AD/LDAPコネクターのシステム要件

一般的に、AD/LDAPコネクターには運用リソースへのアクセスが要求されるため、システム管理者、運用エンジニアや開発者によるインストールが必要です。実際にインストールする前に、以下のチェックリストの内容を検討してください。

コネクターは、ドメインコントローラーも含めて、既存のサーバーにインストールできます。ただし、通常は、コネクター専用にプロビジョニングされた仮想マシンにインストールされます。いずれにしても、ホストサーバーにはハードウェアとソフトウェアに関して、以下の仕様や構成が必要です。

• アーキテクチャ：x86またはx86-64

• CPUコア数：最小1、推奨2

• ストレージ：500MBのディスク空き容量

• オペレーティングシステム：コネクターはWindowsまたはLinux上で動作します。ケルベロス認証にはWindowsが必要です。

• RAM：2GB以上

Windows Server 2016やWindows Server 2019など、対応しているWindows Serverの使用をお勧めします。コネクターはWindows Server 2012 R2上でも動作します。

コネクターホストサーバーのクロックが自動的にNTPサーバーと同期されていることは、非常に重要です。そうしないと、コネクターが起動に失敗し、クロックスキューのエラーが報告されます。

ホストサーバーには、以下のサービスに対するアウトバウンドのネットワーク接続が必要です。

コネクターをサーバー上にインストールし、ポート443を通してAuth0サービスのhttps://{yourDomain}にアウトバウンド接続を開く必要があります。

コネクターをプロキシサーバーの内側にインストールして構成することもできますが、これは推奨されません。HTTP_PROXYの環境変数または構成変数を使用して、プロキシを有効化してください。

コネクターをサーバー上にインストールし、LDAP用のポート389または636でLDAPサーバーにアクセスできなければなりません。コネクターをインストールする前に、LDAPディレクトリへの接続に必要なLDAP接続文字列とベースDNを確認してください。

ケルベロス認証または証明書認証を有効化しない場合には、コネクターにインバウンド接続を有効にする必要があります。その場合、コネクターがインストールされているサーバーには、ポート443を使ってユーザーのブラウザーからアクセスできなければなりません。複数のコネクターインスタンスがインストールされている場合には、ロードバランサーを使用して、トラフィックをコネクターに送る必要があります。

詳細については、「KerberosでAD/LDAPコネクターの認証を構成する」または「クライアント証明書を使ってAD/LDAPコネクターの認証を構成する」を参照してください。

コネクターはサービスアカウントを使って実行されますが、少なくともディレクトリに対して読み取り権限のあるドメインユーザーでなければなりません。インストールには、このアカウントのユーザー名とパスワードが必要です。

部署や運用環境を分離させるためなどで、複数のAuth0テナントがある場合には、Auth0 DashboardでAD/LDAP接続をセットアップし、この形態の認証が必要なAuth0テナントのそれぞれに1つのAD/LDAPコネクターを使用する必要があります。コネクターはAuth0テナント内で特定の接続に関連付けられます。

ユーザーの認証に複数のAD/LDAPディレクトリがある場合には、1つのAuth0テナントに複数のコネクターを使用することができます。たとえば、異なる部署や顧客のそれぞれに専用のディレクトリを使用するなどの場合です。また、複数のコネクターは同じADまたはLDAPディレクトリをポイントできますが、1つのコネクターは1つのテナントにある1つのAuth0接続のみを使用できます。

証明書ベースの認証を有効化していない場合、ロードバランサーはAuth0サーバー自体が処理するため必要ありません。

詳細については、「高可用性環境のAD/LDAPコネクターをデプロイする

• AD/LDAPコネクターのインストールと構成
• 高可用性環境のAD/LDAPコネクターをデプロイする
• クライアント証明書を使ってAD/LDAPコネクターの認証を構成する
• KerberosでAD/LDAPコネクターの認証を構成する