属性マッピング

サーバー同期ジョブを構成するときは、いくつかのActive Directory(AD)属性をAdvanced Server Accessの必須サーバープロパティにマッピングする必要があります。こうすることで、Advanced Server Accessはドメイン内のサーバーを正確に識別して解決できます。

デフォルト属性

デフォルトでは、Advanced Server Accessは必要なActive Directory属性を自動入力しますが、特定の構成に一致させるためにこれらの属性の編集が必要となる場合があります。

デフォルトのAD属性 Advanced Server Accessのプロパティ 説明
dNSHostName ホスト名 Advanced Server Access内で検出されたサーバーの識別に使用するホスト名を指定します。
dNSHostName アクセスアドレス 検出されたサーバーへの接続にゲートウェイが使用するIPアドレスまたはDNS名を指定します。

注:ドメインで内部DNSサーバーを使用している場合、この名前を解決して検出されたサーバーに接続するようにゲートウェイを構成する必要があります。
operatingSystem オペレーティングシステム 検出されたサーバーのオペレーティングシステムを指定します。
unset 代替名 任意。検出されたサーバーの解決に使用される代替ホスト名またはDNSエントリを指定します。これは、Bastion (踏み台)が関わる構成で周期的な接続がある場合、その接続の削除に使用されることがあります。
unset Bastion (踏み台) 任意。検出されたサーバーへのトラフィックスをトンネルするためにAdvanced Server Accessクライアントが使用できるBastion(踏み台)ホストを指定します。

属性をマッピング

追加のActive Directory属性をAdvanced Server Accessのラベルにマッピングすることで、プロジェクト内でアクセスポリシーを詳細に定義できます。各属性はLDAPクエリに含められ、値はAdvanced Server Accessの指定のラベルにマッピングされます。SID(Security Identifier)や他のバイナリでエンコードされた情報の識別にこのオプションを利用することはできません。

ラベルのマッピングには以下の制限があります。

  • チームが追加できるラベルの最大数は10です。
  • 属性が複数の値を返す場合、ラベルにマッピングできる値は1つのみです。
  • 属性では大文字と小文字が区別され、LDAPクエリが返す値に正確に一致している必要があります。

Active Directory属性をAdvanced Server Accessラベルにマッピングするには、次の操作を行います。

  1. Advanced Server Accessダッシュボードを開きます。
  2. [Connections(接続)]をクリックして既存の接続を選択します。
  3. [Server Sync(サーバー同期)]をクリックして既存のジョブを選択します。
  4. [Active Directory Attribute(Active Directory属性)]セクションに移動してこの属性を構成します。これはActive Directoryサーバーの属性であり、これをAdvanced Server Accessラベルにマッピングする必要があります。
  5. 任意。[GUID?]を選択します。[GUID?]オプションでは、Active Directory属性はGUID(Globally Unique Identifier)として識別されます。このオプションでは、LDAPクエリに対応してActive DirectoryがGUIDをエンコードするため、Advanced Server AccessActive Directory属性をデコードしてAdvanced Server Accessのラベルに正確にマッピングできます。
  6. [Save & Continue(保存して続行)]をクリックします。
  7. 任意。「サーバー同期ジョブをテストする」の手順に従ってください。

  8. サーバーにアクセスする必要があるユーザーのグループを作成します。このグループのユーザーは、同じラベルを持つサーバーにのみアクセスできます。「グループを作成する」を参照してください。

  9. プロジェクトグループにサーバーセレクターを追加します。

    1. [Groups(グループ)]タブに移動します。
    2. 歯車アイコン(歯車アイコン。)をクリックし、[Edit(編集)]を選択します。
    3. [Server Access(サーバーアクセス)][Specific Servers(特定のサーバー)]を選択します。
    4. ラベルを選択します。ラベルの書式は「ad.defined ASAラベル名」です。
    5. [Update Group(グループを更新する)]をクリックしてセレクターを保存します。

関連項目

サーバー同期ジョブを作成する