SaaS版でのLDAP設定の変更

ユーザーとグループのインポート

1. ポータルの設定で、左サイドバーの統合セクションにあるLDAP設定ページを開きます。
2. LDAP認証を有効にするスイッチをクリックします（設定を初めて変更する場合でない場合は、LDAP設定タイトルの横にある表示リンクを使用してパラメータフォームを表示します）。
3. 接続をStartTLS技術を使用して保護したい場合は、StartTLSボックスをチェックします（この場合、デフォルトポート389が使用されます）。SSLプロトコルを使用したい場合は、SSLを有効にするボックスをチェックします（この場合、ポート番号は自動的に636に変更されます）。
4. ユーザーインポートに必要なフィールドを入力します（必須フィールドはアスタリスクでマークされています）:
   
   警告 既に一部のユーザーをインポートし、設定（例：サーバー、ユーザーフィルター、ユーザーDN、グループフィルター、グループDN）を変更した場合、これらの新しい設定に一致しない既存のユーザーとそのすべてのデータ（ドキュメント、メールなど）は無効化されます。設定を変更する前にバックアップを作成することを強くお勧めします。
   • サーバーフィールドに、protocol://hostの形式でLDAPサーバーのURLアドレスを入力します。例：通常のLDAP接続の場合はLDAP://example.com、SSL経由の安全なLDAP接続の場合はLDAPS://example.com。サーバーのDNS名の代わりにIPアドレスを指定することもできます：LDAP://192.168.3.202;
   • LDAPサーバーにアクセスするために使用されるポート番号を指定します。通常のLDAP接続のデフォルトポートは389です。StartTLSオプションを有効にした場合もデフォルトポート389が使用されます。SSLオプションが有効な場合、ポート番号は自動的に636に変更されます;
   • ユーザーDN（ユーザー識別名）フィールドに、インポートしたいユーザーを含むトップレベルディレクトリへの絶対パスを指定します。このパラメータは検索が開始されるノードを定義します。ルートディレクトリを指定して、ディレクトリ全体でユーザーを検索するか、特定の検索エリアを指定して、指定されたグループ内でユーザーを検索することができます。例：dc=example,dc=com、ou=groupname,dc=example,dc=com;
   • LDAPサーバーユーザーがONLYOFFICEにログインするために使用するログインに対応するユーザーレコード内の属性であるログイン属性の値を指定します;
     注意：デフォルト設定はActive Directory用に指定されています。OpenLDAPサーバーの場合、以下の設定を変更する必要があります:

     • ユーザーフィルター - (uid=*)
     • ログイン属性 - uid
   • 指定された検索条件に一致するユーザーをインポートする必要がある場合は、ユーザーフィルターフィールドを入力します。デフォルトのフィルター値(uid=*)はすべてのユーザーをインポートすることを許可します;
     検索フィルターの構文例はこちらで確認できます。
5. 属性マッピングセクションでは、ポータルのユーザーデータフィールドとLDAPサーバーユーザーレコード内の属性間の対応を設定できます。属性を追加ボタンをクリックし、リストから必要なデータフィールドを選択し、LDAPサーバーで使用されるユーザー属性を指定します。以下のパラメータはデフォルトで設定されていますが、必要に応じて変更できます:
   
   • 名（ユーザーレコード内でユーザーの名に対応する属性）
   • 姓（ユーザーレコード内でユーザーの姓に対応する属性）
   • メール（ユーザーレコード内でユーザーのメールアドレスに対応する属性）
   • 役職（ユーザーレコード内でユーザーの役職に対応する属性）
   • 主要携帯電話（ユーザーレコード内でユーザーの携帯電話番号に対応する属性）
   • 所在地（ユーザーレコード内でユーザーの所在地に対応する属性）

   以下の属性も追加できます：生年月日、性別、プロフィール写真、追加電話、追加携帯、追加メール、Skype。

6. LDAPサーバーからポータルにグループを追加したい場合は、グループメンバーシップスイッチをクリックし、必要なフィールドを入力します:
   グループを追加することを決定した場合、少なくとも1つのグループに属するユーザーのみが追加されることに注意してください。
   
   警告 既に一部のユーザーをインポートし、設定（例：サーバー、ユーザーフィルター、ユーザーDN、グループフィルター、グループDN）を変更した場合、これらの新しい設定に一致しない既存のユーザーとそのすべてのデータ（ドキュメント、メールなど）は無効化されます。設定を変更する前にバックアップを作成することを強くお勧めします。
   • グループDN（グループ識別名）フィールドに、インポートしたいグループを含むトップレベルディレクトリへの絶対パスを指定します。例：ou=Groups,dc=example,dc=com。
   • ユーザー属性（このユーザーがグループのメンバーであるかどうかを決定する属性）;
   • 指定された検索条件に一致するグループをインポートする必要がある場合は、グループフィルターフィールドを入力します。デフォルトのフィルター値(objectClass=group)はすべてのグループをインポートすることを許可します;
   • 以下のパラメータはデフォルトで設定されていますが、必要に応じて変更できます:
     • グループ名属性（ユーザーが含まれるグループの名前に対応する属性）
     • グループ属性（グループが含むユーザーを指定する属性）
     注意：デフォルト設定はActive Directory用に指定されています。OpenLDAPサーバーの場合、以下の設定を変更する必要があります:

     • グループフィルター - (objectClass=posixGroup)
     • ユーザー属性 - uid
     • グループメンバー属性 - memberUid
7. 現在のWindowsユーザーがLDAPサーバー/Active Directoryから読み取る権限を持っていない場合は、ユーザー認証スイッチをオンにします。ログインとパスワードフィールドに、LDAPサーバーからデータを読み取る権限を持つユーザーの資格情報を入力します（デフォルトでは現在のWindowsセッションのログインとパスワードに設定されています）。
8. 新しいユーザー全員にメールで招待状を送信したい場合は、詳細設定セクションでウェルカムレターを送信ボックスをチェックします。ウェルカムメッセージには、ユーザーがポータルのログインページに移動してメールを有効化するためのボタンが含まれています。このオプションは、メール属性マッピングが設定されている場合にのみ利用可能です。
9. 保存ボタンをクリックします。
10. 表示される「インポートの確認」ウィンドウで、OKボタンをクリックしてユーザーのインポートを開始します。

LDAPユーザーの認証

インポートされた各ユーザーは、次のスキームに従って形成されたログインを使用してポータルにサインインできます：

• ログイン属性、例：Andrew.Stone
• ログイン属性 + @ + LDAPドメイン、例：Andrew.Stone@example.com
• LDAPドメイン + \ + ログイン属性（不完全なドメイン名がサポートされます）、例：example\Andrew.Stone

認証ページにはドメインにサインインオプションがあり、パスワードを明示的な形式で転送することができます。ドメイン外のポータルユーザーはこの設定をオフにすることができます。その場合、パスワードはハッシュ形式で転送されます。

Peopleモジュール内のインポートされたユーザープロファイルは、ポータル管理者向けにLDAPアイコンでマークされます。LDAPを使用してインポートされたユーザープロファイルフィールドは編集できません。

LDAPデータの同期

LDAPサーバーでデータを変更した場合（例：新しいユーザー/グループの追加、既存のグループの名前変更、ユーザーレコードの情報編集）、LDAPサーバーからの新しい情報でポータルデータを簡単に同期できます。

同期オプションを調整するには、自動同期スイッチをオンにして、必要な時間を設定して自動同期を実行します：毎時指定した分でデータを同期したり、毎日指定した時間で、または毎週または毎月指定した日と時間で同期できます。設定を適用するには保存をクリックします。また、LDAPページの下部にあるユーザーを同期ボタンをクリックして手動でデータを同期することもできます。あるいは、LDAP設定セクションの下にある保存ボタンを使用することもできます。

個別のユーザーに関する情報も、このユーザーがポータルにログインした後に同期されます。