Active Directory またはアドレス帳からの連絡先の統合
組織の Active Directory/ADFS/LDAP データは Diligent One に統合可能であることから、ユーザーは、Diligent One を使用しない人物を見つけ、その人に物事を割り当てることができます。
機能の仕組み
Active Directory の連絡先を Diligent One に取り込むのは自動のプロセスですが、この設定には、リザルト管理者と、IT 担当者、または会社で Active Directory を管理するデータ管理者間の協働が必要になります。これは、同一人物にすることもできますが、一般的には異なる人が担当します。
デフォルトでは、リザルトに、参照のコレクションが含まれています。このコレクションには、連絡先という名の分析と、アドレス帳という名のテーブルが含まれています。ロボットを設定して、提供されているスクリプトを使用し、Active Directory からこのテーブルにデータを取り込みます。設定が終わったら、このロボットは、定期的に Active Directory から Diligent One にデータを同期化します。Diligent One のユーザーは、アドレス帳に保管されている連絡先を見つけ、物事をその連絡先に割り当てることができます。
ACL Robotics サブスクリプションの要件
- 提供されている Active Directory スクリプトを使用するには、ACL Robotics Enterprise Edition とオンプレミスのロボットエージェントが必要になります。
- 自身が作成するスクリプトを使用するには、いずれかの ACL Robotics エディションを使用します。クラウドベースのロボットエージェントを使用している場合は、データソースがクラウドになくてはなりません。
アクセス可能なデータ
当社の Active Directory スクリプトは、ObjectSid、名前、電子メールアドレス、およびオプションのフィールドを取り込みます。このオプションのフィールドは、Diligent One ユーザーが人物を特定できる部門や役職などの背景を提供します。
インポートされるレコードをフィルター処理
デフォルトで、Active Directory スクリプトは、非アクティブな Active Directory ユーザーを除外します。ロボットを設定する一方で、オブジェクトカテゴリパラメーターを使って、インポートするレコードを詳細にフィルター処理できます。ACLScript または SQL を使ったカスタムフィルターはサポートされていません。
関連付けのないアドレス帳と Diligent One ユーザーアカウント
アドレス帳内の人物は Diligent One にアクセスすることはできません。アドレス帳の主な目的は、Diligent One ユーザーが Active Directory から連絡先を見つけられるようにすることです。
Diligent One ユーザーがアドレス帳内にもある場合に、Diligent One は、物事を割り当てる際に、アドレス帳のユーザーではなく、Diligent One ユーザーを表示します。これは、電子メールアドレスに基づいています。
Active Directory 以外のシステムからの連絡先の入手
現在、Diligent は Active Directory ソリューション一式のみを提供しています。ただし、当社の Active Directory スクリプトを修正したり、独自のスクリプトを作成したりして、同じ基本的なプロセスを使って、別なシステム、ご利用の CRM、または他のご利用のアドレス帳から連絡先を取り込むことができます。スクリプト作成の詳細については、Analytics のスクリプトを参照してください。
アクセス許可
- リザルト管理者のみがアドレス帳のある参照のコレクションを表示し、管理することができます。
- システム管理者、IT プロフェッショナル、または会社で Active Directory を管理するデータ管理者は、Analytics を使用し、ロボットを作成、管理し、データがリザルトに流れることを確認できる Diligent One アカウントが必要です。
- オプション1(比較的容易) Professional サブスクリプションのある Diligent One システム管理者および Analytics へのアクセス。
- オプション2(より多くの職務分掌) Professional サブスクリプションのある Diligent One ユーザーおよび リザルト管理者およびロボットユーザーまたはロボット管理者および Analytics へのアクセス。
制限
リザルトでは、アドレス帳のテーブルサイズに制限があります。
1 つのテーブルに格納できる上限:
- 100,000 レコード
- 500 列
メモ
一度に最大 100 列インポートできます。その場合、その他の列は、主キーを使用した Analytics からリンクされたアンケートまたはエクスポートを使用して追加できます。データ列とアンケート列を組み合わせた数は 500 を超えることはできません。メタデータ列はこの制限の対象ではありません。
- 空白文字を含む、フィールド名あたり 256 文字 (個々のデータフィールドには適用されません)
アクティブなユーザー数が、リザルトのテーブル当たりのレコード数の制限である、100,000を超える場合は、ObjectCategory パラメーターを使って、ロボットの設定中にデータのサブセットをフィルター処理します。
初めて統合を設定する場合
このプロセスの設定には、異なる任務を行う2名が協働する必要があります。
1. リザルト管理者のステップ
- リザルト アプリを開きます。
- 特別なコレクション]パネルが、閉じている場合は開きます。
- [参照のコレクション]をクリックします。
- アドレス帳テーブルでテーブル ID を探します。この ID をメモに取ります。この ID を次の担当者に渡す必要があります。
メモ
複数のアドレス帳テーブルがある場合は、自分のアドレス帳にしたいものを選ぶだけです。
- 同期化スクリプトを使用する HighBond API トークンがあることを確かめます。
HighBond API トークンが存在しない場合は生成します。トークンは、会社ではなく、ユーザーアカウントとつながっているため、自身のアカウントではなく、汎用アカウントからのトークンを使用することをお勧めします。こうすることで、ユーザーがロールを離れたり、変更したりしても、同期化プロセスが将来中断されないことが保証されます。汎用アカウントにアクセスできない場合は、組織の Diligent One を管理する担当者に連絡し、支援を受けてください。
- 会社で Active Directory を管理する責任者に連絡します。これは、システム管理者やデータ管理者となることでしょう。次の情報を伝えます:
- この説明: 2. データ管理者/システム管理者のステップ。
- テーブル ID
- 必要なオプションのフィールド (役職や部門など)
- 同期化スクリプトに使用させる HighBond API トークン。
- 支援者であるシステム管理者が Diligent One アカウントを持っている、連絡先が必要な Diligent One のインスタンスに追加されている、およびタスクの完了に必要なアクセス許可を持っていることを確かめます。
2. データ管理者/システム管理者のステップ
同僚が Active Directory の連絡先を Diligent One に取り込むよう依頼してきました。Diligent One は、あまり精通していなくても、より強力なセキュリティ、リスクマネジメント、コンプライアンスおよび保証を作成する企業ガバナンスソフトウェアプラットフォームです。Active Directory の連絡先を Diligent One に許可することで、会社のユーザーは、より容易に関係者を探し、タスクや任務を割り当てることができます。同様に、これらのユーザーは、組織がリスクを管理し、法令を遵守する手助けができるでしょう。
これらのステップを完了するには、Active Directory 連絡先ロボットツールキットをインストールし、定期的に Active Directory データを取り込むタスクを作成します。次に、ロボットが適切に動作するかどうかを検証します。
メモ
Diligent One の連絡先データはコピーです。このデータは、ご利用のソースデータを変更することはありません。
- まだこのデータが分からない場合は、このタスクの完了を依頼した担当者から次の情報を得てください:
- テーブル ID
- 取り込みたいオプションのフィールド(役職や部門など)
- タスクの完了に必要なアクセス許可のある Diligent One のアクセス権
- HighBond API トークン
- Active Directory 連絡先ロボットツールキットをインストールする次のステップを実行します。
- ツールキットアプリを開きます。
- [利用可能なツールキット]タブで、インストールするツールキットの横にある[インストール]をクリックします。
パネルにツールキットのプレビューが表示されます。
重要
ツールキットのエディションを選択し (非 Unicode または Unicode)、組織が使用するロボットエージェントのエディションと一致するようにします。確認するには、ロボットエージェントのエディションの検証を参照してください。
エディションが一致した場合にのみインストール処理が動作します。
- [インストール]をクリックします。
インストールには多少時間がかかります。
結果 インストールが完了したら、成功した旨のメッセージが表示されます。
メモ
インストール時にエラーメッセージが表示されたら、もう一度インストールを実行します。インストールのエラーが解決しない場合は、サポートまでお問い合わせください。
- ロボットアプリに切り替え、ロボットのスクリプトをアクティブ化します。
Launchpad ホームページ(www.highbond.com)から、ロボット アプリを選択して開きます。
すでに Diligent One を使用している場合は、左側のナビゲーション メニューを使用してロボット アプリに切り替えることができます。
- Active Directory 連絡先統合ロボットを探し、開きます。
ヒント
ロボットが表示されない場合は、ページを更新してみてください。それでもロボットが表示されない場合は、ツールキットのインストールができていなかったことになります。インストールを試みたツールキットを削除し、もう一度インストールを試みます。それでもできない場合は、Diligent サポートにお問い合わせください。
- [バージョンをアクティブ化]をクリックします。
ロボットは、本稼働モードから開発モードに切り替わります。
- [スクリプトバージョン]タブで、v1 を選択します。
- 右側の[バージョンの詳細]パネルで、[アクティブ化]を選択します。
- 省略可能。[コメントを追加]フィールドで、スクリプトのアクティブ化で持たせたい情報を入力します。
- [v1 をアクティブ化]をクリックします。
結果 スクリプトバージョンがアクティブ化され、本稼働モードで利用可能になります。
- ロボットのタスクを作成します。
- ロボットの右上隅で、[本番]をクリックし、本番モードに切り替えます。
- [タスク]タブで[タスクを作成]をクリックします。
- タスクに "Active Directory の連絡先を同期化" など、分かりやすい名前を付け、[保存]をクリックします。
- [すべてをアクティブ化]をクリックして、スクリプトをオンにします。
- 下向き矢印 をクリックし、スクリプトのパラメーターにアクセスします。
- 必要なパラメーターを入力します。
必要に応じて、オプションのパラメーターを入力したり、空白のままにしてデフォルトを使用したります。このステップは、テーブル ID、HighBond API トークン、および同僚が提供したオプションのフィールドが必要な時のためのステップです。
パラメーター 定義 例 Active Directory のユーザー名を、domain\user_name のフォーマットで入力します。 ユーザーの識別名。パスワードと一緒にこのフィールドを使用し、Active Directory サーバーに対して認証します。 example/john_smith Active Directory にアクセスするパスワードを入力します。 指定したユーザーの識別名のパスワード。ユーザーとともに、このフィールドは、Active Directory サーバーで認証するために使用されます。
メモ
ご利用の Active Directory サーバーが匿名の接続を許可する場合は、パスワードを入力せずに接続できます。お使いのサーバーのセキュリティ設定によっては、匿名接続であっても、使用可能なテーブルをリストすることができます。ただし、匿名接続では、リストされたテーブルの一部または全部からデータを選択できない場合があります。Active Directory セキュリティの詳細については、会社の管理者にお問い合わせください。
aStrongPassword Active Directory サーバーのドメイン名または IP を入力します。 Active Directory サーバーのドメイン名または IPここでは LDAP:\\ の部分を含める必要はなく、サーバーのドメイン名または IP のみが必要です。 192.0.2.255 Active Directory サーバーが実行中のポートを入力します。 Active Directory サーバーを実行するポート。サーバーと一緒に、このプロパティを使用し、Active Directory サーバーを指定します。 389 識別名の基本的な部分を入力します。 結果を特定のサブツリーに制限するために使用される、識別名のベース部分。
ベース DN を指定すると、検査が必要なエントリ数を制限することで、大きいサーバーのエントリを返すときに、パフォーマンスを大幅に改善できます。
DC=myConnection,DC=com LDAP バージョンを選択し、サーバーに接続して通信します。 サーバーに接続し、サーバーと通信するために使用される LDAP バージョン。有効なオプションは、LDAP バージョン 2 と 3 に対する2と3です。 2 使用する認証メカニズムを選択します。 Active Directory サーバーへの接続時に使用する認証メカニズム:
- SIMPLE デフォルトのプレーンテキスト認証を使用してサーバーにログインします。
- DIGESTMD5 よりセキュアな DIGEST-MD5 認証を使用します
- NEGOTIATE NTLM/Negotiate 認証を使用します
SIMPLE 範囲を選択します。 検索する範囲を次に制限するかどうか:
- WholeSubtree サブツリー全体 (BaseDN およびその子孫のすべて)
- SingleLevel 単一のレベル (BaseDN およびその直接の子孫)
- BaseObject 基本オブジェクト (BaseDN のみ)
ヒント
範囲を制限すると、検索のパフォーマンスが大幅に向上します。
BaseObject 除外するオブジェクトカテゴリを入力します。 この値を使用し、特定の ObjectCategory を持つレコードをインポートします。たとえば、"コンピューター" は、"コンピューター" というObjectCategory を持つ連絡先のみをインポートします。パイプで区切られた一覧を使用し、複数の値に一致させます。
ヒント
アクティブなユーザー数が、リザルトのテーブル当たりのレコード数の制限である、100,000を超える場合は、ObjectCategory パラメーターを使って、データのサブセットをフィルター処理します。
Computer|Person オプションの設定フィールドを選択します。 人物を特定できるようにするオプションのフィールド。これは、あなたの支援を依頼したリザルト管理者によって提供されていたはずの値です。デフォルトでは、当社の Active Directory スクリプトはこの選択肢を役職、部門、マネージャーに限定しています。ただし、このスクリプトを修正したり、より多くのオプションが必要な場合は自身のスクリプトを作成したりできます。 役職 リザルトで、統制テスト ID と、連絡先参照テーブルのデータセンターコードを入力します。 Diligent One インスタンスのテーブル ID と地域。これは、あなたの支援を依頼したリザルト管理者によって提供されていたはずの値です。 12345@eu HighBond アクセストークンを入力します。 スクリプトが Diligent One で認証可能な HighBond アクセストークン。これは、あなたの支援を依頼したリザルト管理者によって提供されていたはずの値です。 [ - 続行]をクリックします。
- [タスクをスケジュールに設定する]をクリックし、頻度を入力します。一般的には毎夜間で十分です。
- [続行]をクリックします。
- 何らかの理由でタスクが実行されないことを誰かに通知したい場合は、[失敗に関する通知を送信する]をクリックし、こうした電子メールを受信すべき人物を選択します。これは、あなたや、このタスクの支援を依頼したリザルト管理者になるでしょう。
- [続行]をクリックします。
- 設定をレビューします。変更を加える必要がある場合は、[編集]ボタンの1つをクックします。すべてが適切である場合は、[タスクを確認し作成する]をクリックします。
データのインポートをテストする
ロボットの準備ができたので、ロボットをテストして、適切に動作することを確認します。
- [タスク]タブ上で、作成した新しいタスクをクリックします。
- [タスクの詳細]パネルから、[今すぐ実行]をクリックします。
タスクがバックグラウンドで実行します。左側の[最新の結果]からその進捗状況を監視できます。数分しかかかりません。
- タスクが成功と表示される場合は、正常に実行されています。
- エラーと警告は、[タスクの実行詳細]パネルに表示可能な Export_Summary.log に書き込まれます。ログにもソースデータの修正に関するアドバイスが記載されます。
- タスクが成功した場合でも、ログを表示することをお勧めします。データベースのデータの形式が正しくなかったり、データが欠落していたりする警告が発生している場合があります。
- リザルト アプリを開きます。
- 特別なコレクション]パネルが、閉じている場合は開きます。
- [参照のコレクション]をクリックします。
参照のコレクションが表示されていない場合は、リザルト管理者権限が付与されていないことになります。続行するには、リザルト管理者でなくてはなりません。Diligent One システム管理者がこの権限を割り当てることができます。
- 参照のコレクションのレコード数が、Active Directory からの見込みのインポートレコード数と同じであることを確認します。任意で、アドレス帳をクリックし、そのレコードを検査します。
- すべてが良好な状態であれば、リザルト管理者に知らせます。管理者は、いくつかのステップを実行し、最後に1度、支援を求めるでしょう。
3. リザルト管理者のステップ
この時点で、システム管理者/データ管理者は、Active Directory の統合を自動化するロボットを作成、テストしていたはずです。そこで、アドレス帳をアクティブ化し、使えるようにする必要があります。
アドレス帳をアクティブ化
Diligent One ユーザーが Active Directory の連絡先を活用する前に、このテーブルをアドレス帳として設定する必要があります。
- リザルト アプリを開きます。
- 特別なコレクション]パネルが、閉じている場合は開きます。
- [参照のコレクション]をクリックします。
- 自分のアドレス帳として使用したいテーブルの[連絡先を管理]をクリックします。
[アドレス帳を管理]サイドパネルが開きます。このテーブルに解釈がある場合は、[アドレス帳を管理]サイドパネルに[解釈]ドロップダウンがあります。
このテーブルを選択すると、そのテーブルのすべてのレコードを使用するアドレス帳が設定されます。
解釈を選択すると、その解釈に設定されたフィルターに一致するレコードのみを使用するアドレス帳が設定されます。解釈がない場合は、ステップ5に続きます。
- 名前と電子メールの列を選択します。
- オプションのフィールドを使用している場合は、ここでもそれを選択し、これをよく表す分かりやすい名前を入力します(例: 「役職」や「部門」)。Diligent One ユーザーは、システムで連絡先を探すと、このラベルと値を確認できます。
- [アクティブ化]または[保存]をクリックします。
テーブルに主キーを設定
今後このテーブルでレコードを更新するためには、主キーを設定する必要があります。
- リザルト アプリを開きます。
- 特別なコレクション]パネルが、閉じている場合は開きます。
- [参照のコレクション]をクリックします。
- アドレス帳のテーブルについて、[]、[設定]の順にクリックします。
- [主キーフィールド]ドロップダウンをクリックし、主キーを選択します。今すぐこのテーブルの主キーを一意のユーザー ID 列に設定することをお勧めします。スクリプトを同期する当社のデフォルトの Active Directory を使用中の場合は、ObjectSID が使用すべきフィールドです。
- [保存]をクリックします。
完了です
戻って、ロボットがタスクをスケジュールどおり実行していることを確認するリマインダーを設定したいと思うかもしれません。ログに Active Directory データの警告が示された場合は、これは、そのデータをクレンジングし、ユーザーが混乱しないように徹底させるする良い機会です。詳細は、エラーと警告を修正するを参照してください。
組織のライセンスの数に限りがある場合に、今後自分のライセンスが必要でないことが確かな場合は、ライセンスの管理者に連絡し、自分のアカウントを非アクティブ化可能であることを伝えます。
エラーと警告を修正する
ロボットは、アドレス帳を追加するタスクを実行する場合は、Active Directory データに基づきエラーと警告をレポートすることができます。
- エラーは、タスクの失敗につながる場合があります。失敗にならない場合は、不完全な状態のまま置いておくことができます。
- 警告は、タスクの失敗につながりませんが、ユーザーを混乱させかねないデータの問題を反映します。
いずれの場合も、直ちにソースデータで問題の解決を試みるのが最良の方法です。エラーと警告は、タスクの実行後、[タスクの実行詳細]パネルに表示可能な Export_Summary.log に書き込まれます。ログにもソースデータの修正に関するアドバイスが記載されます。
連絡先を最新の状態に保つ
そうするようロボットを設定する場合は、ロボットは、ユーザーが選択するスケジュールで Active Directory への変更と一緒に Diligent One にアドレス帳テーブルを更新します。ロボットは手動で実行できますが、そうする必要はありません。
すべての連絡先を表示
アドレス帳を設定したら、ここに全員の表示が可能になります。
- リザルト アプリを開きます。
- 特別なコレクション]パネルが、閉じている場合は開きます。
- [参照のコレクション]をクリックします。
- アドレス帳のタイトルをクリックします。
自分のアドレス帳のテーブルを変更
連絡先を持つテーブルを複数持つことはできますが、アクティブなアドレス帳にできるのはいつでも 1 つだけです。一般的には、Diligent One ユーザーが利用できる新しい連絡先一覧を作成する前に、変更をテストする別のテーブルを使用する場合があります。そのためには、現在のアドレス帳テーブルを非アクティブ化してから、新しいものをアクティブ化します。
- リザルト アプリを開きます。
- 特別なコレクション]パネルが、閉じている場合は開きます。
- [参照のコレクション]をクリックします。
- 現在のアドレス帳テーブルを見つけ、[連絡先を管理]をクリックします。[アドレス帳を管理]サイドパネルが開きます。
- [非アクティブ化]をクリックします。[アドレス帳を管理]サイドパネルが閉じます。
- 自分のアドレス帳として使用したいテーブルを探し、[連絡先を管理]をクリックします。
[アドレス帳を管理]サイドパネルが開きます。このテーブルに解釈がある場合は、[アドレス帳を管理]サイドパネルに[解釈]ドロップダウンがあります。解釈は、コレクションでのテーブルに基づいた、フィルター、視覚化、および統計を集めたコレクションです。
このテーブルを選択すると、そのテーブルのすべてのレコードを使用するアドレス帳が設定されます。
解釈を選択すると、その解釈に設定されたフィルターに一致するレコードのみを使用するアドレス帳が設定されます。解釈がない場合は、ステップ7に続きます。
- 名前と電子メールの列を選択します。
- オプションのフィールドを使用する場合は、これをよく表す分かりやすい名前を入力します(例: 「役職」や「部門」)。Diligent One ユーザーは、システムで連絡先を探すと、このラベルと値を確認できます。
- [アクティブ化]または[保存]をクリックします。
アドレス帳の設定を更新
フィールドがアドレス帳からマッピングされる方法を調整し、既存のアドレス帳のオプションのフィールドラベルを変更することができます。
- リザルト アプリを開きます。
- 特別なコレクション]パネルが、閉じている場合は開きます。
- [参照のコレクション]をクリックします。
- 自分のアドレス帳として使用しているテーブルを探し、[連絡先を管理]をクリックします。[アドレス帳を管理]サイドパネルが開きます。
- このテーブルに解釈がある場合は、使用したいものを選択します。ない場合は、ステップ 6 に進みます。
- 名前と電子メールの列を選択します。オプションのフィールドを使用したい場合は、ここでもそれを選択し、これをよく表す分かりやすい名前を入力します (例: "役職" や "部門")。
- [保存]をクリックします。
連絡先を削除または更新した場合はどうなるか
アドレス帳を削除したり、そのアドレス帳から行を編集または削除したりするときはいつでも、その連絡先に割り当てられる項目は、その後もその連絡先に割り当てられますが、その連絡先は固定された状態になり、更新されなくなります。
たとえば、プロジェクトのアクションが john.smith@example.com に割り当てられるとします。次に、John がアドレス帳から削除されます。そのアクションは、その後も john.smith@example.com に割り当てられ、誰かがそのアクションを再割り当てするまでそのままの状態になります。