Google Workspace 標準アカウント同期機能の実力とは
目次
はじめに
2022年1月27日にGoogle Workspaceのアップデートブログで公開された機能でLDAPディレクトリとの同期サービス「Directory Sync」が発表されすでにベータ版として実装されています。Directory SyncではActrive Directory上のオブジェクトをGoogle Workspaceへ同期することが可能です。
今回の記事ではこのDirectory Syncの機能について紹介と検証を行っていきます。
前提条件
利用にあたり以下の環境を用意する必要があります。
- Active Directory サーバ(LDAPv3対応)
- Active Directory の読み取りアクセスを持つユーザ
- LDAPS通信環境
- Google CloudとActive Directory サーバ間のネットワーク
※今のところActive Directory との同期のみ対応
Active Directory との接続は以下の3つから選択可能
- Google Cloud Platform上にActrive Directoryを準備
- Google Cloud VPNでオンプレミスまたはその他IaaSサービスとの接続
- Cloud Interconnectでオンプレミスまたはその他IaaSサービスとの接続
この記事ではGoogle Cloud Platform上にActive Directoryが構築されていることを前提に記載していきます。どの構成でもGCPの契約が必須なんですね。
Google Cloud Directory Syncとの違い
そもそもGoogleのアカウント同期サービスにはGoogle Cloud Directory Syncというサービスが存在しています。ここでは新に提供されるDirectory Syncとの違いを見ていきましょう。
機能 | Google Cloud Directory Sync | Directory Sync |
---|---|---|
ハードウェアの必要性 | 必要 | 不要 |
ソフトウェアのインストール | 必要 | 不要 |
LDAPのサポート | Active DirectoryやOpen LDAPなどのLDAP準拠のすべてのディレクトリ | Active Directoryのみ |
接続方法 | 自社ネットワーク内に配置 | Compute Engineを使った接続、Cloud VPN、またはCloud Interconnectのいずれかを使った接続 |
同期されるデータ | ユーザ、グループ、カレンダーリソース、外部の連絡先、パスワードなど 詳細はこちら | ユーザとグループ |
マルチフォレスト対応? | × | ○ |
同期間隔 | 管理者が指定、自動化には別途ソフトウェアが必要 | 1時間 ※変更不可 |
設定の容易さ | × | ○ |
ログ | 導入したコンピュータ上で管理 | Google管理コンソールで管理 |
属性マッピング | 最大35個のシステム属性 カスタム属性 | 姓、名、メールアドレス、再設定用の電話番号と再設定用のメールアドレス |
組織部門のマッピング | 指定した組織部門にユーザを自動配置 | 最上位の組織部門にユーザを配置 |
Directory Syncはサーバレスで動作することが一番の売りだと思います。ベータ版ということもあり同期可能な属性が少ないことが気になりますね。
設定例
Google Cloud Platform上のActive DirectoryサーバとGoogle Workspaceは構築済みからスタートします。作業の流れは以下の通りです。
- VPCアクセスコネクタの作成
- Data Connection APIを有効化
- Google Workspaceの管理画面でLDAPディレクトリを追加
- ユーザ・グループの同期設定
- 同期の実行
- ログの確認
VPCアクセスコネクタの作成
Google Cloud Platformにアクセスして、[VPCネットワーク]-[サーバレスVPCアクセス]を開きます。初回アクセス時にはAPIを有効にする必要があります。
[コネクタの作成]を押下して、[名前]、[リージョン]、[ネットワーク]、[サブネット]を入力します。
ここでリージョンがus-central、europe-west1、asia-southeast1しか対応してませんのでasia-southeast1で設定します。
サブネットは[カスタムIP範囲]を選択して[10.8.0.0/28]に設定します。
※ほかのネットワークと当たらないサブネットで指定してください。
VPCネットワークが作成出来たら[名前]部分-[編集]をクリックして動的ルーティングモードを[グローバル]に変更します。
Data Connectors APIの有効化
Data Connectors APIを有効にするために、[APIとサービス]-[有効なAPIとサービス]をクリックして、[Data Connectors API]を検索し[有効にする]をクリックします。
LDAPディレクトリを追加
Google Workspaceの管理画面にログインして、[ディレクトリの同期]メニューを開きます。
LDAPディレクトリ追加メニューから[ディレクトリ名]を入力して[続行]をクリックします。
[プロジェクトID]にVPCアクセスコネクタを作成したGoogle Cloud PlatformのプロジェクトIDを入力して、[VPCアクセスコネクタ名]にVPCアクセスコネクタ名を入力して、[続行]をクリックします。
※VPCアクセスコネクタ名は「projects/{[プロジェクト ID]}/locations/{[VPC location名]}/connectors/{[VPC コネクタ名]}」で入力します。
以下の内容を入力して、[保存してテスト]をクリックします。
- ホスト:GCPで準備したADサーバのローカルIPアドレス
- ポート:636
- 接続の種類:LDAPS
- ベース:同期起点のOUをDNパスで指定(OU=xxxxx,DC=xxxxx,DC=xxxxxxの形)
- 承認済みアカウント:アカウント情報が読み取り可能なADアカウント名
- パスワード:パスワード
- 証明書:ADサーバの[個人]-[証明書]にあるサーバ証明書をエクスポートしてインポート
接続しましたと表示されていればActive Directoryとの接続は完了です。[続行]をクリックします。
ユーザ同期設定
Active Directoryとの接続が完了したら、ユーザの同期設定を行います。Directory syncでは特定のセキュリティグループに所属するユーザを同期対象として扱いますので、事前に同期対象としたいユーザを対象のグループのメンバーとして含めておいてください。今回の例では「情報システム部」という名前のグループを利用しています。
[ユーザスコープ]に対象とするグループ名を入力、[ベースDN]にユーザスコープで入力したグループが所属するDNパスを入力して[続行]をクリックします。
ADユーザの属性とGoogleディレクトリの属性の紐づけを指定して[続行]をクリックします。
ユーザの退職処理(AD上でユーザを削除または無効にした場合の処理)を決めます。Google上のユーザがいきなり削除されるとドライブのデータが所有者移す前に消えてしまうとまずいので停止にとどめます。
ヒューマンエラーでユーザが停止されないように一定の数以上を停止しようとした場合に処理を止めるための値を指定して、[同期をシュミレート]をクリックします。
シュミレーションが完了したら[監査ログ]-[Directory Sync]でエラーが出ていないことを確認します。
グループ同期の設定
[グループ同期の設定]を開いて[ベースDN]にグループ同期の起点となるDNパスを入力して、[続行]をクリックします。
ユーザと同様にADの属性とGoogleディレクトリの属性紐づけ設定を行います。
ユーザと違い、グループはいきなり消えてしまっても影響がないと思いますので、AD上のグループが削除または同期対象外となった場合は、Googleグループを削除する設定にして[続行]をクリックします。
ヒューマンエラーでユーザが停止されないように一定の数以上を停止しようとした場合に処理を止めるための値を指定して、[同期をシュミレート]をクリックします。
シュミレーションが完了したら[監査ログ]-[Directory Sync]でエラーが出ていないことを確認します。
同期を有効化
最後に同期を有効化して作業完了です。実際に対象としたユーザやグループが同期されていることを確認してみましょう。
あとはコンテキストアウェアアクセスを組み合わせることで、Google標準機能のみでSSOとアクセス制御が実装できてしまいますね。
まとめ
今回の記事では、Googleが標準機能で提供するDirectory syncの機能と設定方法についてご案内しました。今回はGCP上にActive Directoryとの接続で実装しましたが、オンプレミスのActive Directoryとの接続もサポートされるようですので一度お試しいただけると良いかと思います。
接続方法3パータン有りますが、いずれの方法でもGCPの契約が必要になります。通信に対しての従量課金がってところも少しひっかる部分ではありますが、物理的なデバイスがなくてもアカウント同期が実装可能になった点では評価できる部分です。
同期属性が少ないところやActive Directoryとしか連携できない部分は今後に期待といったところでしょう。それでは本記事が皆様のGoogle Workspace導入、運用管理の一助となりましたら幸いです。