外部ディレクトリの接続の設定

外部の LDAP ディレクトリを使用して Sophos Mobile Adminとセルフサービス ポータルのユーザーアカウントを管理する場合は、Sophos Mobile から LDAP サーバーのデータを取得できるようディレクトリとの接続を設定する必要があります。Sophos Mobile on Premise の場合、これは、カスタマー作成時にスーパー管理者によって実行されます。
注: LDAP ディレクトリと Sophos Mobile は同期されません。Sophos Mobile は、ユーザー情報を参照する目的のみで LDAP ディレクトリにアクセスします。LDAP ユーザーの変更は、Sophos Mobile のデータベースに反映されません。また、その逆も反映されません。
  1. サイドバーのメニューの「設定」の下で、「セットアップ > システムセットアップ」の順にクリックし、「ユーザー設定」タブをクリックします。
  2. 外部 LDAP ディレクトリ」を選択します。
  3. 外部 LDAP の設定」をクリックして、サーバーの詳細を指定します。
  4. サーバーの詳細」ページで次の項目を設定します。
    1. LDAP の種類」フィールドで、LDAP サーバーの種類を選択します。
      • Active Directory
      • IBM Domino
      • NetIQ eDirectory
      • Red Hat Directory Server
      • Zimbra
    2. プライマリ URL」フィールドに、プライマリ ディレクトリ サーバーの URL を入力します。サーバーの IP アドレスやサーバー名を入力できます。SSL または TLS (サーバーの対応状況に依存)でサーバーに接続するには、「SSL/TLS」を選択します。Sophos Mobile as a Service の場合、「SSL/TLS」の選択を外すことはできません。
    3. オプション: セカンダリ URL」フィールドに、プライマリサーバーに接続できない場合のフォールバック設定として、セカンダリ ディレクトリ サーバーの URL を入力します。サーバーの IP アドレスやサーバー名を入力できます。SSL または TLS (サーバーの対応状況に依存)でサーバーに接続するには、「SSL/TLS」を選択します。Sophos Mobile as a Service の場合、「SSL/TLS」の選択を外すことはできません。
    4. ユーザー」フィールドにディレクトリサーバーで検索するアカウントを入力します。Sophos Mobile ではディレクトリサーバーへの接続にアカウント情報が使用されます。

      Active Directory の場合はドメインも入力する必要があります。次の形式で入力してください。

      • <ドメイン名>\<ユーザー名>
      • <ユーザー名>@<ドメイン名>.<ドメインコード>
      注: セキュリティ上の理由から、ディレクトリサーバーに対して読み取り権限のみを持ち、書き込み権限を持たないユーザーを指定することを推奨します。
    5. パスワード」フィールドにユーザーのパスワードを入力します。
    次へ」をクリックします。
  5. 検索のベース」ページで、検索ベースの DN (Distinguished Name) を入力します。
    検索ベースは、ユーザーやグループの検索を開始する外部ディレクトリの場所です。
  6. 検索フィールド」では、プロファイルやポリシーの %_USERNAME_%%_EMAILADDRESS_% を表示するために使用するディレクトリのフィールドを設定します。必要なフィールド名を入力するか、または「ユーザー名」と「メール」リストから選択します。
    注: リストには、現在 LDAP ディレクトリに接続しているユーザー (前述のステップ 4.d で指定) に対して設定されているフィールドのみが表示されます。たとえば、ユーザーに対してメールのフィールドが設定されていない場合などは、「メール」フィールドに必要な値を手動で入力する必要があります。
    Active Directory の場合、フィールドに対応する属性は以下のとおりです。
    • ユーザー名: sAMAccountName
    • : givenName
    • : sn
    • メール: mail
  7. SSP 設定」ページで、セルフサービス ポータルへのログインを許可するユーザーを指定します。次のいずれかの方法で「LDAP ディレクトリグループ」フィールドに関連する情報を入力します。
    • アスタリスク「*」を入力すると、LDAP ディレクトリグループのメンバーすべてに、セルフサービス ポータルへのログインが許可されます。
      注:*」は、すべてのユーザーでなく、すべてのグループを指します。LDAP ディレクトリグループに所属していないユーザーは含まれません。
    • ディレクトリサーバーで定義されているグループ名を入力すると、グループのすべてのメンバーにセルフサービス ポータルへのログインが許可されます。グループ名を入力したら、「グループの名前解決」をクリックしてグループ名を識別名 (DN: Distinguished Name) として表示します。
    • 入力欄を空白のままにすると、ディレクトリサーバーに登録されているすべてのユーザーがセルフサービス ポータルにログインできなくなります。セルフサービス ポータルではなく、Sophos Mobile Adminに対する外部ユーザー管理を有効にする場合は、このように設定してください。
    注: ここで指定するグループは、「セルフサービス ポータル」ページの「グループの設定」タブで指定するユーザーグループに関連しません。SSP ページでは、各ユーザーグループに対する、タスクバンドル、Sophos Mobile のグループメンバーシップ、有効なデバイスのプラットフォームなどを指定します。
  8. 適用」をクリックします。
  9. ユーザー設定」タブで「保存」をクリックします。