Google ドメインに特定の属性を持ち、LDAP サーバーに異なる属性を持つユーザーがいますか?それらの異なる属性を維持する必要がありますか?Google Cloud Directory Sync(GCDS)で同期中にユーザーの属性が変更されないようにするにはどうすればよいですか?
答えは、2 つの除外 ルール(LDAP データ用と Google ドメインデータ用)が必要になるということです。
使用例
LDAP サーバーと Google ドメインの両方にユーザー fred@solarmora.com が存在する場合のシナリオを以下に示します。
- Google ドメイン - Fred さんは下位組織の「Test Users」に属しています。
- LDAP サーバー - Fred さんは組織部門「Finance」に属しています。
- 検索ルール - 「Finance」組織部門のユーザーを Google ドメインの「Finance」下位組織に配置する検索ルールがあります。
- 除外ルール - Fred さんがメンバーである「/Test Users」の Google 組織の完全なパスの除外ルールがあります。
同期が実行されると、GCDS は「/Test Users」の除外ルールにより、Google ドメインに fred@solarmora.com が存在することを無視しますが、LDAP の結果でそのユーザーを認識するため、そのユーザーを作成しようとします。Fred さんはすでに Google ドメインに存在するため、再作成はされませんが、他のアクション(Fred さんが正常に作成されることに依存するアクション)が発生します。たとえば、Fred さんは「Finance」下位組織に配置されます。
このシナリオを回避するには、LDAP サーバーと Google ドメインの両方からユーザーを除外する必要があります。 これを行うには、Google ドメインの除外ルールと連携する LDAP 除外ルールを追加します。この例では、メールアドレスで LDAP 除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。
複数のユーザーを操作する場合の対応方法
GCDS の使用時には、LDAP サーバーを使用して複数のユーザーを管理した方が簡単です。
LDAP サーバーの組織部門に関係なく、Google ドメインの特別な組織部門に配置するユーザー グループがある場合は、次の方法をおすすめします。
- LDAP サーバーで、カスタム属性またはグループ メンバーシップを使用してこれらのユーザーをマークします。
- このようなユーザーのみと一致する検索ルールを作成します。たとえば、カスタム属性またはグループ メンバーシップ名(「memberOf=groupname」)を検索するルールを使用します。
検索ルールを特別な組織部門にマッピングします。
注: 検索ルールを優先度の高い位置に配置すると、 複数の検索ルールでユーザーが見つかった場合に、特別な 組織部門に送信されます。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。