cloud-bridge JSON オブジェクト
cloud-bridge JSON オブジェクトの構成ファイルでは、以下の属性と定義が使用されます。
オプション項目およびオプションの場合のデフォルト値
"ldap-search-filter"- Verify-SCIMディレクトリに Active Directory レプリケートするユーザーおよびグループのエントリを選択するために使用します。 このパラメーターは指定する必要があります。 一致する項目の結果セットが変更されるように 2 回の IcbLdapSync.exe の実行の間にこの値を変更してはなりません。 フィルターでは、参照対象の属性を含む結果セット内の各項目の存続期間中に変更される属性は参照できません。 Active Directory同期対象のエントリが作成される時点で、参照される属性は存在している必要があります。したがって、ユーザーエントリについては、グループメンバーシップ属性(例:
memberOf`for` やibm-allGroups`for IBM® Directory Server `)を使用しないでください。これらは、ユーザーエントリが最初に作成される時点では設定されていないためです。 "user-sync-filter"- このオプションを使用すると、対応するADまたは LDAP のユーザーエントリがフィルタロジックに一致するか否かに応じて、Cloud Directory内で Verify ユーザーを動的に作成または削除することができます。 このオプションは、初回同期時のみ設定してください。 既存のユーザー設定が新しいユーザーグループに自動的に修正されるわけではないため、後から変更しないでください。 初回同期後にこのオプションを変更する必要がある場合は、Directory Sync サービスを停止する必要があります。 その後、管理者としてプログラムを一度手動で実行してください。 インストールディレクトリ内の を使用
IcbLdapSync -rebuildし、現在同期されているユーザーのセットを再設定してください。このオプションを使用しない場合、最初のセットアップ処理の後、Cloud Directory での Verify ユーザーの作成または削除は、対応する AD または LDAP のユーザーが作成または削除された場合にのみ行われます。
ldap-search-filterこれは、ADまたは LDAP で作成されたユーザーが、.と一致した場合にのみ発生します。 Cloud Directory に Verify そのユーザーが登録されていない場合、Directory Sync はそのユーザーを常に無視します。 たとえ後で既存のADユーザーや LDAP ユーザーをその設定に合わせて変更ldap-search-filterしたとしても、Directory Syncはそれを無視します。 この動作は、グループの所属に基づいてユーザーを同期させたい管理者にとって重要です。 ADまたは LDAP でユーザーを作成しても、そのユーザーはいかなるグループにも所属しません。 したがって、これらは作成時に一致することはldap-search-filterなく、作成や同期も行われません。user-sync-filterこのuser-sync-filterオプションを有効にすると、ADまたは LDAP のユーザーが設定に一致するように変更された場合、Directory SyncはADまたは LDAP からそのユーザーの最新情報を取得します。 Verify そのユーザーが存在しない場合、Cloud Directory に対応するユーザーを作成します。 ユーザーは、ADまたは LDAP と常に同期が保たれます。user-sync-filterADまたは LDAP のユーザーが変更され、もはや と一致しなくなった場合、そのユーザーが に存在すれば、Directory Syncはそのユーザーを から削除します。 Verify一致
user-sync-filterに基づいてユーザーの作成と削除が動的に行われます。 ディレクトリ同期は、フィルタで参照されている属性やグループの変更を監視し、関連するユーザーに対してフィルタを再評価します。、
ldap-search-filterldap-base-dn、およびignore-suffixesオプションは引き続き有効です。user-sync-filterしたがって、これらは、によって監視されているすべてのユーザーを網羅できるよう、十分に広い範囲に設定する必要があります。このオプション
do-not-sync-deleteは削除にはuser-sync-filter適用されません。 ただし、ADまたは LDAP によって報告されるユーザー削除については、この限りではありません。の
user-sync-filterフォーマットは、 LDAP の検索フィルター仕様のサブセットです。 このフィルターは、 LDAP やADには一切渡されません。 ディレクトリ同期機能は、フィルタ内で参照されている属性やグループに変更が検出されると、内部でそのフィルタを評価します。<=このフィルターは、 LDAP フィルター操作>=、 ほとんどの拡張可能なマッチングルール、および部分文字列の検索には対応していません。 属性名にはOIDを使用できません。user-sync-filter. に対しては、以下の拡張可能なマッチング規則のみがサポートされています。機能名 OID LDAP_MATCHING_RULE_BIT_AND 1.2.840.113556.1.4.803 LDAP_MATCHING_RULE_BIT_OR 1.2.840.113556.1.4.804 ABNF notation: filter = "(" filtercomp ")" filtercomp = and / or / not / item and = "&" filterlist or = "|" filterlist not = "!" filter filterlist = 1*filter item = simple / present simple = attr equal value equal = "=" present = attr "=*" attr = [ "memberOf" | "ibm-allGroups" ] / attributename value = escapedText The evaluation of "equal" is a case insensitive string match. If a value should contain any of the following characters Character ASCII value --------------------------- * 0x2a ( 0x28 ) 0x29 \ 0x5c NUL 0x00 the character must be encoded as the backslash '\' character (ASCII 0x5c) followed by the two hexadecimal digits representing the ASCII value of the encoded character. The case of the two hexadecimal digits is not significant. Other characters besides the ones listed above may be escaped using this mechanism, for example, non-printing characters.注:\\JSON値内の「\」の\使用には特に注意してください。これはJSONで使用されるエスケープ文字であるため、二重にする必要があります。- この
NUL (0x00)文字はサポートされておらず、NUL 文字より前の値に含まれる文字のみが使用されます。 - AD でのネストされたグループの一致はサポートされていません。
- AD および AD-LDS でのグループメンバーシップの確認には、のみを使用
memberOfしてください。 - IBM Verify ディレクトリでのグループメンバーシップの確認には、のみを使用
ibm-allGroupsしてください。
次のuser-sync-filter例では、管理者は、ユーザーが属性department「」の値abcd123「」を持ち、かつ(&)グループ「 "testgroupX" 」のメンバーである必要があるように設定しました。 グループは、その識別名(DN)を使用して指定します:"user-sync-filter": "(&(department=abcd123)(memberOf=CN=testgroupX,CN=Users,DC=mydom,DC=com))", "ldap-base-dn"- 複製されたユーザーおよびグループはすべて、この DN を親として持つ必要があります。そうなっていない場合は、無視されます。 AD の場合、この値はデフォルトで
defaultNamingContext値になります。 ISDS LDAP の場合、この値はデフォルトで最初の非システムnamingContexts値になります。 一致する項目の結果セットが変更されるように、2 回の IcbLdapSync.exe の実行の間にこの値を変更することはできません。 "ignore-suffixes"- この属性は、ソース LDAP 内の識別名 (DN) の配列を特定します。 これらの各 DN の下にある子項目は、自己も含めて無視され、同期されません。
[]デフォルト値は です。 次に例を示します。[ “cn=branch1,o=ibm,c=us”, “cn=branch3,o=ibm,c=us” ] "ldap-external-id-attr"- この属性は、エントリ Active Directory を一意に識別するために使用されます。 Verifyこの属性は、特定のエントリについて2つのレジストリ間の接続を維持するために、-SCIMディレクトリに保存されます。 この属性は、各サーバー Active Directory のサンプルファイルに記載されている値から変更してはなりません。
"ldap-dn-to-ascii-lower":false- true に設定すると、すべての Active Directory DN 値において、英字の小文字変換に従い、「A」→「Z」の文字が「a」→「z」に変換されます。 他の UTF-8 文字は変更されません。 Verifyこの属性は主にISDS同期で使用されます。これは、DN値がエンティティをSCIMエンティティに関連付ける Active Directory ために使用されるためです。 この変換により、他のロケールで問題が発生することがあります (例えば、トルコ語で「I」が「i」に変換される場合など)。 また、同じ Active Directory エントリを指す複数のDN属性において、「A」から「Z」以外の文字の大文字・小文字が異なる場合、それだけでは不十分である可能性があります。
“trace-file”- この属性を設定すると、 IBM 認証APIの操作(SCIM JSON操作)および Active Directory その他の操作のトレースをファイルに記録できるようになります。 このファイルはロールオーバーせず、IcbLdapSync.exe アプリケーションによってサイズが制限されません。 これによるファイル・システム・リソースの使用量が多くなりすぎないようにしてください。
“ldap-poll-time”:4- この属性は、ディレクトリー・ユーザーとグループに対して行われた新しい変更を検出するために LDAP サーバーで IcbLdapSync.exe がディレクトリー検索操作を実行する頻度を決定します。 値は秒単位で設定します。 デフォルト設定は 4 秒です。
"enable-op-log":false- Verifytrueこの属性を に設定すると、-SCIM ディレクトリのユーザーおよびグループに対して行われる POST、PUT、PATCH、DELETE 操作の各ログ記録が有効になります。
POST == create、PUT == update full object、PATCH == modify attribute[s] of object、DELETE = delete entry。ファイル形式は操作の行で構成され、各行には以下の項目がカンマ区切りで含まれます:
例:{utc-date},{operation},{ldap-dn},{Verify-scim-id},{status}"Mon Jun 24 20:33:24 2019","POST","cn=testuser,o=ibm","600000GF7B","201" "Mon Jun 24 20:33:55 2019","PATCH","cn=testuser,o=ibm","600000GF7B","204"{utc-date}は、操作が開始された時刻です。 完了時刻は記録されません。 "op-log-file": “{install-directory} [/{instance}]/op_log/op_log.csv”- VerifySCIM操作を記録するファイル名。
“{install-directory}”注:、および“{instance}”は変数です。 これらの変数は、この記述のアプリケーションのインストール・ディレクトリー・パスおよびオプションのインスタンス名を表します。 "op-log-rollover":2097152- op_log ファイルがロールオーバーされるおおよその最大サイズ。 ロールオーバーが発生すると、op_log ファイルは、現在の UTC タイム・スタンプ (10 進秒数) をその名前に付加することによって名前変更されます。 その後の操作のログは、新しい op_log ファイルに記録されます。注: マルチスレッド処理のため、このファイル内のエントリの日付順が維持されない場合があります。
"cookie-file": “{install-directory} [/{instance}]/cookie.bin- 複製状態の Cookie を保管するファイル。 この属性により、アプリケーションを再始動しても、複製の現在位置を保持できます。 新しい状態に達するたびに、クッキーのA
“.bkp”が作成されます。“{install-directory}”注:、および“{instance}”は変数です。 これらは、使用する有効な値ではありません。 これらの値は、この記述のアプリケーションのインストール・ディレクトリー・パスおよびオプションのインスタンス名を表します。 "ldap-conn-idle-timeout": 30- ディレクトリ接続がこの時間以上使用されないまま放置された場合、次に接続が要求された際にその接続は閉じられます。 新しいディレクトリ接続が作成されました。 この属性は、ファイアウォールでのタイムアウトを回避するために使用されます。
"ldap-conn-max-timeout": 300- ディレクトリ接続が閉じられ、新しい接続が確立されるまでの最大時間。 この属性は、ディレクトリー・サーバーとの接続について構成されている制限を回避するために使用されます。
"nested-groups" : false- グループのメンバーとしてのグループのサポートを無効または有効にします。 true に設定すると、グループであるグループ・メンバーが認識され、クラウド・ディレクトリーに複製されます。 false に設定すると、それらのメンバーは無視されます。
"status-port" : 1234- 構成ファイルでこのエントリーを設定すると、
IcbLdapSync.exeプロセスは、指定されたポートでループバック・インターフェース (例: 127.0.0.1) の接続を listen できるようになります。 接続が確立されると、その接続ですべてのイベント・ログ・エントリーが送信されます。 "ldap-use-paging" : false- LDAP ページング制御の使用を無効または有効にします。 LDAP ページング制御を使用すると、大規模な検索結果セットが可能になります。 ただし、リソースが限られ、LDAP ディレクトリーによる特別な許可が必要になる場合があります。 ディレクトリーが大きい場合、通常、最初のパスで大規模な検索結果セットが生じます。
"do-not-sync-delete" : falsetrueに設定した場合、削除操作は LDAP ディレクトリーからクラウド・ディレクトリーに同期されません。"scim-threads": 1- この属性はオプションです。 指定しない場合は、デフォルトで 1 に設定されます。 このパフォーマンス・オプションにより、クラウド・ディレクトリーに複数の LDAP 変更を並列して適用できます。ただし、操作の対象が関連のないエントリーであることが条件となります。 並列操作の数を少なくすると、クラウド・ディレクトリーに対する変更のスループットを向上させることができます。 以前のバージョンの製品では、このオプションを使用しないでください。
"do-not-sync-groups": false- この属性はオプションです。 指定しない場合は、デフォルトで false に設定されます。 true に設定すると、ディレクトリー同期でグループ・オブジェクトが同期されなくなります。
"changelog-size-limit": 300- この属性はオプションです。 指定しない場合は、デフォルトで 300 に設定されます。 たったの IBM Directory Server ディレクトリー同期で
changelogエントリーが検索される際に、1 回のパスでフェッチされるエントリーの数を制限します。 "ci-retries": 12- この属性はオプションです。 指定しない場合は、デフォルトで 12 に設定されます。 ディレクトリー同期では、クラウド・ディレクトリーに変更が適用される際に、クラウド・ディレクトリーの SCIM REST インターフェースが使用されます。 SCIM REST 呼び出しを開始したときに障害が発生した場合は、一時的な障害に対応するために、ディレクトリー同期の操作が
"ci-retries"回再試行されます。 この値を 0 に設定すると、再試行が無効になります。 再試行が行われる対象はすべての HTTP 5xx エラーおよび一部の HTTP 4xx エラーですが、実際に行われるのは、応答本体のコンテンツ・タイプが"application/scim+json"ではなく、かつ SCIM REST エンドポイントへの接続を作成または実行できない場合に限られます。 "ci-retry-pause": 5- この属性はオプションです。 指定しない場合は、デフォルトで 5 に設定されます。 この属性は、ディレクトリー同期で失敗した SCIM REST 呼び出しが再試行される間隔 (秒数) を指定します。 有効な値は 1 から 100 までです。 この範囲を外れる値は、自動的にこの範囲に収まるようにクリップされます。
"end-on-ci-retry-failure": false- この属性はオプションです。 指定しない場合は、デフォルトで false に設定されます。 このオプションを true に設定すると、ディレクトリー同期プロセスが最初のリカバリー不能エラーの後に終了します。
"end-on-seq-failures": 0- この属性はオプションです。 指定しない場合は、デフォルトで 0 に設定されます。 このオプションが 0より大きい値に設定されている場合、ディレクトリー同期プロセスは、指定された数のリカバリー不能エラーが実行されると、正常な操作を介在させずに終了します。
"changelog-ignore-suffixes": [ "ou=other1,o=ibm,c=us", "ou=other2,o=ibm,c=us" ]- この属性はオプションです。 指定しない場合は、デフォルトで空の配列に設定されます。 たったの IBM Directory Server 。 このパフォーマンス・オプションを指定すると、指定した接尾部のサブ子の子である
targetdnを含むchangelogエントリーがディレクトリー同期で即座に無視されます。 通常、ChangelogエントリーにはobjectClass属性がありません。 ディレクトリー同期で、クラウド・ディレクトリーを検索して、変更に対応する同期エントリーが存在するかどうかを確認する必要があります。 変更の対象がクラウド・ディレクトリーの同期エントリーでない場合は、この検索によってパフォーマンスが低下します。 ディレクトリツリー IBM Directory Server の主要なブランチで、同期されていないエントリが存在する場合、これらの検索を回避することで、パフォーマンスを向上させることができます。 "trace-rollover": 0- この属性はオプションです。 指定しない場合は、デフォルトで 0 に設定されます。 値が 0 バイトに設定されている場合は、
"trace-file"はロールオーバーされず、ディレクトリ同期アクティビティーによって継続的に増加します。 0 より大きな値に設定すると、トレース・ブロックによってファイルがその値を超えた場合に、トレース・ファイルの名前が変更されて、新しいトレース・ファイルが開始されます。 名前が変更されてロールオーバーされたトレース・ファイルには、現在の UNIX タイム・スタンプ値が追加されます。 "op-log-add-skipped": false- この属性はオプションです。 指定しない場合は、デフォルトで false に設定されます。 ディレクトリー同期で LDAP 変更が同期に関係しないと判断された場合は、その LDAP 変更が記録されることなくスキップされます。 このオプションを true に設定すると、関連する
LDAP DNとともにエントリーがop_logに出力されるため、管理者はスキップされた操作をモニターできます。 "log-stats-interval": 0- デフォルト設定は 0 秒です。 0より大きい整数に設定すると、各間隔
Windows Event Logごとにイベントと一部の運用統計情報を定期的に記録Info levelする機能が有効になります。 このイベントの形式は以下のとおりです。
各項の説明は次のとおりです。LE=%1 CE=%2 CU=%3 CG=%4 MU=%5 MG=%6 DU=%7 DG=%8- LE=AD/LDAP のエラー数
- CE=Verify API のエラー数 (テナントへの通信)
- CU=ユーザーの作成数
- CG=グループの作成数
- MU=ユーザーの変更操作の回数
- MG=グループの変更操作の回数
- DU=ユーザーの削除操作の回数
- DG=グループの削除操作の回数