LDAPクエリを作成する


Active Directoryコネクターは、会社のActive Directoryデータベースからユーザー情報を取得して、PureCloudプロファイル・フィールドに値を設定します。Active Directoryデータベースには、単なるユーザー以上のものが含まれているため、コネクターはLDAP照会を使用して、ユーザーを非ユーザーからソートします。すべての組織のActive Directoryは異なるため、あらゆるところで機能する万能のLDAPクエリはありません。

PureCloudのセルフサービスインターフェイスのツールを使用してLDAPクエリを作成することも、独自に作成することもできます。ここに記載されている手順に従って、独自のクエリを作成してください。 LDAPクエリ コネクタを設定するときのフィールド。LDIFDE エクスポートを使用して御社に最適な LDAP クエリーを見つけることを推奨します。LDIFDE は、Microsoft サーバー上で実行するために Microsoft が提供する無償ツールです。を参照してください LDIFDEサイト 詳細については。

  1. LDIFDEエクスポートコマンドのパラメータ値を収集します。

    • サーバーの名前
    • LDAP検索のルート
    • 検索範囲
    • コンマ区切りの属性リスト
  2. クエリをテストするためのLDIFDEエクスポートコマンドを作成します。

    1. ファイルにエクスポートするためのコマンドを作成します。これにより、Active Directory データベース全体が 1 つのファイルにダンプされます。これは LDAP クエリー上の問題をトラブルシューティングするために PureCloud に送る場合に便利です。

      ldifde -f ExportUser.ldf
    2. LDAPクエリを含めます。

      ldifde -r "LDAP query" -f ExportUser.ldf
    3. LDAP検索ルートを含めます。

      ldifde -r "LDAP query" -f ExportUser.ldf -d "dc=Export,dc=com"
    4. サーバーを含めます。

      ldifde -r "LDAP query" -f ExportUser.ldf -d "dc=Export,dc=com" -s Server1
    5. コンマ区切りの属性リストを含めます。

      ldifde -r "LDAP query" -f ExportUser.ldf -d "dc=Export,dc=com" -s Server1 -l "cn,givenName,objectclass,samAccountName"
    6. 検索範囲を含める:

      ldifde -r "LDAP query" -f ExportUser.ldf -d "dc=Export,dc=com" -s Server1 -l "cn,givenName,objectclass,samAccountName" -p subtree
  3. 簡単なLDAPクエリから始めて、LDIFDEエクスポートコマンドをテストします。

    たとえば、電子メールアドレスを持つすべてのユーザーから始めます。

    (&(objectCategory=User)(mail=*))

    プリンタ、会議室、ゲストユーザなども返される可能性があるため、返されるエントリ数が組織内の人数を超えることがあります。

  4. 必要なユーザーだけが返されるまで、クエリを少しずつ拡大します。例えば:

    電子メールを持つアクティブユーザー:

    &(objectCategory=User)(!userAccountControl:1.2.840.113556.1.4.803:=2)(mail=*)(!sAMAccountName=jdk82))

    一般ユーザー、ユーザー、およびアクティブ:

    (&(samAccountType=805306368)(objectCategory=User)(!userAccountControl:1.2.840.113556.1.4.803:=2))

    個人であり、特定のExchangeプロパティがtrueに設定されていて、会社および電子メールアドレスを空白にすることはできず、管理者フィールドを空白にすることはできません。

    (&(objectCategory=person)(objectClass=user)(!(msExchHideFromAddressLists=TRUE))(company=*)(mail=*)(|(manager=*)))
  5. クエリを拡張して、CEO(または組織内の管理者なしの任意の人)を含めます。

    個人であり、特定のExchangeプロパティがtrueに設定されていて、会社および電子メールアドレスを空白にすることはできず、管理者フィールドを空白にすることはできません。 ユーザーの名前がブラウン氏でない限り

    (&(objectCategory=person)(objectClass=user)(!(msExchHideFromAddressLists=TRUE))(company=*)(mail=*)(|(manager=*)(name=Mr. Brown)))

    操作 (|(マネージャー= *)(名前=ブラウン氏)) という意味 マネージャー=* または 名前=氏。褐色 本当でなければなりません。

  6. 必要に応じて、クエリをLDAP内のグループに制限します。メンバーシップ属性を使用する memberof:1.2.840.113556.1.4.1941 LDAPクエリでネスト検索を実行します。例えば:

    (&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=TestGroup,ou=Groups,ou=CompanyUsers,dc=test,dc=corp))
  7. Active DirectoryBridgeコネクタを設定するときに入力するLDAPクエリを保存します。