LDAPを使用するActive Directory
Coupaは一度に1つのLDAPと統合できます。複数のLDAPを使用しているお客様は、複数のLDAPの上に仮想/プロキシ層を作成する必要があります。
はじめに
Coupaは、認証のための外部LDAPまたはMicrosoft Active Directory Serverの使用をサポートしています。これにより、ユーザーはイントラネットアプリケーションへのアクセス権を持つ同じ資格情報を使用してCoupaにサインインできます。
Coupaは一度に1つのLDAPと統合できます。複数のLDAPを使用しているお客様は、複数のLDAPの上に仮想/プロキシ層を作成する必要があります。
利点
Coupaインスタンスをディレクトリサーバーと統合すると、次のようないくつかの利点があります。
- ユーザーはCoupaの新しいパスワードを覚える必要はありません
- パスワードの変更は瞬時にCoupaに反映されます
- ディレクトリサーバーで定義されたパスワードポリシーを強制する
- ディレクトリサーバーを通じてアカウント制御を一元化
実装の詳細
- 提供された非特権アカウントとしてディレクトリサーバーにログインします。
- サインインしようとしているユーザーを検索する:
- Coupaはユーザー
sAMAccountNameから提供された認証情報と一致します - Coupaが一致す
objectClassるorganizationalPerson
- Coupaはユーザー
- Coupaは、見つかったユーザーの識別名とユーザーが提供したパスワードを使用して、ディレクトリサーバーにバインドします。
- ステップ3が正常に完了したら、ユーザーにCoupaを起動させます。
必須情報
| 情報 | 詳細 | 提供元 |
|---|---|---|
| CoupaサーバーのIPアドレス | 顧客が接続する特定のCoupa IP。IPアドレスを使用して、ファイアウォール規則をできる限り制限します。 | Coupa |
| ホスト | 接続先のサーバーIPとホスト名 | 顧客 |
| ポート | 接続先のポート。CoupaではLDAPS接続を使用しますが、これは一般的にポート636を経由します。LDAPSが正常に機能するには、TLS証明書が必要です。 | 顧客 |
| 基本 | LDAP検索用のベースDN | 顧客 |
| ドメイン | Active Directoryドメイン | 顧客 |
| ユーザー名 | ログインするユーザーのユーザー名。このユーザーには、バインドおよび検索以外の権限は付与しないでください | 顧客 |
| パスワード |
上記のユーザーのパスワード |
顧客 |
制限
Coupaの経験から、貴社にとって懸念される場合とされない場合の制限がいくつか見つかりました。
- Coupaサーバーがファイアウォールで保護されたイントラネット内にある場合、ディレクトリサーバーに接続できるようにファイアウォール規則を作成する必要がある場合があります
- 認証を実行するには、Coupaサーバーをディレクトリサーバーにバインドするために、非特権アカウントを作成する必要があります
- 認証情報はイントラネットの外部に送信されます(Coupaとのネットワーク通信はすべて高度なSSL暗号化で保護されています)
警告
Coupa R23以降では、LDAPサーバー接続の証明書検証を実施します。つまり、LDAP経由で接続するためにIPアドレスを使用することはできなくなり、有効なFQDN(つまり、myldapserver.mydomain.com)を使用する必要があります。
これは、接続先のマシンに存在する証明書がサーバーの名前と一致する必要があることを意味します。
これを社内のIT部門で検証し、質問がある場合は本番インスタンスをR23にアップグレードする前にサポートチケットを開いてください。
シングルサインオン (SSO)に関するよくある質問の記事も参照してください。
このページに表示されている一部、または全ての内容は、機械翻訳によるものです。ご了承ください。