Azure Active Directory (Azure AD) は、Microsoft のクラウドベースの ID およびアクセス管理 (IAM) サービスであり、従業員が Joomla サイトにサインインしてそのリソースにアクセスするのに役立ちます。 miniOrange Joomla LDAP は、Azure Active Directory サービスの既存の ID を Joomla サイトへのシングル サインオン (SSO) に利用できるソリューションを提供します。 Azure Active Directory Domain Services (Azure AD DS) マネージド ドメインと対話するには、主にライトウェイト ディレクトリ アクセス プロトコル (LDAP) が使用されます。 デフォルトでは、LDAP トラフィックはエンコードされません。これは、多くの環境にとってセキュリティ上の問題となります。 Azure Active Directory Domain Services を使用すると、安全なライトウェイト ディレクトリ アクセス プロトコル (LDAPS) を使用するようにマネージド ドメインを構成できます。 セキュア LDAP を使用すると、トラフィックは暗号化されます。 セキュア LDAP は、Secure Sockets Layer (SSL) 上の LDAP とも呼ばれます。

以下のステップバイステップ ガイドに従って、Azure Active Directory とイントラネット用の miniOrange Joomla LDAP 間の安全な LDAP 接続を構成します。

1. Azure Active Directory Domain Services インスタンスを作成して構成する

(サブスクリプションの AADDS インスタンスを既に構成している場合は、これをスキップしてください)

1。 前提条件

• アクティブな Azure サブスクリプション。
• あなたが必要です グローバル管理者 Azure AD テナントの特権を付与して、Azure Active Directory ドメイン サービスをオンプレミスのディレクトリまたはクラウド専用のディレクトリと同期できるようにします。
• あなたが必要です 貢献者 必要な Azure Active Directory Domain Services リソースを作成するための Azure サブスクリプションの権限。

1.1 インスタンスの作成と基本設定の構成

• Azure portal の左上隅にある をクリックします。 + リソースを作成します。
• 検索バーに「ドメイン サービス」と入力し、[ドメイン サービス] を選択します。 AzureADドメインサービス 検索候補から。



• Azure AD ドメイン サービス ページで、 をクリックします。 創造する。 Azure AD ドメイン サービスを有効にするウィザードが起動します。



• Azure portal の [基本] ウィンドウのフィールドに値を入力して、Azure AD DS インスタンスを作成します。
  • 前述の点を考慮して、マネージド ドメインの DNS ドメイン名を入力します。
  • マネージド ドメインを作成する Azure サブスクリプションを選択します。
  • マネージド ドメインが属するリソース グループを選択します。 新規作成するか、既存のリソース グループを選択します。
  • マネージド ドメインを作成する Azure の場所を選択します。
  • 「OK」をクリックして「ネットワーク」セクションに進みます。

1.2 仮想ネットワークの作成と構成

• 「ネットワーク」ウィンドウのフィールドに次のように入力します。
  • [ネットワーク] ウィンドウで、 [仮想ネットワークの選択] を選択します。
  • このチュートリアルでは、Azure AD DS をデプロイする新しい仮想ネットワークを作成することを選択します。
  • 仮想ネットワークの名前 (myVnet など) を入力し、アドレス範囲 (10.1.0.0/16 など) を入力します。
  • DomainServices などの明確な名前を持つ専用サブネットを作成します。 10.1.0.0/24 などのアドレス範囲を指定します。
• 仮想ネットワークとサブネットが作成されると、DomainServices などのサブネットが自動的に選択されます。 代わりに、選択した仮想ネットワークの一部である代替の既存のサブネットを選択することもできます。
• ソフトウェアの制限をクリック OK 仮想ネットワークの構成を確認します。

1.3 管理グループの構成

• ウィザードによって自動的に作成されます。 AAD DC 管理者 Azure AD ディレクトリ内のグループ。 Azure AD ディレクトリにこの名前の既存のグループがある場合、ウィザードはこのグループを選択します。 オプションで、これにユーザーを追加することもできます AAD DC 管理者 導入プロセス中のグループ。
  
  注意： このドキュメントのさらに先には、管理者グループのメンバーが含まれています。

1.4 同期の構成

• Azure Active Directory Domain Services を使用すると、Azure AD で使用可能なすべてのユーザーとグループを同期したり、特定のグループのみを範囲指定して同期したりできます。
• スコープを選択し、「OK」をクリックします。
  
  注意： スコープは後で変更できません。 必要に応じて、新しいドメインの作成が必要になります。

1.5 マネージド ドメインをデプロイする

• ウィザードの [概要] ページで、マネージド ドメインの構成設定を確認します。 ウィザードの任意のステップに戻って変更を加えることができます
• マネージド ドメインを作成するには、 OK.
• マネージド ドメインをプロビジョニングするプロセスには最大 XNUMX 時間かかる場合があります。 Azure AD DS デプロイの進行状況を示す通知がポータルに表示されます。 通知を選択すると、展開の詳細な進行状況が表示されます。
• マネージド ドメインが完全にプロビジョニングされると、[概要] タブにドメインのステータスが「実行中」と表示されます。



注意： プロビジョニング プロセス中に、Azure AD DS は、ドメイン コントローラー サービスと AzureActiveDirectoryDomainControllerServices という名前の XNUMX つのエンタープライズ アプリケーションをディレクトリに作成します。 これらのエンタープライズ アプリケーションは、マネージド ドメインにサービスを提供するために必要です。 これらのアプリケーションは決して削除しないことが重要です。

2. セキュア LDAP の証明書を作成して委任する

2.1 自己署名証明書の作成

• 使用するには セキュアLDAP、通信の暗号化にはデジタル証明書が使用されます。 このデジタル証明書は、Azure AD DS マネージド ドメインに適用されます。
• 開く PowerShellの ウィンドウとして 管理者 そして次のコマンドを実行します。
  
  注意： $dnsName 変数を、exampledomain.com など、独自のマネージド ドメインで使用される DNS 名に置き換えます。 このドメインは、ADDS 管理対象ドメインと同じである必要があります。
hosts ファイルに次のエントリを作成します。 <Define your own DNS name used by your Azure AD DS managed domain
$dnsName="exampledomain.com"
# Get the current date to set a one-year expiration
$lifetime=Get-Date
# Create a self-signed certificate for use with Azure AD DS New-SelfSignedCertificate -Subject *.$dnsName `

-NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
-Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName
2.2 Azure AD DS の証明書をエクスポートする
前の手順で作成したデジタル証明書を Azure AD DS マネージド ドメインで使用する前に、証明書を秘密キーを含む .PFX 証明書ファイルにエクスポートします。


• [ファイル名を指定して実行] ダイアログを開くには、Windows キーと R キーを押します。
• Video Cloud Studioで Microsoft 管理コンソール (MMC) [ファイル名を指定して実行] ダイアログに「MMC」と入力し、[OK] を選択します。
• ユーザー アカウント制御プロンプトで、 をクリックします。 有り をクリックして MMC を管理者として起動します。
• [ファイル]メニューから、 スナップインの追加/削除…
• 証明書スナップインウィザード、選択する コンピューターアカウント、その後、選択し >次へ
• [コンピューターの選択] ページで、[ローカル コンピューター: (このコンソールが実行されているコンピューター)] を選択し、[完了] を選択します。
• スナップインの追加または削除 ダイアログ、クリック OK 証明書スナップインを MMC に追加します。
• MMC ウィンドウで、展開します。 コンソールルート。 [証明書 (ローカル コンピューター)] を選択し、 パーソナルノード、続いて 証明書ノード.



• 前の手順で作成した自己署名証明書 (exampledomain.com など) が表示されます。 この証明書を右クリックして、 [すべてのタスク] > [エクスポート]。



• 証明書のエクスポートウィザード、[次へ]を選択します。
• 証明書の秘密キーをエクスポートする必要があります。 エクスポートされた証明書に秘密キーが含まれていない場合、マネージド ドメインのセキュア LDAP を有効にするアクションは失敗します。
  [秘密キーのエクスポート] ページで、 [はい、秘密キーをエクスポートします] を選択し、 [次へ] を選択します。



• Azure AD DS マネージド ドメインは、 .PFX 証明書ファイル形式 これには秘密キーが含まれます。 秘密キーを含まない証明書を .CER 証明書ファイル形式としてエクスポートしないでください。
• [エクスポート ファイル形式] ページで、次を選択します。 個人情報交換 - PKCS #12 (.PFX) エクスポートされた証明書のファイル形式として。 [可能な場合は証明書パスにすべての証明書を含める] チェックボックスをオンにして、[次へ] をクリックします。



• [セキュリティ] ページで、次のオプションを選択します。 .PFX 証明書ファイルを保護するためのパスワード。 パスワードを入力して確認し、「次へ」を選択します。 このパスワードは、次のセクションで、Azure AD DS マネージド ドメインの安全な LDAP を有効にするために使用されます。



• [エクスポートするファイル] ページで、証明書をエクスポートするファイル名と場所を指定します。 C:\ユーザー\アカウント名\azure-ad-ds.pfx.
• レビューページで「完了」をクリックして、 証明書を .PFX 証明書ファイルにエクスポートします。 証明書が正常にエクスポートされると、確認ダイアログが表示されます
• 次のセクションで使用するために MMC を開いたままにしておきます.
2.3 クライアントコンピュータの証明書をエクスポートする
クライアント コンピューターは、LDAPS を使用してマネージド ドメインに正常に接続できるように、セキュリティで保護された LDAP 証明書の発行者を信頼する必要があります。 クライアント コンピューターには、Azure AD DS によって復号化されたデータを正常に暗号化するための証明書が必要です。 次の手順に従って、自己署名証明書をエクスポートし、クライアント コンピューターの信頼できる証明書ストアにインストールします。

• MMC に戻って、 証明書 (ローカル コンピューター) > 個人 > 証明書ストア。 前の手順で作成した自己署名証明書 (exampledomain.com など) が表示されます。 この証明書を右クリックし、[すべてのタスク] > [エクスポート…] を選択します。
• 証明書のエクスポート ウィザードで、[次へ] を選択します。
• クライアントの秘密キーは必要ないため、 「秘密キーのエクスポート」ページで「いいえ」を選択します、秘密キーをエクスポートしないで、「次へ」を選択します。



• [エクスポート ファイル形式] ページで、次を選択します。 ファイル形式として Base-64 エンコードされた X.509 (.CER) エクスポートされた証明書の場合:



• [エクスポートするファイル] ページで、証明書をエクスポートするファイル名と場所 (C:\Users\accountname\client.cer など) を指定します。



• レビュー ページで [完了] を選択して、 証明書を .CER 証明書ファイルにエクスポートします。 証明書が正常にエクスポートされると、確認ダイアログが表示されます。

3. Azure AD DS の Secure LDAP を有効にする

• Azureのポータルの場合は、[リソースの検索] ボックスでドメイン サービスを検索します。 選択する AzureADドメインサービス 検索結果から。



• exampledomain.com などのマネージド ドメインを選択します。



• Azure AD DS ウィンドウの左側で、 セキュアLDAP.



• デフォルトでは、マネージド ドメインへの安全な LDAP アクセスは無効になっています。 セキュア LDAP を有効に切り替えます.
• トグル インターネット経由での安全な LDAP アクセスを許可する 有効にする。
• の横にあるフォルダーアイコンを選択します .PFX ファイル 安全な LDAP 証明書を使用します。 .PFX ファイルのパスを参照し、前の手順で作成した秘密キーを含む証明書を選択します。
• 前の手順で証明書を .PFX ファイルにエクスポートしたときに設定した .PFX ファイルを復号化するためのパスワードを入力します。
• ソフトウェアの制限をクリック Save セキュア LDAP を有効にします。
  
  注意： マネージド ドメインに対してセキュア LDAP が構成されていることを示す通知が表示されます。 この操作が完了するまで、マネージド ドメインの他の設定を変更することはできません。 マネージド ドメインでセキュア LDAP を有効にするには、数分かかります。



• マネージド ドメインに対してセキュア LDAP が構成されていることを示す通知が表示されます。 この操作が完了するまで、マネージド ドメインの他の設定を変更することはできません。 それには 数分 マネージド ドメインのセキュア LDAP を有効にします。



4. セキュリティルールの追加

• Azure AD DS ウィンドウの左側で、 プロパティ.
• 次に、関連するものを選択します 関連するネットワークグループ このドメインは、サブネットに関連付けられたネットワーク セキュリティ グループの下にあります。



• 既存の受信および送信セキュリティ ルールのリストが表示されます。 ネットワーク セキュリティ グループ ウィンドウの左側で、[セキュリティ] > [受信セキュリティ ルール] を選択します。
• 選択 Add、次に、TCP ポート 636 を許可するルールを作成します。
• オプション: すべての受信 TCP リクエストを許可する受信セキュリティ ルールを追加します。

設定	値
ソース	任意
送信元ポート範囲	*
開催場所	任意
宛先ポート範囲	636
プロトコール	TCP
Action	次を許可します。
優先	401
名前	許可LDAPS

• オプションB: 受信セキュリティ ルールを追加して、指定した IP アドレスのセットからの受信 TCP リクエストを許可します。（推奨）

設定	値
ソース	IP Addresses
送信元IPアドレス/CIDR範囲	環境に有効な IP アドレスまたは範囲。
送信元ポート範囲	*
開催場所	任意
宛先ポート範囲	636
プロトコール	TCP
Action	次を許可します。
優先	401
名前	許可LDAPS





• 準備ができたら、 をクリックします Add ルールを保存して適用します。

5. 外部アクセス用に DNS を構成する

• インターネット経由で安全な LDAP アクセスを有効にして、クライアント コンピューターがこのマネージド ドメインを見つけられるように DNS ゾーンを更新します。 Secure LDAP 外部 IP アドレスは、Azure AD DS マネージド ドメインの [プロパティ] タブに一覧表示されます。



• hosts ファイルに次のエントリを作成します。 <Secure LDAP external IP address>ldaps.<domainname>
Replace <Secure LDAP external IP address> with the IP we get from azure portal and replace
&l;tdomainname> with the domain name for which the certificate was created.(Value used in $dnsName)
Eg: 99.129.99.939 ldaps.exampledomain.com

6. ユーザーが正常にバインドできるようにする

• Azure AD DS ウィンドウの左側で、 プロパティ.
• 次に、関連するものを選択します 関連する管理者グループ このドメインで。



• 次に、 メンバー 左側のパネルの「管理」タブの下にあります。



• ソフトウェアの制限をクリック メンバーを追加 をクリックして、バインド操作の実行に使用するメンバーを選択します。 次に、現在管理者になっているのと同じユーザーを使用して Azure portal にログインします (まだログインしていない場合)。
• 右上隅からユーザー設定を選択し、 をクリックします アカウントをみる.



• 次に、「セルフサービスパスワードリセットの設定」を選択し、設定を進めます。



• セットアップが成功したら、アプリのリストから Azure Portal を選択します。



• 次に、再度ユーザー プロファイルに移動し、パスワードの変更を選択します。



• パスワードが正常に変更されると、このユーザーはバインド操作の対象になります。

7. Azure Active Directory を使用して Joomla LDAP を構成する

• リンクから Joomla 用 miniOrange LDAP プラグインの zip ファイルをダウンロードします。 こちら.
• Joomla サイトにログインします。 管理者 コンソール。
• 左側のトグルメニューから、 をクリックします エントルピーをクリックし、「インストール」セクションで「」をクリックします。 拡張機能.

• ここをクリックしてください ファイルを参照 ボタンをクリックして、前にダウンロードしたプラグイン ファイルを見つけてインストールします。

• プラグインのインストールが成功したら。 今すぐクリックしてください miniOrange LDAP プラグインの使用を開始する.

• [LDAP の構成] タブにリダイレクトされます。 Joomla サイトを Microsoft Azure Active Directory に接続するには、次の設定を構成する必要があります。

フィールド	値
ディレクトリ サーバー	Microsoft Active Directoryの
LDAPサーバーのURL	LDAP サーバー URL - これは、ドメイン ネーム システムのホスト ファイル構成に追加したドメイン名です。 LDAP サーバーの URL は次から取得できます。 ページ をご覧ください
サービスアカウントドメイン	サービス アカウントのドメイン名は次から取得できます。 ページ をご覧ください
サービスアカウントのパスワード	バインドに使用されるアカウントのパスワード こちら.
検索ベース	検索ベース オブジェクトの識別名を指定します (例:cn=User,dc=domain,dc=com)。 ドロップダウンで提供される検索ベースを選択できます
検索フィルター	検索フィルターを使用すると、検索基準を定義し、より効率的かつ効果的な検索を行うことができます。 例: ユーザープリンシパル名


• [ユーザー LDAP マッピング] 設定で、 検索ベース (ユーザーが検索される LDAP ツリー) と ユーザー名の属性 (AD 内でユーザーが検索されるときに使用される値)。 「保存」をクリックします ユーザーマッピング ボタンをクリックして設定を保存します。

• 下 テスト認証セクション、ユーザーの ユーザ名 & password LDAP サーバーとの接続と認証をテストします。

• 属性マッピング タブに、 AD に存在するユーザーの名前を選択して、 受信属性を確認する ボタンをクリックして、AD から受信した属性のリストを取得します。

• ノーザンダイバー社の サインイン設定 タブで、 を選択し、LDAPログインを有効にする チェックボックスをオンにして、LDAP を使用したログインを有効にします。 このオプションを保存するには、「保存」ボタンをクリックします。 プラグイン構成を構成した後でのみ有効にできます。

• おめでとうございます。正常に設定されました。 miniOrange LDAP あなたのプラグイン Active Directory.

24時間7日のアクティブサポート

問題が発生した場合、またはご質問がある場合は、お気軽にお問い合わせください。 joomlasupport@xecurify.com。 プラグインにいくつかの追加機能を含めたい場合は、当社までご連絡ください。カスタムメイドで対応させていただきます。 また、ご希望に応じて、設定を支援するオンライン ミーティングをスケジュールすることもできます。 Joomla LDAP プラグイン