2. LDAP ディレクトリを準備する

LDAP リソースを事前に確認しておくと、Google Cloud Directory Sync(GCDS)をよりスムーズに導入することができます。

5 つの手順のうちの 2 番目

手順 1: サードパーティ製 LDAP ブラウザをインストールする

LDAP サーバー構造に関する情報を収集するには、Softerra LDAP Administrator、JXplorer などの LDAP ブラウザをダウンロードして、インストールする必要があります。

重要: サードパーティ製 LDAP ブラウザは Google のサポート対象外です。

手順 2: LDAP データのインベントリを収集する

次の情報を収集します。

  • LDAP サーバーのホスト名または IP アドレス。
  • ネットワーク アクセス、プロキシ サーバー、発信接続。
  • 標準 LDAP 接続を使用するか、LDAP over SSL 接続を使用するか。詳しくは、Microsoft ADV190023 更新後の認証を確認するをご覧ください。
  • LDAP サーバーで読み取りと実行の権限を持つアカウントの名前とパスワード。同期するユーザーとグループを制限する場合は、ディレクトリ サーバーで制限された権限を持つ LDAP 管理者を設定します。
  • LDAP サーバー ディレクトリがすべてのサーバー要件を満たしていることの確認。 詳しくは、LDAP サーバーをご覧ください。

GCDS では 1 つの LDAP ディレクトリからのみデータを取得できます。LDAP ディレクトリが複数ある場合は、以下を検討してください。

  • LDAP サーバーのデータを 1 つのディレクトリに統合する。

  • Microsoft Active Directory ドメインが複数ある場合は、グローバル カタログを使用すると、同期が行いやすくなることがあります(ポート 3268 または 3269 を使用)。

    注: 全体的な同期を行う前に、必ずシミュレーションして検証してください。 グローバル カタログのデータはドメインのパーティションのデータと異なるためです。

手順 3: LDAP サーバー構造を調査する

LDAP ブラウザを使用して、LDAP サーバーと構造に関する次の情報を収集します。

  • LDAP 基本識別名(DN) - GCDS では、基本 DN をすべての LDAP クエリの最上位 として使用します。GCDS では基本 DN からユーザーとグループを検索するため、同期対象のユーザーとグループを含むレベルの基本 DN を指定します。

    注: 構成で複数の基本 DN を使用できます。同期ルールごとに別の基本 DN を指定することもできます。

  • LDAP 構造情報 - 同期するユーザーやその他のリソースを含むグループなど、 重要情報が含まれる LDAP 属性 を確認します。LDAP ブラウザを使用して LDAP ディレクトリ構造を調べ、 サンプル ユーザーとその他のリソースを検査して重要な LDAP 属性を確認します。

  • セキュリティ グループ - 同期するセキュリティ グループを特定します。 同期が適切に行われるように、各グループが、グループ オブジェクトで定義された固有のメールアドレスを持ちます。

手順 4: LDAP サーバーデータをクリーンアップする

  • ユーザーを特定する - 組織の現在のユーザーのリストを取得し、 どのユーザーを Google ドメインと同期するかを特定します。
  • メールが有効なグループを探す - セキュリティ グループではなく、 メーリング リストとして機能している、メールが有効なグループを確認し、Google ドメインと同期します。ユーザーが独自のグループを作成して管理できるように Google ドメインを設定することもできます。ユーザー管理のグループは、同期の影響を受けません。
  • 名前とパスワードのガイドラインを考慮する - ディレクトリ名に サポートされていない文字と記号を使用していないか確認します。詳しくは、名前 のガイドラインについてのページをご覧ください。
  • (省略可)パスワード属性を設定する - GCDS のパスワード 欄を使用している場合は、LDAP ディレクトリに Google ドメイン ユーザー用のカスタム属性を作成し、 その属性にパスワードの設定を行います。詳しくは、パスワードを同期する方法をご覧ください。
  • (省略可)命名規則を設定する - 使用するメールの命名規則を確認し、 その規則に合うようユーザーを更新します。

手順 5: LDAP ディレクトリで Google ユーザーにマークを付ける

LDAP クエリを簡素化するには、同期を設定する前に LDAP ディレクトリ内ですべての Google ユーザーにマークを付ける必要があります。Google ユーザーには次の方法でマークを付けることができます。

  • わかりやすい名前 - LDAP ディレクトリで、同期の対象となるユーザーに GoogleUsers などのわかりやすい名前でマークを付けることができます。同期が設定され正しく動作したら、GoogleActiveUsers などの別の名前で、Google のアクティブなユーザーにマークを付けることができます。
  • 組織部門 - LDAP ディレクトリで組織 部門を設定し、その部門に Google ユーザーを移動します。その組織部門のユーザーのみを同期するように GCDS を設定します。
  • グループ - LDAP ディレクトリに新しいグループを作成し、Google ユーザーをメンバーとして追加します。そのグループのメンバーのみを読み取るように GCDS を設定します。
  • カスタム属性 - Google ユーザーのカスタム属性を作成し、新しいユーザーの属性を設定します。その属性を持つユーザーのみを読み取るように GCDS を設定します。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。