Engineer Base

ヘッダー画像
ホーム > Google > Google Workspace 標準アカウント同期機能の実力とは

Google Workspace 標準アカウント同期機能の実力とは

, ,

はじめに

2022年1月27日にGoogle Workspaceのアップデートブログで公開された機能でLDAPディレクトリとの同期サービス「Directory Sync」が発表されすでにベータ版として実装されています。Directory SyncではActrive Directory上のオブジェクトをGoogle Workspaceへ同期することが可能です。

今回の記事ではこのDirectory Syncの機能について紹介と検証を行っていきます。

前提条件

利用にあたり以下の環境を用意する必要があります。

  • Active Directory サーバ(LDAPv3対応)
  • Active Directory の読み取りアクセスを持つユーザ
  • LDAPS通信環境
  • Google CloudとActive Directory サーバ間のネットワーク

※今のところActive Directory との同期のみ対応

LDAPS通信環境の作成はこちらから

Active Directory との接続は以下の3つから選択可能

  • Google Cloud Platform上にActrive Directoryを準備
  • Google Cloud VPNでオンプレミスまたはその他IaaSサービスとの接続
  • Cloud Interconnectでオンプレミスまたはその他IaaSサービスとの接続
Directory Sync 構成

この記事ではGoogle Cloud Platform上にActive Directoryが構築されていることを前提に記載していきます。どの構成でもGCPの契約が必須なんですね。

Google Cloud Directory Syncとの違い

そもそもGoogleのアカウント同期サービスにはGoogle Cloud Directory Syncというサービスが存在しています。ここでは新に提供されるDirectory Syncとの違いを見ていきましょう。

機能Google Cloud Directory SyncDirectory Sync
ハードウェアの必要性必要不要
ソフトウェアのインストール必要不要
LDAPのサポートActive DirectoryやOpen LDAPなどのLDAP準拠のすべてのディレクトリActive Directoryのみ
接続方法自社ネットワーク内に配置Compute Engineを使った接続、Cloud VPN、またはCloud Interconnectのいずれかを使った接続
同期されるデータユーザ、グループ、カレンダーリソース、外部の連絡先、パスワードなど 詳細はこちらユーザとグループ
マルチフォレスト対応?×
同期間隔管理者が指定、自動化には別途ソフトウェアが必要1時間
※変更不可
設定の容易さ×
ログ導入したコンピュータ上で管理Google管理コンソールで管理
属性マッピング最大35個のシステム属性
カスタム属性		姓、名、メールアドレス、再設定用の電話番号と再設定用のメールアドレス
組織部門のマッピング指定した組織部門にユーザを自動配置最上位の組織部門にユーザを配置

Directory Syncはサーバレスで動作することが一番の売りだと思います。ベータ版ということもあり同期可能な属性が少ないことが気になりますね。

設定例

Google Cloud Platform上のActive DirectoryサーバとGoogle Workspaceは構築済みからスタートします。作業の流れは以下の通りです。

  1. VPCアクセスコネクタの作成
  2. Data Connection APIを有効化
  3. Google Workspaceの管理画面でLDAPディレクトリを追加
  4. ユーザ・グループの同期設定
  5. 同期の実行
  6. ログの確認

VPCアクセスコネクタの作成

Google Cloud Platformにアクセスして、[VPCネットワーク]-[サーバレスVPCアクセス]を開きます。初回アクセス時にはAPIを有効にする必要があります。

VPCアクセスコネクタ

[コネクタの作成]を押下して、[名前]、[リージョン]、[ネットワーク]、[サブネット]を入力します。

ここでリージョンがus-central、europe-west1、asia-southeast1しか対応してませんのでasia-southeast1で設定します。

サブネットは[カスタムIP範囲]を選択して[10.8.0.0/28]に設定します。

※ほかのネットワークと当たらないサブネットで指定してください。

VPCアクセスコネクタ

VPCネットワークが作成出来たら[名前]部分-[編集]をクリックして動的ルーティングモードを[グローバル]に変更します。

VPCアクセスコネクタ

Data Connectors APIの有効化

Data Connectors APIを有効にするために、[APIとサービス]-[有効なAPIとサービス]をクリックして、[Data Connectors API]を検索し[有効にする]をクリックします。

Data Connectors API

LDAPディレクトリを追加

Google Workspaceの管理画面にログインして、[ディレクトリの同期]メニューを開きます。

LDAPディレクトリの追加

LDAPディレクトリ追加メニューから[ディレクトリ名]を入力して[続行]をクリックします。

LDAPディレクトリの追加

[プロジェクトID]にVPCアクセスコネクタを作成したGoogle Cloud PlatformのプロジェクトIDを入力して、[VPCアクセスコネクタ名]にVPCアクセスコネクタ名を入力して、[続行]をクリックします。

※VPCアクセスコネクタ名は「projects/{[プロジェクト ID]}/locations/{[VPC location名]}/connectors/{[VPC コネクタ名]}」で入力します。

LDAPディレクトリの追加

以下の内容を入力して、[保存してテスト]をクリックします。

  • ホスト:GCPで準備したADサーバのローカルIPアドレス
  • ポート:636
  • 接続の種類:LDAPS
  • ベース:同期起点のOUをDNパスで指定(OU=xxxxx,DC=xxxxx,DC=xxxxxxの形)
  • 承認済みアカウント:アカウント情報が読み取り可能なADアカウント名
  • パスワード:パスワード
  • 証明書:ADサーバの[個人]-[証明書]にあるサーバ証明書をエクスポートしてインポート
LDAPディレクトリの追加

接続しましたと表示されていればActive Directoryとの接続は完了です。[続行]をクリックします。

LDAPディレクトリの追加

ユーザ同期設定

Active Directoryとの接続が完了したら、ユーザの同期設定を行います。Directory syncでは特定のセキュリティグループに所属するユーザを同期対象として扱いますので、事前に同期対象としたいユーザを対象のグループのメンバーとして含めておいてください。今回の例では「情報システム部」という名前のグループを利用しています。

[ユーザスコープ]に対象とするグループ名を入力、[ベースDN]にユーザスコープで入力したグループが所属するDNパスを入力して[続行]をクリックします。

DirSync ユーザ同期

ADユーザの属性とGoogleディレクトリの属性の紐づけを指定して[続行]をクリックします。

DirSync ユーザ同期

ユーザの退職処理(AD上でユーザを削除または無効にした場合の処理)を決めます。Google上のユーザがいきなり削除されるとドライブのデータが所有者移す前に消えてしまうとまずいので停止にとどめます。

DirSync ユーザ同期

ヒューマンエラーでユーザが停止されないように一定の数以上を停止しようとした場合に処理を止めるための値を指定して、[同期をシュミレート]をクリックします。

DirSync ユーザ同期

シュミレーションが完了したら[監査ログ]-[Directory Sync]でエラーが出ていないことを確認します。

DirSync ユーザ同期

グループ同期の設定

[グループ同期の設定]を開いて[ベースDN]にグループ同期の起点となるDNパスを入力して、[続行]をクリックします。

DirSync グループ同期

ユーザと同様にADの属性とGoogleディレクトリの属性紐づけ設定を行います。

DirSync グループ同期

ユーザと違い、グループはいきなり消えてしまっても影響がないと思いますので、AD上のグループが削除または同期対象外となった場合は、Googleグループを削除する設定にして[続行]をクリックします。

DirSync グループ同期

ヒューマンエラーでユーザが停止されないように一定の数以上を停止しようとした場合に処理を止めるための値を指定して、[同期をシュミレート]をクリックします。

DirSync グループ同期

シュミレーションが完了したら[監査ログ]-[Directory Sync]でエラーが出ていないことを確認します。

DirSync グループ同期

同期を有効化

最後に同期を有効化して作業完了です。実際に対象としたユーザやグループが同期されていることを確認してみましょう。

Directory Sync 有効化

あとはコンテキストアウェアアクセスを組み合わせることで、Google標準機能のみでSSOとアクセス制御が実装できてしまいますね。

まとめ

今回の記事では、Googleが標準機能で提供するDirectory syncの機能と設定方法についてご案内しました。今回はGCP上にActive Directoryとの接続で実装しましたが、オンプレミスのActive Directoryとの接続もサポートされるようですので一度お試しいただけると良いかと思います。

接続方法3パータン有りますが、いずれの方法でもGCPの契約が必要になります。通信に対しての従量課金がってところも少しひっかる部分ではありますが、物理的なデバイスがなくてもアカウント同期が実装可能になった点では評価できる部分です。

同期属性が少ないところやActive Directoryとしか連携できない部分は今後に期待といったところでしょう。それでは本記事が皆様のGoogle Workspace導入、運用管理の一助となりましたら幸いです。

関連記事:

MicrosoftActive DirectoryにLDAPS通信をしたい GoogleGoogle Workspace 標準機能でアクセス制御を実装したい Microsoft新しいExchange管理センターの新旧メニュー対比 GoogleGoogleカレンダーとExchangeカレンダーの相互運用