ユーザーアカウントの管理

組織のWorkplaceのアカウントは、システム管理者が手動で管理することも、クラウドアイデンティティプロバイダーを使用して自動で管理することもできます。Workplaceは、Active Directory経由のアカウントの自動管理にも対応しています。

この記事の内容は、Workplaceアドバンスの利用者にのみ適用されます。
クラウドアイデンティティプロバイダーを使用すると、Workplaceでのアカウント管理を自動で行うことができます。Facebookのアイデンティティパートナーとアクセス管理パートナーを利用すると以下のようなメリットがあります。
利用者データを一元管理できる。クラウドディレクトリでマスターのIDストア(Microsoft Active DirectoryまたはOracle Directory Serverなど)に接続し、Workplaceなどのアプリの利用者アカウントを同期します。クラウドアイデンティティプロバイダーのエージェントやプラグインが、マスターのIDストアからクラウドのレプリカに変更を同期します。
記録システムを統合できる。利用者の入社時や退職時のデータはマスターのIDストアに保持されます。
Workplaceのアカウント変更を同期できる。利用者アカウント情報やステータスの変更は、クラウドアイデンティティプロバイダーとWorkplaceの間で同期されるため、利用者が入社したり退職したりしたときに管理者が手動で追加や削除を行う必要はありません。
システム管理者がカスタムの統合アプリを作成して利用者アカウントをプロビジョニングするには、こちらの手順に従ってください。この手順では、設定に必要な次の値が提供されます。
  • アクセストークン: アクセストークンによってアプリがアカウントを管理できます。
  • SCIM URL: クラウドアプリケーションがアカウントの管理に使用するAPIのエンドポイントです。
  • コミュニティID:団体のIDを使用すると、クラウドアプリケーションがWorkplaceインスタンスを区別できるようになります。
次にご利用のクラウドアイデンティティプロバイダーが指定する手順に従います。
Workplaceは次のパートナーとネイティブに統合されています。
この情報は役に立ちましたか?
この記事の内容は、WorkplaceエッセンシャルとWorkplaceアドバンスの利用者にのみ適用されます。
AD Syncコンポーネントの要件は以下のとおりです。
  • ソフトウェアをインストールするには、ADドメイン管理者の権限が必要です。
  • AD Syncを使用するには、Windows Server 2012 R2またはWindows Server 2016が必要です。その他の構成でも動作する場合がありますが(OS言語をen_USに設定した場合)、Workplaceはサポートしていません。
  • AD Syncを使用するには、Workplace利用者が属するものと同じADコントローラーにドメイン参加しているコンピューターである必要があります。Workplace利用者が複数のADドメインに属している場合、各ドメインのサーバーごとにAD Syncのインストールと設定を行う場合があります。
  • 利用者データを保存するには、Microsoftコンポーネント(NET Framework 4.5.2、SQL Server 2014 Express LocalDB (SQL Server Expressのライトバージョン))が必須です。まだサーバーにインストールされていない場合は、AD Syncとともにインストールされます。累積更新プログラムをすべてインストールしてください。
  • Workplace from Facebookと同期する利用者グループごとに、利用者を含むActive Directoryのルートエントリの識別名(DN)と、Workplaceと同期する利用者を特定するLDAPフィルターまたはActive Directoryグループを指定します。
  • ドメインコントローラーがポート636経由のLDAPS (SSL)接続をサポートしている必要があります。
この情報は役に立ちましたか?
この記事の内容は、WorkplaceエッセンシャルとWorkplaceアドバンスの利用者にのみ適用されます。
Active DirectoryがWorkplaceと連携するクラウドIDプロバイダーと同期されている場合、Workplaceをクラウドプロバイダーに直接統合することをおすすめします。
WorkplaceのAD Syncコンポーネントを使うと、選択したグループと組織単位がActive DirectoryからWorkplaceに同期されるため、利用者の入社時や退職時の管理を手動で行う手間が省けます。AD Syncは以下を自動で行います。
  • 新しく入社した社員の利用者アカウントをプロビジョニング(作成)して、Workplaceへのアクセス許可を付与します。
  • 利用者のプロフィール属性が変更(電話番号の変更など)されると、自動でアップデートします。
  • 社員の退職時やアクセスを停止する際に、利用者アカウントのプロビジョニングを解除(利用解除)します。
AD SyncはITインフラストラクチャ内でWindowsサービスとして実行されます。Workplaceへのアクセスを許可する利用者をADに問い合わせるように設定すると、AD Syncが3時間ごとに実行され、ADとWorkplace間でアカウントを照合します。
この情報は役に立ちましたか?
この記事の内容は、WorkplaceエッセンシャルとWorkplaceアドバンスの利用者にのみ適用されます。
AD Syncコンポーネントには以下の制限があります。
  • サーバーが属しているアクティブディレクトリのドメインからの利用者、または同じADフォレスト内の適切な信頼関係が確立されたドメインへの利用者のみが同期されます。
  • 利用者の同期は、LDAPフィルター(特定の利用者階層または属性値など)またはADセキュリティ/配信グループに基づいたもののみ設定できます。
  • デフォルトの管理システムSQL Server 2014 Express LocalDBを使用して処理できる最大利用者数は(約)10万人です。最大利用者数を超える利用者を同期するには、管理者が独自のデータベースを管理する必要があります。
  • 同期はWindows Server 2012の機能レベルでのアクティブディレクトリのドメインおよびフォレストのみでテストされています。
  • カスタマイズが許可されている利用者プロフィール属性のマッピングルールは、フォーマット済みの氏名、位置情報、その他デフォルトのロジックでマッピングされている属性のみです。
  • Workplaceフィールドの3つの必須項目である、メールアドレス、表示名、姓にAD値がない利用者は同期されません。
この情報は役に立ちましたか?
この記事の内容は、WorkplaceエッセンシャルとWorkplaceアドバンスの利用者にのみ適用されます。
AD Syncを利用すると、選択した利用者のプロフィールデータに対して一方向のレプリケーションをバッチで実行できます。ディレクトリサービスへの書き戻しは、AD Syncコンポーネントでは実行できません。Workplaceへのアクセスを許可したい利用者をADからクエリで取得するようAD Syncを設定すると、AD Syncが3時間ごとに実行され、ADとWorkplace間でアカウントが照合されます。
この情報は役に立ちましたか?