経緯
AWSのSingle Sign-On(SSO)を使用するにあたり、ルートアカウント以外のDirectoryServiceのADをIDソースとする為にルートアカウントのVPCにAD Connectorを配置しました。
設定
ActiveDirectryにAD Connector用のサービスアカウントを追加
[ActiveDirectory ユーザーとコンピューター]ツールを開き、[Users]を右クリックして、[Connectors]グループを追加します。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_1.png)
Microsoft AD では、ドメインルートレベルで制御を委任するアクセス権がありません。この場合、制御を委任するには、コンピュータオブジェクトを作成するディレクトリ OU の下にある OU を選択します。
権限をサービスアカウントに委任する
OUを右クリックして「制御の委任」をクリックします。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_2.png)
先程作成したConnectorsグループを追加します。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_3.png)
[委任するカスタムタスクを作成する]をチェック
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_5.png)
[フォルダー内の次のオブジェクトのみ]を選択して、
- ユーザーオブジェクト
- コンピューターオブジェクト
にチェックをつけます。
また、[選択されたオブジェクトをこのフォルダーに作成する]と[選択されたオブジェクトをこのフォルダーから削除する]にチェックします。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_6.png)
[全般]と[プロパティ固有]にチェックを付け、アクセス許可で[読み取り]と[書き込み]にチェックを付けました。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_7.png)
Connectorsグループに割り当てるconnectorユーザーを作成します。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_8.png)
強力なパスワードを設定して、今回は、[ユーザーはパスワードを変更できない][パスワードを無期限にする]にチェックを付けました。(要件により適切な設定してください。)
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_9.png)
Connectorsグループにconnectorユーザーを追加します。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_10.png)
AD Connectorの作成
[Directory Service]で「ディレクトリのセットアップ」をクリックします。
【ディレクトリタイプの選択】
[AD Connector]を選択
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_11.png)
【AD Connector情報の入力】
今回は[スモール]を選択
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_12.png)
【VPCとサブネットの選択】
AD Connectorを配置する[VPC]と[サブネット]を選択して次へ
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_13.png)
【ADへの接続】
[ディレクトリのDNS名],[ディレクトリNetBIOS名],[DNS IPアドレス]と、作成済みのconnectorユーザーのアカウント情報を入力します。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_14.png)
登録後、10分ほどでステータスがアクティブとなり、作成完了しました。
![](https://www.it-ouji.com/wp-content/uploads/2021/07/ad_15-1024x149.png)
AD Connectorのセキュリティーグループの変更
どのようなセキュリティーグループが作成されているのか確認しました。