メインコンテンツへスキップ
AD/LDAP Connector のインストールには本番環境のリソースへのアクセスが必要になることが多いため、通常は開発者ではなく、システム管理者または運用エンジニアが担当します。以下は、実際にインストールを行う前に確認しておくべき項目のチェックリストです。

ホストサーバー

Connector は、既存のサーバー (ドメイン コントローラーを含む) にインストールできます。ただし、多くの場合は Connector 専用にプロビジョニングされた仮想マシンにインストールされます。いずれの場合も、ホストサーバーは次のハードウェアおよびソフトウェアの仕様/構成を満たしている必要があります。

ハードウェア要件

  • Architecture: x86 または x86-64
  • CPU cores: 最小 1 コア、推奨 2 コア
  • Storage: ディスクの空き容量 500MB
  • Operating System: Connector は Windows または Linux 上で実行できます。Kerberos 認証を使用する場合は Windows が必要です。
  • RAM: 最小 2GB

Windows バージョン

Windows Server 2016 や Windows Server 2019 など、サポート対象の Windows Server の使用を推奨します。Connector は Windows Server 2012 R2 でも実行できます。

時刻同期

Connector ホストサーバーの時計が NTP サーバーと自動的に同期されるようにしておくことは非常に重要です。そうしないと、コネクタは起動に失敗し、クロックスキューエラーを報告します。

アウトバウンド接続

ホストサーバーでは、以下のサービスへのアウトバウンドネットワーク接続が必要です。

Auth0

Connector は、ポート 443 で https://{yourDomain} の Auth0 サービスへアウトバウンド接続できるサーバーにインストールする必要があります。 Connector はプロキシサーバーの背後でもインストールおよび設定できますが、これは推奨されません。環境変数または設定変数 HTTP_PROXY でプロキシを有効にします。

LDAP

Connector は、ldap の場合はポート 389、ldaps の場合はポート 636 で LDAP サーバーにアクセスできるサーバーにインストールする必要があります。Connector をインストールする前に、LDAP ディレクトリへの接続に必要な LDAP 接続文字列と Base DN を確認しておく必要があります。

インバウンド接続

Kerberos または証明書認証を有効にしている場合を除き、Connector へのインバウンド接続を有効にする必要はありません。その場合、Connector がインストールされているサーバーは、ユーザーのブラウザーからポート 443 経由でアクセス可能である必要があります。コネクタのインスタンスが複数インストールされている場合は、ロードバランサーを使用してトラフィックをいずれかのコネクタに振り分けてください。 詳細については、Kerberos を使用した AD/LDAP Connector 認証の設定 または クライアント証明書を使用した AD/LDAP Connector 認証の設定 を参照してください。

サービスアカウント

Connector は、少なくともディレクトリへの読み取りアクセス権を持つドメインユーザーのサービスアカウントを使用して実行されます。インストール時には、このアカウントの username/password が必要です。

Auth0 テナントごとに 1 つの Connector

たとえば開発環境と本番環境を分離するために複数の Auth0 テナントを設けている場合は、この認証方式が必要な各 Auth0 テナントについて、 で AD/LDAP 接続と AD/LDAP Connector を設定する必要があります。Connector は、Auth0 テナント内の特定の接続に紐づきます。 ユーザーの認証先となる AD/LDAP ディレクトリが複数ある場合は、1 つの Auth0 テナント内に複数の Connector を作成できます。たとえば、部門や顧客ごとにそれぞれ独自のディレクトリを持つケースに対応できます。また、複数の Connector から同じ AD または LDAP ディレクトリを参照することも可能です。ただし、1 つの Connector を使用できるのは、1 つの Auth0 テナント内の 1 つの Auth0 接続だけです。

高可用性

サーバーの 1 台が利用できなくなった場合に備え、高可用性と冗長性を確保するために、Connector は複数のホストサーバーにインストールできます (ほとんどの組織では 2 台を用意します) 。各サーバーには、上記と同じ要件が適用されます。ロードバランサーは Auth0 サーバー自体が処理するため不要ですが、Kerberos またはクライアント証明書ベースの認証を有効にする場合は例外です。 詳しくは、高可用性環境向けに AD/LDAP Connector をデプロイする を参照してください。

詳細情報