PassLogic を使ってみた(ユーザ連携編) 

    PassLogic を使ってみた(ユーザ連携編) 

    目次

       

      はじめに

      クラウドインテグレーション部の峰松優太です。

      本シリーズ記事では、PassLogic を利用して以下の 2 つを実現します。

      • SAML 認証連携による PassLogic 認証を利用した Microsoft 365 へのログイン
      • PassLogic for Windows Desktop による PassLogic 認証を利用した PC へのログオンおよび Microsoft 365 へのシームレスサインオン

      PassLogic とは デバイスレス・ワンタイムパスワード を用いた認証プラットホームであり、パスロジ株式会社より提供されてます。

      PassLogic 公式より、以下 2 つの記事が公開されています。

      これらのシステムを実際に構築し、詰まった点や考慮すべきだと感じた点について紹介します。

      なお、今回の全構築作業を以下 3 フェーズに分割しています。

      本記事では、フェーズ 1 について記載します。
      フェーズ 1 で実装するのはこちらです。

      1. PassLogic 認証サーバ構築
      2. AD サーバ構築
      3. AD ユーザを PassLogic に連携

      202405_using_passlogic_seamless_01

      前提

      • 環境はすべて Azure に構築しています。
      • ネットワーク要件に関しては特に言及しておりません。
      • 本環境にて使用するドメインを Microsoft Entra ID にカスタムドメインとして登録しておく必要があります。
         【カスタムドメイン】 pltest.***

      PassLogic 認証サーバ構築

      インストールガイドに従い、PassLogic 認証サーバを立ち上げます。
      インストールガイドは PassLogic を購入すると入手できます。

      環境

      • PassLogic Enterprise Edition Ver.5.0.0
      • OS: Red Hat Enterprise Linux 8.6
      • 認証サーバ1台構成(冗長構成なし)

       

      立ち上げ後、管理ユーザで PassLogic の管理ツールにアクセスしログインします。

      202405-using-passlogic-user-collaboration-02

      以上で PassLogic 認証サーバの立ち上げが完了しました。

      Active Directory サーバ構築

      Microsoft 公式ドキュメント に従って Active Directory (AD) を構築します。

       

      環境

      • OS: Windows Server 2022
      • ルートドメイン名: pltest.***
      • NetBIOS 名: PLTEST

       

      ドメインコントローラへ昇格後、PassLogic 連携用に以下のユーザを作成しました。

      ユーザ 詳細
      yuta minematsu OU "PassLogic" に所属
      test001 OU "PassLogic" に所属
      plmanager 連携用バインドユーザ
      AD の読み取り権限を付与

      202405-using-passlogic-user-collaboration-03

      PassLogic と AD の連携

      PassLogic 認証を利用したい AD ユーザを PassLogic へ連携します。
      以下の 2 つの連携方法があり、今回は「LDAP 認証連携」を使用しました。

      • LDAP 認証連携: AD サーバによる認証を行い、認証が成功した AD ユーザを同期します。
      • LDAP ID 同期: AD サーバによる認証は行わず、対象の AD ユーザを一括で同期します。

       

      PassLogic ドメイン設定

      PassLogic 内のすべてのユーザはドメインを適用して管理されます。
      (デフォルトでは local というドメインが用意されています。)

      後のフェーズで登場する PassLogic for Windows Desktop を AD ユーザで利用するためには、PassLogic ドメインを AD ドメインの NetBIOS 名に設定する必要があります。

      したがって、今回は「PLTEST」という PassLogic ドメインを新規作成してユーザ連携を行います。

       

      LDAP 認証連携

      PassLogic の管理画面にて、PLTEST ドメインの LDAP 認証連携設定を行います。

       

      AD サーバ接続設定

      項目 値/説明
      LDAP Active Directory
      サーバ 1 AD サーバの IP アドレス
      ポート番号   389
      バインド DN LDAP Search 権限をもつ AD ユーザの DN (= plmanager)
      バインドパスワード バインド DN で指定したユーザの AD パスワード
      ツリートップの DN 同期対象の DN (= OU "PassLogic")
      検索フィルタ 「ツリートップの DN」内の同期対象ユーザをフィルタリング
      Active Directory ドメイン名 pltest.***
      デフォルトポリシー 同期対象ユーザにデフォルトで適用されるポリシー

      ※ LDAP 連携認証設定後、ユーザの初回ログイン時に LDAP 属性値マッピング定義にて、デフォルト値に指定したポリシーが適用されます。以降のログインでは、このデフォルト値のポリシーを変更しても、既に作成済みのユーザには反映されないためご注意ください。

       

      LDAP 属性値マッピング定義

      PassLogic ユーザに連携する AD の属性 を定義します。

      • ユーザ ID: samaccountname
      • 備考: objectGUID

      ※ Microsoft Entra ID との連携においては objectGUID を指定する必要があります。

      参考: 【属性エディタ】Active DirectoryのDNやSID等の属性を一覧表示,取得する方法

      202405-using-passlogic-user-collaboration-04

      以上で AD と PassLogic の同期設定が完了しました。
      確認画面の末尾に同期対象ユーザが表示されます。今回は検索フィルタにて ym (yuta minematsu) を指定したため、このユーザのみ同期されます。

      202405-using-passlogic-user-collaboration-05

       

      同期確認

      連携後、ユーザログイン画面では AD パスワードが要求されます。

      202405-using-passlogic-user-collaboration-06

      AD 認証が成功したユーザは PassLogic に同期されます。

       

      続いて PassLogic ワンタイムパスワードのシークレットパターンを変更するよう要求されます。
      以後のログインでは変更したシークレットパターンに従ってパスワードを入力します。

      202405-using-passlogic-user-collaboration-07


      ログを確認すると、AD 認証成功後にユーザが作成されていることが分かります。

      202405-using-passlogic-user-collaboration-08

      ※ LDAP ID 同期を使用する場合、指定したタイミングで対象の AD ユーザが一括同期されます。(AD 認証は必要ありません)

      以上で、AD と PassLogic の連携が完了しました。

      まとめ

      本記事では、PassLogic 認証サーバ および AD サーバの構築と、両サーバ間でのユーザ連携を実施しました。

      フェーズ 1 の要点は以下です。

      • PassLogic ドメインを AD ドメインの NetBIOS 名に設定する
      • LDAP 認証連携のマッピング設定にて ObjectGUID 属性を指定する
      • LDAP 認証連携と LDAP ID 同期では ユーザの同期方法が異なる

      最後までお読みいただきありがとうございました。 次回の記事をお待ちください。

       

      次回

      • Microsoft Entra Connect による AD と Entra ID の同期
      • SAML 認証連携

       

      引用・参考

      PassLogic Enterprise Edition Ver.5.0.0 インストールガイド (PassLogic 製品に同梱)

      PassLogic

      デバイスレス・ワンタイムパスワード

      Office 365 と PassLogic を SAML 連携

      Windows ログオン シームレスサインオン

      AD DS をインストールする

      AD の属性

      【属性エディタ】Active DirectoryのDNやSID等の属性を一覧表示,取得する方法