エンタメ系企業の社内社内のもろもろを担当しているakibinです。
米津玄師もあいみょんもピンと来なかったですが、髭男dismは見事ハマったという事実は否めなーい。
今回やってみたこと
G SuiteとActiveDirectoryのアカウントを同期して、アカウント管理を軽減したいんじゃ!
ということで、仮想構成は以下です。
情報種類 | ドメインやアカウント | メモ |
---|---|---|
G Suiteドメイン | gsuitest.co.jp | |
G Suite認証用アカウント | gsadmin@gsuitest.co.jp | G Suiteへアクセスを許可するアカウント |
ADサーバ | Windows2019 | |
ADサーバのホスト名 | ad-host | |
ADドメイン | adtest.co.jp | |
AD認証用アカウント | adadmin | ADにアクセスする際のアカウント |
同期したいou | employer |
このou=employer配下のアカウントをG Suiteに同期したい!
同期にはGoogle Cloud Directory Sync(GCDS)を使用します。
事前準備
以下を用意しておく。
- Windows2019にADを立てておく
- ADがG Suiteドメインにアクセス出来るようにしておく
- AD認証用アカウント(adadmin)を作成しておく
- 同期したいou(employer)配下に同期したいユーザを作成しておく
- G Suite認証用アカウント(gsadmin@gsuitest.co.jp)を作成しておく
作業スタート
【G Suiteに認証用アカウントにカスタムロールをつける】
同期にはAPIとユーザ・グループを編集可能な権限を付ける必要があり、一般管理者では弱く、特権管理者では強すぎるため、以下手順でカスタムロールを作成して、認証用アカウントに付ける。
管理コンソール>管理者ロール>新しいロールを作成>名前を入力>続行>管理 API の権限>「ユーザー」と「グループ」にチェックを入れる>続行>ロールを作成
ユーザーに管理者ロールを割り当てる方法は←参照。
【GCDSをサーバにインストールして設定】
※GCDSのシステム要件にWindows2019入ってなかったですが、Googleさんに確認したところまだ書いてないだけでサポートしてくれるとのこと。優しい。
同期対象は色々調整可能なようですが、今回はアカウントとパスワードのみ同期します。
- Windows2019にGCDSをダウンロードしてインストールする
- GCDSを起動する
3. [Google Domain Configuration]にG Suiteドメインの設定情報を入れる
- Primary Domain Name:G Suiteドメインを入力
- Replace domain...:チェックを入れる
- Authorize Now:クリックしてブラウザからG Suite認証用アカウント(gsadmin@gsuitest.co.jp)でログインする(ステータスがAuthorize(緑)に変わる)
4. [LDAP Configuration]にADの設定情報を入れる
- SErver Type : MS Active Directory
- Connection Type : Standard LDAP
- Host Name : 127.0.0.1(自身を指定)
- Authorized User : adadmin
- Password : adadminのパスワード
- Base DN : ou=employee,dc=ad-host,dc=adtest,dc=co,dc=jp
5. [General Setting]でUser Accountのみにチェクを入れる
6. [User Accounts]のUser Attributesタブに以下を入れる
- Email Address Atribute : mail
- Unique indentifier Attribute : objectGUID
- Alias Address Atributes : proxyAddresses
- Google Domain Users Deletion/Suspension Policeyは以下にチェック
7. [User Accounts]のAdditional User Attributesタブに以下を入れる
- Given Name Attributes : givenName
- Family Name Attributes : sn
- Synchronize Passwords : Only for new usersにチェック
- Force new users to change password : ユーザ初回ログイン時にパスワード変更する場合はチェック
- Default password for new users : 初期パスワードを入力
8. [User Accounts]のSearch RulesタブでUse Defaultsを押す
デフォルト設定が入ります。
これで設定は完了。[Sync]に移動してClear casheにチェックを入れてから[Simulate sync]でシュミレーションを実施。
問題なければ[Sync & apply changes]で同期を実行。
これでADのユーザでG Suiteにまだ無いアカウントが同期によって追加されます!
めでたしめでたし…とここまでくれば、パスワードも同期したくなるのが人情ですね。
G SuiteアカウントとActiveDirectoryアカウントのパスワードを同期するもやってみましたのでご覧あれ!
そして以下もチェックしてもらえれば!
****************************************
◆ Twitterアカウント
@AkibinMusic
◆ Youtubeチャンネル
https://www.youtube.com/channel/UC-JOpwEnJn3gCrUA4NdCYgg