このページでは、Lightweight Directory Access Protocol(LDAP)を使用して認証するように AppDynamics SaaS コントローラテナントを設定するための情報と手順を示します。 

コントローラテナントを使用した LDAP 認証

AppDynamics SaaS コントローラテナントで LDAP 認証を使用するには、コントローラテナントが社内の LDAP サーバーにアクセスできるようにファイアウォールを開く必要があります。

また、SaaS ドメインと IP 範囲にリストされている AppDynamics IP 範囲に対してファイアウォールを介したアクセスを許可する必要があります。ファイアウォールルールでは、設定した LDAP ポートでコントローラテナントから LDAP リクエストを受信できるようにする必要があります。

はじめる前に

LDAP構成を実行するには、以下が必要です。

  • LDAPサーバー。AppDynamicsアカウントとLDAPサーバーが1対1で対応します。
  • AppDynamics SaaS コントローラテナントのアカウント。
  • AppDynamics コントローラテナントのアカウント管理者権限。「ユーザーアカウントの管理」を参照してください。
  • LDAP サーバーとコントローラテナント間のネットワーク接続。LDAP サーバーがコントローラテナントにアクセスできるようにするには、ネットワーク ファイアウォールを介したアクセスを有効にすることが必要になる場合があります。「SaaS 展開用 LDAP」を参照してください。

LDAP 認証の設定

LDAP 認証を設定する手順の概要は次のとおりです。

  • LDAPサーバーへの接続を構成します。
  • AppDynamics コントローラテナントにプロビジョニングするユーザーを返す LDAP クエリを設定してテストします。
  • AppDynamicsロールにマッピングするLDAPグループを返すLDAPクエリを構成します。
  • ユーザーまたはグループをAppDynamicsのロールにマッピングします。

LDAPサーバーへの接続の構成

これらのアクションを実行するには、会社の管理者またはアカウント所有者である必要があります。

LDAP 認証を設定するには、[SettingsSettings> Administration >] > [Authentication Provider > LDAP] に移動します。 

使用する必要があるユーザーまたはグループのクエリが LDAP サーバーで許可されているよりも多くのエントリを返す場合は、次のページングされた結果の設定を使用します。

  • Enable Paging:このオプションを有効にすると、ユーザーまたはグループのクエリの送信時にサーバーからのページングされた結果がコントローラテナントによりリクエストされるようになります。
  • Page Size:コントローラテナントから LDAP サーバーへの往復あたりのエントリ数を入力します。デフォルトは 500 です。 

ページサイズは、返されるエントリの合計数を LDAP サーバーとコントローラテナント間で許容される往復数で割った数になります。たとえば、クエリで 1200 の結果を受け取ることが予想され、最大 2 往復まで許容可能な場合は、ページサイズを 600(1200/2)に設定します。「大規模な結果セットに対するページングされた結果の使用」を参照してください。

LDAP接続設定の構成:

  • Host: LDAP サーバーの IP アドレス。必須。
  • Port: LDAP サーバーがリッスンするポート。SSL 接続のデフォルトは 636、SSL を使用しない場合は 389 です。必須。
  • Use SSL: デフォルトでは、LDAP サーバーへのセキュアな接続の使用が有効になっています。SSLを使用しない場合はチェックを外します。
  • Enable Referrals: デフォルトでは、LDAP 紹介のサポートが有効になっています。紹介とは、LDAPサーバーがLDAPクライアントリクエストを別のLDAPサーバーに転送することです。各紹介イベントはホップと呼ばれます。
  • Maximum Referral Hops: AppDynamics が連続して従う紹介の最大数。デフォルトは5です。
  • Bind DN: LDAP サーバー上で識別されるユーザー名であり、AppDynamics アプリケーションでの検索に使用される名前です。必須。
  • Password: LDAP サーバー上のユーザーパスワード。必須。   

ユーザーの構成

[LDAP Configuration] ページで、LDAP ユーザー検索のための情報を構成します。

  • Base DN: ユーザーの再帰的な検索を開始する LDAP ツリーの場所。必須。
  • Filter: ベース DN からマッチする項目をフィルタリングする任意の LDAP 検索文字列。LDAP 検索フィルタに関する情報については、RFC2254 を参照してください。
  • Login Attribute: ユーザーが AppDynamics UI にログイン時に入力するユーザー名に対応する LDAP フィールド。デフォルトは uid です。Active Directory の場合は、通常 sAMAccountName です。
  • Display Name Attribute: ユーザーの表示名として使用する LDAP フィールド。
  • Group Membership Attribute: ユーザー グループ メンバーシップ フィールド(任意)。検索を高速化します。
  • Email Attribute: ユーザーの電子メールアドレス(任意)。 

接続を確認するには、[Test Query] を選択します。成功すると、クエリによって返された最初の数人のユーザーが画面に表示されます結果セットが大きい場合、テストは結果セット全体を返しません。

グループの構成

必要に応じて、LDAP グループを AppDynamics コントローラテナントのユーザーロールにマップできます。そのためには、マッピングする LDAP グループを返す LDAP クエリを次のように設定する必要があります。

  • Base DN:グループの再帰的な検索を開始する LDAP ツリーの場所。必須。
  • Enable Nested Groups: 深さ 10 までのネストされた LDAP グループを含めるオプション。
  • Filter: ベース DN からマッチする項目をフィルタリングする任意の LDAP 検索文字列。LDAP 検索フィルタに関する情報については、RFC2254 を参照してください。
  • Name Attribute: グループの名前を含む LDAP フィールド。デフォルトは cn です。必須。
  • Description Attribute: グループの説明を含む LDAP フィールド。オンプレミスの場合、HTTPのデフォルトは8090、HTTPSのデフォルトは8181です。
  • User Membership Attribute: グループのメンバーを識別します。オンプレミスの場合、HTTPのデフォルトは8090、HTTPSのデフォルトは8181です。
  • Referenced User Attribute: User Membership Attribute のオプションの子属性。親が空の場合は無効になります。ユーザーメンバーシップ属性に含まれるユーザーのプロパティを指定します。 

接続を確認するには、[Test Query] を選択します。確認が完了すると、クエリによって返された最初の数グループが表示されます。

これで、AppDynamics コントローラテナントで権限をユーザーまたはグループに割り当てられるようになりました。

AppDynamicsの権限のLDAPユーザーへの割り当て

  1. [SettingsSettings > Administration] に移動します。
  2. Users をクリックします。LDAP が有効で正しく設定されている場合、AppDynamics コントローラテナントは LDAP サーバーからユーザー名を取得します。
  3. 権限を割り当てるユーザーの名前を選択します。
  4. このユーザーに割り当てる [Roles] を追加または削除します。1人のユーザーに複数のロールを割り当てることができます。 
  5. Save をクリックします。

AppDynamicsの権限のLDAPグループへの割り当て

LDAPグループの構成は任意です。

  1. [Settings > Administration] に移動します。
  2. Groups をクリックします。LDAP が有効で正しく構成されている場合、AppDynamics コントローラは LDAP サーバーからグループ名を取得します。
  3. 権限を割り当てるグループの名前を選択します。
  4. このグループに割り当てる [Roles] を追加または削除します。1つのグループに複数のロールを割り当てることができます。
  5. Save をクリックします。 

LDAP キャッシュ同期頻度の設定

コントローラテナントは、LDAP ユーザーおよびグループに関する情報をローカルキャッシュに保持します。LDAP サーバーに定期的に接続して、キャッシュを LDAP サーバーと同期させます。

コントローラテナントは、ユーザーとグループメンバーシップに関する情報をキャッシュします。ユーザーパスワードはキャッシュされません。コントローラテナントは、すべてのユーザーセッションの開始時に LDAP サーバーに対してユーザーログイン情報を認証します。

LDAP からユーザーアカウントを削除すると、変更はすぐに反映され、ユーザーはコントローラテナント UI にログインできなくなります。ただし、ユーザーがログアウトするかセッションの期限が切れるまでセッションは継続します。 

グループメンバーシップのアクセスでは、ユーザーがグループから削除されても、アカウントが LDAP サーバーに維持される場合、そのユーザーは次に LDAP サーバーとの同期が行われるまでコントローラテナントにログインできます。同期頻度のデフォルト設定では、コントローラテナント UI にアクセスできる時間は最大 1 時間になります。 

LDAP同期頻度の構成

1 時間のデフォルトの同期頻度を変更するには、次の手順を実行します。

  1. コントローラテナントのアプリケーションサーバーを停止します。

    • Linux では、次を実行します。

      platform-admin.sh stop-controller-appserver

    • Windows では、管理者特権でのコマンドプロンプトから次のコマンドを実行します(Windows の [ Start] メニューで [Command Prompt] を右クリックし、[Run as administrator] を選択)。

      platform-admin.exe cli stop-controller-appserver
  2. <Controller-Installation-Directory>/appserver/glassfish/domains/domain1/config/domain.xml ファイルを開いて編集します。

  3. <jvm-options> エレメントで、appdynamics.ldap.sync.frequency という名前のシステムプロパティをミリ秒単位の同期頻度で追加します。
    たとえば、15 分(900,000 ミリ秒)ごとにコントローラを LDAP サーバーに同期させるには、以下を追加します。

    <jvm-options>-Dappdynamics.ldap.sync.frequency=900000</jvm-options>

    デフォルトは3600000ミリ秒(1時間)です。

  4. ファイルを保存します。
  5. コントローラ テナント アプリケーション サーバーを再起動します。

    • Linux では、次を実行します。

      platform-admin.sh start-controller-appserver

    • Windows では、管理者特権でのコマンドプロンプトから次のコマンドを実行します。

      platform-admin.exe cli start-controller-appserver