Zoom コミュニティが登場しました!
Zoom コミュニティでは、Zoom のすべてのお客様が集まり、質問をしたり、解決策を見つけたり、仲間とコラボレーションしたりすることができます。
コラボレーションを始めるには、Zoom アカウント情報でログインしてください。

AD Sync to Zoom フォローする

概要

AD Sync to Zoom は、お客様のシステムの Windows や Linux コンピューターにダウンロードして実行するコマンド ライン ツールであり、アクティブ ディレクトリ サーバーと Zoom アカウントの間でユーザーの同期を行います。 このツールを実行すると、AD(Active Directory)システムのユーザーに変更があった場合、Zoom アカウントでそのユーザーを追加、更新、非アクティブ化、削除できます。 たとえば、AD でユーザーのメールアドレスが変更された場合、この変更が Zoom アカウントに反映されます。

ツールはバックグラウンドで実行され、GUI やウェブ インターフェイスはありません。 このツールの設定にはプロパティ ファイルを使います。確認はログファイルで行って、変更された内容の確認やエラー修正を行います。

The AD Sync to Zoom ツールでは、次の属性のみがサポートされています。

  • メールアドレス
  • 部署

最初に AD サーバーと Zoom の間の完全同期を実行した後には、設定された間隔でツールを起動するように Windows/Linux CRON ジョブを設定するか、ツールを手動で起動します。 前回の同期以降に発生した AD の変更を対象として Zoom アカウントを更新できるため、時間が節約できます。

この記事の内容:

前提条件

  • 次の機能が有効な Zoom アカウント:
  • Active Directory Federation Services (ADFS)
  • ユーザー名とパスワードがわかっている Microsoft AD 管理者アカウント

手順

AD Sync to Zoom ツールを使用するには:

  1. Oracle JDK バージョン 8 をインストールしてから次のコマンドを実行して、java が正しくインストールされていることを確認します。
    java -version
  2.  http://cdn.zoom.us/prod/tools/zoomadsynctool.zipからzoomadsynctool.zip ファイルを取得します。
  3. ファイルを解凍します。
  4. 下記の構成を参照して、override.properties ファイルを更新します。
  5. 次のコマンドを実行して、構成をテストします。
    java -jar adtool-[version].jar test
    テストが成功した場合は、コンソールに [Success] というメッセージが表示されます。 syncresult.yyyy-mm-dd.log ファイルで [Zoom account setting is OK] や、[AD account setting is OK] のメッセージを確認することもできます。
    このコマンドを実行しても、Zoom アカウントは変更されません。
  6. 次のコマンドを実行して完全同期を開始します。
    java -jaradtool-[version].jar full
    注: このコマンドを実行すると、Active Directory に存在しないユーザーは、Zoom アカウントから削除または非アクティブ化されます。 Zoom アカウントの構成 zoom.full.delete.missing.users を参照 してください。
  7. syncresult.yyyy-mm-dd.log ファイルでジョブが正常に完了したことを確認し、Zoom アカウントに加えられた変更を確認します。 エラーが発生した場合は 、sync.yyyy-mm-dd.log ファイルでデバッグ情報を確認します。
  8. ツールが最後に実行されてから加えられた変更を同期するには、次のコマンドを定期的に実行します。
    java -jaradtool-[version].jar diff
    Task Scheduler や CRON などのタスク自動化ツールを使用して、このタスクの実行を自動化することをおすすめします。

構成

override.propertiesファイルには、ツールが Active Directory にアクセスする方法、使用される Zoom アカウント、同期動作を決定するパラメータと値が含まれています。 ファイルの以下のセクションの値を更新する必要があります。 ファイルの下部の値は更新しないでください。

Zoom アカウント設定(必ず更新します)

ファイルの [ZOOM account] セクションで次の値を更新します。

  • zoom.vanity.url: Zoom バニティ URL
  • zoom.api.key: Zoom マーケット プレイスで利用できる REST API キー
  • zoom.api.secret: Zoom マーケット プレイスで利用できる REST API シークレット 。
  • zoom.default.user.type: 新しいズームユーザーが割り当てられるデフォルトの Zoom アカウント種類。 アカウントの種類は、 1 : ベーシック、 2 : ライセンス、3 : オンプレミスです。 デフォルトは 2 です。
  • zoom.default.user.deleted: ユーザーが AD に存在しない場合に、Zoom から deleted または deactivatedするかを指定します。 デフォルトは deactivated になっています。
    注: deleted を指定した場合、AD に含まれていない Zoom ユーザーは、Zoom アカウントから削除されます。 この値は、 zoom.default.user.deleted=deactivated に設定することをおすすめします。
  • zoom.full.delete.missing.users: AD に存在しないユーザーを Zoom からを削除するかどうかを指定します。 AD に存在しないユーザーを Zoom から削除または非アクティブ化するには 、yes を指定します。 AD に存在しないユーザーを Zoom でアクティブに維持する場合は、no を指定します。 デフォルトはnoです。
    注: このオプションは、 full コマンドで実行された最初の同期に対してのみ使用されます。 Zoom の既存のユーザーが AD に存在しない場合は、この値を zoom.full.delete.missing.users=no に設定します。

AD アカウント データソース(必ず更新します)

ファイルの DataSource for LDAP セクションで、次の値を更新します。

  • ldap.urls: Active Directory サーバーの LDAP URL
  • spring.ldap.base: ユーザーを検索するためのベースフォルダの場所
  • spring.ldap.username: ツールが Active Directory にアクセスするときに使用するユーザーネーム
  • spring.ldap.password: Active Directory にアクセスするときにツールが使用するパスワード
  • spring.ldap.user.group: ユーザー グループの完全な DN この値が空欄の場合、すべてのグループのユーザーが Zoom に同期されます。 ユーザグループの DN を指定すると、指定したグループのメンバーのみが Zoom に同期されます。 グループでユーザーを指定しない場合は、空欄に設定します。 この値はデフォルトでは空欄です。
  • ldap.user.deleted.base: 削除されたアイテムを検索するベースフォルダの場所。デフォルトは、CN=Deleted Objects, DC=devdc, DC=com です。DC 値を更新して環境を反映させます。
  • ldap.test.dn: 単一の DN のテストに使用する値です。 テストユーザーの短い DN で CN=<value> を指定します。 このテストユーザーは、Active Directory に正常にアクセスできることをテストするため、Active Directory システム内の既知のユーザーである必要があります。 このユーザーは、full コマンドを実行するときに(spring.ldap.base で指定されたユーザーに加えて)追加されます。
  • ldap.query.pagesize: 一度に Active Directory から返される結果の最大数。

属性マッピング(必要に応じて更新します)

必要に応じて、ファイルの Attribute settings セクションで次の値を更新します。

  • ldap.user.guid: AD 内の一意の UUIDです。 既定値は objectGUID です
  • ldap.user.dn: AD の DN フィールド名です。 デフォルトは、distinguishedName です。
  • ldap.user.email: AD のメール フィールド名です。 デフォルトは、userPrincipalName です。
  • ldap.user.firstname: AD の名のフィールド名です。 デフォルトは、 givenName です。
  • ldap.user.lastname: AD の姓のフィールド名です。 デフォルトは sn です。
  • ldap.user.department: AD の部門のフィールド名です。 デフォルトは department です。
  • ldap.user.lastupdatedtime: AD の最後に変更された時刻のフィールド名です。 デフォルトは whenChanged です。
  • ldap.user.lastKnownParent: AD で削除された親フィールド名です。 デフォルトは lastKnownParent です。

AD の詳細設定(必要に応じて更新します)

必要に応じて、ファイルの Advanced configuration for LDAP filter セクションで、次の値を更新します。

  • ldap.user.deleted.base: AD から削除されたユーザーを取得するために使用されるフィルター文字列です。 デフォルトは、CN=Deleted Objects、DC=devdc、DC=com です。
  • ldap.user.enabled.filter: AD から有効なユーザーを取得するために使用されるフィルター文字列です。 デフォルトは、(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)) です。
  • ldap.user.disabled.filter: 無効なユーザーを AD から取得するために使用されるフィルター文字列です。 デフォルトは、(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2) です。
  • ldap.user.deleted.filter: AD から削除されたユーザーを取得するために使用されるフィルター文字列です。 デフォルトは、(objectClass=user)(isDeleted=TRUE) です。
  • ldap.user.deleted.dn.separator: 削除された DN 名から短い DN 名を取得するために使用されるセパレーターです。 デフォルトは \ です。

同期コマンド

test
次のコマンドを実行して、構成ファイルが正しく設定されて Zoom アカウントと AD アカウントにアクセスして同期が行われたかどうかをテストします。
java -jaradtool-[version].jar test
テストが成功すると、コンソールに [Success] が表示され、 syncresult.yyyy-mm-dd.log ファイルには、[Zoom account setting is OK] と [AD account setting is OK] と表示されます。

full
次のコマンドを実行して、AD のユーザーと Zoom アカウントのユーザーを比較し、Zoom に新しいユーザーを自動的に追加します。 設定に応じて、このツールを実行すると、AD に存在しないユーザーが Zoom で非アクティブ化または削除されます。 さらに、このコマンドを実行すると、AD に合わせて Zoom ユーザーの名、姓、部門が更新されます。
java -jaradtool-[version].jar full
注: diff コマンドまたは time コマンドを実行する前に、少なくとも 1 回は full コマンドを実行する必要があります。

diff
次のコマンドを実行して、ツールが最後に実行された時刻を (同期結果ログから) 確認し、その時刻以降に行われた変更を AD から Zoom 同期します。
java -jar adtool-[version].jar diff
これはデフォルトのコマンドです。

time
次のようなコマンドを実行して、AD から指定した時間以降に行われた変更を Zoom に同期します。 以下の例では 、20170427095902.0Z は 同期に使用する開始時刻を示します。 1 つのログファイルからこの文字列をコピーします。 このコマンドで使用される時刻形式は YYYYMMDDHHMMSS.0Z です。
java -jar adtool-[version].jar time 20170427095902.0Z
前の diff コマンドが正しく動作しなかった場合に、このコマンドを使用します。 実行された以前の同期コマンドの時刻と結果を調べるには、同期結果ログを参照してください。

ログ

同期されたレコードの詳細の確認や、同期エラーのデバッグにはログファイルを使用します。 ログファイルは、1 種類につき 1 日で最大 1 つまで生成されます。 同じ日に Zoom AD Sync ツールを複数回実行すると、その実行に関する情報は、その日に先に生成されているファイルに追加されます。

同期結果

 syncresult.yyyy-mm-dd.log のログ ファイルには、同期レコードの詳細が示されています。

  • test コマンドを実行した場合、AD システムと Zoom システムが正常であるかを示す情報のみがファイルに含まれ、 full コマンドを実行できる状態にあるかが示されます。 いずれかのシステムのデータへのアクセスに問題が検出された場合は、完全同期を実行する前に問題を修正できます。
  • full コマンドを実行した場合、ファイルには、 Zoom に追加されたシステム内のすべての AD ユーザーに関する情報と、AD システムで見つからなかった Zoom ユーザーに関する情報が含まれます。

diff コマンドまたは time コマンドを実行すると、 Zoom AD Sync ツールが前回または指定の時刻に実行されてから AD システムで変更されたユーザー数に関する情報がファイルに含まれます。 ログには、AD で検出された変更に基づいて Zoom で行われた変更の一覧が含まれます。

同期ログ

デバッグログは、sync.yyyy-mm-dd.log のファイルに示されます。

このファイルには、syncresult ログファイルに含まれていない追加のデバッグ メッセージが示されています。 このメッセージは、同期エラーの原因を調べる際に役立ちます。

AD Sync ツールの TLS を有効にする

ポート 636 経由で LDAPS を使用して、SSL で Active Directory サーバーに接続する場合、SSL 証明書を取得してインストールする必要があります。インストールされていない場合は、以下のエラー メッセージが表示されます。

「SSL\TLS が接続でアクティブでない場合、サーバーは整合性チェックをオンにするためにバインドを必要とします」

または

「sun.security.provider.certpath.SunCertPathBuilderException: 要求されたターゲットへの有効な証明書パスを見つけることができません」

SSL 証明書の取得とインストール

SSL 証明書をインポートし、TLS 経由で AD Sync ツールを接続するには:

  1. Windows 管理サーバー マネージャーを開きます。
  2. [ツール] で 、[証明機関] を開きます。
  3. [発行された証明書] で、インストールしたい証明書を右クリックします。
  4. [プロパティ] をクリックします。
  5. [詳細] タブをクリックします。
  6. [ファイルにコピー] をクリックし、エクスポート ファイル形式は、[Base-64 encoded x.509 (.cer)] を選択します。
  7. [次へ] をクリックして証明書をエクスポートします。
  8. エクスポートされた証明書をローカル デバイス ストレージ (D:\ca.cert など) にコピーします。
  9. コマンド コンソールを開き、次のディレクトリ変更コマンドを実行して、Java JDK bin の場所にアクセスします。
    cd C:\Program Files\Java\Jdk1.8.0_201\bin
    : このフォルダは上記と同じパスに含まれていない場合もあります。実際のフォルダパスが異なる場合はコマンドを変更する必要があります。
  10. 次のコマンドを実行して、証明書を新しい場所にコピーします。
    keytool.exe -importcert -keystore ..\jre\lib\security\cacerts -storepass changeit -file D:\ca.cer -alias myca
    : コマンドの構造は、次の内容に基づいています。
    • -keystore: 新しい証明書が保存された場所です。 変更する必要はありません。

    • -storepass: 証明書のパスワード

    • -file: エクスポートした証明書の場所

    • -alias: 新しい認証のエイリアス

  11. 完了すると、証明書がインポートされ、インストールされます。
Powered by Zendesk