翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # Active Directory の同期 ## ランタイム設定 Active Directory (AD) に関連するすべての CFN パラメータは、インストール時にオプションです。 ![Active Directory のオプションの詳細](http://docs.aws.amazon.com/ja_jp/res/archive/release-minus-2/ug/images/active-directory-details.png) 実行時に提供されるシークレット ARN ( `ServiceAccountCredentialsSecretArn`や など`DomainTLSCertificateSecretArn`) については、 RES のシークレットに次のタグを追加して、シークレット値を読み取るアクセス許可を取得してください。 + キー: `res:EnvironmentName`、値: `{{}}` + キー: `res:ModuleName`、値: `directoryservice` ウェブポータルの AD 設定の更新は、次にスケジュールされた AD 同期 (時間単位) 中に自動的に取得されます。AD 設定を変更した後 (別の AD に切り替えた場合など)、ユーザーが SSO を再設定する必要がある場合があります。 初回インストール後、管理者は **ID 管理**ページの RES ウェブポータルで AD 設定を表示または編集できます。 ![Active Directory ドメイン設定の詳細](http://docs.aws.amazon.com/ja_jp/res/archive/release-minus-2/ug/images/res-active-directory-domain.png) ![Active Directory 同期のポップアップ](http://docs.aws.amazon.com/ja_jp/res/archive/release-minus-2/ug/images/active-directory-synchronization.png) ### 詳細設定 **フィルター** 管理者は、ユーザーフィルターオプションとグループフィルターオプションを使用して、同期する**ユーザー**または**グループをフィルタリング**できます。フィルターは [LDAP フィルター構文](https://ldap.com/ldap-filters/)に従う必要があります。フィルターの例は次のとおりです。 ``` (sAMAccountname={{}}) ``` **カスタム SSSD パラメータ** 管理者は、クラスターインスタンスの SSSD 設定ファイルの `[domain_type/DOMAIN_NAME]`セクションに書き込む SSSD パラメータと値を含むキーと値のペアのディクショナリを提供できます。RES は SSSD 更新を自動的に適用します。クラスターインスタンスで SSSD サービスを再起動し、AD 同期プロセスをトリガーします。 一般的なカスタム SSSD 設定は次のとおりです。 + `enumerate` - ディレクトリサービスからすべてのユーザーエントリとグループエントリをキャッシュするには、「true」に設定します。これを無効にすると、ユーザーの初回ログインに短い遅延が生じる可能性があります。 + `ldap_id_mapping` - LDAP/AD ユーザー ID とグループ IDsGIDs」に設定します。 UIDs これを有効にすると、既存の POSIX スクリプトやアプリケーションとの互換性が向上します。 SSSD 設定ファイルの詳細については、 の Linux man ページを参照してください`SSSD`。 ![追加の SSSD 設定](http://docs.aws.amazon.com/ja_jp/res/archive/release-minus-2/ug/images/res-additional-sssd-config1.png) SSSD パラメータと値は、以下に説明するように RES SSSD 設定と互換性がある必要があります。 + `id_provider` は RES によって内部的に設定されるため、変更しないでください。 + `ldap_uri`、、 `ldap_default_bind_dn` などの AD 関連の設定`ldap_default_authtok`は`ldap_search_base`、提供されている他の AD 設定に基づいて設定されるため、変更しないでください。 次の例では、SSSD ログのデバッグレベルを有効にします。 ![入力された新しいキーと値のペアを示す追加の SSSD 設定](http://docs.aws.amazon.com/ja_jp/res/archive/release-minus-2/ug/images/res-additional-sssd-config2.png) ## 初期 AD 同期後の E メール更新 (リリース 2025 年 9 月) アクティブディレクトリユーザーの E メールアドレスが変更された場合、管理者は手動で AD 同期を開始するか、次にスケジュールされた AD 同期で変更が取得されて RES に同期されるまで待機できます。 ## 同期を手動で開始または停止する方法 (リリース 2025 年 3 月以降) **ID 管理**ページに移動し、**Active Directory ドメイン**コンテナの**「AD 同期の開始**」ボタンを選択して、オンデマンドで AD 同期をトリガーします。 ![Active Directory ドメイン設定](http://docs.aws.amazon.com/ja_jp/res/archive/release-minus-2/ug/images/res-ad-directory-sync1.png) 進行中の AD 同期を停止するには、**Active Directory ドメイン**コンテナで **AD 同期の停止**ボタンを選択します。 ![同期を停止するオプションを示す Active Directory ドメイン設定ページ](http://docs.aws.amazon.com/ja_jp/res/archive/release-minus-2/ug/images/res-ad-directory-sync2.png) Active **Directory ドメイン**コンテナで AD 同期ステータスと最新の同期時間を確認することもできます。 ![最新の同期時間を示す Active Directory ドメイン設定ページ](http://docs.aws.amazon.com/ja_jp/res/archive/release-minus-2/ug/images/res-ad-directory-sync3.png) ## 同期を手動で実行する方法 (リリース 2024.12 および 2024.12.01) Active Directory の同期プロセスは、Cluster Manager インフラストラクチャホストから、バックグラウンドで 1 回限りの Amazon Elastic Container Service (ECS) タスクに移動されました。このプロセスは 1 時間ごとに実行するようにスケジュールされており、`{{}}-ad-sync-cluster`クラスターの下の Amazon ECS コンソールで実行中の ECS タスクを見つけることができます。 **手動で起動するには:** 1. [Lambda コンソール](https://console.aws.amazon.com/lambda)に移動し、 という名前の Lambda を検索します`{{}}-scheduled-ad-sync`。 1. Lambda 関数を開き、**テスト**に進む 1. **イベント JSON **に次のように入力します。 ``` { "detail-type": "Scheduled Event" } ``` 1. **[テスト]** を選択します。 1. **CloudWatch** → Log **Groups → で実行中の AD Sync タスクのログ**を確認します`/{{}}/ad-sync`。実行中の各 ECS タスクのログが表示されます。ログを表示するには、最新の を選択します。 **注記** AD パラメータを変更したり、AD フィルターを追加したりすると、RES は新しく指定されたパラメータを指定して新しいユーザーを追加し、以前に同期され、LDAP 検索スペースに含まれなくなったユーザーを削除します。 RES は、プロジェクトにアクティブに割り当てられたユーザー/グループを削除することはできません。RES で環境から削除するには、プロジェクトからユーザーを削除する必要があります。 ## SSO 設定 AD 設定が提供されたら、ユーザーは AD ユーザーとして RES ウェブポータルにログインできるように Single Sign-On (SSO) を設定する必要があります。SSO 設定が**全般設定**ページから新しい **ID 管理**ページに移動されました。SSO の設定の詳細については、「」を参照してください[ID 管理](manage-users.md)。