テクニカルトピックス

【2021.12.14】AD同期時の制限事項について

 まず始めに、Swivel Appliance(AuthControl Sentry)やAuthControl CloudとActiveDirectory(AD)を同期する際の重要なオプションについてご説明いたします。
 Swivel ApplianceまたはAuthControl Cloudの管理画面の「Repository / ActiveDirectory」設定メニューに「Mark missing users as deleted:」というオプションがあります。このオプションの設定によって、ADと同期時にユーザが削除されたと判断された場合の挙動は下記のように変わります。



  • Mark missing users as deleted: Yes(Default)の場合:削除されたと判断した対象ユーザを無効にする(Purgeするまで削除しない)
  • Mark missing users as deleted: Noの場合:削除されたと判断した対象ユーザを即時削除する

<制限事項>

Swivel ApplianceやAuthControl Cloudが何らかの理由で、ADもしくは同期対象のSecurity Groupとの接続自体に失敗した場合、ADやSecurity Groupに所属するユーザが全て削除対象になってしまいます。


 この動作は、v4.1.3までのSwivel ApplianceとAuthControl Cloudで確認されていますが、実運用上、非常に問題がある可能性が高いですので、Swivel Secure社にて改善を行っており、次期バージョンにて下記のように改善する計画です。

  • ADとの接続に失敗した場合:接続エラーログを出力し、ユーザを削除対象とはしない
  • Security Groupとの接続に失敗した場合:管理画面での設定によって削除対象とするかどうかを指定する

 ただし、改善バージョンがリリースされるまではADとの同期においては下記の暫定対策を行っていただくようお願いいたします。

<暫定対策>
  • AD指定をドメイン名とする
    Swivel ApplianceとAuthControl Cloudの管理画面で同期対象のADを指定する場合、サーバ名ではなく、ドメイン名で指定が可能です。
    これによって、ADの冗長化に対応できますので、ADとの接続に失敗するリスクを低減できます。
  • 「Mark missing users as deleted:」オプションを「Yes (Default)」とする
    「Mark missing users as deleted:」オプションを「Yes」とすることにより、ADとの接続に失敗した場合は、ユーザは無効(取り消し線が入った状態)となり、完全には削除されません。万が一、ADとの通信に失敗した場合には、再度、同期に成功したら、ユーザの状態は元通りになりますので、運用への影響は最低限に抑えることができます。

 今後、この制限事項は改善される予定ですので、新バージョンがリリースされ次第ご報告いたします。
 また、本記事に関してご質問・ご確認事項等ございましたら、弊社サポートデスクまでお問い合わせ下さい。