LDAPを使用したActive Directory
Coupaは、一度に1つのLDAPと統合できます。複数のLDAPを持つお客様は、複数のLDAPの上に仮想/プロキシレイヤーを作成する必要があります。
はじめに
Coupaは、認証のために外部LDAPまたはMicrosoft ActiveDirectory Serverの使用をサポートしています。そのため、ユーザーはイントラネットアプリケーションへのアクセス権を与えるのと同じ認証情報を使用してCoupaにサインインすることができます。
Coupaは、一度に1つのLDAPと統合できます。複数のLDAPを持つお客様は、複数のLDAPの上に仮想/プロキシレイヤーを作成する必要があります。
アドバンテージ
CoupaインスタンスをDirectory Serverと統合すると、次のようないくつかの利点があります。
- ユーザーはCoupaの新しいパスワードを覚える必要がない
- パスワードの変更が瞬時にCoupaに反映される
- Directory Serverで定義されたパスワードポリシーを適用する
- ディレクトリサーバーによってアカウントが一元管理される
導入の詳細
- 提供された特権のないアカウントとしてディレクトリサーバーにログインします。
- サインインしようとしているユーザーを検索します。
- Coupaは
sAMAccountNameとユーザーが提供した認証情報を照合します - Coupa は
objectClassとorganizationPersonを一致させます
- Coupaは
- Coupaは、検索したユーザーの識別名とユーザーが提供したパスワードを使用してディレクトリサーバーにバインドします。
- ステップ3が成功した場合は、ユーザーにCoupaを許可します。
必須情報
| 情報 | 詳細 | 提供: |
|---|---|---|
| CoupaサーバーのIPアドレス | 顧客が接続する特定のCoupa IP。IPアドレスを使用して、ファイアウォールルールをできるだけ制限します。 | Coupa |
| ホスト | 接続先のサーバーIPとホスト名 | 顧客 |
| ポート | 接続するポート。Coupaは、一般的にポート636を介したLDAPS接続を使用します。LDAPSが正しく機能するには、TLS証明書が必要です。 | 顧客 |
| 基本 | LDAPを検索するためのベースDN | 顧客 |
| ドメイン | Active Directoryドメイン | 顧客 |
| ユーザー名 | ログインに使用するユーザーのユーザー名です。このユーザーには、バインドと検索以外の権限があってはなりません | 顧客 |
| パスワード |
上記ユーザーのパスワード |
顧客 |
制限事項
私たちの経験から、あなたの組織が懸念しているかもしれないいくつかの制限が明らかになりました。
- ディレクトリサーバーがファイアウォールで保護されたイントラネット内にある場合、Coupaサーバーがディレクトリサーバーに接続できるようにするには、ファイアウォールルールを作成する必要がある場合があります
- 認証を実行するには、Coupa ServerがDirectory Serverにバインドするために特権のないアカウントを作成する必要があります
- 資格情報はイントラネット外に送信されます(ただし、Coupaとのすべてのネットワーク通信は高品質のSSL暗号化で保護されています)
警告
Coupa R 23から、LDAPサーバー接続の証明書検証を強制します。これは、LDAP経由でIPアドレスを使用して接続することはできなくなりましたが、有効なFQDN ( myldapserver.mydomain.comなど)を使用する必要があることを意味します。
これはまた、接続先のマシンに存在する証明書がサーバーの名前と一致する必要があることを意味します。
本番インスタンスをR 23にアップグレードする前に、社内IT部門でこれを検証し、質問がある場合はサポートチケットを開いてください。