LDAPプラグインは、LiveAgentと組織のLDAPディレクトリを連携させます。主な機能は2つあります。LDAPからエージェントを直接インポートする機能と、ログイン時にLDAP認証情報を使ってエージェントを認証する機能です。

セットアップ後によくある問題については、LDAPトラブルシューティングを参照してください。

サポートされている機能

  • LDAPディレクトリからLiveAgentへエージェントをインポート
  • ログイン時にLDAPのユーザー名とパスワードでエージェントを認証
  • 特定のLDAPグループへのエージェントインポートの絞り込み
  • LDAPサーバーへ接続できない場合にLiveAgent組み込み認証へフォールバック

要件

  • インポートしたいユーザーは全員、LDAPディレクトリに有効なメールアドレスが登録されている必要があります。メールアドレスのないユーザーはインポートできません。
  • インポート時にグループベースのフィルタリングを使用する場合、LDAPディレクトリはposixGroupオブジェクトクラスとmemberuid属性を使用している必要があります。

ステップ1 — プラグインを有効化する

Configuration(設定)→ Plugins(プラグイン)に移動し、LDAPプラグインを有効化します。

ステップ2 — 接続を設定する

有効化後、Configuration(設定)→ LDAPを開きます。すべてのフィールドは必須です。保存すると、LiveAgentはURLとポートを検証し、設定を保存する前にサーバーへのテスト接続を試みます。

  • LDAP server URL — プロトコルプレフィックスを含むLDAPサーバーの完全なURL。例:ldap://ldap.example.com
  • Port — LDAPサーバーが待ち受けるポート。ドロップダウンから選択:389(デフォルト、通常のLDAP)、636(LDAPS)、80、または443。例:389
  • User Base DN — ユーザーが含まれるディレクトリサブツリーのベース識別名(DN)。LiveAgentはエージェントの一覧表示およびインポート時にこのサブツリーを検索します。例:ou=people,dc=example,dc=com
  • Group Base DN — グループが含まれるディレクトリサブツリーのベース識別名(DN)。グループ名によるインポートの絞り込みを行う場合にのみ使用します。例:ou=groups,dc=example,dc=com
  • User ID field — 各ユーザーの一意の識別子として使用するLDAP属性。この値はインポート時にエージェントごとに保存され、認証時のログインDNの構築にも使用されます。一般的な値はuidまたはcnです。例:uid
  • User email field — ユーザーのメールアドレスを保持するLDAP属性。LiveAgentはこれを使って既存エージェントとLDAPユーザーを照合し、インポート時にエージェントのメールアドレスを設定します。例:mail

すべてのフィールドが入力され接続テストが成功すると、Import agents(エージェントをインポート)ボタンが使用可能になります。

ステップ3 — エージェントをインポートする

Import agents(エージェントをインポート)ボタンをクリックしてインポートダイアログを開きます。設定済みのディレクトリサブツリーへの読み取りアクセス権を持つLDAP管理者の認証情報が必要です。これらの認証情報はLiveAgentには保存されないため、ダイアログを開くたびに入力が必要です。

  • Admin DN — ディレクトリサブツリー全体を読み取れるLDAPユーザーの完全な識別名(DN)。例:cn=admin,dc=example,dc=com
  • Admin password — Admin DNアカウントのパスワード。
  • Group name(任意)— 指定した場合、そのグループのメンバーのみが一覧表示されます。グループはGroups Base DN内のcn属性で照合され、posixGroupオブジェクトクラスとmemberuid属性が使用されます。User Base DN配下の全ユーザーを表示するには空欄のままにしてください。

Fetch(取得)をクリックしてユーザー一覧を読み込みます。各ユーザーにはインポートステータスが表示されます:

  • Already imported(インポート済み)— エージェントはLiveAgentに存在し、LDAPin識別子がすでにリンクされています。操作は不要です。このエージェントはすでにLDAP経由でログインできます。
  • Import button(インポートボタン)— エージェントがLiveAgentにまだ存在しないか、メールアドレスの一致で存在はするがLDAPアイデンティティにまだリンクされていません。Import(インポート)をクリックしてエージェントを作成またはリンクしてください。
  • Unable to import(インポート不可)— LDAPユーザーに設定済みのメールフィールドの値がないため、LDAPにメールアドレスが追加されるまでインポートできません。

Import(インポート)をクリックすると、LiveAgentは以下の処理を行います:

  1. メールアドレスで既存のエージェントを検索し、存在しない場合は新規作成します。
  2. LDAPのnameまたはcn属性からエージェントの表示名が変更されていれば更新します。
  3. エージェントのLDAP識別子(設定済みのUser ID fieldの値)をアカウントに保存します。このリンクがLDAPログインを可能にします。
  4. エージェントのアカウントが以前に無効化されていた場合、再度有効化します。

重要: このウィザードを通じてインポートされたエージェントのみがアカウントにLDAP識別子がリンクされ、LDAP経由で認証できます。LiveAgentで手動作成されたエージェントは、インポートしてリンクするまでLDAP経由でログインできません。

LDAP認証の仕組み

エージェントがLiveAgentのログインページでメールアドレスとパスワードを入力すると:

  1. LiveAgentはメールアドレスでエージェントを検索します。
  2. インポート時にそのエージェントに対して保存されたLDAP識別子を取得します。
  3. {User ID field}={保存された識別子},{User Base DN}の形式でLDAPの識別名(DN)を構築します。たとえば、User ID fieldcn、保存された識別子がjohn.doeUser Base DNdc=example,dc=comの場合、構築されるDNはcn=john.doe,dc=example,dc=comとなります。
  4. LiveAgentはそのDNとエージェントが入力したパスワードを使ってLDAPサーバーにバインドします。バインドが成功するとエージェントがログインし、失敗するとログインが拒否されます。
  5. LDAPサーバーへ接続できない場合、LiveAgentは組み込みのパスワード認証にフォールバックします。

ヒント: エージェントのインポートは成功するがログインできない場合は、User ID fieldの設定がエージェントのインポート時に使用された属性と一致しているか確認してください。インポート時に使用したフィールドとログインDN構築に使用するフィールドの不一致は、LDAP認証失敗の最も一般的な原因です。設定を修正した後は、変更を反映させるために影響を受けるエージェントを全員再インポートしてください。詳細についてはLDAPトラブルシューティングを参照してください。

同期

LiveAgentとLDAPディレクトリの間に自動同期はありません。LDAPの変更は手動で操作するまでLiveAgentに反映されません。

  • LDAPに新規ユーザーが追加された場合 — LiveAgentにユーザーは自動的に表示されません。「Import agents」(エージェントをインポート)ダイアログを開いて手動でインポートしてください。
  • LDAPでユーザーが削除または無効化された場合 — LiveAgentのアカウントはアクティブのままで、LDAP識別子もリンクされたままです。LiveAgentがその認証情報でLDAPにバインドできないため、次回のログイン試行は失敗します。なお、LiveAgent組み込み認証へのフォールバックはLDAPサーバー自体に接続できない場合にのみ適用されます。認証情報が単に拒否された場合には適用されません。アクセスを防ぐには、エージェントのLiveAgentアカウントを手動で無効化する必要があります。
  • LDAPでユーザーの詳細情報(名前)が変更された場合 — ウィザードを通じてエージェントを再インポートすると、LiveAgentの表示名が更新されます。LDAPでユーザーのメールアドレスが変更された場合、エージェントはメールアドレスで照合されるため、インポートすると既存のエージェントを更新するのではなく新しいエージェントが作成されます。