AD/LDAPコネクターの構成ファイルスキーマ
AD/LDAPコネクターのメイン構成ファイルはconfig.jsonです。AD/LDAPコネクターのAdmin Consoleを使って変更できないものについては、このファイルで編集することができます。また、このファイルを見れば、特定のコネクターがどのテナントに使用されているのかを確認できます。このファイルはAD/LDAPコネクターのインストールディレクトリにあります。Windowsでは通常、C:\Program Files (x86)\Auth0\AD LDAP Connectorです。このファイルは以下の設定に対応しています。
| 設定 | 説明 | デフォルト |
|---|---|---|
AD_HUB |
コネクターが接続するAuth0のエンドポイントです。この値はコネクターが管理します。 | |
CA_CERT |
認証局証明書または認証局証明書の配列で、リモートホストの照合に使用されます。 | |
CLIENT_CERT_AUTH |
クライアント証明書認証が有効かどうかを指定します。この値はAuth0内で構成され、コネクターが管理します。 | |
CONNECTION |
Auth0にある接続の名前で、コネクターのこのインスタンスにリンクされます。この値はコネクターが管理します。 | |
CONNECTIONS_API_V2_KEY |
接続取得エンドポイントの呼び出しに使用されるManagement APIのトークンです。コネクターのトラブルシューティングが必要な場合には、これを設定します。これは、ローカル証明書をAuth0で構成されているものと比較して、可能性のある不一致を検出します。 | |
FIREWALL_RULE_CREATED |
Kerberosサーバー(Kerberosが有効な場合のみ)にファイアウォールルールが作成されると、trueに設定されます。 |
|
GROUPS |
プロファイルをリッチ化すると、ユーザーのグループが含まれます。 | true |
GROUP_PROPERTY |
グループをユーザーに追加する際に使用されるグループオブジェクトの属性です。 | cn |
GROUPS_CACHE_SECONDS |
ユーザーのグループをキャッシュしておく総時間を秒単位で指定します。 | 600秒 |
GROUPS_TIMEOUT_SECONDS |
ユーザーが所属するすべてのグループを検索する際のタイムアウトを秒単位で指定します。 | 20秒 |
HTTP_PROXY |
AD/LDAPコネクターからAuth0への接続に必要な場合のプロキシサーバーのURLです。 | |
KERBEROS_AUTH |
Kerberos認証が有効かどうかを指定します。この値はAuth0内で構成され、コネクターが管理します。 | |
LAST_SENT_THUMBPRINT |
Auth0に送信された最後の証明書のサムプリントです。 | |
LDAP_BASE |
LDAPの検索が始まるディレクトリ内の場所を定義します。例:DC=fabrikam,DC=local |
|
LDAP_BASE_GROUPS |
LDAPグループの検索が始まるディレクトリ内の場所を定義します。 | |
LDAP_BIND_PASSWORD |
LDAPユーザーのパスワードです。この設定は、コネクターが初期化されると自動的に削除されます。 | |
LDAP_BIND_CREDENTIALS |
LDAPユーザーの暗号化パスワードです。この設定は、コネクターが初期化されると自動的に追加されます。 | |
LDAP_BIND_USER |
LDAPへの接続をバインドするユーザーです。 | |
LDAP_HEARTBEAT_SEARCH_QUERY |
ハートビートの確認に使用されるLDAPの検索クエリです。 | (&(objectclass=user)(|(sAMAccountName=foo)(UserPrincipalName=foo))) |
LDAP_HEARTBEAT_SECONDS |
LDAP接続を開いた状態で維持する時間を秒単位で指定します。 | |
LDAP_SEARCH_ALL_QUERY |
LDAPストア内のすべてのユーザーをリストするためのLDAPクエリです。 | (objectCategory=person) |
LDAP_SEARCH_GROUPS |
LDAPストア内のグループを見つけるためのLDAPクエリです。例:(&(objectCategory=group)(member={0})) |
(member:1.2.840.113556.1.4.1941:={0}) |
LDAP_SEARCH_QUERY |
LDAPストア内のユーザーを見つけるためのLDAPクエリです。 | (&(objectCategory=person)(anr={0})) |
LDAP_USER_BY_NAME |
認証中にLDAPストア内のユーザーを見つけるためのLDAPクエリです。この設定を使用すると、どの属性がユーザー名だと見なされるかを指定することができます。たとえば、sAMAccountNameやUPNなどの普通名詞を指定することができます。また、OR検索で複数の値に対応しています。例:(|(sAMAccountName={0})(userPrincipalName={0})) |
(sAMAccountName={0}) |
LDAP_URL |
LDAPの接続文字列です。例:ldap://fabrikam-dc.fabrikam.local |
|
PORT |
Kerberos認証またはクライアント証明書認証が有効な場合に、サーバーが実行されるポートです。 | |
PROVISIONING_TICKET |
Auth0のプロビジョニングチケットで、Auth0との通信に使用されます。 | |
REALM |
Auth0のurn:auth0:fabrikamなどの領域です。この値はコネクターが管理します。 |
|
SERVER_URL |
デフォルトのコネクターURLはserver-name:portですが、この設定ではこれを上書きすることができます。例:connector.mycompany.com |
|
SESSION_SECRET |
セッションのクッキーを暗号化するためのセッションシークレットです。 | |
SITE_NAME |
クライアント証明書認証が有効化されているのに使用できない場合、ADコネクターはフォールバックのログインページを表示します。この設定では、ページの上部に表示されるタイトルを指定することができます。 | AD接続の名前です。 |
SSL_CA_PATH |
CA証明書ファイルが保管されているベースディレクトリへの絶対パスです。 | |
SSL_KEY_PASSWORD |
SSL証明書のパスワードです。 | |
SSL_PFX |
Base64でエンコードされた証明書で、SSLに使用されます。 | |
TENANT_SIGNING_KEY |
JWTの検証に使用されるAuth0テナントです。 | |
WSFED_ISSUER |
WS-Federationの応答で設定される発行者です。接続がメールドメインで構成されている場合には、Auth0内で最初に構成されているメールドメインが発行者として使用されます。 | urn:auth0 |
LDAPクエリについては、「Active Directory:LDAP Syntax Filters」を参照してください。