MEAP認証システム設定

MEAPのログインサービスについて説明しています。



ログインサービスについて

ログインサービスとは、LBPシリーズ(以下、本体と呼びます。)を使用するユーザを認証するためのサービスです。ユーザ認証は、次の2 つの場合に行われます。

  • 本体のタッチパネルディスプレイ上にログイン画面を表示させ、ユーザ認証を行う
  • Web ブラウザから本体にアクセスしたときにログインページを表示させ、ユーザ認証を行う

工場出荷時に装備しているログインサービスには、Default Authentication(部門別ID管理)、SSO-H(Single Sign-On H)の2 種類があります。本書では、この2 種類のログインサービスについて説明します。


おことわり
  • 工場出荷時は、Default Authentication(部門別ID 管理)を使用できる状態になっています。SSO-Hを使用する場合は、MEAP アプリケーション管理機能を参照してください。


Default Authentication(部門別ID 管理)

部門別ID 管理を使用してユーザ認証を行うか、認証機能を設定しない場合に選択するログインサービスです。ユーザには、管理者ユーザ、一般ユーザの2 種類があり、本体、リモートUI、およびMEAP アプリケーションで使える機能が異なります。
管理者ユーザ、一般ユーザとなるユーザには、部門別ID 管理が[ON]なのか[OFF]な のか、システム管理者情報を設定しているかどうかによって、次の4 種類のパターンがあります。


管理者ユーザ 一般ユーザ
部門別ID 管理[ON] システム管理者情報を設定している システム管理者 部門ID /暗証番号で認証されたユーザ
システム管理者情報を設定していない 部門ID/暗証番号で認証されたユーザ なし
部門別ID 管理[OFF] システム管理者情報を設定している システム管理者 システム管理者以外のユーザ
システム管理者情報を設定していない すべてのユーザ なし

おことわり
  • 部門別ID 管理を使用するかしないかの設定、部門ID /暗証番号を登録する方法は、「セキュリティ」、「リモートUI」を参照してください。


ログイン画面について

ログインサービスにDefault Authentication を設定した場合のログイン画面は、3 種類あります。



タッチパネルディスプレイ

  • 部門別ID 管理が[ON]の場合:
  • 部門ID /暗証番号およびシステム管理部門ID /システム管理暗証番号を入力して本体にログインします。


おことわり
  • 部門別ID 管理が[OFF]の場合ログイン画面は表示されずユーザ認証は行われません。
  • 部門別ID 管理が[OFF]で本体にシステム管理者情報を設定している場合、ログイン画面は表示されませんが、操作中にシステム管理者情報の入力を求められる場合があります。


Web ブラウザ

  • 部門別ID 管理が[ON]の場合:
  • 部門ID /暗証番号およびシステム管理部門ID /システム管理暗証番号を入力して、リモートUI、MEAPアプリケーション(ログインアプリケーションを含みます)にログインします。


  • 部門別ID 管理が[OFF]、本体にシステム管理者情報を設定している場合:
  • システム管理部門ID /システム管理暗証番号を入力して、[管理者ログイン]をクリックすると、リモートUI、MEAPアプリケーション(ログインアプリケーションを含みます)にログインします。
    一般ユーザは、[一般ユーザログイン]をクリックしてログインします。


おことわり
  • MEAP アプリケーションによっては、一般ユーザではログインできない場合があります。
  • 一般ユーザでログインする場合、部門ID /暗証番号の入力は必要ありません。
  • 部門別ID 管理が[OFF]、本体にシステム管理者情報を設定していない場合、ログイン画面は表示されずユーザ認証は行われません。


SSO-H(Single Sign-On H)

Active Directory 環境ネットワークのドメイン上および本体で運用できるログインサービスです。ユーザ情報の登録/編集、管理者ユーザ、一般ユーザの設定は、以下の場所から行います。

  • ドメイン認証ではActive Directoryで行います。
  • ローカルデバイス認証ではWebブラウザから本体にアクセスして、本体内のメモリで行います。

SSO-H には次のような機能があります。

  • 一度のユーザ認証で、本体の機能やMEAP アプリケーションなどを使用できるようにする
  • ドメインコントローラと連携した認証方式と、本体だけで認証できネットワークのトラブル時にも対応可能なユーザ認証方式の2つの認証方式をもち、それぞれの単独使用または併用を選択できる


ユーザ認証方式について

SSO-H には、以下の3 つのユーザ認証方式があります。


おことわり
  • 出荷時の設定は「ドメイン認証+ローカルデバイス認証」です。セキュリティを高めるために、SSO-H を使用し始めたらすぐに、ユーザ認証方式を「ドメイン認証」に設定するか、ローカルデバイス認証の管理者のユーザ名、パスワードを工場出荷時のものから変更してください。

Active Directory 環境のネットワーク上のドメインコントローラと連携し、本体にログインすると同時に、ネットワーク上のドメインへの認証も行うユーザ認証方式です。本体が含まれるドメインの所属ユーザに加え、そのドメインと信頼関係にある200 個までのドメインの所属ユーザを認証できます。ログイン先のドメイン名は、ユーザ自身がログイン時に選択します。


本体単体で使用するユーザ認証方式です。認証するユーザを本体の中にもつデータベースで登録/管理します。ログイン先は[このデバイス]です。


「ドメイン認証」と「ローカルデバイス認証」の両方の機能を備えたユーザ認証方式です。主にドメイン認証で、Active Directory で登録/管理されたユーザの認証を行い、ローカルデバイス認証でActive Directoryに追加できないような一時的なユーザの認証を行いたいときに便利です。

下の例では、本体が含まれるDomain A の所属ユーザおよびDomain A と直接双方向に信頼関係のあるDomain B の所属ユーザを認証できるほか、本体自身に登録されているユーザを認証できます。ログイン先( ドメイン名または[このデバイス]) は、ユーザ自身がログイン時に選択します。


おことわり
  • ドメイン認証を使用する際に、ネットワーク障害などにより、サーバにアクセスできない場合は、本体を起動してからタッチパネルディスプレイにログイン画面の表示が出るまでの時間が、最大で5分かかります。
  • ローカルデバイス認証と部門別ID管理とを連動して部門IDごとのプリント面数を管理したい場合は、部門別ID 管理を「ON」にしてください。ローカルデバイス認証と部門別ID 管理を同時に使うためには、ローカルデバイス認証で登録している情報と部門別ID 管理のユーザ情報(部門ID と暗証番号)を一致させる必要があります。
  • ドメイン認証またはドメイン認証+ローカルデバイス認証では、オプションのコントロールカード用カードリーダは使用できません。


ログイン画面について

ログインサービスにSSO-Hを設定した場合のログイン画面は、2 種類あります。



タッチパネルディスプレイ

ログイン先を選択し、ユーザ名、パスワードを入力して本体にログインします。

ログイン先は、ログイン先ドロップダウンリストを押してから選択します。


おことわり
  • ユーザ認証方式に「ローカルデバイス認証」を設定している場合、ログイン先ドロップダウンリストは表示されません。
  • ログイン先ドロップダウンリストにはユーザ認証可能なドメインのドメイン名が表示されます。
  • 工場出荷時にはアルファベットの昇順で表示されています。
  • ログイン先ドロップダウンリストはドメイン名の表示に関係なく、本体の所属するドメインのドメイン名がリストの先頭に、[このデバイス]がリストの最後に表示されます。
  • ログイン先ドロップダウンリストの表示数が7 項目以上の場合、[アルファベット順][][]がログイン先ドロップダウンリストに表示されます。
  • アルファベット順]を押すと、ログイン先の表示順がアルファベットの昇順からアルファベットの降順に変更され、ボタンが[ アルファベット順]に変わります。
  • アルファベット順]を押すと、ログイン先の表示順がアルファベットの降順からアルファベットの昇順に変更され、ボタンが[ アルファベット順]に変わります。
  • ]を押すとリストが下方にスクロールされます。
  • ]を押すとリストが上方にスクロールされます。


Web ブラウザ

ログイン先を選択し、ユーザ名、パスワードを入力して、リモートUI、MEAP アプリケーション(ログインアプリケーションを含みます)にログインします。

ログイン先は、ログイン先ドロップダウンリストを押してから選択します。


おことわり
  • ログイン先ドロップダウンリストにはユーザ認証可能なドメインのドメイン名がアルファベットの昇順で表示されます。ただしドメイン名の表示に関係なく、本体の所属するドメインのドメイン名はリストの先頭に、[このデバイス]はリストの最後に表示されます。


必要なシステム環境

SSO-H は、「ドメイン認証」、「ローカルデバイス認証」で説明しているシステム環境での動作を保証しています。



ドメイン認証

SSO-Hでドメイン認証を利用する場合は、Active DirectoryをインストールしたWindowsサーバおよび名前解決のためのDNSサーバが必要です。


  • Active Directory をインストールするWindows サーバ(ドメインコントローラ)
  • ソフトウェア
  • OS:
    Microsoft Windows 2000 Server SP4 日本語版
    Microsoft Windows Server 2003 SP1 日本語版
    Microsoft Windows Server 2003 R2 日本語版

  • 管理者ユーザおよび一般ユーザのシステム環境
OS 対応ブラウザ 対応するJava Runtime Environment
Windows 2000 Professional 日本語版 Microsoft Internet Explorer 6 SP1
  • Microsoft Internet Explorer 6:
    Sun Java Runtime Environment 1.3以降
  • Microsoft Internet Explorer 7:
    Sun Java Runtime Environment 1.3以降
Windows XP Professional 日本語版 Microsoft Internet Explorer 6 SP1、
Microsoft Internet Explorer 6 SP2、
Microsoft Internet Explorer 7
Windows Server 2003 日本語版
Windows Server 2003 R2 日本語版
Microsoft Internet Explorer 6 SP1、
Microsoft Internet Explorer 6 SP2、
Microsoft Internet Explorer 7
Windows Vista 日本語版 Microsoft Internet Explorer 7
Mac OS X v10.3 Safari 1.3.2 Sun Java Runtime Environment 5.0
Mac OS X v10.4 Safari 2.0.4

  • 管理者および一般ユーザのシステム環境(IPv6 通信を使用の場合)
OS 対応ブラウザ 対応するJava Runtime Environment
Windows XP Professional 日本語版 Microsoft Internet Explorer 6 SP2、
Microsoft Internet Explorer 7
  • Microsoft Internet Explorer 6:
    Sun Java Runtime Environment 1.3以降
  • Microsoft Internet Explorer 7:
    Sun Java Runtime Environment 1.3以降
Windows Server 2003 日本語版
Windows Server 2003 R2 日本語版
Microsoft Internet Explorer 6 SP2、
Microsoft Internet Explorer 7
Windows Vista 日本語版 Microsoft Internet Explorer 7

  • その他
  • Windows 2000/2003 Domain Name System(DNS) へのアクセス権
  • ドメインコントローラへのアクセス権

おことわり
  • Windows 2000 Professional 日本語版(Service Pack 4 以降)、Windows XP Professional 日本語版(Service Pack 1a 以降)、Windows Server 2003 日本語版、Windows Server 2003 R2 日本語版をクライアントコンピュータとして使用するときは、別途Java Runtime Environment をインストールする必要があります。Java Runtime Environment の入手方法については、Sun Microsystems のホームページを参照してください。
  • クライアントコンピュータからIPv6 通信でアクセスする場合は、JAVA 2 Runtime Environment Standard Edition 1.5 以上が必要です。
  • ドメイン認証を使用する場合のユーザ名は、Active Directory に登録した「ユーザーログオン名(Windows 2000 以前)」の内容を使用します。
  • ドメイン認証を使用する場合のユーザ名は、半角英数字および.(ピリオド)、-(ハイフン)、_(アンダーバー)、%(パーセント)のみで設定してください。使用できない文字を設定すると、ログインできません。
  • ドメイン認証を使用する場合、Active Directory が載っているサーバと本体(およびログインするパソコン)の時刻の設定をあわせておく必要があります。時刻の設定が30 分以上ずれていると、ドメイン認証でのログイン時にエラーが発生します。
  • ドメイン認証を使用する場合は、ドメイン認証の管理者の登録を行ってください。管理者の登録をしないと、アプリケーションによって設定や管理ができなくなることがあります。管理者の登録方法は、ご利用の環境によって異なります。
  • imageWARE Accounting Manager を使用しているときは、imageWARE Accounting Manager に管理者として登録されているユーザがドメイン認証でも管理者として認証されます。管理者の登録方法は、imageWARE Accounting Manager の取扱説明書を参照してください。
  • imageWARE Accounting Manager を使用していないときは、Active Directory 上の「Canon Peripheral Admins」というグループに属するユーザがドメイン認証で管理者として認証されます。Active Directory の取扱説明書にしたがって、「Canon Peripheral Admins」というグループを作成し、管理者の登録を行ってください。

  • サーバ使用ポート

SSO-H でドメイン認証を使用する場合、以下のサーバのポートを使用します。

ポート番号 用途
53 DNS サーバとの通信
88 KDC(Key Distribution Center) とのドメイン認証
389 ディレクトリサービスとのLDAP を使用した通信(初期値は389、LDAP サービス側で任意ポートに変更可)


ローカルデバイス認証

ローカルデバイス認証を使用する場合には、Active Directory 環境のネットワークは必要ありません。


おことわり
  • ユーザ名、パスワードは本体内のデータベースに登録されます。
  • ユーザ名は半角英数字のみ使用できます。
  • パスワードは半角英数字・英記号のみ使用できます。

  • 管理者ユーザおよび一般ユーザのシステム環境
OS 対応ブラウザ 対応するJava Runtime Environment
Windows 2000 Professional 日本語版 Microsoft Internet Explorer 6 SP1
  • Microsoft Internet Explorer 6:
    Sun Java Runtime Environment 1.3以降
  • Microsoft Internet Explorer 7:
    Sun Java Runtime Environment 1.3以降
Windows XP Professional 日本語版 Microsoft Internet Explorer 6 SP1、
Microsoft Internet Explorer 6 SP2、
Microsoft Internet Explorer 7
Windows Server 2003 日本語版
Windows Server 2003 R2 日本語版
Microsoft Internet Explorer 6 SP1、
Microsoft Internet Explorer 6 SP2、
Microsoft Internet Explorer 7
Windows Vista 日本語版 Microsoft Internet Explorer 7
Mac OS X v10.3 Safari 1.3.2 Sun Java Runtime Environment 5.0
Mac OS X v10.4 Safari 2.0.4

  • 管理者および一般ユーザのシステム環境(IPv6 通信を使用の場合)
OS 対応ブラウザ 対応するJava Runtime Environment
Windows XP Professional 日本語版 Microsoft Internet Explorer 6 SP2、
Microsoft Internet Explorer 7
  • Microsoft Internet Explorer 6:
    Sun Java Runtime Environment 1.3以降
  • Microsoft Internet Explorer 7:
    Sun Java Runtime Environment 1.3以降
Windows Server 2003 日本語版
Windows Server 2003 R2 日本語版
Microsoft Internet Explorer 6 SP2、
Microsoft Internet Explorer 7
Windows Vista 日本語版 Microsoft Internet Explorer 7

おことわり
  • Windows 2000 Professional 日本語版(Service Pack 4 以降)、Windows XP Professional 日本語版(Service Pack 1a 以降)、Windows Server 2003 日本語版、Windows Server 2003 R2 日本語版をクライアントコンピュータとして使用するときは、別途Java Runtime Environment をインストールする必要があります。Java Runtime Environment の入手方法については、Sun Microsystems のホームページを参照してください。
  • クライアントコンピュータからIPv6 通信でアクセスする場合は、JAVA 2 Runtime Environment Standard Edition 1.5 以上が必要です。


SSO-H の管理用アプリケーションにログインする前に(準備)

SSO-H の管理用アプリケーションにログインする前に、本体を起動して事前に設定しておくことがあります。



ネットワーク設定

システム管理設定(ユーザモードまたは初期設定/登録)の「ネットワーク設定」の項目を設定します。また本体のIP アドレスを確認してください。詳しくは、「ネットワーク」を参照してください。



Web ブラウザから本体にアクセスできるようにする

システム管理設定にある「MEAP 設定」の[HTTP を使用]を「ON」にしておきます。「ON」にしないとWeb ブラウザから本体にアクセスすることができません。

Web ブラウザからMEAP の機能を使用するための設定は、本体のタッチパネルディスプレイから行います。


おことわり
  • プロキシサーバ経由で接続することはできません。プロキシサーバをお使いの環境では、以下のような設定を行ってください。(設定はネットワーク環境によって異なりますので、ネットワーク管理者に相談してください。)
  • Web ブラウザのプロキシサーバの設定で、[例外](プロキシを使用しないアドレス)に本体のIP アドレスを追加します。
  • Web ブラウザで、クッキー(Cookie)、JavaScript、JavaApplet が利用できるように設定していない場合は、この機能を使用することはできません。
  • Web ブラウザから文字を入力するときは、本体のタッチパネルディスプレイから入力できる文字を使用してください。それ以外の文字を使用すると、本体で正常に表示/認識されないことがあります。
  • 工場出荷時は、「ON」に設定されています。

  1. (初期設定/登録)→ [システム管理設定]→ []を押します。

システム管理部門ID とシステム管理暗証番号が設定されている場合は、[システム管理設定]を押したあとにシステム管理部門ID と暗証番号を入力して(認証)を押します。

  1. [MEAP 設定]→ [HTTP を使用]を押します。

  1. [ON]を押します。

< SSL を使用>が表示されていない機種の場合は、手順6 に進みます。

  • < SSL を使用>が表示されていない機種の場合は、Web ブラウザからのドメイン認証はできません。
  1. < SSL を使用>の[ON]または[OFF]を押します。

[ON] SSL のセキュア通信を使用します。

[OFF]SSL のセキュア通信を使用しません。

  • Web ブラウザからのドメイン認証を使用する場合には、< SSL を使用>を[ON]にしてください。
  • [MEAP 設定]→[HTTP を使用]の< SSL を使用>のON/OFF の設定は、[システム管理設定]にある[リモートUI のON/OFF]の< SSL を使用>のON/OFF の設定と連動します。
  • <SSL を使用>をON に設定するには、本体の[TCP/IP設定]にある[証明書設定]でSSL 暗号化通信に必要な鍵ペアとサーバ証明書を設定する必要があります。SSL の鍵生成については、「ネットワーク」を参照してください。
  1. [OK]を押します。

指定したモードが設定されます。

  1. 基本画面に戻るまで[閉じる]を押していきます。
  1. 本体の主電源を切り、10 秒後に電源を入れなおします。
  • [HTTP を使用]のON/OFF の設定は、本体の主電源スイッチを入れなおしたあとに有効になります。電源の入れかた/切りかたは、「お使いになる前に」を参照してください。


日付と時刻の設定

SSO-H では、認証サーバと本体の日付/時刻を合わせる必要があります。本体の「日付/時刻設定」で本体の日付/時刻を認証サーバと同じ日付/時刻に設定してください。詳しくは、「セキュリティ」を参照してください。

サマータイムを設定すると、開始日から終了日までの一定期間、本体の基準時刻を自動的に 1 時間進めることができます。


おことわり
  • 時刻の設定がずれていると、ドメイン認証でのログインでエラーが発生します。
  • 初期設定では、時刻の差の許容範囲は5 分以内に設定されています。
  • Active Directory の設定で許容範囲を変更できますが、5 分を超える範囲に設定した場合、 許容範囲は変更されません。


DNS 設定

本体でDNS サーバを使用するように、システム管理設定(初期設定/登録)の「ネットワーク設定」の項目を設定します。詳しくは、「ネットワーク」を参照してください。

本体に設定されているドメイン名を管理するDNS サーバには、以下の設定が必要です。

  • 認証先のActive Directory のDNS ドメイン名の名前解決が行える(ドメインコントローラのIP アドレスを取得できる)
  • DNS がSRV レコードをサポートしている

また使用する機能によっては、さらに以下の設定が必要です。

  • Active Directory 側でLDAP ポートのポート番号を変更している場合
  • Active Directory のLDAP サービスの情報がSRV レコードとして以下のように登録されている
  • サービス:

「_ldap」

  • プロトコル:

「_tcp」

  • ポート番号:

ActiveDirectory ドメイン(ゾーン)のLDAPサービスが実際に使用しているポート番号

  • このサービスを提供しているホスト:

ActiveDirectory ドメイン(ゾーン)のLDAPサービスを実際に提供しているドメインコントローラのホスト名



部門認証の設定

SSO-H を使用する前に、本体の部門別ID 管理をOFF にしておく必要があります。部門別ID 管理をOFF にする方法については、「部門別ID管理を設定する(部門別ID 管理)」を参照してください。


おことわり
  • 部門別ID 管理がON になっている場合は、ログイン画面表示時に警告メッセージが表示 されます。


言語設定

Active Directoryと本体の言語設定を確認します。



管理用アプリケーションへのログイン

SSO-H のローカルデバイス認証でのユーザ管理とSSO-H の各種設定を行うためには、管理用アプリケーションにログインする必要があります。


おことわり
  • ログインサービスとして、SSO-H を設定しておく必要があります。(設定するときは、MEAPアプリケーション管理機能を参照してください。)ログインできるのは、SSO-H の管理者として登録されたユーザのみです。
  • SSO-H のローカルデバイス認証でのユーザ情報の登録/編集を使用するときには、セキュリティを高めるため、使用を始めてすぐにローカルデバイス認証の管理者ユーザの情報を編集してください。(→ ローカルデバイス認証のユーザ情報を登録/編集する
  • Web ブラウザの[戻る]は使用しないでください。[戻る]を使用してページ間を移動すると、正しく移動しないことがあります。
  • PortalService をインストールしたときは、MEAP Portal ページからアクセスすることができます。
  • 工場出荷時のユーザ認証方式は「ドメイン認証+ローカルデバイス認証」に設定されています。ユーザ認証方式の設定については、「ユーザ認証方式を設定する」を参照してください。
  • 工場出荷時は、ローカルデバイス認証の管理者のユーザ名が「Administrator」、パスワードが「password」になっています。(大文字と小文字の区別をします。)


ログインするには

  1. Web ブラウザを起動します。
  1. アドレス入力欄に以下のURL を入力します。(大文字と小文字の区別をしま す。)

http://<本体のIP アドレスまたはホスト名>:8000/sso/

[ログイン]ページが表示されます。

  • 本体のネットワーク設定で[TCP/IP 設定]→[HTTP を使用]をOFF にしている場合は、「http://<本体のIP アドレスまたはホスト名>/sso/」と入力します。
  1. 各項目を入力/選択し、[ログイン]をクリックします。

SSO-H の管理用アプリケーションにログインします。


  • [ログイン先]に[このデバイス]を選択し、[ユーザ名]、[パスワード]にはローカルデバイス認証の管理者ユーザのユーザ名、パスワードを入力します。

  • [ログイン先]にドメイン名を選択し、[ユーザ名]、[パスワード]には選択したドメイン上の認証サーバで認証できるドメイン認証の管理者ユーザのユーザ名、パスワードを入力します。
  1. 操作を終了するときは、[ログアウト]をクリックします。



MEAP Portal からのログイン

おことわり
  • MEAP Portal は、本体にインストールされているサーブレットタイプのMEAP アプリケーションが一覧表示されるWeb ページです。各MEAP アプリケーションのURL を入力しなくても、表示されているMEAP アプリケーション名をクリックするだけで、それぞれのWeb ページに移動することができます。
  • MEAP Portal を利用するには、MEAP Administration Software CD-ROM 内のPortalService のインストールが必要です。

  1. Web ブラウザを起動します。
  1. アドレス入力欄に以下のURL を入力します。

http://<本体のIP アドレスまたはホスト名>/

[ログイン]ページが表示されます。

  • http://<本体のIP アドレスまたはホスト名>:8000/ と入力した場合は、手順4なし(リモートUI の画面を表示させることなし) で[MEAP Portal]ページを表示させることができます。
  • 本体のネットワーク設定で[TCP/IP 設定]→[HTTP を使用]をOFF にし、本体の電源をいったん切って、再度電源を入れた場合には、手順4 なし(リモートUI の画面を表示させることなし)で[MEAP Portal]ページを表示させることができます。
  1. 各項目を入力/選択し、[ログイン]をクリックします。

リモートUI にログインします。


  • [ログイン先]に[このデバイス]を選択し、[ユーザ名]、[パスワード]にはローカルデバイス認証の管理者ユーザのユーザ名、パスワードを入力します。

  • [ログイン先]にドメイン名を選択し、[ユーザ名]、[パスワード]には選択したドメイン上の認証サーバで認証できるドメイン認証の管理者ユーザのユーザ名、パスワードを入力します。
  1. リモートUI のトップページから[MEAP Portal へのリンク]をクリックします。

[MEAP Portal]ページが表示されます。

  • [MEAP Portal へのリンク]はSSL を使用しているかどうかで次の2 種類になります。
  • SSL を使用している場合: https://<マシンのIP アドレス>:8443
  • SSL を使用していない場合:http://<マシンのIP アドレス>:8000
  1. [管理用アプリケーション]をクリックします。

[管理用アプリケーション]ページが表示されます。

  1. [Single Sign-On H]をクリックします。

SSO-H の管理用アプリケーションにログインします。

  1. 操作を終了するときは、[ログアウト]をクリックします。



SSO-Hの各種設定をする

SSO-Hを使用するために必要な各種設定を行います。



ユーザ認証方式を設定する

SSO-H の3 つのユーザ認証方式のいずれかを使用するかを設定できます。


おことわり
  • ユーザ認証方式は、ローカルデバイス認証の管理者だけでなくドメイン認証の管理者も設定できます。
  • 工場出荷時には、「ドメイン認証+ ローカルデバイス認証」に設定されています。セキュリティを高めるために、SSO-H を使用し始めたらすぐに、ユーザ認証方式を「ドメイン認証」に設定するか、ローカルデバイス認証の管理者のユーザ名、パスワードを工場出荷時のものから変更してください。

  1. ログインしたあと、[設定]をクリックします。

[設定]ページが表示されます。

  • [ユーザ管理]ページから、[設定]ページに移動するときは、[Single Sign-On H]をクリックします。
  1. [ユーザ認証方式]ドロップダウンリストから使用するユーザ認証方式を選択し、[OK]をクリックします。

[ユーザ認証方式]
・ドメイン認証 ドメイン認証だけを使用します。
・ドメイン認証+ローカルデバイス認証 ドメイン認証とローカルデバイス認証を使用します。
・ローカルデバイス認証 ローカルデバイス認証だけを使用します。
  • ユーザ認証方式の設定は、本体の再起動後に有効になります。設定を変更したあと、一度本体の主電源を切り、10 秒後に電源をいれなおしてください。電源の入れかた/切りかたは、「お使いになる前に」を参照してください。
  • ドメイン認証できるActive Directory 環境のネットワークが構築されていない場合に、「ドメイン認証」を選択しないでください。ログインできなくなります。ログインできなくなった場合は、SSO-H 以外のログインサービスに設定しなおしたうえで、SSO-H をアンインストールおよび再インストールしてください。SSO-H ログインサービスの再インストールは、MEAP Administration Software CD-ROM のファイルを使用して行うことができます。ログインサービスの設定、SSO-H のアンインストール、再インストールの方法については、「MEAP アプリケーション管理機能」を参照してください。


ドメイン管理者を登録するユーザグループを指定する

デバイス管理者のユーザグループとして、あらかじめ「Canon Peripheral Admins」が設定されています。管理者のユーザ名を変更する場合に必要な設定になります。


おことわり
  • 「Canon Peripheral Admins」はプライマリグループに設定しないでください。

  1. ログインしたあと、[設定]をクリックします。

[設定]ページが表示されます。

  • [ユーザ管理]ページから、[設定]ページに移動するときは、[Single Sign-On H]をクリックします。
  1. [デバイス管理者を登録するユーザグループを指定する]にチェックを入れたあと、[ユーザグループ名]にグループ名称を入力します。

  1. [OK]を押します。


ログイン時に表示可能なユーザ数を設定する

SSO-H でログインするときに、タッチパネルディスプレイに表示するユーザのログイン履歴の数(ログインユーザの表示数)を設定できます。


おことわり
  • ログインユーザの表示数は、ローカルデバイス認証の管理者だけでなくドメイン認証の管理者も設定できます。
  • 工場出荷時には、次のように設定されています。
    ログインユーザの表示数:サーバの設定を優先する

  1. ログインしたあと、[設定]をクリックします。

[設定]ページが表示されます。

  • [ユーザ管理]ページから、[設定]ページに移動するときは、[Single Sign-On H]をクリックします。
  1. [ログインユーザの表示数]を設定し、[OK]をクリックします。

[ログインユーザの表示数]

・本体のタッチパネルディスプレイからログインするときに[]が表示されません。設定した場合のログイン画面の表示は以下のようになります。
・本体のタッチパネルディスプレイからログインするときは、プルダウンリストに直前にログインしたユーザ情報が表示されます。設定した場合のログイン画面の表示は以下のようになります。
・MAX(デバイスの最大数) 本体のタッチパネルディスプレイからログインするときは、プルダウンリストにデバイスの最大数のユーザ情報が表示されます。設定した場合のログイン画面の表示は以下のようになります。
  • ログインユーザの表示数は、設定を変更し、再ログインし、ログアウトしたあと有効になります。


サイト内アクセスモードを設定する

ドメイン内で複数のサイトを構築して運用している場合には、Active Directory のサイト情報を取得して、本体が所属するサイト内のドメインコントローラに優先的にアクセスするように設定することができます。サイト内アクセスモードを設定した場合、さらに次の2つの設定を選択することができます。

  • 本体が所属するサイト内のドメインコントローラにのみアクセスする
  • 本体が所属するサイト外のドメインコントローラにもアクセスできるが、本体が所属するサイト内のドメインコントローラに優先的にアクセスする

おことわり
  • IPv6 設定が有効になっている本体でも、サイト内アクセスモードを使用するときはIPv4通信を使用します。
  • IPv6 アドレスを持つドメインコントローラに対しても、IPv4アドレスを登録している場合は、デュアルスタック構成として持っているIPv4 アドレスでアクセスが行われます。
  • 工場出荷時は、サイト内アクセスモードの設定は行っていません。

  1. ログインしたあと、[設定]をクリックします。

[設定]ページが表示されます。

  • [ユーザ管理]ページから、[設定]ページに移動するときは、[Single Sign-On H]をクリックします。
  1. [サイト内アクセスモード]を設定し、[OK]を押します。

[サイト内アクセスモード]の設定を行う場合: Active Directory のサイト情報を取得して、本体が所属するサイト内のドメインコントローラにアクセスするように設定します。本体が所属するサイト内にドメインコントローラが複数ある場合は、DNS から取得したドメインコントローラの一覧のリスト順にアクセスします。
[サイト内アクセスモード]の設定を行わない場合: Active Directory のサイト情報を取得しません。DNS から取得したドメインコントローラの一覧のリスト順にアクセスします。
  • [サイト内アクセスモード]の設定を行う場合
  • [サイト情報の取得]を設定します。
[初回取得時のみ]: 本体の設置後に初めてログインするときに取得したサイト情報の履歴を使用します。
[デバイス起動ごと]: 本体を起動するごとにサイト情報の履歴を更新します。
  • [サイトのアクセス範囲]を設定します。
[デバイスが所属するサイトのみ]: 本体が所属するサイトにあるドメインコントローラのみにアクセスをします。本体が所属するサイトにドメインコントローラが存在しない場合、エラーが発生します。
[デバイスが所属するサイト以外へもアクセス]: 本体が所属するサイトにドメインコントローラが存在しない場合は、サイト外のドメインコントローラにもアクセスします。サイト外にもドメインコントローラが存在しない場合、エラーが発生します。
  • [サイト内アクセスモード]の設定を行っている場合でも、Web ブラウザからのログインではサイト情報の取得を行いません。
  • [デバイスが所属するサイトのみ]が設定されているときでも、本体の起動時にドメインコントローラにアクセスを行う場合は本体が所属するサイト以外へもアクセスが行われる場合があります。ただし、サイト内のドメインコントローラに対してのアクセスが優先されます。


ローカルデバイス認証のユーザ情報を登録/編集する

ローカルデバイス認証で認証するユーザ情報をWeb ブラウザから登録/編集します。また、ユーザ情報を一括してインポート/エクスポートすることもできます。


おことわり
  • SSO-H で[ユーザ管理]ページでユーザ情報を登録/編集できるのは、ローカルデバイス認証の管理者ユーザのみです。一般ユーザは、自分自身のパスワードのみ変更できます。
  • [ユーザ管理]ページの[ユーザ名]、[表示名]、[電子メールアドレス]をクリックすると登録されているユーザの表示順を並べ替えることができます。
  • [MEAP Portal]は、PortalService をインストールした場合にのみ表示されます。


ユーザ情報の登録

認証するユーザを新たに登録します。


おことわり
  • 登録できるユーザ数は最大1000 件までです。
  • 登録されている管理者ユーザには、[ユーザ管理]ページでチェックボックスの左側に* が表示されます。

  1. ログインしたあと、[ユーザ管理]をクリックします。

[ユーザ管理]ページが表示されます。

  1. [登録]をクリックします。

新規作成ページが表示されます。

  1. 必要な項目を入力し、[OK]をクリックします。

入力する項目の内容、設定条件などは以下のとおりです。

項目 設定内容 設定条件 工場出荷時の
初期値
ユーザ名 ローカルデバイス認証でログインするときのユーザ名を設定します
  • 1 ~半角32 文字(全角16 文字)までの任意の文字列(ただし、半角スペース、以下の半角記号(¥ / : * ? l <> [ ] ;, = + @ ")は使用できません)
  • 大文字、小文字を区別します
  • すでに登録しているユーザ名は登録できません
Administrator
パスワード ローカルデバイス認証でログインするときのパスワードを設定します
  • 空白または半角32 文字(全角16 文字)までの任意の文字列
  • 大文字、小文字を区別します
password
確認入力 [パスワード]で入力したパスワードと同じパスワードを入力します
  • 空白または半角32 文字(全角16 文字)までの任意の文字列
  • 大文字、小文字を区別します
password
部門ID 登録するユーザが本体でプリントなどを行うときに使用する部門IDを設定します
  • 1 ~ 7 桁までの半角数字(本体が部門別ID 管理をOFFに設定している場合は省略することもできます)
  • 入力時の数字が桁数不足の場合は先頭に0 が埋められます
0000000
パスワード 設定した部門IDに対応する暗証番号を設定します
  • 空白または7 桁までの半角数字(本体が部門別ID 管理をOFFに設定している場合は省略することもできます)
  • 入力時の数字が桁数不足の場合は先頭に0 が埋められます
0000000
確認入力 [パスワード]で入力した暗証番号と同じ暗証番号を入力します
  • 空白または7 桁までの半角数字(本体が部門別ID 管理をOFFに設定している場合は省略することもできます)
  • 入力時の数字が桁数不足の場合は先頭に0 が埋められます
0000000
ユーザタイプ 管理者か一般ユーザかを選択します すべてのユーザを一般ユーザに設定にすることはできません 管理者ユーザ
表示名 ユーザの表示名(ユーザの漢字・かな名称、所属部署など)を設定します 空白または半角32 文字(全角16 文字)までの任意の文字列 Administrator
よみ 表示名の読みがなを設定します 空白または半角32 文字(全角16文字)までの任意の文字列 空白
電子メール
アドレス
ユーザのメールアドレスを設定します
  • 空白または256 文字までの半角英数字・英記号
  • 電子メールアドレスのフォーマットチェックは行いません
空白
カードID* コントロールカード用カードリーダを設置した場合、カードIDを入力します。
  • 空白または8文字までの半角英数字
  • 「0」や「00」などの0の連数字のみを入力することはできません。
空白
* コントロールカード用カードリーダが有効の場合のみ表示されます。

新規のユーザ情報が登録されます。

 
  • [ユーザタイプ]で[管理者]を選択すると、そのユーザ名とパスワードでローカルデバイス認証のユーザ登録/編集画面にログインすることができるようになります。
 
  • 部門別ID 管理が[ON]の場合、登録する部門ID と暗証番号は、本体に登録されているものを使用してください。機器情報配信などによって、登録されている部門ID /暗証番号が変わった場合は、ローカルデバイス認証のユーザ情報もあわせて変更してください。
 
  • 部門別ID管理を設定する場合、前もってローカルデバイス認証の管理者ユーザの情報として、[部門ID]と[パスワード]を登録しておく必要があります。
 
  • 電子メールアドレスは必ず入力してください。ローカルデバイス認証使用時に電子メールアドレスを空欄にしておくと電子メールの送信機能が使えません。
  • [表示名]に半角英数字以外で入力を行った場合は、本体の表示言語を日本語にしておく必要があります。本体の表示言語が日本語以外になっている場合、電子メールの受信側で送信元の欄に登録した表示名が表示されません。
  • ローカルデバイス認証を設定している場合、電子メール受信側の送信元(from)の欄には、ログインしたユーザの表示名と電子メールアドレスが表示されます。ただし、194文字を超える電子メールアドレスを入力した場合、194 文字以降のアドレスは表示されません。
 
  • 複数ユーザが同じ部門ID を使用することもできます。
 
  • 管理者ユーザを複数登録することもできます。
 
  • [パスワード]と[確認入力]には同じ文字列を入力してください。[パスワード]と[確認入力]の内容が異なる場合は、再入力を促すメッセージが表示されます。


ユーザ情報の編集

登録されているユーザの情報を変更します。編集したユーザ情報は、バックアップのためエクスポートしておくことをおすすめします。(→ ユーザ情報のエクスポート


おことわり
  • ユーザ名は変更できません。
  • [ユーザタイプ]で[管理者]に設定されたユーザのみ、ユーザ情報を編集することができます。
  • ログイン中のユーザ情報を編集した場合、変更内容はログアウトしたあとに反映されます。
  • ユーザ名を変更する場合は、一度ユーザ情報を削除し、新規にユーザ情報を登録しなおす必要があります。

  1. ログインしたあと、[ユーザ管理]をクリックします。

[ユーザ管理]ページが表示されます。

  1. 編集するユーザ情報の先頭にチェックマークを付けたあと、[編集]をクリックします。

  1. 各項目を編集したあと、[OK]をクリックします。



ユーザ情報の削除

登録されているユーザの情報を削除します。


おことわり
  • 管理者としてログインしているユーザ情報を削除することはできません。

  1. ログインしたあと、[ユーザ管理]をクリックします。

[ユーザ管理]ページが表示されます。

  1. 削除するユーザ情報の先頭にチェックマークを付けたあと、[削除]をクリックします。

ユーザ情報が削除されます。

  • [全選択]にチェックマークを付けると、登録されているすべてのユーザを選択することができます。


ユーザ情報のインポート

他の本体などに登録されているユーザ情報をファイルから読み込んで登録することができます。

インポートするファイル形式に関しては、「ローカルデバイス認証のユーザ情報ファイルのファイル形式」を参照してください。


おことわり
  • インポートするユーザは、一般ユーザとして登録/上書きされます。

  1. ログインしたあと、[ユーザ管理]をクリックします。

[ユーザ管理]ページが表示されます。

  1. [インポート]をクリックします。

  1. [参照]をクリックし、インポートするファイルを指定します。

  • ファイルのパスを直接入力して指定することもできます。
  1. 各項目を設定し、[開始]をクリックします。

[ファイル形式] インポートするファイルの形式を選択します。
・SDL フォーマット SSO-H のローカルデバイス認証で使用できるファイル形式で作成されたユーザ情報をインポートします。ファイルの拡張子は「ldif」です。
・NetSpot Accountant3.x フォーマット NetSpot Accountant 3.x 専用のフォーマットで作成されたユーザ情報をインポートします。ファイルの拡張子は「csv」です。
・NetSpot Accountant4.x フォーマット NetSpot Accountant 4.x/imageWARE AccountingManager 専用のフォーマットで作成されたユーザ情報をインポートします。ファイルの拡張子は「csv」です。
< NetSpot Accountant フォーマット選択時の設定>
[文字コード] インポートするファイルの文字コードを選択します。
・Windows Japanese(CP932) Windows Japanese 方式で書き込まれたファイルをインポートします。Windows Japanese 方式は、日本語用の文字コードです。
・Windows Latin-1(CP1252) Windows Latin 方式で書き込まれたファイルをインポートします。Windows Latin 方式は、欧文用の文字コードです。
[ユーザ名に使用する種類] ログイン時に使うユーザ名の種類を選択します。
・ユーザID 「ユーザID」をローカルデバイス認証でログインするときのユーザ名にします。
・Windows のユーザ名 「Windows のユーザ名」をローカルデバイス認証でログインするときのユーザ名にします。
  • すでに同じユーザ名のユーザが登録されている場合は、インポートするファイルの情報に上書きされます。


ユーザ情報のエクスポート

本体に登録されているローカルデバイス認証のユーザ情報をパソコンのファイルに保存することができます。本体に登録されているユーザ情報を別のデバイスで使用するときや、バックアップするときなどに利用します。


おことわり
  • ユーザタイプは、すべて一般ユーザとして保存されます。

  1. ログインしたあと、[ユーザ管理]をクリックします。

[ユーザ管理]ページが表示されます。

  1. [エクスポート]をクリックします。

  1. 各項目を設定し、[開始]をクリックします。

[ファイル形式] エクスポートするファイルの形式を選択します。
・SDL フォーマット SSO-H のローカルデバイス認証で使用できるファイル形式でユーザ情報をエクスポートします。ファイルの拡張子は「ldif」です。
・NetSpot Accountant3.x フォーマット NetSpot Accountant 3.x 専用のフォーマットで作成されたユーザ情報をエクスポートします。ファイルの拡張子は「csv」です。
・NetSpot Accountant4.x フォーマット NetSpot Accountant 4.x/imageWARE AccountingManager 専用のフォーマットで作成されたユーザ情報をエクスポートします。ファイルの拡張子は「csv」です。
< NetSpot Accountant フォーマット選択時の設定>
[文字コード] エクスポートするファイルの文字コードを選択します。
・Windows Japanese(CP932) Windows Japanese方式で書き込まれたファイルをエクスポートします。Windows Japanese 方式は、日本語用の文字コードです。
・Windows Latin-1(CP1252) Windows Latin 方式で書き込まれたファイルをエクスポートします。Windows Latin方式は、欧文用の文字コードです。
  1. 画面の指示に従って、ファイルの保存場所を指定します。

ファイルのダウンロードが開始されます。



ドメイン認証のユーザ情報を登録/編集する


ユーザ情報の登録

SSO-H のドメイン認証では、ログイン先に指定したドメインのActive Directory に存在するユーザでログイン認証を行います。ユーザ情報の登録/編集については、システム管理者にご相談ください。


おことわり
  • ドメイン認証を使用する場合にログイン画面で入力するユーザ名は、ログイン先に指定したドメインのActive Directory に登録した[ユーザーログオン名]の内容です。ただし、SSO-H の内部処理には、[ユーザーログオン名(Windows 2000 以前)]を使用しています。[ユーザーログオン名]、[ユーザーログオン名(Windows 2000 以前)]には、全角文字、半角カナ文字を設定しないでください。

  • ドメイン認証のユーザ情報を登録する場合は、次の条件を満たすように行ってください。
    条件を満たさない内容で登録すると、Active Directoryユーザでの認証ができなくなります。
  • [ユーザーログオン名]の@以前の値と、[ユーザーログオン名 (Windows 2000 以前)]の値を一致させる

  • [ユーザーログオン名]の@以降の値と、認証するActive Directoryのドメイン名を一致させる


ドメイン認証の管理者ユーザの登録

ドメイン認証では、ドメイン認証の管理者ユーザのみがSSO-H の管理用アプリケーションにログインすることができます。

登録したユーザをドメイン認証の管理者ユーザにするには、Active Directory でそのユーザを「Canon Peripheral Admins」グループ、または任意の管理者グループに所属させます。「Canon Peripheral Admins」グループを追加するには、次のようにします。


おことわり
  • 「Canon Peripheral Admins」グループはプライマリグループに設定しないでください。


グループの追加

  1. Active Directory の管理ツール「Active Directory ユーザーとコンピュータ」を起動します。
  1. 追加したいコンテナおよび組織単位(OU)で右クリックします。
  1. ポップアップメニューから、[新規作成]→[グループ]を選択します。

[新しいオブジェクト- グループ]ダイアログボックスが表示されます。

  1. グループ名(Canon Peripheral Admins)を入力し、[OK]をクリックします。



ユーザを「Canon Peripheral Admins」グループに所属させる

  1. Active Directory の管理ツール「Active Directory ユーザーとコンピュータ」を起動します。
  1. 「Canon Peripheral Admins」グループに所属させたいユーザのアカウントを右クリックします。
  1. ポップアップメニューから[グループに追加]を選択します。

[グループの選択]ダイアログボックスが表示されます。

  1. グループの選択ダイアログで、「Canon Peripheral Admins」と入力し、[名前の確認]をクリックします。

  1. 「Canon Peripheral Admins」に下線がついたことを確認し、[OK]をクリックします。



ローカルデバイス認証の一般ユーザが自分のパスワードを変更する

ローカルデバイス認証の一般ユーザは、自分自身のパスワードを変更することができます。これによって、ユーザの個人情報のセキュリティを高めることができます。管理者ユーザは、一般ユーザにパスワードの変更ができることをお知らせください。


  1. Web ブラウザを起動します。
  1. アドレス入力欄に以下のURL を入力します。

http://<本体のIP アドレスまたはホスト名>:8000/sso/

[ログイン]ページが表示されます。

  • 本体のネットワーク設定で[TCP/IP 設定]→[HTTP を使用]をOFF にしている場合は、「http://<本体のIP アドレスまたはホスト名>/sso/」と入力します。
  1. ローカルデバイス認証の一般ユーザのユーザ名、パスワードを入力し、ログイン先に[このデバイス]を選択したあと、[ログイン]をクリックします。

[メインメニュー]ページが表示されます。

  1. [ユーザ管理]をクリックします。

  1. [新しいパスワード]、[確認入力]に新しいパスワードを入力して、[OK]をクリックします。

  1. [ログアウト]をクリックします。



ローカルデバイス認証のユーザ情報ファイルのファイル形式

ユーザ情報のインポートやエクスポートをする場合には、次の3つのファイル形式を選択することができます。

  • SDL フォーマット
  • NetSpot Accountant 3.xフォーマット
  • NetSpot Accountant 4.xフォーマット

おことわり
  • imageWARE Accounting Manager (NetSpot Accountant)との間で、ユーザ情報のエクスポートやインポートを行うとき以外は、SDL フォーマットのご使用を推奨します。
  • NetSpot Accountantフォーマットでは、部門IDが割り当てられているユーザの情報のみエクスポートされます。また、部門IDが割り当てられているユーザが一人も存在しない場合は、0バイトのファイルがエクスポートされます。
  • NetSpot Accountantフォーマットを使用した場合は、自動登録されたユーザをインポートできないことがあります。


SDL フォーマット

ローカルデバイス認証で使用するフォーマットで、ファイル形式としてLDIFが採用されています。拡張子はldifです。LDIF(LDAP Data Interchange Format)はLDAPディレクトリサーバ間でディレクトリ情報を転送する際などに利用されています。

LDIFファイルの各レコードは1つ以上の空行で分けられます。1つのレコードは空行を含まない複数行から構成されます。1つのレコードは、省略可能なID の行と複数のエントリーによって構成されます。各エントリーは、属性名と属性値がコロン":"によって分けられてます。コロンの後がスペースだけであれば、そのエントリは無視されます。ただし、1つのエントリーが改行コードとスペース1個によって分断される場合は、改行コードとスペース1個は無視されます。それに続く文字はスペースであっても無視せずに前の行と連結したものとして扱われます。改行コードはCR LFかLFのみのいずれでも可能です。しかし、コロンの前までは改行は許されません。#で始まる行は無視されます。

文字コードはUTF-8を用います。

例:
dn: uid=J00001
userPassword: {sdl}1234567890abcdefghijklmn
canonUid: 1000001
canonPwd: 1010001
cn: SampleUser01
cn;lang-ja;phonetic:
mail: SampleUser.J00001@example.co.jp
objectClass: top
objectClass: person

  • 入力ファイルフォーマット
属性名 省略 省略時の自動設定値 SSO-Hでの項目名 内容
dn 不可 - ユーザ名 "uid="ログインユーザ名("uid="は省略できます)。1~半角32文字(全角16文字)までの任意の文字列(ただし、半角スペース、以下の半角記号(¥ / : * ? l < > [ ] ;, = + @ ")は使用できません)
userPassword - パスワード(ユーザ名に対応する) 暗号化する場合:属性値は"{sdl}"で始めます。エクスポートで暗号化された値を使用してください。
暗号化しない場合:空白または任意の半角文字列。32文字まで有効です。
canonUid - 部門ID 1~7桁までの半角数字
canonPwd - パスワード(部門IDに対応する) 空白または7桁までの半角数字
cn [null] 表示名 空白または任意の文字列。半角32文字(全角16文字)まで有効です。
cn;lang-ja;phonetic [null] 読み 空白または任意の文字列。半角32文字(全角16文字)まで有効です。
mail [null] 電子メールアドレス 空白または256文字までの半角英数字・英記号。電子メールアドレスのフォーマットチェックは行いません。
objectClass [null] "top" "top"(固定)
objectClass 不可 無制限 "person" "person"(固定)
注:
1) 属性名の記述順序は自由です。また、不要な属性名は省略できます。
2) ユーザタイプは入力フォーマットに含まれません。インポート後、必要に応じて「管理者」に編集してください。

  • 出力ファイルフォーマット
属性名 [ユーザ管理]の[登録]/[編集]画面のユーザ情報との対応 内容
dn ユーザ名 ログインユーザ名
userPassword パスワード(ユーザ名に対応する) 属性値は"{sdl}"で始まり、パスワードは暗号化されています。
canonUid 部門ID 部門ID
canonPwd パスワード(部門IDに対応する) 暗号化されません。数字が桁数不足の場合は先頭に0が埋められます。
cn 表示名 表示名
cn;lang-ja;phonetic 読み 読み
mail 電子メールアドレス 電子メールアドレス
objectClass - "top"(固定)
objectClass - "person"(固定)
注: ユーザタイプは出力されません。


NSA 3.xフォーマット

NetSpot Accountant 3.xフォーマットとは、NetSpot Accountant 3.xで使用されているユーザ情報のファイル形式です。文字コードはWindows Japanease(CP932)またはシフトJISを用います。


  • 入力ファイルフォーマット
項番 項目名*1 [ユーザ管理]の[登録]/[編集]画面のユーザ情報との対応
1 親部門ID -
2 アカウント種別 -
3 アカウントID ユーザ名*2、部門ID
4 アカウント名称 表示名
5 パスワード パスワード
6 電子メールアドレス 電子メールアドレス
7 ログイン名 ユーザ名*3
8 ドメイン名 -
9-10 印刷上限値 -
11 カードID -

  • 出力ファイルフォーマット
項番 [ユーザ管理]の[登録]/[編集]画面のユーザ情報との対応 項目名*1 内容
1 - 親部門ID 常に[0]
2 - アカウント種別 常に[1](ユーザ)
3 部門ID アカウントID
4 表示名 表示名
5 パスワード パスワード 常にNULL
6 電子メールアドレス 電子メールアドレス
7 ユーザ名 ログイン名
8 - ドメイン名 常に" "
9-10 - 印刷上限値 常にNULL
注:
*1: 項目名(NetSpot Accountant 3.0以降での項目名。CSVファイル自体に項目名は表示されません)
*2: SSO-H管理用アプリケーションの[インポート]で[NetSpot Accountantフォーマット選択時の設定]の[ユーザ名に使用する種類]が[ユーザID]のとき
*3: SSO-H管理用アプリケーションの[インポート]で[NetSpot Accountantフォーマット選択時の設定]の[ユーザ名に使用する種類]が[Windowsのユーザ名]のとき


NSA 4.xフォーマット

NetSpot Accountant 4.xフォーマットとは、NetSpot Accountant 4.0以降およびimageWARE Accounting Manager 5.0以降で使用されている、ユーザ情報のファイル形式です。文字コードはWindows Japanease(CP932)またはシフトJISを用います。


  • 入力ファイルフォーマット
項番 項目名*1 [ユーザ管理]の[登録]/[編集]画面のユーザ情報との対応
1 親部門ID -
2 アカウント種別 -
3 アカウントID ユーザ名*2、部門ID
4 アカウント名称 表示名
5 パスワード パスワード
6 電子メールアドレス 電子メールアドレス
7 ログイン名 ユーザ名*3
8 ドメイン名 -
9-15 印刷上限値 -
16 カード情報 -

  • 出力ファイルフォーマット
項番 [ユーザ管理]の[登録]/[編集]画面のユーザ情報との対応 項目名*1 内容
1 - 親部門ID 常に[0]
2 - アカウント種別 常に[1](ユーザ)
3 部門ID アカウントID
4 表示名 表示名
5 パスワード パスワード 常にNULL
6 電子メールアドレス 電子メールアドレス
7 ユーザ名 ログイン名
8 - ドメイン名 常に" "
9-15 - 印刷上限値 常にNULL
16 - カード情報 常に"##########"
注:
*1: 項目名(NetSpot Accountant 4.0以降およびimageWARE Accounting Manager 5.0以降での項目名。CSVファイル自体に項目名は表示されません)
*2: SSO-H管理用アプリケーションの[インポート]で[NetSpot Accountantフォーマット選択時の設定]の[ユーザ名に使用する種類]が[ユーザID]のとき
*3: SSO-H管理用アプリケーションの[インポート]で[NetSpot Accountantフォーマット選択時の設定]の[ユーザ名に使用する種類]が[Windowsのユーザ名]のとき


困ったときには

SSO-H を使用時のさまざまなトラブルについて説明します。



エラーメッセージの原因および処置方法

表示されるエラーメッセージについて、想定されるトラブルの原因および処置方法を説明します。


認証サーバが見つかりません。システム管理者に問い合わせてください。

認証サーバが動作していません。システム管理者に問い合わせてください。

ログインできません。本機と認証サーバの日付/ 時刻設定がずれている可能性があるためシステム管理者に問い合わせるかユーザ名/ パスワードを確認してください。

認証サーバ側でパスワードが設定されていません。システム管理者に問い合わせてください。

アカウントの有効期限が切れています。システム管理者に問い合わせてください。

パスワードの有効期限が切れています。パスワードを変更してください。

部門別ID 管理の認証エラーのためログインできません。システム管理者に問い合わせてください。

部門別管理がON になっているため、正常に動作しません。システム管理者に問い合わせてください。

ログイン情報を取得できませんでした。システム管理者に問い合わせてください。

認証サーバが見つかりません。システム管理者に問い合わせてください。

原因1

LAN ケーブルが外れています。

処置1

LAN ケーブルを接続してください。

原因2

本体のプライマリ/セカンダリのDNS サーバの設定が間違っているか、設定されていません。

処置2

本体のDNS サーバの設定を確認し、正しい値を設定してください。

原因3

本体で指定したDNS サーバが起動していないか、サービスが停止しています。

処置3

次の手順で設定を確認してください。

  • 本体で指定したDNS サーバを確認し、起動していなければ起動します。
  • DNS サーバの管理ツール「サービス」を起動します。
  • 「DNS Server」の[状態]を確認し、「開始」となっていない場合は右クリックし[開始]を選択してください。
原因4

DNS サーバにホストレコードが存在するか確認してください。

処置4
  • DNS サーバにホストレコードが存在するか確認してください。
  • フォワーダの設定が正常に行われているか確認してください。

認証サーバが動作していません。システム管理者に問い合わせてください。

原因1

LAN ケーブルが外れています。

処置1

LAN ケーブルを接続してください。

原因2

Active Directory のサーバが起動していません。

処置2

Active Directory のサーバを起動してください。

原因3

Active Directory のKDC サービスが停止しています。

処置3

次の手順で設定を確認してください。

  • Active Directory の管理ツール「サービス」を起動します。
  • ActiveDirectoryのサーバが正常に動作しているか確認してください。

ログインできません。本機と認証サーバの日付/ 時刻設定がずれている可能性があるためシステム管理者に問い合わせるかユーザ名/ パスワードを確認してください。

原因

本体とActive Directory サーバの時刻が許容範囲以上にずれています。

処置

本体とActive Directory サーバの時刻を許容範囲内に調整します。

認証サーバ側でパスワードが設定されていません。システム管理者に問い合わせてください。

原因

Active Directory でドメイン認証のためのDES 鍵が生成されていません。

処置

次の手順で設定を変更してください。

  • Active Directoryの管理ツール「Active Directoryユーザーとコンピュータ」を起動します。
  • 認証に失敗したユーザを選択し、右クリックします。
  • ポップアップメニューから[パスワードのリセット]を選択します。
  • [パスワードのリセット]ダイアログで新しいパスワードを入力し、[OK]をクリックします。

アカウントの有効期限が切れています。システム管理者に問い合わせてください。

原因1

アカウントの有効期限が切れています。システム管理者に問い合わせてください。

処置1

次の手順で設定を確認してください。

  • Active Directory の管理ツール「Active Directory ユーザーとコンピュータ」を起動します。
  • 認証に失敗したユーザを選択し、右クリックします。
  • ポップアップメニューから[プロパティ]を選択します。
  • [アカウント]タブを選択し、[アカウントの期限]の[有効期限]を確認します。
  • 有効期限が切れている場合は延長するか、「なし」に設定します。
原因2

認証したユーザのアカウントが無効に設定されています。

処置2

次の手順で設定を確認してください。

  • Active Directory の管理ツール「Active Directory ユーザーとコンピュータ」を起動します。
  • 認証に失敗したユーザを選択し、右クリックします。
  • ポップアップメニューから[プロパティ]を選択します。
  • [アカウントタブ]タブを選択し、[アカウントオプション]の[アカウントは無効]を確認します。
  • [アカウントは無効]にチェックが入っている場合は、チェックを外して[OK]をクリックします。

パスワードの有効期限が切れています。パスワードを変更してください。

原因1

認証したユーザのパスワードの有効期限が切れています。

処置1

次の手順で設定を変更してください。

  • Active Directory の管理ツール「Active Directory ユーザーとコンピュータ」を起動します。
  • 認証に失敗したユーザを選択し、右クリックします。
  • ポップアップメニューから[パスワードのリセット]を選択します。
  • [パスワードのリセット]ダイアログで新しいパスワードを入力し、[OK]をクリックします。
原因2

認証したユーザのアカウントが[次回ログオン時にパスワード変更が必要]と設定されています。

処置2

次の手順で設定を確認してください。

  • Active Directory の管理ツール「Active Directory ユーザーとコンピュータ」を起動します。
  • 認証に失敗したユーザを選択し、右クリックします。
  • ポップアップメニューから[プロパティ]を選択します。
  • [アカウント]タブを選択し、[アカウントオプション]の[次回ログオン時にパスワード変更が必要]を確認します。
  • [次回ログオン時にパスワード変更が必要]にチェックが入っている場合は、チェックを外して[OK]をクリックします。

部門別ID 管理の認証エラーのためログインできません。システム管理者に問い合わせてください。

部門別管理がON になっているため、正常に動作しません。システム管理者に問い合わせてください。

原因

本体の部門管理がON になっています。

処置

次の手順で設定を変更してください。

  • ログインサービスをSSO-H 以外のログインアプリケーションに変更します。
  • 部門別ID管理をOFFに設定します。部門別ID管理をOFFにする方法については、「部門別ID管理を設定する(部門別ID 管理)」を参照してください。
  • 本体の主電源を切り、10 秒後に電源を入れなおします。電源の入れかた/切りかたは、「お使いになる前に」を参照してください。

ログイン情報を取得できませんでした。システム管理者に問い合わせてください。

原因

認証先に指定したドメインのDNS 情報の一部である「_ldap」SRV レコードに記述されているポート番号と、実際のポート番号が異なっています。

処置

次の手順で設定を確認してください。

  • DNS サーバの管理ツール「DNS」を起動します。
  • 「前方参照ゾーン」→「認証先に指定したドメイン」→「_tcp 」の順にダブルクリックして、[名前]が「_ldap 」のSRV レコードを右クリックします。
  • ポップアップメニューから[プロパティ]を選択します。
  • [サービスロケーション(SRV)]タグを選択し、[ポート番号]を確認します。
  • LDAP サービスのポート番号として運用しているポート番号と違う場合は、実際に運用しているポート番号を入力して[OK]をクリックします。


SSO-H管理用アプリケーション使用時のトラブル

SSO-H の管理用アプリケーション使用時に起こるトラブルについて、想定される原因および処置方法を説明します。


現象:[設定]ページで[クライアントPC からのドメイン認証]が表示されない。

現象:[設定]ページで[クライアントPC からのドメイン認証]が表示されない。

原因

SSO-H を運用している本体が、SSL 通信機能に対応していません。

処置

[クライアントPC からのドメイン認証]はSSL 通信機能に対応している本体にSSO-H をインストールしている場合のみ表示されます。



Windows Server 2003 SP1のファイアウォール設定時のトラブル

ファイアウォール設定時に起こるトラブルについて、想定される原因および処置方法を説明します。


現象:ドメイン情報の自動取得、サービス情報取得に失敗する。

現象:ドメイン認証に失敗する。(「認証サーバーが動作していない」というエラーメッセージが表示される)

現象:ユーザ認証に失敗する。

現象:ドメイン情報の自動取得、サービス情報取得に失敗する。

原因

DNS サーバの通信がファイアウォールによってブロックされています。

処置

UDP プロトコル、TCP プロトコルともに、初期値53 ポートのブロックを停止します。DNS サーバは、通常53 ポートに対してUDP プロトコルで通信を行いますが、通信を行うデータがある一定以上の大きさに達した場合TCPプロトコルで処理されることがあるため、TCP プロトコル、UDP プロトコル共にブロックを停止してください。

現象:ドメイン認証に失敗する。(「認証サーバーが動作していない」というエラーメッセージが表示される)

原因

ドメイン認証の通信がファイアウォールによってブロックされています。

処置

UDP プロトコル、TCP プロトコルともに、初期値88 ポートのブロックを停止します。ドメイン認証は、通常88 ポートに対してUDP プロトコルで通信を行いますが、通信を行うデータがある一定以上の大きさに達した場合TCPプロトコルで処理されることがあるため、TCP プロトコル、UDP プロトコル共にブロックを停止してください。

現象:ユーザ認証に失敗する。

原因

LDAP 検索の通信がファイアウォールによってブロックされています。

処置

TCP プロトコルについての、初期値389 ポートのブロックを停止します。ユーザ情報は、Active Directory に対してLDAP 検索で取得します。初期設定では、LDAP 検索は389 ポートに対してTCP プロトコルで通信を行うので、TCPプロトコルについての389 ポートのブロックを停止してください。(ポートを変更している場合には、変更したポートのTCP プロトコルのについてのブロックを停止してください。)



その他の状況でのトラブル

その他の状況で起こるトラブルについて、想定される原因および処置方法を説明します。


現象: Active Directory インストール前に作成したユーザで、ドメイン認証を使ってログインできない。

現象: アプリケーションの起動に時間がかかる。

現象: ログインの判定に時間がかかる。

現象: Active Directory インストール前に作成したユーザで、ドメイン認証を使ってログインできない。

原因

Active Directory インストール前に作成したユーザは、Active Directory インストール後、「Users」フォルダの直下に自動でアカウントが生成されます。しかし、作成されたアカウントは、SSO-H が必要とするドメイン認証用のDES鍵を管理していません。またユーザーログオン名が設定されていないため、DES鍵を生成してもユーザ情報が正常に取得できず、SSO-H のドメイン認証では認証できません。

処置

次の手順で設定を変更してください。

  • Active Directoryの管理ツール「Active Directoryユーザーとコンピュータ」を起動します。
  • Active Directory インストール前に作成したユーザを選択し、右クリックします。
  • ポップアップメニューから[プロパティ]を選択します。
  • [アカウント]タブを選択し、[ユーザーログオン名]を入力して[OK]をクリックします。
  • 設定を変更したユーザを選択し、右クリックします。
  • ポップアップメニューから[パスワードのリセット]を選択します。
  • [パスワードのリセット]ダイアログで新しいパスワードを入力し、[OK]をクリックします。

現象: アプリケーションの起動に時間がかかる。

原因1

ドメインの自動取得で取得したSRV レコードに、名前解決のできないホストが設定されています。

処置1

指定されたホストの名前解決が行えるようにDNS サーバの次の項目を調整します。

  • フォワードの設定
  • A レコードの追加
  • セカンダリの設定
原因2

設定されたDNS サーバが見つからないか、通信ができません。

処置2

本体に設定されたDNS サーバと、本体が通信できる環境であるかを確認して調整します。

原因3

ネットワーク起動遅延時間が設定されています。

処置3

ネットワーク起動遅延時間の調整を行います。

現象: ログインの判定に時間がかかる。

原因1

ログイン先に指定されたドメイン名の名前解決ができません。

処置1

設定されたDNSサーバで指定されたドメイン名の名前解決ができるか確認して調整します。

原因2

設定されたDNS サーバが見つからないか、通信ができません。

処置2

本体に設定されたDNS サーバと、本体が通信できる環境であるかを確認して調整します。

原因3

指定したドメインを管理するドメインコントローラが複数存在しています。SSO-H では、指定したドメインを管理するドメインコントローラが複数存在する場合、ログインに成功するドメインコントローラが見つかるまで全てのドメインコントローラに対して認証処理を行うため、時間がかかる場合があります。

処置3

ドメインコントローラを確認して調整します。