LDAPを使用するActive Directory
このページは機械翻訳を使用して翻訳されています。
はじめに
Coupaは、認証に外部LDAPまたはMicrosoft ActiveDirectoryサーバーの使用をサポートしています。これにより、ユーザーはイントラネットアプリケーションへのアクセスと同じ資格情報を使用してCoupaにサインインできます。
Coupaは一度に1つのLDAPと統合できます。複数のLDAPを持つ顧客は、複数のLDAPの上に仮想/プロキシ層を作成する必要があります。
利点
CoupaインスタンスをDirectory Serverと統合すると、次のようないくつかの利点があります。
- ユーザーはCoupaの新しいパスワードを覚えておく必要がありません。
- パスワードの変更はCoupaに即座に反映されます
- Directory Serverで定義されたパスワードポリシーを適用する
- Directory Serverによるアカウント制御の一元化
実装の詳細
- 提供された非特権アカウントとしてDirectory Serverにログインします。
- サインインしようとしているユーザーを検索します。
- Coupaは
sAMAccountName
をユーザーが入力した認証情報と照合します。 objectClassCoupaは
をorganizationalPersonに
一致させます
- Coupaは
- Coupaは、見つけたユーザーの識別名とユーザーが入力したパスワードを使用して、ディレクトリサーバーにバインドします。
- 手順3が成功した場合は、ユーザーをCoupaに移行させます。
必須情報
情報 | 詳細 | 提供者 |
---|---|---|
CoupaサーバーのIPアドレス | 顧客が接続する特定のCoupa IP。IPアドレスを使用して、ファイアウォールルールを可能な限り制限します。 | Coupa |
ホスト | 接続するサーバーのIPとホスト名 | 顧客 |
ポート | 接続するポート。Coupaは通常ポート636を介するLDAPS接続を使用します。LDAPSが正しく機能するには、TLS証明書が必要です。 | 顧客 |
基本 | LDAP検索のベースDN | 顧客 |
ドメイン | Active Directoryドメイン | 顧客 |
ユーザー名 | ログインに使用するユーザーのユーザー名。このユーザーには、バインドおよび検索以外の権限はありません。 | 顧客 |
パスワード |
上記ユーザーのパスワード |
顧客 |
制限
当社の経験から、貴社にとって懸念事項と思われないいくつかの制限が明らかになりました。
- ファイアウォールで保護されたイントラネット内にCoupaサーバーが存在する場合、Coupaサーバーがディレクトリサーバーに接続できるようにするには、ファイアウォールルールの作成が必要になる場合があります。
- 認証を実行するには、Coupaサーバーがディレクトリサーバーにバインドするための非特権アカウントを作成する必要があります
- 資格情報はイントラネットの外部に送信されます(ただし、Coupaとのすべてのネットワーク通信は高度なSSL暗号化で保護されています)
Coupa R23以降では、LDAPサーバー接続の証明書検証を実施します。つまり、LDAP経由で接続するためにIPアドレスを使用することはできなくなり、有効なFQDN(つまり、myldapserver.mydomain.com)を使用する必要があります。
これは、接続先のマシンに存在する証明書がサーバーの名前と一致する必要があることも意味します。
これを社内のIT部門で検証し、質問がある場合は本番インスタンスをR23にアップグレードする前にサポートチケットを開いてください。
シングルサインオン(SSO)に関するFAQの記事もご覧ください。