user',
 'user_name': '<USER_NAME>'
},
'credential': {
 'name': '<CREDENTIAL_NAME>'
}
}

ADユーザーの有効化 

Active Directory内の無効化されているユーザーを有効にします。

要求データ  

{
'task_name': 'ad_task', 
'task_details': {
 'ad_host': '<HOST_NAME>',
 'ad_dn': '<DN OF THE AD MACHINE>',
 'activity_name': 'enable_user',
 'user_name': '<USER_NAME>'
},
'credential': {
 'name': '<CREDENTIAL_NAME>'
}
}

ADユーザーのロック解除 

パスワードの誤入力が複数回行われたためにロックされたユーザーのロックを解除します。

要求データ  

{
'task_name': 'ad_task', 
    'task_details': {
 'ad_host': '<HOST_NAME>',
 'ad_dn': '<DN OF THE AD MACHINE>',
 'activity_name': 'unlock_account',
 'user_name': '<USER_NAME>'
},
credential': {
 'name': '<CREDENTIAL_NAME>'
}
}

ADパスワードのリセット 

パスワードを忘れた場合、またはパスワードのリセットが必要な場合に使用します。
このタスクはLDAPS(LDAP over SSL)でのみ実行されます。LDAP over SSLを有効にする手順については、こちらを参照してください

要求データ  

{
    'task_name': 'ad_task', 
    'task_details': {
 'ad_host': '<HOST_NAME>',
 'ad_dn': '<DN OF THE AD MACHINE>',
 'activity_name': 'reset_password',
 'user_name': '<USER_NAME>',
 'password': '<PASSWORD>',
'is_unlock_account': true,
 'is_user_reset_password_next_logon': true
},
'credential': {
 'name': '<CREDENTIAL_NAME>'
}
}
ここでは、

is_unlock_account- ユーザーアカウントがロックされている場合、パスワードのリセット時にロックを解除するかどうか。

  • true - アカウントのロックを解除する

  • false- アカウントのロックを解除しない

is_user_reset_password_next_logon - パスワードのリセット後、ユーザーが次回ログイン時にパスワードをリセットすることを必須にするかどうか。

  • true - 次回ログオン時にパスワードをリセットする必要があります

  • false- 次回ログオン時にパスワードを再度リセットする必要はありません


トラブルシューティング

1. PowerShellでActive Directory タブを使用するためにBridgeサーバーへADツールをインストールする必要性

はい。Active Directory タブ(RSAT – リモートサーバー管理ツール)は、PowerShellでADコマンドをローカル実行するためにインストールする必要があります。RSATはサーバーまたはクライアントマシンに既定では事前インストールされていないため、Bridgeがインストールされているマシンに追加されていることを確認してください。

2. Bridge経由でADサーバーに接続できない場合の確認事項

  • Bridgeホストマシンがネットワーク経由でADサーバーと通信できるか確認してください。
  • ホスト名ポート(LDAPは389/LDAPSは636)が正しいことを確認してください。
  • 通信がファイアウォール制限プロキシ設定によってブロックされていないことを確認してください。
  • Bridgeサービスが実行中で、ネットワークアクセス権があることを確認してください。

3. AD操作の実行中に「Invalid credentials」が表示される場合の対処方法

  • QntrlでAD認証情報を作成した際に指定したUser DNパスワードを再確認してください。

  • ADユーザーアカウントに、作成、変更、削除の操作を実行するために必要な権限があることを確認してください。

  • ADで認証情報を最近更新またはリセットした場合は、Qntrlでも更新してください。


4. LDAPS接続が失敗する場合の修正方法

  • AD Lightweight Directory Services(AD LDS)がADサーバーで有効になっていることを確認してください。
  • LDAPSのSSL証明書が有効で、Bridgeマシンにインポートされていることを確認してください。
  • Bridge/conf/ldap-config.propertiesファイルを開き、次の設定が正しいことを確認してください。
  • bridge.ldap.use.ssl=true
    bridge.ldap.ssl.certificate.path=<PATH_TO_CERTIFICATE>
  • 拡張子が.pfxの証明書を使用している場合は、追加する前にパスワードを暗号化してください。
  • bridge.ldap.ssl.certificate.password=<ENCRYPTED_PASSWORD>
  • 設定を更新した後、Bridgeサービスを再起動してください。


5. LDIFスクリプトが失敗する場合の原因

  • スクリプトがLDIF形式に従っており、変数を%q_<variable_name>%の形式で使用していることを確認してください。

  • BridgeペイロードまたはCircuit変数で変数を参照する場合は、%q_%プレフィックスを省略し、使用するのはsnake_caseの変数名のみにしてください。

    • 例:スクリプト内 → %q_mail_id%、ペイロード内 → mail_id

  • 実行するLDIFタスクがその操作に対応していることを確認してください。(LDIFスクリプトでは読み取り/フィルター操作はサポートされていません。)


6. 失敗したAD実行の詳細ログの確認方法

  • リアルタイムの実行詳細を確認するには、[Bridgeエージェント]→[コアサービス]→[ログ]を開きます。

  • 詳細な分析を行うには、[Bridgeエージェント]→[ログ]→[ログファイルをダウンロード]からログファイルをダウンロードします。

  • ログには、ローカルのBridge/logs/からもアクセスできます。


7. Bridgeサービスは実行中だがタスクが実行されない場合の対処方法

  1. 接続を更新するため、Bridgeサービスを再起動してください。
  2. 認証または証明書関連のエラーがないか、Bridgeログ(Bridge/logs/bridge.log)を確認してください。
  3. 問題が解消しない場合は、Qntrlの[設定]→[Bridge]→[インストール済みBridge]でBridgeエージェントが正しく関連付けられているか確認してください。

    • Related Articles

    • ADタスク

      お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 ADタスクは、会社のActive Directoryに接続し、AD操作を安全に実行するために使用します。 ADタスクで利用可能なADステートは次のとおりです。 ADエンジン ADユーザーの追加 ADグループの追加 ユーザーのグループへの追加 ADコンピューターの追加 ...

    • Qntrl の Zoho Directory

      お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 Active Directoryの概要 Active Directory(AD) は、Microsoftが提供する一元化ネットワーク向けのドメイン管理システムです。ADを使用すると、ユーザーの追加、権限の定義、情報の保存と管理、ユーザーアカウントの認可と認証を行えます。 Zoho ...

    • 並列

      お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 Parallel状態では、複数の状態を並列に処理し、同時に実行できます。 実行は同時に開始され、入力、出力、結果は並行して処理・生成されます。すべての並列タスクが完了した場合にのみ、状態が終了します。Circuitの実行後、実行ログで並列処理を確認できます。 ...

    • 認証情報

      お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 [認証情報]タブ では、データベース、リモートマシン、アプリケーションサーバーの認証情報を保存、管理するための効率的な機能を利用できます。複数のタスクでユーザー名、パスワード、APIキーを繰り返し入力する代わりに、一度保存して必要に応じて再利用できます。 ...

    • PowerShell エンジン

      お知らせ:当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。 PowerShellエンジン Bridgeでは、[PowerShellエンジン]タブを使用して、PowerShellスクリプトによりクライアントのネットワーク内の任意のWindowsマシンで操作を実行できます。 前提条件 認証情報の作成時に、[種類]として ...