初期導入方法
対象
HENNGE Directory Sync Tool を使用して、Active Directory より HENNGE Access Control へユーザー同期を行うお客様が対象です。
目的
HENNGE Directory Sync Tool の実行手順を記載します。
注意事項
1. 実行するマシンの要件が満たされていることを確認します。
HENNGE Directory Sync Tool インストール先のマシン準備
2. 以下エラーが発生した場合、次の HENNGE One Help Center 記事に従ってルート証明書のインストールを行ってください。
<urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590)>
HENNGE Directory Sync Tool 動作用ルート証明書インストール手順
3. Active DirectoryのユーザーとHENNGE Access Controlのユーザーは1:1の対応となります。
※Active Directoryの複数ユーザーをHENNGE Access Control上の1ユーザーに紐づける事はできません。
4. HENNGE Directory Sync Tool はインターネットオプションのプロキシ設定を参照します。
サービス起動アカウントでサーバにログオンし、プロキシ設定をお願いします。
なお、プロキシの設定は こちら をご確認ください。
5. 手順の実施には HENNGE Access Control の管理者アカウントの情報が必要です。
6. 本記事は 2021 年 11 月時点で製品の内容をもとにしたものであり、以後のアップデートにより、予告なく変更される場合があります。
詳細手順・説明
1. テスト同期の実施
1.1. PowerShell を管理者権限で起動します。
1.2.以下のコマンドより、HENNGE Directory Sync Tool を実行します。
> cd "C:\Program Files\HDE One Directory Sync"
> .\console.exe /n
※ [ /n ] オプションでテスト実行となります。
※ [ /n ] オプションを付与しない場合、同期が実行されますのでご注意ください。
出力結果例 :
##### Sync set [sync01] #####
Active Directory ---> HDE Access Control
Add: Administrator / iGcrgi8tjUy1NfaLulJ/5Q==
Add: Guest / qWEUYHX3DUOxPrZv6C271Q==
Add: test01 / test01@addc1.example.com / WEt4r/aDlE3wtGz0UbVoqQ==
Delete: aaa / aab@addc1.example.com / hfJV7x6cakym2AIWkThdA==
同期対象ユーザーが存在しない場合、下記のように出力されます。
##### Sync set [sync01] #####
Active Directory ---> HDE Access Control
* No sync data *
2. 手動同期の実行
テスト同期の出力結果が想定通りと確認後、[ /n ] オプションをつけずに [ console.exe ] を実行します。
> cd "C:\Program Files\HDE One Directory Sync"
> .\console.exe
3. 定期同期の実行
サービス [ HDE One Directory Sync ] 、[ HDE One Password Sync ] の設定を行います。
HENNGE Directory Sync Tool をインストールした端末上で以下のサービスを開始します。
・HDE One Directory Sync
・HDE One Password Sync
3.1. [ サービス ] を起動します。
3.2. 対象サービスのプロパティを開き、以下設定をします。
[ 全般 ] → [ スタートアップの種類 ] : 自動。
[ ログオン ] → [ アカウント ] : config.ini にて指定したユーザー情報を設定します。
HENNGE Directory Sync Tool 設定ファイルの初回設置 手順 2.2.
3.3. 設定を保存し、サービスを開始します。
4. 定期同期ログの確認
4.1. HENNGE Access Control 管理画面 URL の確認
定期同期ログは HENNGE Access Control の管理画面にてご確認頂くことが可能です。
同管理画面の URL にはお客様ごとに固有のドメイン情報が含まれております。
https://ap.ssso.hdems.com/admin/[お客様環境のドメイン]
HENNGE One ご契約時のドメインが sampledomain.com の場合、HENNGE Access Control 管理画面の URL は以下のようになります。
https://ap.ssso.hdems.com/admin/sampledomain.com
4.2. HENNGE Access Control 管理画面 の URL にアクセスし、管理者アカウントでログインします。
4.3. 画面左側の [ 同期ログ ] メニューをクリックします。
4.4. 画面中央上部の [ 検索期間 ] に日付に設定し、[ 検索 ] をクリックします。
2021 年 4 月 1 日に検索を行う場合、検索期間を 2020 年 10 月 1 日 ~ 2021 年 4 月 1 日に設定します。
※ 検索期間の設定領域の表示形式は [ 日 / 月 / 年 ] となります。
4.5. 検索結果として同期ログが表示されるかを確認します。
図のように同期ログの検索結果としてログの内容が表示されることを確認します。
同期ログが検索結果として表示されない場合、HENNGE Directory Sync Tool が実行されている端末上で問題が発生している可能性があります。
このような場合、HENNGE の導入担当者、または技術サポート窓口までお問い合わせください。
4.6. 検索結果に表示されている同期ログにエラーが発生していないかを確認します。
同期ログの検索結果の [ 失敗 ] 列に赤い X マークが表示さている場合、何らかの要因により同期に失敗しております。
このような場合、HENNGE の導入担当者、または技術サポート窓口までお問い合わせください。
4.7. 検索結果に表示されている同期ログにエラーが発生していないかを確認します。
検索結果として表示される同期ログには 2 つの種類が存在しております。
1. Windows Active Directory から HENNGE Access Control へのユーザー情報の同期
2. Windows Active Directory から HENNGE Access Control へのユーザ パスワードの同期
これらのログは検索結果上の表示では区別がつかないため、各ログの出力をクリックし、詳細を展開いただく必要があります。
ケース 1 : ユーザー同期が成功している場合
既定では、2 時間に 1 回のタイミングで定期的に実行されております。
Windows Active Directory のユーザー アカウントのプロパティ (ユーザー名、UPN 等) に実施された変更を次回同期時に HENNGE Access Control に反映します。
なお、Windows Active Directory のすべてのユーザー アカウントに変更が発生していない場合であっても、同期ログの検索結果に表示されます。
ログを展開したうえ、[ HDE One Directory Sync <バージョン情報> ] と表示されている場合、ユーザー同期のログとなります。
この同期ログが定期的に実行され、エラーが存在していないことを確認します。
ケース 2 : パスワード同期が成功している場合
既定では、3 分に 1 回のタイミングで定期的に実行されております。
Windows Active Directory のユーザー アカウントのパスワードに実施された変更を次回同期時に HENNGE Access Control に反映します。
なお、Windows Active Directory のすべてのユーザー アカウントに変更が発生していない場合は同期ログの検索結果に表示されません。
(Windows Active Directory 上でユーザーのパスワードが変更された場合のみ、次回パスワード同期時に同期ログに出力されます。)
ログを展開したうえ、[ Start password syncing ]と表示されている場合、ユーザー同期のログとなります。
この同期ログが定期的に実行され、エラーが存在していないことを確認します。
よくあるご質問