Active Directory の同期 - Research and Engineering Studio
ランタイム設定初期 AD 同期後の E メール更新 (リリース 2025 年 9 月以降)同期を手動で開始または停止する方法 (リリース 2025.03 以降)同期を手動で実行する方法 (リリース 2024.12 および 2024.12.01)SSO 設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Active Directory の同期

ランタイム設定

Active Directory (AD) に関連するすべての CFN パラメータは、インストール時にオプションです。

Active Directory のオプションの詳細

実行時に提供されるシークレット ARN (例: ServiceAccountCredentialsSecretArnまたは DomainTLSCertificateSecretArn) については、RES のシークレットに次のタグを追加して、シークレット値を読み取るアクセス許可を取得してください。

  • キー: res:EnvironmentName、値: <your RES environment name>

  • キー: res:ModuleName、値: directoryservice

ウェブポータルの AD 設定の更新は、次にスケジュールされた AD 同期 (時間単位) 中に自動的に取得されます。AD 設定を変更した後 (別の AD に切り替えた場合など)、ユーザーが SSO を再設定する必要がある場合があります。

初回インストール後、管理者は ID 管理ページの RES ウェブポータルで AD 設定を表示または編集できます。

Active Directory ドメイン設定の詳細
Active Directory 同期のポップアップ

Active Directory を自動的に結合する

管理者は、VDI の起動中にディレクトリドメインの結合動作を制御するように、Active Directory の自動結合を設定できます。

設定オプション:

  • 有効 - 起動時に Windows および Linux VDIs をディレクトリドメインに自動的に結合します。

  • 無効 - 自動ドメイン結合をオフにします。Linux インスタンスは、ドメイン結合の有無にかかわらず起動できます。Windows インスタンスが正常に起動するにはドメイン結合が必要なため、管理者はカスタム起動スクリプトにドメイン結合ロジックを含める必要があります。

重要

この設定を無効にする場合は、Windows インスタンスのカスタム起動スクリプトに必要なドメイン結合ロジックが含まれていることを確認します。

詳細設定

フィルター

管理者は、ユーザーフィルターオプションとグループフィルターオプションを使用して、同期するユーザーまたはグループをフィルタリングできます。フィルターは LDAP フィルター構文に従う必要があります。フィルターの例は次のとおりです。

(sAMAccountname=<user>)

カスタム SSSD パラメータ

管理者は、クラスターインスタンスの SSSD 設定ファイルの [domain_type/DOMAIN_NAME]セクションに書き込む SSSD パラメータと値を含むキーと値のペアのディクショナリを提供できます。RES は SSSD 更新を自動的に適用します。クラスターインスタンスで SSSD サービスを再起動し、AD 同期プロセスをトリガーします。

一般的なカスタム SSSD 設定は次のとおりです。

  • enumerate - ディレクトリサービスからすべてのユーザーエントリとグループエントリをキャッシュするには、「true」に設定します。これを無効にすると、ユーザーの初回ログインに短い遅延が生じる可能性があります。

  • ldap_id_mapping - LDAP/AD ユーザー ID とグループ IDsにマッピングするには、「true」に設定します。 UIDs GIDs これを有効にすると、既存の POSIX スクリプトやアプリケーションとの互換性が向上します。

SSSD 設定ファイルの詳細については、 の Linux man ページを参照してくださいSSSD

追加の SSSD 設定

SSSD パラメータと値は、以下に説明するように RES SSSD 設定と互換性がある必要があります。

  • id_provider は RES によって内部的に設定されるため、変更しないでください。

  • ldap_uri、、 ldap_default_bind_dn などの AD 関連の設定ldap_default_authtokldap_search_base、提供されている他の AD 設定に基づいて設定されるため、変更しないでください。

次の例では、SSSD ログのデバッグレベルを有効にします。

入力された新しいキーと値のペアを示す追加の SSSD 設定

初期 AD 同期後の E メール更新 (リリース 2025 年 9 月以降)

Active Directory ユーザーの E メールアドレスが変更された場合、管理者は手動で AD 同期を開始するか、次にスケジュールされた AD 同期で変更が取得されて RES に同期されるまで待機できます。

同期を手動で開始または停止する方法 (リリース 2025.03 以降)

ID 管理ページに移動し、Active Directory ドメインコンテナの「AD 同期の開始」ボタンを選択して、オンデマンドで AD 同期をトリガーします。

Active Directory ドメイン設定

進行中の AD 同期を停止するには、Active Directory ドメインコンテナで AD 同期の停止ボタンを選択します。

同期を停止するオプションを示す Active Directory ドメイン設定ページ

Active Directory ドメインコンテナで AD 同期ステータスと最新の同期時間を確認することもできます。

最新の同期時間を示す Active Directory ドメイン設定ページ

同期を手動で実行する方法 (リリース 2024.12 および 2024.12.01)

Active Directory の同期プロセスは、Cluster Manager インフラストラクチャホストから、バックグラウンドで 1 回限りの Amazon Elastic Container Service (ECS) タスクに移動されました。このプロセスは 1 時間ごとに実行するようにスケジュールされており、クラスターの下の Amazon ECS コンソールで実行中の ECS <res-environment-name>-ad-sync-cluster タスクを見つけることができます。

手動で起動するには:

  1. Lambda コンソールに移動し、 という名前の Lambda を検索します<res-environment>-scheduled-ad-sync

  2. Lambda 関数を開き、テストに進む

  3. イベント JSON に次のように入力します。

    {
    "detail-type": "Scheduled Event"
}

  4. [テスト] を選択します。

  5. CloudWatch → Log Groups → で実行中の AD Sync タスクのログを確認します/<environment-name>/ad-sync。実行中の各 ECS タスクのログが表示されます。ログを表示するには、最新の を選択します。

注記

  • AD パラメータを変更したり、AD フィルターを追加したりすると、RES は新しく指定されたパラメータを指定して新しいユーザーを追加し、以前に同期され、LDAP 検索スペースに含まれなくなったユーザーを削除します。

  • RES は、プロジェクトにアクティブに割り当てられたユーザー/グループを削除することはできません。RES でユーザーを環境から削除するには、プロジェクトからユーザーを削除する必要があります。

SSO 設定

AD 設定が提供されたら、ユーザーは AD ユーザーとして RES ウェブポータルにログインできるように Single Sign-On (SSO) を設定する必要があります。SSO 設定が全般設定ページから新しい ID 管理ページに移動されました。SSO の設定の詳細については、「」を参照してくださいID 管理