はじめに
GCP(G-suite)用のGoogleアカウントの作成方法は、以下の5つの方法があります。
- Adminコンソールで手動でGoogleアカウント作成※補足1
- CSV ファイルで名前をアップロードして一括作成
(組織で LDAP ディレクトリを利用している場合)
- Google Cloud Directory Syncを使用して、既存の LDAP ディレクトリ内のユーザーデータと Google アカウントを同期
- Admin SDK Directory API を使用して、既存の LDAP ディレクトリのデータから、多数のユーザー作成
- IBM Notes から移行する場合は、G Suite Migration for IBM® Notes® を使用します。
※補足1 Adminコンソールの左上のAdd Userから追加可能です。
今回は、Google Cloud Directory Sync(GCDS)を試してみたいと思います。
試してみましたが同期できませんでした。。タイムオーバーになったので時間見つけてリトライしたいと思います。今回は、作業の流れなどを整理できれば。。🙇
GCDSでできること
GCDSは、ADホストかADホストとGoogleのAPIにアクセスできるサーバにインストールします。設定が完了すると、ADのデータがGoogleアカウントとして同期されます。ADからGoogleアカウントの片方向の同期となります。
AD管理情報の同期することができます。同期対象は以下になります。
- Organizational Units
- User Accounts
- Groups
- User profiles
- Custom Schemas
- Shared Contacts
- Calendar Resources
- Licenses
メインの用途としては、User Accountsの同期になるかと思います。設定画面は以下になります。
手動、スケジュールによる同期処理の実行が可能です。スケジュール実行を設定しておくことで、ADに新規ユーザが追加担ったときに、Googleアカウントも自動で追加になるように設定可能です。
Active DirectoryユーザとGoogleアカウントのコンフリクトが発生した場合の対処方法は、以下の3つから選択可能です。
- LDAPに存在しなくてGoogleアカウントとして存在するアクティブアカウントを削除する
- LDAPに存在しなくてGoogleアカウントとして存在するアクティブアカウントとサスペンドされたアカウントを削除する
- LDAPに存在しなくてGoogleアカウントとして存在するアクティブアカウントをサスペンドする
User Accountsの同期時のパスワード同期のオプションは以下の3つからから選択可能です。
- Active Directoryユーザを新規作成したタイミングで同期する
- 新規ユーザ作成と既存ユーザのパスワード変更時に同期する
- パスワード変更時のみ同期する
GCDSでできないこと
SSOのソリューションではありません。Active DirectoryのユーザとしてログインしていてもGoogleアカウントログインする作業は必要になります。
同期は、一方通行なのでAdminコンソールでGoogleアカウントの設定を変更しても、Active Directory側に反映されることはありません。
大まかな流れ
- ドメインを取得する
- ドメインをG Suiteに登録する
- ADをたてる
- ADホストにGoogle Cloud Directory Sync(GCDS)をインストールして設定する
- ADユーザをGoogleアカウントに同期する
マニュアルとしては以下になります。
https://support.google.com/a/topic/2679497?hl=ja&ref_topic=4511280
やってみる
1.ドメインを取得する
お名前.comなどでドメインを取得する
2.ドメインをG Suiteに登録する
以下のリンクよりGET STARTEDを実行します。
https://gsuite.google.com/
3.ADを立てる
以下を参考に実施します。すでにADがる場合は作業不要。
https://cloud.google.com/solutions/deploy-fault-tolerant-active-directory-environment
4.ADホストにGoogle Cloud Directory Sync(GCDS)をインストールして設定する
以下のリンクよりGCDSツールをダウンロードする
https://tools.google.com/dlpage/dirsync
環境に応じてファイルのリンクをクリックする
ダウンロードしたファイルをダブルクリックして実行する
Runをクリック
Nextをクリック
Agreementを許諾してNextをクリック
ダウンロード先を指定してNextをクリック
Nextをクリック
Finishをクリック
インストールが完了したので、GCDSの設定を実施します。C:\Program Files\Google Cloud Directory Sync\config-managerをダブルクリックして起動します。
まずは、Google Domain configurationのConnection SettingsタブでDomain名を入力してAuthorize Nowをクリックします。
Googleの認証画面にリダイレクトされます。ドメイン管理者としてログインします。
権限移譲を許可します。
Verificationコードを受け取った旨のメッセージが表示されます。
Autholizedと表示されていればOKです。
Sync元になるLDAP設定を実施します。
今回はADをSync元にするため、Server TypeをMS Active Directoryにします。
Hostnameは、ADホストのホスト名を指定します。
ADの管理ユーザのユーザ名とパスワードを入力します。
Base DNを入力します。例) dc=exmaple,dc=comなどドメインを指定します。
Test Connectionをクリックします。
テストが成功することを確認します。
※未作成のOUなどを指定するとエラーになります。
Sync画面で☓が表示されている項目は設定が必要なので、該当行をクリックして設定します。
今回は、Use defaultsで設定します。設定は、Sync画面で☓になっている項目すべてで実施します。
5. ADユーザをGoogleアカウントに同期する
[管理ツール] から、[Active Directory ユーザーとコンピューター] を起動し、Active Directoryユーザを作成します。
Sync画面でSimulate syncをクリックする。
Remote(Googleアカウント)側は、2アカウントが検出されましたが、Local(Active Directory)ユーザは検出されませんでした。※補足2
本来であれば、Sync & apply changesをクリックして、Remote(Googleアカウント)側にユーザが同期されることを確認するつもりだったのですが、今回はできませんでした・・・🙇
補足2
LDAPのクエリに問題があるのかと思い、すべてのオブジェクトが検出できるようにフィルターを設定してみましたがうまくいきませんでした。
