ユーザー認証モジュール

ユーザー認証モジュールは、 Active Directory (AD) または LDAP 環境と統合し、 IBM® MaaS360® 内の様々なワークフローを使用してユーザーを認証します。このモジュールを使用すると、ユーザーは、新しい認証情報のセットを生成および管理することなく、企業の認証情報を再利用できます。

Cloud Extender ® は、以下のシナリオでの AD/LDAP 認証を容易にします。

  • IBM へのモバイル・デバイスのセルフサービス登録 MaaS360
  • デバイスを管理するためのユーザー・ポータルへのアクセス
  • 保護されたアプリケーションおよび文書にアクセスする前に認証が必要な場合
  • 職場PIN®がユーザーによってリセットされた場合
  • IBM MaaS360 ポータルアクセスのための管理者認証
  • 共有デバイスへのサインイン

Cloud ExtenderはMaaS360 Cloud (クライアント発信)から安全に認証情報を受信し、その認証情報をお客様のディレクトリサーバーに対して検証します。 クレデンシャル情報は、クライアントから MaaS360 クラウドを経由して Cloud Extender に渡されますが、ローカルには保存されません。

動作モード

Cloud Extender は、以下のモードを使用して、企業ディレクトリーと統合します。
  • Active Directory モード: このモードは、Microsoft Active Directory 環境に固有のモードです。 Cloud Extender はサービス・アカウントとして実行され、ディレクトリー内の任意のユーザーを認証するために PowerShell コマンドを実行します。 ご使用の環境に複数の信頼するフォレストまたはドメインがある場合、追加構成が必要になります。 このモードでは、 Cloud Extender はディレクトリーの有効範囲全体でユーザーを認証できます。
  • LDAP モード: このモードは、任意の会社連絡先に対して使用されます。 Cloud Extenderは、Domino LDAP、OracleLDAP、NovelleDirectory, OpenLDAPと統合するための標準LDAPテンプレートを提供します。 これらの標準的な LDAP に加え、カスタマイズした任意の LDAP に対して構成する場合にもこのモードを使用します。 Cloud Extender には、LDAP モードで Microsoft Active Directory を構成するのに役立つテンプレートも用意されています。

ご使用の環境で使用する実装モードを決定するには、以下のガイドラインを考慮してください。

  • Microsoft Active Directory (AD) を使用していない場合は、LDAP モードを使用します。
  • Microsoft Active Directory (AD) を使用している場合、以下の表に、ご使用の環境用の LDAP オプションを示します。
    表 1. ご使用の環境で使用する LDAP 実装モードの決定
    シナリオ Active Directory モード LDAP モード
    認証範囲を特定の OU、サブツリー、またはグループに制限する機能  
    Cloud Extender をドメインの一部にする必要があるという要件  
    トラステッド・フォレスト/ドメイン認証をサポートする機能
    非トラステッド・フォレスト/ドメイン認証をサポートする機能  
    ユーザー認証プロセス時に AD から読み取られる属性をカスタマイズする機能  
    ユーザー・カスタム属性のサポート1  
    ユーザー認証のパフォーマンスを最適化するためにユーザー・フィルターおよびグループ・フィルターをカスタマイズする機能  
    高可用性 (HA) のサポート
    構成の容易さ 簡単 中間
    実装技術 .NET ライブラリー LDAP ライブラリー
    同じ Cloud Extender 上でユーザー可視化とともに構成2
    認証にかかる時間 .NET ライブラリーに制限 通常、AD より早い

ほとんどの場合、LDAP 認証モードは、表にリストされている利点と将来の要件への容易な適応性を考慮して、Microsoft Active Directory 環境でも実装を選択できます。

要件およびスケーリング

LDAP または Active Directory のユーザー認証モジュールには、スケーリングの制限はありません。 ただし、以下の仕様が、サーバーでスケーリングに対応するために必要な最小要件です。 サーバーの機能およびユーザビリティーを向上させるには、これらの制限を増やします。

大規模環境では、 Cloud Extender の別個のインスタンスをデプロイして、企業ディレクトリー統合にサービスを提供し、すべての機能について予測可能なパフォーマンスを提供します。 Cloud Extender のインスタンスは、必要な数だけデプロイできます。 ただし、冗長性を確保するために、 Cloud Extender の 2 つのインスタンスで少なくとも 2 つのユーザー認証モジュールを有効にしてください。

表 2. ユーザー認証モジュールのスケーリング要件
アイテム 最小要件
スケーリング (Active Directory 実装と LDAP 実装の両方) CPU: 2 コア
メモリー: 2 GB から 8 GB
ストレージ: 50 GB
スケーリング:
  • 10,000 デバイス用に 1 つの Cloud Extender 、高可用性 (HA) 用に 1 つの Cloud Extender
  • Cloud Extender の複数インスタンスへのインストールをサポート
  • 専用のCloud Extenderにインストールするか、Cloud Extenderでユーザー可視化、認証局統合、Exchange統合、またはHCL Traveler統合サービスを有効にしてインストールします。

ご使用の環境の正確なスケーリングについては、 Cloud Extender スケーリングの資料 ( セットアップ > サービス > エンタープライズ E メール統合) を参照してください。
制限: 既知のものはなし
ネットワーク・トラフィック 認証要求/応答 = 要求当たり 1 KB
Active Directory ハードウェア・スペックが最小要件を満たしている
PowerShell 3.0 以上がインストールされている
Windows オペレーティング・システムがドメインに追加されている
サービス・アカウント
  • ドメイン・ユーザー
  • パスワードの有効期限が切れていない
  • 非対話式アカウント
  • Cloud Extender サーバーのローカル管理者
LDAP ハードウェア・スペックが最小要件を満たしている
サービス・アカウント
  • ユーザー名およびパスワードが LDAP サーバーにバインドされている
  • パスワードの有効期限が切れていない
  • 非対話式アカウント
1 ユーザー・カスタム属性は、 MaaS360 の機能の 1 つで、独自の属性を定義し、この属性をさまざまな構成ワークフローで使用します。

例えば、 Employee Serial Number というユーザー・カスタム属性を定義し、この値をデバイス構成、アプリケーション構成、または ID 証明書の一部の MaaS360 ポリシーで使用します。 この属性は、LDAP 構成を使用して、ディレクトリーから直接読み取ることができます。

2 Cloud Extenderのユーザー認証サービスとともにユーザー可視化サービスを構成するかどうかを検討してください。 そのようにする場合、両サービスの構成モードは、Active Directory か LDAP のいずれか一方です。 例えば、AD としてのユーザー認証と、同じ Cloud Extender での LDAP としてのユーザー可視化はできません。 この組み合わせが必要な場合は、 Cloud Extenderの別個のインスタンスを使用する必要があります。