ADAM オブジェクトには、ユーザーオブジェクト、UserProxy オブジェクト、およびグループオブジェクトが含まれます。

ユーザーオブジェクト

ユーザーは、OU の作成と同様に ADAM ADSI Edit コンソールを使用して作成できます。AD コマンドラインツールを使用してユーザーを管理することもできますが、これについてはこのドキュメントでは説明しません。新しいユーザーオブジェクトに必須の属性は cn のみです。これはユーザーの短い名前またはフルネームです。Active Directory ユーザー属性と同様の幅広いオプション属性もあります。ユーザーオブジェクトからプロパティを選択することで、属性の完全なリストにアクセスできます。

UserProxy オブジェクト

ServiceNow LDAP 統合では、関連する AD ユーザーアカウントにリンクするプロキシアカウントを作成する ADAM の UserProxy オブジェクトを使用することをお勧めします。これにより、ServiceNow がドメインコントローラに直接接続しなくても、ドメインの AD ユーザー名とパスワードを使用して ADAM でログオン認証情報を認証できます。UserProxy オブジェクトは、パスワードを格納せず、リンクされた AD ユーザーオブジェクトの SID を含む objectSID 属性を持つ点を除いて、AD および ADAM ユーザーオブジェクトとよく似ています。プロキシは以上のように動作します。UserProxy オブジェクトは ADSIEdit コンソールまたはコマンドラインツールを使用して作成されますが、この作業には手間がかかります。以下で定義されている自動化プロセスを使用することをお勧めします。

グループオブジェクト

グループは、ADSIEdit コンソールと AD コマンドラインツールを使用して作成されます。グループの概念は AD に似ており、グループとメンバーを ServiceNow に統合するために使用されます。最大の違いは、ADAM グループには ADAM または信頼できる AD ドメインのメンバーを含めることができるということです。

ADAM オブジェクトの作成を自動化する

Active Directory アカウントを ADAM に同期する場合は、 Microsoft ADAMSync 移動しますこれは、ServiceNow LDAP 統合のための ADAM の最も一般的な使用法です。

権限の委任について

ADAM には、デフォルトの権限を持つビルトイングループがいくつか含まれています。これらのグループは、cn=roles,dc=myCompany,dc=adam コンテナにあります。これらはドメインレベルグループに似ており、現在のパーティション内のオブジェクトに対する権限があります。AD フォレストと同様に、cn=roles,cn=configuration,dc=myCompany,dc=adam のデフォルトグループを使用して、より高いレベルの権限を設定することもできます。ADSIEdit の構成パーティションに接続する必要があります。デフォルトでは、アドミングループにはセットアップ中に指定されたアカウントが含まれています。このメンバーは構成グループを介して継承されるため、常に表示されるわけではありません。アドミニストレーターは、すべてのパーティションオブジェクトを完全に制御できます。デフォルトでは、リーダーグループにはメンバーが含まれておらず、パーティション内のすべてのオブジェクトに対する読み取りアクセス権があります。ユーザーグループは、Active Directory と同様に動的なグループです。推移的には、パーティションに作成されたすべての ADAM ユーザーが含まれます。