PassLogic を使ってみた(ユーザ連携編) 

    PassLogic を使ってみた(ユーザ連携編) 

    目次

       

      はじめに

      クラウドインテグレーション部の峰松優太です。

      本シリーズ記事では、PassLogic を利用して以下の 2 つを実現します。

      • SAML 認証連携による PassLogic 認証を利用した Microsoft 365 へのログイン
      • PassLogic for Windows Desktop による PassLogic 認証を利用した PC へのログオンおよび Microsoft 365 へのシームレスサインオン

      PassLogic とは デバイスレス・ワンタイムパスワード を用いた認証プラットホームであり、パスロジ株式会社より提供されてます。

      PassLogic 公式より、以下 2 つの記事が公開されています。

      これらのシステムを実際に構築し、詰まった点や考慮すべきだと感じた点について紹介します。

      なお、今回の全構築作業を以下 3 フェーズに分割しています。

      本記事では、フェーズ 1 について記載します。
      フェーズ 1 で実装するのはこちらです。

      1. PassLogic 認証サーバ構築
      2. AD サーバ構築
      3. AD ユーザを PassLogic に連携

      202405_using_passlogic_seamless_01

      前提

      • 環境はすべて Azure に構築しています。
      • ネットワーク要件に関しては特に言及しておりません。
      • 本環境にて使用するドメインを Microsoft Entra ID にカスタムドメインとして登録しておく必要があります。
         【カスタムドメイン】 pltest.***

      PassLogic 認証サーバ構築

      インストールガイドに従い、PassLogic 認証サーバを立ち上げます。
      インストールガイドは PassLogic を購入すると入手できます。

      環境

      • PassLogic Enterprise Edition Ver.5.0.0
      • OS: Red Hat Enterprise Linux 8.6
      • 認証サーバ1台構成(冗長構成なし)

       

      立ち上げ後、管理ユーザで PassLogic の管理ツールにアクセスしログインします。

      202405-using-passlogic-user-collaboration-02

      以上で PassLogic 認証サーバの立ち上げが完了しました。

      Active Directory サーバ構築

      Microsoft 公式ドキュメント に従って Active Directory (AD) を構築します。

       

      環境

      • OS: Windows Server 2022
      • ルートドメイン名: pltest.***
      • NetBIOS 名: PLTEST

       

      ドメインコントローラへ昇格後、PassLogic 連携用に以下のユーザを作成しました。

      ユーザ 詳細
      yuta minematsu OU "PassLogic" に所属
      test001 OU "PassLogic" に所属
      plmanager 連携用バインドユーザ
      AD の読み取り権限を付与

      202405-using-passlogic-user-collaboration-03

      PassLogic と AD の連携

      PassLogic 認証を利用したい AD ユーザを PassLogic へ連携します。
      以下の 2 つの連携方法があり、今回は「LDAP 認証連携」を使用しました。

      • LDAP 認証連携: AD サーバによる認証を行い、認証が成功した AD ユーザを同期します。
      • LDAP ID 同期: AD サーバによる認証は行わず、対象の AD ユーザを一括で同期します。

       

      PassLogic ドメイン設定

      PassLogic 内のすべてのユーザはドメインを適用して管理されます。
      (デフォルトでは local というドメインが用意されています。)

      後のフェーズで登場する PassLogic for Windows Desktop を AD ユーザで利用するためには、PassLogic ドメインを AD ドメインの NetBIOS 名に設定する必要があります。

      したがって、今回は「PLTEST」という PassLogic ドメインを新規作成してユーザ連携を行います。

       

      LDAP 認証連携

      PassLogic の管理画面にて、PLTEST ドメインの LDAP 認証連携設定を行います。

       

      AD サーバ接続設定

      項目 値/説明
      LDAP Active Directory
      サーバ 1 AD サーバの IP アドレス
      ポート番号   389
      バインド DN LDAP Search 権限をもつ AD ユーザの DN (= plmanager)
      バインドパスワード バインド DN で指定したユーザの AD パスワード
      ツリートップの DN 同期対象の DN (= OU "PassLogic")
      検索フィルタ 「ツリートップの DN」内の同期対象ユーザをフィルタリング
      Active Directory ドメイン名 pltest.***
      デフォルトポリシー 同期対象ユーザにデフォルトで適用されるポリシー

      ※ LDAP 連携認証設定後、ユーザの初回ログイン時に LDAP 属性値マッピング定義にて、デフォルト値に指定したポリシーが適用されます。以降のログインでは、このデフォルト値のポリシーを変更しても、既に作成済みのユーザには反映されないためご注意ください。

       

      LDAP 属性値マッピング定義

      PassLogic ユーザに連携する AD の属性 を定義します。

      • ユーザ ID: samaccountname
      • 備考: objectGUID

      ※ Microsoft Entra ID との連携においては objectGUID を指定する必要があります。

      参考: 【属性エディタ】Active DirectoryのDNやSID等の属性を一覧表示,取得する方法

      202405-using-passlogic-user-collaboration-04

      以上で AD と PassLogic の同期設定が完了しました。
      確認画面の末尾に同期対象ユーザが表示されます。今回は検索フィルタにて ym (yuta minematsu) を指定したため、このユーザのみ同期されます。

      202405-using-passlogic-user-collaboration-05

       

      同期確認

      連携後、ユーザログイン画面では AD パスワードが要求されます。

      202405-using-passlogic-user-collaboration-06

      AD 認証が成功したユーザは PassLogic に同期されます。

       

      続いて PassLogic ワンタイムパスワードのシークレットパターンを変更するよう要求されます。
      以後のログインでは変更したシークレットパターンに従ってパスワードを入力します。

      202405-using-passlogic-user-collaboration-07


      ログを確認すると、AD 認証成功後にユーザが作成されていることが分かります。

      202405-using-passlogic-user-collaboration-08

      ※ LDAP ID 同期を使用する場合、指定したタイミングで対象の AD ユーザが一括同期されます。(AD 認証は必要ありません)

      以上で、AD と PassLogic の連携が完了しました。

      まとめ

      本記事では、PassLogic 認証サーバ および AD サーバの構築と、両サーバ間でのユーザ連携を実施しました。

      フェーズ 1 の要点は以下です。

      • PassLogic ドメインを AD ドメインの NetBIOS 名に設定する
      • LDAP 認証連携のマッピング設定にて ObjectGUID 属性を指定する
      • LDAP 認証連携と LDAP ID 同期では ユーザの同期方法が異なる

      最後までお読みいただきありがとうございました。 次回の記事をお待ちください。

       

      次回

      • Microsoft Entra Connect による AD と Entra ID の同期
      • SAML 認証連携

       

      引用・参考

      PassLogic Enterprise Edition Ver.5.0.0 インストールガイド (PassLogic 製品に同梱)

      PassLogic

      デバイスレス・ワンタイムパスワード

      Office 365 と PassLogic を SAML 連携

      Windows ログオン シームレスサインオン

      AD DS をインストールする

      AD の属性

      【属性エディタ】Active DirectoryのDNやSID等の属性を一覧表示,取得する方法

       

      アジアクエスト株式会社では一緒に働いていただける方を募集しています。
      興味のある方は以下のURLを御覧ください。