Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationEventAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
3
Help us understand the problem. What are the problem?
@akibin

G SuiteアカウントとActiveDirectoryのアカウントを同期する

エンタメ系企業の社内社内のもろもろを担当しているakibinです。

米津玄師もあいみょんもピンと来なかったですが、髭男dismは見事ハマったという事実は否めなーい。

今回やってみたこと

G SuiteとActiveDirectoryのアカウントを同期して、アカウント管理を軽減したいんじゃ!
ということで、仮想構成は以下です。

情報種類 ドメインやアカウント メモ
G Suiteドメイン gsuitest.co.jp
G Suite認証用アカウント gsadmin@gsuitest.co.jp G Suiteへアクセスを許可するアカウント
ADサーバ Windows2019
ADサーバのホスト名 ad-host
ADドメイン adtest.co.jp
AD認証用アカウント adadmin ADにアクセスする際のアカウント
同期したいou employer

このou=employer配下のアカウントをG Suiteに同期したい!

同期にはGoogle Cloud Directory Sync(GCDS)を使用します。

事前準備

以下を用意しておく。
- Windows2019にADを立てておく
- ADがG Suiteドメインにアクセス出来るようにしておく
- AD認証用アカウント(adadmin)を作成しておく
- 同期したいou(employer)配下に同期したいユーザを作成しておく
- G Suite認証用アカウント(gsadmin@gsuitest.co.jp)を作成しておく

作業スタート

【G Suiteに認証用アカウントにカスタムロールをつける】

同期にはAPIとユーザ・グループを編集可能な権限を付ける必要があり、一般管理者では弱く、特権管理者では強すぎるため、以下手順でカスタムロールを作成して、認証用アカウントに付ける。

管理コンソール>管理者ロール>新しいロールを作成>名前を入力>続行>管理 API の権限>「ユーザー」と「グループ」にチェックを入れる>続行>ロールを作成

ユーザーに管理者ロールを割り当てる方法は←参照。

【GCDSをサーバにインストールして設定】

※GCDSのシステム要件にWindows2019入ってなかったですが、Googleさんに確認したところまだ書いてないだけでサポートしてくれるとのこと。優しい。

同期対象は色々調整可能なようですが、今回はアカウントとパスワードのみ同期します。

  1. Windows2019にGCDSをダウンロードしてインストールする
  2. GCDSを起動する


3. [Google Domain Configuration]にG Suiteドメインの設定情報を入れる
- Primary Domain Name:G Suiteドメインを入力
- Replace domain...:チェックを入れる
- Authorize Now:クリックしてブラウザからG Suite認証用アカウント(gsadmin@gsuitest.co.jp)でログインする(ステータスがAuthorize(緑)に変わる)

4. [LDAP Configuration]にADの設定情報を入れる
- SErver Type : MS Active Directory
- Connection Type : Standard LDAP
- Host Name : 127.0.0.1(自身を指定)
- Authorized User : adadmin
- Password : adadminのパスワード
- Base DN : ou=employee,dc=ad-host,dc=adtest,dc=co,dc=jp
スクリーンショット 2020-04-20 17.59.16.png
5. [General Setting]でUser Accountのみにチェクを入れる
スクリーンショット 2020-04-20 18.01.16.png
6. [User Accounts]のUser Attributesタブに以下を入れる
- Email Address Atribute : mail
- Unique indentifier Attribute : objectGUID
- Alias Address Atributes : proxyAddresses
- Google Domain Users Deletion/Suspension Policeyは以下にチェック
スクリーンショット 2020-04-20 18.07.21.png
7. [User Accounts]のAdditional User Attributesタブに以下を入れる
- Given Name Attributes : givenName
- Family Name Attributes : sn
- Synchronize Passwords : Only for new usersにチェック
- Force new users to change password : ユーザ初回ログイン時にパスワード変更する場合はチェック
- Default password for new users : 初期パスワードを入力
スクリーンショット 2020-04-20 18.13.42.png
8. [User Accounts]のSearch RulesタブでUse Defaultsを押す
デフォルト設定が入ります。
スクリーンショット 2020-04-20 18.17.54.png

これで設定は完了。[Sync]に移動してClear casheにチェックを入れてから[Simulate sync]でシュミレーションを実施。
問題なければ[Sync & apply changes]で同期を実行。
スクリーンショット 2020-04-20 18.26.01.png
これでADのユーザでG Suiteにまだ無いアカウントが同期によって追加されます!

めでたしめでたし…とここまでくれば、パスワードも同期したくなるのが人情ですね。
G SuiteアカウントとActiveDirectoryアカウントのパスワードを同期するもやってみましたのでご覧あれ!

そして以下もチェックしてもらえれば!
****************************************
◆ Twitterアカウント
@AkibinMusic
◆ Youtubeチャンネル
https://www.youtube.com/channel/UC-JOpwEnJn3gCrUA4NdCYgg

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
3
Help us understand the problem. What are the problem?