Active Directory(AD) 統合

Splashtop On-Prem AD統合は、Windows Server 2008 R2、2012、2016、2019 Active Directory、および、Microsoft Azure ADと互換性があります。これによりシステム管理者は、ADアカウントを簡単に認証、および、管理し、Splashtop On-Premサービスをすぐに使い始めることができます。

 

ユーザープリンシパル名(UPN)をAD ユーザーとして使用してSplashtop On-Premにログインする(Gateway v3.18.0 以降)

 

1. Splashtop Gatewayにオーナーでログインし、管理 -> 認証に移動します。

2. アクティブディレクトリサーバを編集または作成します。

3. ADサーバーから追加のUPN サフィックスマッピングを入力し(Active Directoryドメインと信頼関係からUPNサフィックスを確認)、設定を保存します。Splashtop システムで最大30のUPN サフィックスを追加できます。

 

mceclip0.png

 

 

4. Splashtop Gatewayに保存されたUPNサフィックスリストに、実際のユーザーのログオンサフィックスがすべて含まれていることを確認します。

mceclip1.png

 

5.これで、既存のすべてのGateway ADユーザーが自動的に追加のログイン方法を取得するようになりました。ユーザープリンシパル名 ログインとsAMAccountName+domain ログインの両方が許可されます。

6. 新しいADユーザーを追加するには、利用可能なすべてのUPN サフィックスから、このユーザーのUPN サフィックスを指定する必要があります。

mceclip2.png

 

 

Active Direcory統合

1. ADサーバの追加

mceclip0.png

 

まず初めに、ローカルADサーバをSplashtop Gatewayにバインドする必要があります。一度追加するとGateway Web コンソールからAD ユーザー、または、ADグループを簡単に追加できます。

チーム所有者としてGateway Web ポータルにログインし、管理 - >設定 - >認証タブに移動してADサーバの追加をクリックしてください。

  • 名前:ADサーバ名は、お客様の組織の実際のADサーバと連結して記入してください。
  • LDAP URL 構文ldap スキーム (ldap://) + 暗黙アドレス (ターゲット AD サーバの) + ポート番号(必要な場合)。  以下のスクリーンショットは、構文の例です。:ldap://onpremise.corp

mceclip1.png

  • LDAPSがサポートされています。
  • Users Base DN:Active Directory ユーザーの 識別名。AD階層のユーザー認証チェックポイントとして、Users Base DNを使用します。
    • ADオブジェクトの識別名をコピーして貼り付けるには、Windows 2016のActive Directoryユーザーとコンピュータの[表示]タブに移動し、[高度な機能]を選択してから、識別名を取得するターゲットオブジェクトを右クリックし、[属性エディタ]を選択し、distinctedName属性をダブルクリックしてパラメータをコピーします。
  • mceclip2.png

mceclip3.png

  • グループベースDN:Active Directory グループの識別名。AD階層におけるグループ認証のチェックポイントとして、グループベースDNを使用します。
  • アカウント:バインドするターゲットAD サーバからのユーザーアカウント。 ユーザーアカウントの構文:sAMaccountName@dc.dc
    • 注:SAMaccountNameは、複数のADで重複する可能性があるため、Gatewayは@dc.dc経由でADユーザーを検索し、ユーザーの一意性が複数のADサーバーで存在することを確認します。
  • パスワード:AD ユーザーに関連付けられているAD パスワード
  • 接続のテスト:このボタンをクリックすると認証対象のAD サーバが使用状況を確認できます。
  • 追加:このボタンをクリックすると検証済みのADサーバがSplashtop Gatewayにバインドされます。

ノート:

1. スコープが重複する複数のADサーバを追加しないでください。各ユーザーとグループが1つのADサーバソースからのみルートされるように、Users Base DNとGroups Base DNの一意性を確認してください。スコープが重複すると、認証が無効になり、グループメンバーが解決できなくなる可能性があります。

2. ADサーバを追加するときにブラウザ拡張機能のAdBlock、または、Adblock Plus無効にしてください。これらのブラウザ拡張機能が有効のままだと追加要求がブロックされます。

 

2. ADユーザー、または、ADグループを追加

ADサーバが正常に認証されたら、 管理 - 設定 - 認証 に移動して、ADサーバがGatewayに追加されたことを確認する必要があります。次に、「管理」タブから「ユーザー」に移動し、上部の「ADユーザーの追加」ボタンをクリックします。

  • 種類:ADユーザーを選択するとAD の個々のユーザーが認証され、Splashtop Gatewayに追加されます。ADグループを選択するとそのAD グループメンバーの一括認証 が許可されます。(グループメンバーは、先にGateway Webポータルにログインする必要があり、その後ユーザーリストに表示されます)
  • AD サーバー: ターゲット AD ユーザーまたはグループを含む AD サーバーを選択します。
  • アカウント:ターゲットのAD ユーザー、または、グループのsAMaccountName@ADDomainNameを入力します。
  • グループ: AD ユーザーまたは AD グループが一度追加されると分類される最初のSplashtopグループを選択します。
  • ロール: 「アドミン」または「メンバー」を選択して、ニーズに合わせたさまざまなアクセス許可を割り当てます。
  • *SOS技術者:SOSオンデマンドサポート機能を有効にします。(※ご契約ライセンスに基づく)
  • 確認: 認証のために AD ユーザーまたはグループの可用性を確認します。
  • 追加:検証済みのAD ユーザー、または、グループをターゲットグループに追加します。

addaduser.PNG

3. ADグループメンバー

緑色のユーザーアイコンは、下のスクリーンショットに示すように、ADユーザー、または、ADグループを表します。ADグループがSplashtop Gatewayに追加されている場合、関連付けられているADメンバーが既に認証されており、Splashtop Gateway、および、On-Premにログインできることを意味します。

ADグループメンバーのADユーザーは、ADアカウントでGatewayポータル、または、On-Premアプリにログインした後にのみAD グループメンバーに表示されます。なお、追加されたばかりのADグループ集合体(例)に対して、一括でアクセス許可を設定することができます。ADグループ(以下スクリーンショット「123」)をあらかじめ作成しておきます。これに対し、Gatewayに追加された ADの個別ユーザーは 、すぐに表示され、プロパティを変更することができます。

注:親となるADグループを経由して認証された ADグループメンバーは 、そのグループのユーザーロールとアクセス許可を継承します。 

 

ADグループの歯車ボタンでADグループのメンバーにユーザーを設定

 

mceclip2.png

 

 

認証に成功したADユーザーは、AD資格情報を使用してOn-Prem アプリにログインし、Splashtopのリモートサービスの利用できます。

2人中2人がこの記事が役に立ったと言っています