4. LDAP / ActiveDirectory 連携¶
4.1. 概要¶
BaaS へのログイン時にLDAP(ActiveDirectory)サーバと連携することが可能です。
具体的には BaaS へのログイン API を呼び出した際に LDAPサーバに登録されているユーザ情報 (ユーザ名、パスワード)を利用して認証が実行されます。
4.2. 設定方法¶
デベロッパーコンソールでテナントを作成する際に認証方式として「通常認証 + LDAP認証」を選択してください。 また、LDAP サーバの設定が必要となります。
設定手順については、デベロッパーコンソール利用ガイドの LDAP連携 を参照してください。
4.3. ログイン時のユーザ自動登録¶
ユーザが初回ログインを行い LDAP 認証が成功したタイミングで、BaaS 側にユーザ情報が自動的に登録されます。
BaaS側に登録されるユーザ名は、LDAP認証時のユーザ名と同一名となります。 またメールアドレスはダミー(ランダム文字列)で登録されます。
4.4. グループ情報の自動連携¶
連携先サーバが ActiveDirectory の場合、ユーザがログインするたびに所属グループの情報が自動的に BaaS サーバ側に転送されます。
- BaaSグループ名は "_EXT-{ActiveDirectoryグループ名}" のように "_EXT-" プレフィクスが自動付与されます。
- ActiveDirectoryグループの階層関係も連動してBaaSグループ側に転送されます。
- ユーザがActiveDirectoryグループから抜けた場合、該当BaaS側グループからもユーザが削除されます。
- BaaSグループの所属メンバ数(ユーザ・グループ)が 0 になると、自動的にBaaSグループが削除されます。
- "_EXT-" プレフィクス付きのグループは API から削除・変更することはできません。