Title: Active Directory ユーザーのアカウントが自動的に作成されないようにするには
Directory 認証の TeamPage に、Active Directory にログイン済みのユーザーがアクセスすると、既定の設定では、自動的にユーザーアカウントが作成され、TeamPage にログインします。
参照 : DocJp174: Active Directory を使用した、はじめてのログイン
この仕様により、サーバー管理者は Active Directory 上のユーザーアカウントを TeamPage に登録する手間を省けます。
しかし、ActiveDirectory 上のユーザーが TeamPage にアクセスするだけでユーザーアカウントが作成され(ユーザーがTeamPage のアクセス URL を知らなければアクセスできませんが)、ライセンスで許可されたユーザー数がいっぱいになってしまうことも考えられます。
ここでは、Active Directory 上のユーザーのユーザアカウント自動作成を無効にする方法について解説します。
ユーザーアカウント自動作成の動作原理
Active Directory 上のユーザーが初めて TeamPage にアクセスしたとき、次のような動作が行われます。
- ユーザーが TeamPage にアクセスする。
- まだユーザーアカウントが無いため TeamPage は誰なのか判別できない。
- TeamPage は Active Directory にユーザー情報を問い合わせる。
- Active Directory は TeamPage にユーザー情報を返答する。
- Everyone グループにログイン権限がある場合、ユーザーはアカウントの自動作成と同時にログインする。
- Everyone グループにログイン権限がない場合、ユーザーのアカウントは自動作成されず、Visitor (ビジター:匿名ユーザー) として扱われる。
- Visitor のログイン権限があり、ログインが許可されいる場合は、TeamPage にビジターとしてログインする。
したがって、アクセスするだけで TeamPage にアカウントが作成されないようにするには、サーバー ACL で Everyone の「ログイン」権限を許可しないようにします。
注意 : TeamPage の認証方式を Active Directory にしてから以下を実行してください。 (参照 : DocJp92: Active Directory 設定)
設定例
ここで解説する設定例の要旨は次のとおりです。ActiveDirectory 側の設定は不要です。
- ActiveDirectory の既存のグループやユーザーを、TeamPage の「ログインOK」グループに登録する。
- 「ログインOK」グループの「ログイン」権限を許可する。
- 他のユーザーのアカウントの自動作成を防ぐため、Everyone の「ログイン」権限を許可しない。(注意:「拒否」にはしない)
- 必要に応じて、Visitor に「ログイン」権限を与え、ActiveDirectory 設定で「ビジターのログインを許可」する。
Active Directory グループやユーザーの確認
Active Directory 上のどのユーザーやグループに対して TeamPage へのログインを許可するのか(TeamPage でユーザーアカウントを作成するのか)を確認します。ここではグループ「品質管理部」とユーザー「shacho」にログインを許可することとします。
(例) 品質管理部にTeamPageを導入し、他の部署には見せない。例外的に社長だけアクセスを許可する。
Active Directory ユーザー&グループ
| ActiveDirectory |
TeamPage ログイン |
| グループ |
ユーザー |
| 経営室 |
社長 (shacho) |
許可 |
| 顧問 (komon) |
不許可 |
| 常務 (jomu) |
| 品質管理部 |
中村 (nakamura) |
許可 |
| 原(hara) |
| 佐藤 (sato) |
| その他 |
堀田 (hotta) |
不許可 |
| 山本 (yamada) |
| 杉浦 (sugiura) |
| 略... |
サーバーグループ「ログインOK」の作成
まず、TeamPage のサーバーセットアップで、サーバーグループ「ログインOK」を作成します。
サーバーセットアップ右上の [グループ] リンクをクリックし、サーバーグループの編集画面を表示します。
[新規] ボタンをクリックして表示されるプロンプトに「ログインOK」と入力し、[OK] ボタンをクリックします。
サーバーグループ画面の「グループ」ドロップダウンリストで [OKG] が表示されていることを確認して [適用] ボタンをクリックします。
これでサーバーグループ「ログインOK」が作成されました。
「ログインOK」グループのログイン権限の設定
作成した「ログインOK」グループに「ログイン」権限を与えます。
サーバーセットアップ右上の [アクセスコントロールリスト(ACL)] リンクをクリックし、サーバーACL を表示します。
サーバーACL画面の [グループの追加] リンクをクリックします。
表示された「グループ名の入力」欄に「ログインOK」と入力して Enter キーを押すか、[ルックアップ] ボタンをクリックします。
サーバーACLに「ログインOK」グループが登録されたことを確認し、「ログインOK」グループを選択して [アクセス] 権限の [許可] チェックボックスをオンにします。必要に応じてその他の権限も設定してください。
最後に [適用] ボタンをクリックして設定を保存します。
ActiveDirectory からユーザーやグループの登録
Active Directory に登録されている「shacho」ユーザーと「品質管理部」グループを TeamPage の「ログインOK」グループに登録します。
ユーザーの追加
サーバーグループ画面で「ログインOK」グループを選択し、[ユーザーの追加] ボタンをクリックします。
ユーザーの追加画面の「アカウント名の入力」欄に追加するユーザー名「shacho」を入力し、[ルックアップ] ボタンをクリックします。TeamPage が Active Directory にユーザー「shacho」を問い合わせ(検索)します。
メモ : 該当するユーザーが複数見つかった場合(「shacho」を含むユーザーが複数いる場合)、候補の中から正しいユーザーをクリックして選択します。該当するユーザーが見つからなかった場合は「該当なし」と表示されます。「アカウント名の入力」欄を空にして [ルックアップ] ボタンをクリックすることで Active Directory 上の全ユーザーを表示し、その中から正しいユーザーを選択することはできますが、ユーザー数が多い場合は問い合わせに時間がかかることがあります。
サーバーグループ画面にユーザー「shacho」が登録されたことを確認し、[適用] ボタンをクリックします。
以上でグループ「ログインOK」へのユーザー「shacho」の登録は完了です。
グループの追加
サーバーグループ画面で「ログインOK」グループを選択し、[グループの追加] ボタンをクリックします。
グループの追加画面が表示されるので、「品質管理部」と入力して [ルックアップ] ボタンをクリックしてください。TeamPage が Active Directory に「品質管理部」グループを問い合わせ(検索)します。
メモ : 該当するグループが複数見つかった場合(「品質管理部」を含むグループが複数ある場合)は、表示された候補の中から正しいグループを選択します。該当するグループが見つからなかった場合は「該当なし」と表示されます。「グループ名の入力」欄を空にして [ルックアップ] ボタンをクリックすることで Active Directory 上の全グループをリストアップし、その中から正しいグループを選択することはできますが、Active Directory のグループ数が多い場合はルックアップに時間がかかることがあります。
サーバーACLに「品質管理部」が追加されたことを確認し、[適用] ボタンをクリックして設定を保存します。
以上で「ログインOK」グループへのユーザー「shacho」とグループ「品質管理部」の登録が完了しました。サーバーACL画面を閉じます。
権限設定
サーバー ACL で「Everyone」グループの「ログイン」権限が許可されていると、Active Directory のすべてのユーザーが TeamPage へログインし、アカウントが自動作成されてしまいます。これを防ぐには、Everyone の「ログイン」権限の [許可] チェックボックスをオフにします。
Everyone 設定
サーバー ACL で Everyone グループを選択し、[ログイン] 権限の [許可] チェックボックスをオフにします。これにより「ログインOK」グループと「サーバー管理者」グループ以外は TeamPage にログインできなくなります。
重要!! 絶対に Everyone の [ログイン] 権限の [拒否] チェックボックスをオンにしないでください。あらゆるユーザーが TeamPage にログインできなくなります。同様に、サーバー管理者グループの [ログイン] 権限の [拒否] チェックボックスをオンにしないでください。サーバー管理者が TeamPage にログインできなくなります。
Visitor 設定
必要に応じて Visitor に「ログイン」権限を許可します。
例えば、社長や品質管理部とその他のユーザー(ビジター)の両方を TeamPage に招きつつ、前者は閉じられたスペース内でコラボレーション活動し、後者は特定の公開スペースだけ閲覧許可するといった運用ができます。
サーバーACLに Visitor が登録されていることを確認します。Visitor が登録されていない場合は、[ユーザーの追加] ボタンから Visitor を追加します。
メモ : TeamPage のバージョンによっては、カタカナで「ビジター」と表示される場合やアルファベットで「Visitor」と表示される場合があります。
Visitor を選択して [ログイン] 権限の [許可] チェックボックスをオンにします。
設定の再確認と保存
念のため設定内容が次のようになっていることをもう一度確認してから、[適用] ボタンをクリックして設定を保存します。
- Everyone ---> ログイン権限は「許可しない」([許可] と [拒否] 両チェックボックスはオフ)
- Visitor ---> 運用によって適切な設定をする
- サーバー管理者 ---> ログイン権限は「許可する」([許可] チェックボックスがオン)
- ログインOK ---> ログイン権限は「許可する」([許可] チェックボックスがオン)
ビジターのログインを許可する/しないの選択
ACLによる権限設定とは別に、ユーザーディレクトリの設定(TeamPageのActiveDirectory認証の設定)で、ビジターとして認識されたユーザーのログインを許可する/許可しない設定ができます。
ACLによる設定との違いは次のとおりです。
この設定をするには、まず、サーバーセットアップ | 一般 タブ | 現在のジャーナル タブ の「ユーザーディレクトリ」で Active Directory を使用する設定(ここでは「test4ad」)が選択済みであることを確認し、[ユーザーディレクトリの変更] をクリックします。
表示された「ユーザーディレクトリの選択」画面で、ドロップダウンリストで Active Directory を使用する設定(ここでは「test4ad」)が選択されていることを確認し、[編集] をクリックします。
ユーザーディレクトリの設定画面が表示されます。
ここで「ビジターのログインを許可」の選択ができます。
- 「はい」を選択した場合 ... ビジターのログインが許可されます。ログイン後、ビジターの閲覧権限のあるコンテンツが表示されます。
- 「いいえ」を選択した場合 ... ビジターはログインできず、権限がない旨を知らせるメッセージが表示されます。
[適用] ボタンをクリックして設定を保存し、画面を閉じます。
