エンタメ系企業の社内社内のもろもろを担当しているakibinです。
米津玄師もあいみょんもピンと来なかったですが、髭男dismは見事ハマったという事実は否めなーい。
今回やってみたこと
G SuiteとActiveDirectoryのアカウントを同期して、アカウント管理を軽減したいんじゃ!
ということで、仮想構成は以下です。
| 情報種類 | ドメインやアカウント | メモ |
|---|---|---|
| G Suiteドメイン | gsuitest.co.jp | |
| G Suite認証用アカウント | gsadmin@gsuitest.co.jp | G Suiteへアクセスを許可するアカウント |
| ADサーバ | Windows2019 | |
| ADサーバのホスト名 | ad-host | |
| ADドメイン | adtest.co.jp | |
| AD認証用アカウント | adadmin | ADにアクセスする際のアカウント |
| 同期したいou | employer | |
| このou=employer配下のアカウントをG Suiteに同期したい! |
同期には**Google Cloud Directory Sync(GCDS)**を使用します。
事前準備
以下を用意しておく。
- Windows2019にADを立てておく
- ADがG Suiteドメインにアクセス出来るようにしておく
- AD認証用アカウント(adadmin)を作成しておく
- 同期したいou(employer)配下に同期したいユーザを作成しておく
- G Suite認証用アカウント(gsadmin@gsuitest.co.jp)を作成しておく
作業スタート
【G Suiteに認証用アカウントにカスタムロールをつける】
同期にはAPIとユーザ・グループを編集可能な権限を付ける必要があり、一般管理者では弱く、特権管理者では強すぎるため、以下手順でカスタムロールを作成して、認証用アカウントに付ける。
管理コンソール>管理者ロール>新しいロールを作成>名前を入力>続行>管理 API の権限>「ユーザー」と「グループ」にチェックを入れる>続行>ロールを作成
ユーザーに管理者ロールを割り当てる方法は←参照。
【GCDSをサーバにインストールして設定】
※GCDSのシステム要件にWindows2019入ってなかったですが、Googleさんに確認したところまだ書いてないだけでサポートしてくれるとのこと。優しい。
同期対象は色々調整可能なようですが、今回はアカウントとパスワードのみ同期します。
- Windows2019にGCDSをダウンロードしてインストールする
- GCDSを起動する
3. [Google Domain Configuration]にG Suiteドメインの設定情報を入れる
- Primary Domain Name:**G Suiteドメインを入力**
- Replace domain...:**チェックを入れる**
- Authorize Now:**クリックしてブラウザからG Suite認証用アカウント(gsadmin@gsuitest.co.jp)でログインする(ステータスがAuthorize(緑)に変わる)**
4. [LDAP Configuration]にADの設定情報を入れる
- SErver Type : **MS Active Directory**
- Connection Type : **Standard LDAP**
- Host Name : **127.0.0.1(自身を指定)**
- Authorized User : **adadmin**
- Password : **adadminのパスワード**
- Base DN : **ou=employee,dc=ad-host,dc=adtest,dc=co,dc=jp**
5. [General Setting]でUser Accountのみにチェクを入れる
6. [User Accounts]のUser Attributesタブに以下を入れる
- Email Address Atribute : **mail**
- Unique indentifier Attribute : **objectGUID**
- Alias Address Atributes : **proxyAddresses**
- Google Domain Users Deletion/Suspension Policeyは以下にチェック
7. [User Accounts]のAdditional User Attributesタブに以下を入れる
- Given Name Attributes : **givenName**
- Family Name Attributes : **sn**
- Synchronize Passwords : **Only for new usersにチェック**
- Force new users to change password : **ユーザ初回ログイン時にパスワード変更する場合はチェック**
- Default password for new users : **初期パスワードを入力**
8. [User Accounts]のSearch Rulesタブで**Use Defaults**を押す
デフォルト設定が入ります。
これで設定は完了。[Sync]に移動してClear casheにチェックを入れてから[Simulate sync]でシュミレーションを実施。
問題なければ[Sync & apply changes]で同期を実行。
これでADのユーザでG Suiteにまだ無いアカウントが同期によって追加されます!
めでたしめでたし…とここまでくれば、パスワードも同期したくなるのが人情ですね。
G SuiteアカウントとActiveDirectoryアカウントのパスワードを同期するもやってみましたのでご覧あれ!
そして以下もチェックしてもらえれば!
****************************************
◆ Twitterアカウント
@AkibinMusic
◆ Youtubeチャンネル
https://www.youtube.com/channel/UC-JOpwEnJn3gCrUA4NdCYgg