カード登録

15 分読む最終更新日 2024年02月20日

カード登録の概要

カードの登録を利用すると、組織のディレクトリサーバーのユーザーにIDカード（HID Proximity、iCLASS、MIFAREなど）をマッピングできます。登録したカードは、複合機認証や、複合機でのシングルサインオンを通じたDispatcher Phoenixへのログインに使用できます。

また、カードをスキャンして、LDAPサーバー内のユーザー登録情報を返すこともできます。これにより、カードが他のユーザーに既に登録されているかどうかを確認することができます。

カードの登録を使用するには、以下の操作を行います。

カードリーダーを設定します。
複合機の認証機能を設定します。
Dispatcher Phoenix Webにログインし、 [カードの登録] をクリックします。次の図の例を参照してください。
カードの登録でLDAP設定を構成します。
ユーザー用のカードを登録します。
カード情報を検索します。

このツールには、作業の開始に役立つヘルプ情報とショートカットキーも用意されています。

ヒント: カードの登録を使用して最初に1つだけカードを登録し、それが複合機の認証で使用できるかどうかを確認してから他のすべてのカードを登録することをお勧めします。

カードの登録の画面の例を以下に示します。

要件

カードの登録を使用する際の要件を以下に示します。

カードリーダーはキーボードウェッジインターフェイスを備えている必要があります。
カードリーダーをコンピューターに接続する必要があります。
他のユーザーのLDAPを更新できるLDAP管理者アカウントが必要です。
カードの登録内で構成するLDAP設定がLDAPサーバーに対応している必要があります。

カードリーダーの設定

最初に、複合機の認証で必要なHEX値を送信するようにカードリーダーを設定する必要があります。

重要 ! カードの登録で使用するカードリーダーは、複合機で使用するカードリーダーと同じ構成である必要があります。

たとえば、コニカミノルタAU-205Hでは以下のように構成します。

一般設定を構成します。 ここで、キーボードウェッジ機能を有効にします。この機能を有効にすると、デバイスはキーボードのように計算を行い、一連のキーストロークとしてデータを出力します。次の図の例を参照してください。
カードデータの選択を構成します。 カードのタイプを指定し、カードから読み取ってキーボードインターフェイスを通じて自動的にレポートされるデータを選択する必要があります。また、リーダーがカードを検出したときのキーボードウェッジの動作を設定する必要があります。次の図の例を参照してください。
カードデータの操作を構成します。 次の図に示すように、[Card Data Manipulation(カードデータの操作)]タブを使用して、出力のフォーマットを指定します。

複合機のActive Directoryとカードリーダー認証に関する設定

次に、複合機のActive Directory/LDAP認証を設定します。これは複合機上で行うか、またはPageScope Web Connectionを通して行います。これらの手順を実行するには、管理者としてログインする必要があります。

複合機上で以下を構成する必要があります。

時刻
DNSサーバー
外部サーバー設定
カードリーダーの認証

注: これらの手順は、PageScope Web Connectionを使用して複合機を構成します。

複合機の時刻の構成

複合機の時刻がカードリーダーと合っているかどうか確認する必要があります。以下の操作を行います。

次の図に示すように、管理者モードで [サマータイム設定] を選択し、 [サマータイム設定] ドロップダウンで [する] が選択されていることを確認します。
地域に応じてタイムゾーンを適切に設定する必要があります。たとえば、米国の東海岸ではGMT -5:00に設定します。次の図に示すように、 [日時設定] > [手動設定] の順に選択し、 [タイムゾーン] を設定します。
[日時設定] > [時刻補正設定] の順に選択し、NTP（Network Time Protocol）サーバーを使用するように複合機を構成します。以下の操作を行います。

a. サーバーのアドレスを「pool.ntp.org」に設定します。

b. 複合機の時刻を強制的に更新するには、[調整]ボタンを選択します。

次の図の例を参照してください。

複合機のDNSサーバーの構成

次に、Active DirectoryドメインサーバーシステムのIPアドレスを手動で入力する必要があります。以下の操作を行います。

管理者モードで、 [ネットワーク] を選択します。
左のメニューから [TCP / IP] を選択します。
[DNSサーバーの自動取得]ドロップダウンリストで [無効] オプションを選択します。
[優先DNSサーバー] フィールドにActive DirectoryドメインサーバーシステムのIPアドレスを入力します。

次の図の例を参照してください。

外部サーバー設定の構成

次に、外部サーバーと、認証で使用するActive Directoryドメインのドメイン名を登録する必要があります。以下の操作を行います。

管理者モードで、 [ユーザー認証 / 部門管理] を選択します。
左のメニューから [外部サーバー設定] を選択します。
1 番目の外部サーバースロットを選択し、 [編集] ボタンを選択します。次の図の例を参照してください。
[外部認証サーバー登録]ページで、外部サーバーの名前とActive Directoryドメインの既定のドメイン名をそれぞれ該当するフィールドに入力します。[外部認証サーバー名称]は、ユーザーに対する表示のみを目的としたラベルであり、実際のサーバー名である必要はありません。次の図の例を参照してください。
次の図に示すように、[認証方式]ページで、[ユーザー認証]ドロップダウンリストから [本体装置認証] を選択します。

カードリーダー認証の構成

最後に、認証カードに登録されたカードIDを使用してLDAPサーバーで認証を実行できるように複合機を構成する必要があります。以下の操作を行います。

管理者モードで、[ユーザー認証/部門管理] > [LDAP-ICカード認証設定] > [LDAP-ICカード認証設定]の順に選択します。
次の図に示すように、[LDAP-ICカード認証設定]で[使用する]オプションを選択します。
カード情報のクエリーを行うLDAPシステムを構成します。以下のフィールドに入力します。
- サーバーアドレス
- 検索ベース
- 認証方式の一般設定
- ログイン名（管理者である必要があります）
- パスワード（最初に[パスワードを変更]ボックスにチェックマークを入れてから管理者のパスワードを入力します）
- ドメイン名
- 検索属性。ここで入力する属性（pagerなど）は、カードの登録の[LDAP設定]の[カードデータを登録するためのLDAP属性]フィールドに入力した属性と一致している必要があります。
- ユーザー名属性。ここで入力する属性は、カードの登録の[LDAP設定]の[ユーザーアカウント名を取得するためのLDAP属性]フィールドに入力した属性と一致している必要があります。
- 外部サーバー接続。外部サーバー設定の構成時に登録したサーバーを指定します。

LDAP設定の構成

カードリーダーを構成し、複合機のLDAP認証を設定したら、Dispatcher Phoenixのカードの登録でLDAP設定をセットアップする必要があります。このセットアップを行う必要があるのは1度だけです。LDAP設定を構成するには、以下のセクションを参照してください。

注:

2010年3月10日、マイクロソフトは、LDAPチャネルバインド、およびLDAP署名の使用による権限昇格の脆弱性に対処するため、Active Directoryドメインコントローラー用のセキュリティパッチをリリースしました。Dispatcher Phoenixはこの問題に対処するために強化されています。
LDAP認証タイプをSIMPLEに設定し、SSLを有効にしていないユーザーの場合、Microsoft社のセキュリティ更新プログラムが適用されると、LDAP接続に失敗します。SIMPLE認証タイプを維持したい場合は、SSL暗号化を有効にし、信頼できる認証局から発行された有効なLDAPサーバー証明書がドメインサーバーにインストールされていることを確認する必要があります。このシナリオでは、どちらの証明書検証オプションも機能します。
また、別の認証タイプを選択することも可能で、その場合はMSのセキュリティアップデートが実施された後でも機能します。
このMicrosoftアップデートは、Workflow Services ManagerのLDAP接続、およびインデックスフォームビルダーのLDAPデータソース構成にも影響します。

LDAP 設定

カードの登録で、ツールバーの [LDAP設定] を選択します。

次の図のように、LDAP設定ウィンドウが表示されます。

LDAP接続を追加するには、 [追加] ボタンをクリックします。これにより、次の図に示すように、LDAP設定モーダルが開きます。

LDAP 接続

[LDAP 設定] ウィンドウで、次の情報を入力してLDAPサーバー接続を構成します。

ホスト – LDAP がホストされているサーバーの名前を入力します。
ポート – LDAP サーバーのポートを入力します。
バージョン – ドロップダウンリストからLDAPバージョンを選択します。バージョン3(既定の設定)は、バージョン1および2 と下位互換性があることに注意してください。このため、既定の設定のままにしておくことをお勧めします。
SSL – LDAPサーバーにSSL暗号化接続を要求する場合は、このボックスを選択します。
LDAP証明書の検証 - SSL フィールドの項目にチェックを入れた場合、このフィールドを使用してLDAPサーバー証明書の検証方法を指定します。以下のオプションがあります。
- Windows 証明書ストアに対して確認 - このオプションは、Windowsに設定されている認証局を使用して、LDAPサーバー証明書を検証します。このオプションを選択した場合、信頼できる認証局から発行された有効なLDAPサーバー証明書がドメインサーバーにインストールされていることを確認してください。
- 検証を無視、これは信頼されているサーバーです - 自己署名証明書には、このオプションをお勧めします。このオプションは、TLS接続のすべての証明書を受け入れます。
接続タイムアウト – LDAP接続を確立するまでの最大秒数を入力します。割り当てられた時間内に接続が確立されない場合、接続は終了します。
検索タイムアウト – 検索を中止する前にLDAPデータを検索する最大秒数を入力します。LDAPデータの検索を放棄するまでの最大秒数を入力します。

LDAP 認証

次の情報を選択、または入力して、LDAPサーバーに関する認証情報を指定します。

認証タイプ - ドロップダウンメニューには次のオプションがあります。
- DIGEST
- KERBEROS
- NEGOTIATE - これは既定のレスポンスです。このオプションは、接続にMicrosoft Negotiate認証を使用します。
- NTLM
- SIMPLE
  
  注: Microsoftのセキュリティ強化により、2020年3月現在、このオプションは、 SSL ボックスにチェックを入れ、ドメインサーバーにSSL証明書がインストールされていないと接続を維持することができません。
DNまたはユーザー名をバインド - 定義された検索ベース内でLDAPディレクトリを検索することを許可された外部サーバーのユーザーを入力します。変数 {user}@{domain} は複合機からの情報に置き換えられ、検索を実行するために必要であることに注意してください。
パスワード - バインドパスワードを入力します。
ベースDNまたは検索ベース - 検索ベースは、複合機の設定と一致する必要があります。

LDAP 検索

次のフィールドを使用して、LDAPサーバーでユーザーを検索するために必要なプロパティを入力します。

ユーザー検索用のLDAPクエリー - このフィールドには、カード登録ツールの検索フィールドに入力された文字に基づいてLDAPでユーザーを検索するクエリーを入力します。Active Directoryを使用している場合、既定のLDAPクエリーを変更する必要はありません。ただし、LDAPの別の実装を使用している場合は、サーバーに合わせてこのクエリーを変更する必要がある場合があります。
検索範囲 - LDAP 検索の開始点です。次のオプションがあります。
- ベース - 指定したルートのエントリのみを検索します。
- 1 レベル - 指定したルートの1レベル下のすべてのエントリーを検索します。
- サブツリー全体 - 指定したルートを含むすべてのレベルですべてのエントリーを検索します。
取得するLDAPフィールド - これらは、LDAP サーバーから返される属性です。列ヘッダーを引用符で囲むことにより、表示されるフレンドリ名を追加することができます。例: displayname “Name” は、列に “displayname” ではなく “Name” を表示します。次の図の例を参照してください。

LDAP カード登録

次のフィールドを使用して、カードデータの登録に必要な属性とクエリーを入力します。

ユーザーアカウント名を取得するためのLDAP属性 - このフィールドの属性は、複合機でサーバー登録をセットアップするときにユーザー名属性に入力したものと一致する必要があります。
アカウント名でユーザーを検索するためのLDAPクエリー - このフィールドのクエリーは、ユーザアカウントを見つけるために使用されます。Active Directoryを使用している場合、この既定のクエリーを変更する必要はありません。
カードデータを登録するためのLDAP属性 - このフィールドの属性は、複合機でサーバー登録をセットアップするときに検索属性に入力したものと一致する必要があります。
重複するカード登録を検出および防止するためのLDAPクエリー - このフィールドのクエリーは、重複したカード登録を防ぐために使用されます。Active Directoryを使用している場合、この既定のクエリーを変更する必要はありません。

既定値に戻す - フィールドを既定の設定に戻すには、次の図のように各領域の上部に表示されるこのボタンをクリックします。

テスト接続 - このボタンをクリックして、LDAPプロパティをテストします。

保存 - 完了したら、このボタンをクリックします。

カードの登録

カードを登録するには、以下の操作を行います。

[カードの登録]ページで、LDAPでユーザーを検索するための検索フレーズを入力します。検索ではワイルドカード文字（*）を使用できます。
ユーザー検索を開始するには、 [検索] ボタンを選択するか、 [Enter] キーを押します（「 * 」を入力した場合はすべてのユーザーが検索されます）。

[検索結果]で、ユーザーに対してすでにカードが登録されている場合、ユーザー名の横にそれを示すアイコンが表示されます。このアイコンの例については次の図を参照してください。
検索結果から目的のユーザーを選択します。IDカードをスキャンしてユーザーに対して登録可能である場合、ユーザー名の横にそれを示すアイコンが表示されます。このアイコンの例については次の図を参照してください。

ページの右側に[カードの登録]領域が表示されます。次の図の例を参照してください。
カードリーダーを使用して、未登録のカードをスキャンします。すぐにカードの値が[登録するスキャンIDカード]フィールドに表示されます。表示状態が変化し、カード登録の確認が行われます。これで、カードがユーザーとペアリングされます。次の図の例を参照してください。
ユーザーからカード登録を削除するには、 [登録解除] ボタンをクリックします。

カード登録の検索

カードが登録されているかどうかを確認するには、以下の操作を行います。

ツールバーの [カードの検索] を選択します。
カードリーダーを使用してカードをスキャンします。空のフィールドにカードのID値が表示されます。カードにユーザーが登録されている場合は、次の図に示すようにページの右側にそのユーザーの情報が表示されます。
このユーザーのカードを登録解除するには、 [登録解除] ボタンを選択します。
カードがまだユーザーに対して登録されていない場合は、ページの下部に次のメッセージが表示されます。

作業の開始

このツールの使用に関する重要な情報を参照するには、ツールバーの [はじめに] を選択します。

このポップアップ画面で、以下の操作を行うことができます。

カードを登録するには、 [カードの登録] を選択します。
IDカードをスキャンしてカードが登録されているユーザーを確認するには、 [カードの検索] を選択します。
LDAPディレクトリに接続して検索クエリーを設定するには、 [LDAP設定] を選択します。この設定を行うのは最初にこのツールを使用するときに1度だけです。
ツールのヘルプ情報を参照するには、 [ヘルプのトピックス] を選択します。

キーボードショートカット

キーボードショートカットが使用できます。

[Shift + ?] キーを選択すると、使用可能なすべてのショートカットキーの一覧が記されたヘルプメニューが表示されます。次の図に示すように、[ヘルプ]ドロップダウンからショートカットキーのヘルプメニューにアクセスすることもできます。

以下のショートカットキーが利用できます。

[?] - このヘルプメニューの表示/非表示
[F1] - ヘルプトピックスの表示
[F2] - [はじめに]情報の表示
[F3] - カードの検索機能へのアクセス
[F4] - カードの登録機能へのアクセス
[F6] - [LDAP設定]ウィンドウへのアクセス
[Ctrl + Shift + F9] - ダミーLDAPデータを利用するデモモードへのアクセス
[上矢印] - 前のユーザーを選択
[下矢印] - 次のユーザーを選択
[Esc] - ショートカットキーのヘルプメニューを閉じる