Google Cloud Directory Sync(GCDS)設定マネージャーを使用して、同期用の構成ファイルを作成、テストします。以下では、設定マネージャー内の項目について詳しく説明します。
設定マネージャーは [スタート] メニューから開きます。
接続、通知、ログ
LDAP 接続の設定
[LDAP Configuration] ページで、LDAP 接続情報と認証情報を指定します。情報を入力したら、[接続をテスト] をクリックします。接続に失敗した場合は、次のページをご覧ください。
| LDAP 接続の設定 | 説明 |
|---|---|
| Server type | 同期する対象の LDAP サーバーの種類。対象の LDAP サーバーに応じて正しい種類を選択してください。サーバーの種類によって、GCDS とサーバーの相互作用に多少の違いがあります。 |
| 接続タイプ |
暗号化された接続を使用するかどうかを選択します。
LDAP サーバーが SSL をサポートしている場合、または Windows サーバー上の Microsoft Active Directory で LDAP 署名を有効にしている場合は、[LDAP+SSL] を選択して正しいポート番号を入力します(次を参照)。それ以外の場合は、[Standard LDAP] を選択します。 |
| ホスト名 | LDAP ディレクトリ サーバーのドメイン名または IP アドレスを入力します。
例: ad.example.com or 10.22.1.1 |
| Port |
ホストのポートを指定します。よく使用されるオプション:
注: Active Directory を使用している場合は、3268(Global Catalog)または 3269(Global Catalog over SSL)を使用できます。 例: 389 |
| 認証タイプ | LDAP サーバーでの認証方法
LDAP サーバーで匿名の接続が許可されている場合、匿名での接続を使用するには、[Anonymous] を選択します。それ以外の場合は、[Simple] を選択します。 |
| Authorized user | サーバーに接続するユーザーを入力します。ユーザーには、すべてのオブジェクトを読み取り、LDAP 検索クエリを実行する権限が必要です。 LDAP ディレクトリ サーバーへのログインでドメインを指定する必要がある場合は、ドメインを含めてユーザーを指定します。 例: admin1 |
| Password | 許可されたユーザーのパスワードを入力します。パスワードは暗号化された形式で保存されます。
例: swordfishX23 |
| Base DN |
同期するサブツリーのベース DN を入力します。コンマの後にスペースは入れません。ベース DN が不明な場合は、LDAP 管理者に問い合わせるか、LDAP ブラウザをご確認ください。 このフィールドを空欄のままにすると、フォレスト内のすべてのドメインが検索されます。 例: ou=test,ou=sales,ou=melbourne,dc=ad,dc=example,dc=com |
通知属性
同期が完了すると、指定されたユーザーに GCDS からメールが送信されます。このメールは同期の確認と問題のトラブルシューティングに使用できます。[Notifications] ページでは、通知するユーザーとメールサーバーの設定を指定できます。
| 通知の設定 | 説明 |
|---|---|
| SMTP Relay Host |
通知に使用する SMTP メールサーバー。このメールサーバーは、GCDS でリレーホストとして使用されます。 例:
|
| Use SMTP with TLS |
TLS で SMTP を使用する場合は、このチェックボックスをオンにします(smtp.gmail.com では必須)。 サポートされている TLS バージョン - 1.0、1.1、1.2(GCDS バージョン 4.7.6 以降でサポート)。 |
| User Name Password |
SMTP サーバーで認証にユーザー名とパスワードが必要な場合は、ここにユーザー名とパスワードを入力します。
例: User Name: admin@solarmora.com |
| 送信元アドレス | 通知メールの差出人アドレスを入力します。このアドレスは通知の送信元として受信者に表示されます。
例Example: admin@solarmora.com |
| To addresses (recipients) |
このリストのすべてのアドレスに通知が送信されます。複数のアドレスを入力するには、各メールアドレスを入力した後に [Add] をクリックします。 メールサーバーの設定によっては、GCDS で外部のメールアドレスにメールを送信できない場合があります。[Test Notification] をクリックして、メールが正しく送信されることを確認してください。 例: dirsync-admins@solarmora.com |
| Use attachment | 同期レポートをメールの添付ファイルとして受け取る場合は、このチェックボックスをオンにします。レポートをメールの本文で受け取る場合は、このチェックボックスをオフにします。 |
| 添付ファイルを圧縮する | ZIP ファイル形式で圧縮された同期レポートを受け取る場合は、チェックボックスをオンにします。 |
| (省略可能)Do not include in notifications |
通知メールで送信される情報を制限し、次の項目を除外できます。
|
| 件名のプレフィックス | 通知メールの件名の先頭に追加する文字列を入力します。 |
例: Google アカウントのユーザー向けに通知を設定する
- [SMTP Relay Host] に「smtp.gmail.com」と入力します。
- [Use SMTP with TLS] チェックボックスをオンにします。
- [User Name] に Google アカウントのメールアドレスを入力します。
- [Password] にパスワードを入力します。
- 2 段階認証プロセスを使用する場合は、アプリ パスワードを作成する必要があります。詳しくは、アプリ パスワードでログインするをご覧ください。
- [From address] に、通知メールの送信者アドレスを入力します。
- [To addresses] に、GCDS レポートを受信するユーザーのメールアドレスを入力します。複数のアドレスを入力するには、各メールアドレスを入力した後に [Add] をクリックします。
- (省略可)SMTP 接続が切断されている場合は、Wireshark などのパケット キャプチャ ツールを使用して、問題の根本原因を特定します。
ロギングの設定
[Logging] ページでは、ロギングに関する設定を指定します。
| ロギングの設定 | 説明 |
|---|---|
| ファイル名 | ログファイルに使用するディレクトリとファイル名を入力するか、[Browse] をクリックしてファイル システムを参照、選択します。
例: sync.log 必要に応じて、ファイル名にプレースホルダ #{timestamp} を追加できます。プレースホルダは実行のたびに、ログファイルがディスクに保存される前の実際のタイムスタンプ(たとえば 20190501-104023)に置き換えられます。 プレースホルダを使用する場合、GCDS はシミュレーションまたは同期を実行するたびに新しいログファイルを生成します。30 日以上経過した古いログは削除されます。 例: sync.#{timestamp}.log 同期を 2019-05-01 の 10:40:23AM に実行すると、ログファイルの名前は sync.20190501-104023.log になります。 |
| ログレベル | ログの詳細レベル。次のオプションから選択します。
詳細レベルは累積的です。各レベルには、それより下のレベルのすべての詳細が含まれます(たとえば、ERROR には ERROR と FATAL のすべてのメッセージが含まれます)。. |
| Maximum log size |
ログファイルの最大サイズ(メガバイト単位)。 最大ログサイズには、すべてのバックアップ ファイルと現在のファイルが含まれます。バックアップ ファイルの数は、ログファイルの count 属性で決まります(以下を参照)。 1 ログファイルあたりの最大サイズを計算するには、<ログの最大サイズ> /(<ログファイル数> +1)を使用します。 例: 500 |
| ログファイルの数 |
ディスクに保存されるログファイルの数。デフォルトは 10 です。 注意: この設定はタグ <logFileCount> 内の構成ファイルでのみ変更できます。 |
ユーザー
ユーザー属性の設定
[User accounts] ページでは、LDAP ユーザーリストの生成時に使用する属性を指定します。
| LDAP ユーザー属性の設定 | 説明 |
|---|---|
| Email address attribute | ユーザーのメインのメールアドレスの LDAP 属性。デフォルトは mail です。 例: mail |
|
Enable invalid characters replacement Invalid character replacement |
このチェックボックスをオンにすると、スペースやメールアドレスの無効な文字が [Invalid character replacement] 欄で指定された文字列に置き換えられます。 チェックボックスをオンにしてフィールドが空白のままだと、GCDS によりスペースと無効な文字がメールアドレスから削除されます。 例 LDAP サーバーのメールアドレスは
|
| (省略可能)Unique identifier attribute | LDAP サーバーに存在するすべてのユーザー エンティティの一意の識別子を含む LDAP 属性。この値を指定すると、LDAP サーバーでユーザーの名前が変更されたときに GCDS でそれが検出され、変更が Google ドメインに同期されるようになります。このフィールドは省略可能ですが、指定することをおすすめします。
例: objectGUID |
| (省略可能)Alias address attributes | エイリアス アドレスを保持するために使用する 1 つ以上の属性。エイリアス アドレスは、メールアドレス属性の項目に含まれるメインのアドレスのニックネームとして、Google ドメインに追加されます。アドレスを入力し、[追加] をクリックします。 例: proxyAddresses 空欄の場合、Google のユーザー プロファイルに関連付けられたエイリアスは、GCDS の同期後に削除されません。引き続き Google でエイリアスを管理できます。 |
| Google domain users deletion/suspension policy | ユーザーの削除と停止に関するオプション。
|
| Don't suspend or delete Google admins not found in LDAP | オン(デフォルトのオプション)にすると、Google ドメインにある管理者アカウントが LDAP サーバーに見つからなくても、GCDS ではそのようなアカウントを停止または削除しません。 |
| (省略可能)Unique identifier attribute |
このフィールドでは、LDAP サーバー上のユーザー エンティティの一意の識別子として機能する LDAP 属性を指定できます。この属性を指定すると、GCDS で LDAP サーバー上のユーザーのメールアドレスの変更をモニタリングできます。これにより、ユーザーのメールアドレスが更新されたときに、GCDS は既存のユーザーを削除して更新されたメールアドレスで新しいユーザーを作成することなく、変更を Google ドメインと同期できます。 このフィールドを設定すると、GCDS はホーム ディレクトリに「nonAddressKeyMappingsFilePath.tsv」という名前の新しいマッピング ファイルを自動的に作成します。 このファイルの名前または場所を変更するには、XML 構成ファイルで <nonAddressKeyMappingsFilePath> タグを更新します。 このフィールドは省略可能ですが、使用することをおすすめします。 例: objectGUID |
その他のユーザー属性
その他のユーザー属性として、Google ドメイン ユーザーに関する追加情報(パスワードなど)を読み込むために使用できる省略可能な LDAP 属性があります。[User accounts] ページで、その他のユーザー属性を入力します。
| LDAP のその他のユーザー属性の設定 | 説明 |
|---|---|
| Given Name Attribute(s) | Google ドメインのユーザー名と同期される各ユーザーの名前(英語の場合は通常姓名の名)の LDAP 属性。
given name として複数の属性を使用することもできます。複数の属性を使用する場合は、各属性項目を角括弧で囲みます。 例: givenName,[cn]-[ou] |
| Family Name Attribute(s) | Google ドメインのユーザー名と同期される各ユーザーの名前(英語の場合は通常姓名の姓)の LDAP 属性。
例: surname, [cn]-[ou] |
| Display Name Attribute(s) |
各ユーザーの表示名の LDAP 属性。 例: displayName |
| Synchronize Passwords | GCDS で同期するパスワードを示します。Active Directory または HCL Domino を使用している場合は、以下の Password Encryption Method の「注」をご覧ください。次のいずれかの操作を行います。
|
| Password Attribute | 各ユーザーのパスワードの LDAP 属性。この属性を設定した場合、ユーザーの Google ドメイン パスワードが LDAP パスワードに一致するように同期されます。このフィールドでは文字列またはバイナリ属性がサポートされています。 例: CustomPassword1 |
| Password Timestamp Attribute | ユーザーのパスワードの最終変更日時を示すタイムスタンプの LDAP 属性。ユーザーがパスワードを変更すると、LDAP サーバーによってこの属性が更新されます。この項目は、[Synchronize Passwords] で [Only changed passwords] を選択した場合にのみ使用してください。このフィールドでは文字列属性がサポートされています。 例: PasswordChangedTime |
| Password Encryption Method | パスワード属性に使用する暗号化アルゴリズム。次のいずれかの操作を行います。
注: GCDS は、暗号化されていないパスワードの保存、ロギング、転送は行いません。LDAP ディレクトリにあるパスワードが Base64 で暗号化されているか平文である場合、GCDS はそのパスワードを直ちに SHA1 で暗号化して Google ドメインと同期します。同期をシミュレーションすると、完全同期ログにパスワードが SHA1 パスワードとして示されます。 この項目は、[Password Attribute] を指定した場合に限って使用します。[Password Attribute] の項目を空白にした場合、設定を保存して再読み込みすると、設定が既定の SHA1 にリセットされます。サポートされていないパスワード暗号化形式もあります。LDAP ディレクトリ サーバーをディレクトリ ブラウザで調べ、パスワードの暗号化形式を検索または変更します。 Active Directory と HCL Domino ディレクトリ サーバーの場合、デフォルトではこれらのいずれの形式でもパスワードが保存されません。新しいユーザー用のデフォルトのパスワードを設定し、初回ログイン時にパスワードを変更するようユーザーに求めることを検討してください。 |
| Force New Users to Change Password |
これをオンにすると、新しいユーザーは Google アカウントへの初回ログイン時にパスワードを変更する必要があります。これにより、LDAP 属性から、または新規ユーザー用のデフォルトのパスワードを指定して、初期パスワードを設定できます。ユーザーは初回ログイン時にそのパスワードを変更する必要があります。 次のいずれかのフィールドに属性を設定している場合は、このオプションを使用します。
注: ユーザーが Google パスワードを管理していない場合( Password Sync やシングル サインオン(SSO)を使用している場合など)は、この設定を有効にしないことをおすすめします。 |
| Default Password for New Users | すべての新しいユーザーのデフォルトのパスワードとなるテキスト文字列を入力します。ユーザーのパスワードがパスワード属性に含まれていない場合、GCDS はデフォルトのパスワードを使用します。
重要: ここでデフォルトのパスワードを入力した場合は、必ず [Force new users to change password] チェックボックスをオンにして、ユーザーがデフォルトのパスワードを使い続けないようにしてください。 例: swordfishX2! |
| Generated Password Length | ランダムに生成されるパスワードの長さ(文字数)。既定のパスワードを指定していない場合、ユーザーのパスワードが LDAP サーバーに見つからないときは、パスワードがランダムに生成されます。 |
ユーザー検索ルール
[User Accounts] ページの [Search rule] タブで、ユーザー検索ルールを追加します。検索ルールについて詳しくは、LDAP クエリを使用して同期するデータを収集するをご覧ください。
| LDAP ユーザー検索ルールに関する項目 | 説明 |
|---|---|
| Place users in the following Google domain Org Unit |
このルールに一致するユーザーを、どの Google 組織部門に含めるかを指定します。指定した組織部門が存在しない場合、ユーザーは Google ドメインのルートレベルの組織部門に追加されます。 このオプションは、[General Settings] ページで [Organizational Units] を有効にしている場合にのみ表示されます。 次のオプションがあります。
|
| Suspend these users in Google domain |
この LDAP ユーザーの同期ルールに一致するすべてのユーザーを停止します。 注:
|
| Scope Rule Base DN |
これらの項目の詳細については、LDAP クエリを使用して同期のためのデータを収集するをご覧ください。 |
ユーザー プロファイル属性
[User Profiles] ページで、LDAP ユーザー プロフィールの生成時に使用する属性を指定します。
| LDAP のその他のユーザー属性の設定 | 説明 |
|---|---|
| メインのメールアドレス | ユーザーのメインのメールアドレスの LDAP 属性。通常は、[LDAP Users] セクションに表示されるメインのメールアドレスと同じです。 |
| 役職 | メインの所属組織におけるユーザーの役職の LDAP 属性。 |
| 会社名 | メインの所属組織におけるユーザーの会社名の LDAP 属性。 |
| Assistant's DN | ユーザーのアシスタントの LDAP 識別名(DN)の LDAP 属性。 |
| Manager's DN | ユーザーの直接的な管理者の LDAP 識別名(DN)の LDAP 属性。 |
| 部門 | メインの所属組織におけるユーザーの部門の LDAP 属性。 |
| オフィスの所在地 | メインの所属組織におけるユーザーの会社の所在地の LDAP 属性。 |
| コストセンター | メインの所属組織におけるユーザーのコストセンター情報の LDAP 属性。 |
| ビルディング ID |
ユーザーが勤務するビルディングの ID の LDAP 属性。拠点となるオフィス ビルディングがないユーザーについては、「リモート作業中」に設定することもできます。 また、管理者はユーザーが自分の所在地を設定できるようにすることも可能です。詳しくは、ユーザーに写真とプロフィール情報の変更を許可するをご覧ください。 |
| Floor Name | ユーザーが作業している特定のフロア名の LDAP 属性。 |
| Employee ids | ユーザーの従業員 ID 番号の LDAP 属性。 |
| 追加のメール |
ユーザーの追加のメールアドレスの LDAP 属性。この項目には複数の値を入力できます。 注: この項目では、メールの種類が仕事用の場合のみアドレスの同期をサポートします。 |
| ウェブサイト |
ユーザーのウェブサイトの URL の LDAP 属性。この項目には複数の値を入力できます。 次の正規表現に一致するものが有効な URL とみなされます。
無効な URL はスキップされます。 |
| 再設定用のメールアドレス | ユーザーの再設定用メールアドレスの LDAP 属性。 |
| 再設定用の電話番号 |
ユーザーの再設定用電話番号の LDAP 属性。電話番号は、プラス記号(+)で始まる E.164 国際標準形式で指定する必要があります。 この属性は、角かっこを使用して式として設定できます。この方法では、追加の文字を含めることができます。 例:
|
| 仕事用の電話番号 | ユーザーの勤務先電話番号の LDAP 属性。 |
| 自宅の電話番号 | ユーザーの自宅電話番号の LDAP 属性。 |
| Fax phone numbers | ユーザーの FAX 番号の LDAP 属性。 |
| 携帯電話番号 | ユーザーの個人用携帯電話番号の LDAP 属性。 |
| 仕事用の携帯電話番号 | ユーザーの仕事用携帯電話番号の LDAP 属性。 |
| Assistant's Number | ユーザーのアシスタントの勤務先電話番号の LDAP 属性。 |
| 住所 | ユーザーのメインの勤務先住所のうち番地の LDAP 属性。 |
| 私書箱 | ユーザーのメインの勤務先住所の私書箱の LDAP 属性。 |
| 市区町村 | ユーザーのメインの勤務先住所の市区町村の LDAP 属性。 |
| 都道府県 | ユーザーのメインの勤務先住所の都道府県の LDAP 属性。 |
| 郵便番号 | ユーザーのメインの勤務先住所の郵便番号の LDAP 属性。 |
| 国 / 地域 | ユーザーのメインの勤務先住所の国または地域の LDAP 属性。 |
| POSIX UID | POSIX(Portable Operating System Interface)準拠のユーザー ID を含む LDAP 属性。 |
| POSIX GID | POSIX 準拠のグループ ID を含む LDAP 属性。 |
| POSIX ユーザー名 | アカウントのユーザー名を保持する LDAP 属性。 |
| POSIX ホーム ディレクトリ | アカウントのホーム ディレクトリへのパスを含む LDAP 属性。 |
POSIX ユーザー アカウント属性
Directory API を使用して編集できるユーザー アカウント属性を指定します。
注: 同期が成功すると、管理コンソールの [ユーザー情報] に POSIX の属性は表示されなくなります。
| POSIX ユーザー アカウント属性 | 説明 |
|---|---|
| username | ユーザーのメインのメールアドレス、エイリアス メールアドレス、または一意のユーザー ID。 |
| uid | このインスタンスにおける、このユーザーのユーザー ID。このプロパティは、1001 ~ 60000 または 65535 ~ 2147483647 の範囲の値にする必要があります。コンテナに最適化された OS にアクセスするには、UID の値が 65536 ~ 214748646 の範囲内になっている必要があります。UID は組織内で一意でなければなりません。 |
| gid | このインスタンスにおいて、このユーザーが属するグループ ID。 |
| homeDirectory | このインスタンスにおける、このユーザーのホーム ディレクトリ。/home/<ユーザー名> の形式。 |
組織部門
組織部門のマッピング
[Org units] ページでは、LDAP サーバーの組織部門と Google ドメインの組織部門との対応を指定します。
最上位の組織部門のマッピングを追加すると、GCDS で自動的に、LDAP ディレクトリ サーバー上の下位組織が同じ名前で Google ドメインの組織部門にマッピングされます。ルールを追加すると、下位組織のマッピングがオーバーライドされます。
簡単に LDAP の組織部門をマッピングする方法 - ルートの LDAP 組織部門(通常は Base DN)から「/」(Google ドメインのルート組織)へのマッピングを作成します。LDAP サーバーの同じ組織部門構造を使用して、Google ドメイン上の下位組織にユーザーがマッピングされます。Google ドメインの下位組織が作成されるように、検索ルールを作成する必要があることに留意してください。
新しい検索ルールを追加するには、[Add Mapping] をクリックします。
| マッピングの設定 | 説明 |
|---|---|
| (LDAP)Distinguished Name (DN) | マップ対象の LDAP ディレクトリ サーバーの DN。
例: ou=melbourne,dc=ad,dc=example,dc=com |
| (Google ドメイン)名前 | マップ対象の Google ドメインの組織部門の名前。Google ドメインのデフォルトの組織にユーザーを追加するには、スラッシュを 1 個(/)入力します。
例Example: Melbourne |
例: 複数の場所のマッピング
LDAP ディレクトリ サーバーで組織階層が 2 箇所(Melbourne と Detroit)の事業所に分割されているとします。Google ドメイン組織部門の階層は、この同じ階層に一致します。
- 第 1 ルール:
- (LDAP)DN: ou=melbourne,dc=ad,dc=example,dc=com
- (Google ドメイン)Name: Melbourne
- 第 2 ルール:
- (LDAP)DN: ou=detroit,dc=ad,dc=example,dc=com
- (Google ドメイン)Name: Detroit
例: LDAP 組織部門を Google のルート組織部門にマッピングする
- (LDAP)DN: ou=corp,dc=ad,dc=example,dc=com
- (Google ドメイン)Name: /
例: LDAP 組織部門を Google の第 1 レベルの組織部門にマッピングする
- (LDAP)DN: ou=detroit,ou=corp,dc=ad,dc=example,dc=com
- (Google ドメイン)Name: Detroit
例: LDAP 組織部門を Google の第 2 レベルの組織部門にマッピングする
- (LDAP)DN: ou=detroit staff,ou=detroit,ou=corp,dc=ad,dc=example,dc=com
- (Google ドメイン)Name: Detroit/Detroit Staff
組織部門検索ルール
[Org units] ページで、LDAP 組織部門の検索ルールを指定します。
| LDAP 組織部門の検索ルールの設定 | 説明 |
|---|---|
| (省略可能)Org Unit description attribute | 各組織部門の説明を含む LDAP 属性。空白のままにすると、作成した組織部門に説明は含まれません。 例: description |
| Scope Rule Base DN |
これらの項目の詳細については、LDAP クエリを使用して同期のためのデータを収集するをご覧ください。 |
組織部門の管理
[Org units] ページの [LDAP Org Units Mappings] タブで、Google の組織部門の管理方法を指定します。
| 組織部門の設定 | 説明 |
|---|---|
| Don't delete Google Organizations not found in LDAP |
オンにすると、LDAP サーバーに存在しない Google の組織部門も同期中に保持されます。 |
| Don't create or delete Google Organizations, but move users between existing Organizations |
オンにすると、Google の組織部門は LDAP サーバーと同期されませんが、ユーザー検索ルールで指定された既存の Google 組織部門にユーザーを追加できます。 オフにすると、指定したマッピングに従って、LDAP サーバーの組織構造に一致するように Google の組織部門の追加と削除が行われます。 |
グループ
グループ検索ルール
メーリング リストを Google グループのグループとして同期するには、[Groups] ページの [Add Search Rule] をクリックし、ダイアログ ボックスの項目を指定します。
| LDAP グループ属性の設定 | 説明 |
|---|---|
| Scope Rule Base DN |
これらの項目の詳細については、LDAP クエリを使用して同期のためのデータを収集するをご覧ください。 |
| Group email address attribute | グループのメールアドレスを含む LDAP 属性。これは Google ドメインのグループのメールアドレスになります。
例: mail |
| Group display name attribute | グループの表示名を含む LDAP 属性。グループを表す表示で使用されます。有効なメールアドレスである必要はありません。 |
| (省略可能)Group description attribute | グループの説明全文を含む LDAP 属性。これは Google ドメインのグループの説明になります。
例: extendedAttribute6 |
| User email address attribute | ユーザーのメールアドレスの LDAP 属性。DN が指定されたグループのメンバーとオーナーのメールアドレスを取得するために使用されます。
例: mail |
| Group object class attribute |
グループを表す LDAP オブジェクト クラスの値。ユーザーであるメンバーをグループ メンバーから区別するために使用します。 例: group |
| Dynamic (Query-based) group | オンにすると、この検索ルールに一致するすべてのメーリング リストは動的(クエリベース)グループとして扱われ、[Member Reference Attribute] の値が、グループ メンバーの条件を指定するクエリとして扱われます。 検索ルールを Exchange 動的配布グループに適用する場合は、このチェックボックスをオンにしてください。 注: XML 設定ファイルで DYNAMIC_GROUPS を手動で有効化し、INDEPENDENT_GROUP_SYNC を省略した場合は、最初のグループ検索ルールに動的グループ検索ルールを配置する必要があります。詳しくは、GCDS の一般的な問題のトラブルシューティングをご覧ください。 |
| Member reference attribute (このフィールドまたは Member Literal attribute 属性は必須です) |
[Dynamic (Query-based) group] をオフにした場合は、LDAP ディレクトリ サーバーに登録されているメーリング リストのメンバーの LDAP 識別名(DN)の LDAP 属性をこの項目で指定する必要があります。
GCDS はこれらのメンバーのメールアドレスを検索し、各メンバーを Google ドメインのグループに追加します。 [Dynamic (Query-based) group] をオンにした場合、GCDS でグループ メンバーを確認するために使用されるフィルタの LDAP 属性をこの項目で指定する必要があります。 例(動的でない): memberUID 例(動的): msExchDynamicDLFilter |
| Member literal attribute (このフィールドまたは Member reference attribute 参照属性は必須です) |
LDAP ディレクトリ サーバーに登録されているメーリング リストのメンバーの完全なメールアドレスを含む属性。GCDS は各メンバーを Google ドメインのグループに追加します。
例: memberaddress |
| Dynamic group Base DN attribute | [Dynamic (Query-based) group] をオンにした場合、[Member Reference Attribute] で指定したクエリを適用するベース DN を持つ LDAP 属性をこの項目で指定する必要があります。 Exchange と GCDS の動的グループは、メンバーを LDAP クエリとして指定することで機能します。[Member reference attribute] には、LDAP クエリと、クエリが実行されるベース DN を指す [Dynamic group Base DN attribute] が含まれます。 例: LDAP の動的グループの属性と値 dn: CN=MyDynamicGroup,OU=Groups,DC=altostrat,DC=com 通常この属性は、グループ メンバー(member)リストが空白であることを示すために使われます。そのため、代わりに「Users」組織部門で bob.smith や jane.doe などを検索する LDAP クエリを利用できます。 |
| (省略可能) Owner reference attribute | 各グループの所有者の LDAP 識別名(DN)の属性。
GCDS は各メーリング リスト所有者のメールアドレスを検索し、そのアドレスをグループ所有者として Google ドメインに追加します。 例: ownerUID |
| (省略可能)Owner literal attribute | 各グループのオーナーの完全なメールアドレスの属性。
GCDS は、そのアドレスをグループ オーナーとして Google ドメインに追加します。 例: owner |
| (省略可能)Alias address attributes |
エイリアス アドレスを含む 1 つ以上の属性。アドレスは、グループのメインのメールアドレスのエイリアスとして Google グループに追加されます。 空欄の場合、グループに関連付けられたエイリアスは削除されません。エイリアスは組織の Google アカウントで管理することもできます。 例: proxyAddresses |
| (省略可)Group unique identifier attribute |
このフィールドでは、LDAP サーバーのグループ エンティティの一意の識別子として機能する LDAP 属性を指定できます。この属性を指定すると、GCDS で LDAP サーバー上のグループのメールアドレスの変更をモニタリングできます。これにより、グループが更新されたときに、GCDS は既存のグループを削除して新しいメールアドレスで新しいグループを作成することなく、変更を Google ドメインと同期できます。 このフィールドを設定すると、GCDS はホーム ディレクトリに「groupKeyMappingsFilePath.tsv」という名前の新しいマッピング ファイルを作成します。このファイルの名前または場所を変更するには、XML 構成ファイルの <groupKeyMappingsFilePath> タグを更新します。このフィールドは省略可能ですが、使用することをおすすめします。 例: objectGUID |
グループ検索ルール(Prefix-Suffix)
LDAP サーバーがメーリング リストのメールアドレスまたはメーリング リストのメンバーのメールアドレスとして提供する値に対し、必要に応じて GCDS でプリフィックスまたはサフィックスを追加することができます。[Groups] ページの [Prefix-Suffix] タブでプリフィックスまたはサフィックスを指定します。
| LDAP グループのルールの設定 | 説明 |
|---|---|
| Group email address—Prefix | 対応するグループのメールアドレスを作成するときに、メーリング リストのメールアドレスの先頭に追加するテキスト。
例: groups- |
| Group email address—Suffix | 対応するグループのメールアドレスを作成するときに、メーリング リストのメールアドレスの末尾に追加するテキスト。
例: -list |
|
Enable invalid characters replacement Invalid character replacement |
このチェックボックスをオンにすると、スペースやメールアドレスの無効な文字が [Invalid character replacement] 欄で指定された文字列に置き換えられます。 チェックボックスをオンにしてフィールドが空白のままだと、GCDS によりスペースと無効な文字がメールアドレスから削除されます。 例 LDAP サーバーのメールアドレスは
|
| Member email address—Prefix | 対応するグループ メンバーのメールアドレスを作成するときに、メーリング リストの各メンバーのメールアドレスの先頭に追加するテキスト。 |
| Member email address—Suffix | 対応するグループ メンバーのメールアドレスを作成するときに、メーリング リストの各メンバーのメールアドレスの末尾に追加するテキスト。 |
| Owner email address—Prefix | 対応するグループオーナーのメールアドレスを作成するときに、メーリング リストの各オーナーのメールアドレスの先頭に追加するテキスト。 |
| Owner email address—Suffix | 対応するグループオーナーのメールアドレスを作成するときに、メーリング リストの各オーナーのメールアドレスの末尾に追加するテキスト。 |
マネージャー ロールの設定ポリシー
[Groups] ページの [Search rules] タブで、Google グループのマネージャー ロールを同期する方法を指定します。
注:
- Active Directory はグループ管理者ロールをサポートしていません。GCDS で Google グループのマネージャー ロールが同期される仕組みについては、以下をご覧ください。
- GCDS では同期プロセス中に管理者ロールをプロビジョニングしません。
| 設定 | 説明 |
|---|---|
| Skip managers from sync | 同期ではマネージャーの役割が無視されます。GCDS が役割を変更することはありません。 |
| Keep managers | ユーザーの LDAP データにオーナーまたはメンバーの役割がない場合、Google のマネージャーの役割は保持されます。ユーザーの LDAP データにオーナーまたはメンバーの役割がある場合、Google のマネージャーの役割は削除され、置き換えられます。 |
| Sync managers based on LDAP server | ユーザーの LDAP データにオーナーまたはメンバーの役割がある場合、Google のマネージャーの役割は削除され、置き換えられます。ユーザーが LDAP データのグループのメンバーでない場合、そのユーザーは Google グループから削除されます(マネージャー ロールを含む)。 |
Google グループの削除ポリシー
[Groups] ページの [Search rules] タブで、Google グループの管理方法を指定します。
| グループ削除ポリシーの設定 | 説明 |
|---|---|
| Don't delete Google Groups not found in LDAP | オンにすると、対応するグループが LDAP サーバーになくても、Google ドメインでの Google グループの削除が無効になります。 |
連絡先とカレンダー
共有の連絡先の属性
[Shared Contacts] ページで、LDAP の共有の連絡先の生成時に使用する属性を指定します。
| LDAP の共有の連絡先の属性 | 説明 |
|---|---|
| Sync key | 連絡先を表す一意の識別子の LDAP 属性。変更する可能性が低いすべての連絡先に存在する属性で、各連絡先で一意となる属性を選択します。この項目は連絡先の ID になります。
例: dn または contactReferenceNumber |
| フルネーム | 連絡先のフルネームの LDAP 属性。
例: [prefix] - [givenName] [sn] [suffix] |
| 役職 | 連絡先の役職の LDAP 属性。この項目は、上述の Full name 属性と同じ構文を使用して、複数の連結した項目で構成することができます。 |
| 会社名 | 連絡先の会社名の LDAP 属性。 |
| Assistant's DN | 連絡先のアシスタントの LDAP 識別名(DN)の LDAP 属性。 |
| Manager's DN | 連絡先の直接的な管理者の LDAP 識別名(DN)の属性。 |
| 部門 | 連絡先の部署の LDAP 属性。この項目は、上述の Full name 属性と同じ構文を使用して、複数の連結した項目で構成することができます。 |
| オフィスの所在地 | 連絡先の会社の所在地の LDAP 属性。この項目は、上述の Full name 属性と同じ構文を使用して、複数の連結した項目で構成することができます。 |
| 仕事用メールアドレス | 連絡先のメールアドレスの LDAP 属性 |
| Employee ids | 連絡先の従業員 ID 番号の LDAP 属性。 |
| 仕事用の電話番号 | 連絡先の勤務先電話番号の LDAP 属性。 |
| 自宅の電話番号 | 連絡先の自宅電話番号の LDAP 属性。 |
| FAX 番号 | 連絡先の FAX 番号の LDAP 属性。 |
| 携帯電話番号 | 連絡先の個人用携帯番号の LDAP 属性。 |
| 仕事用の携帯電話番号 | 連絡先の仕事用携帯番号の LDAP 属性。 |
| Assistant's Number | 連絡先のアシスタントの勤務先電話番号の LDAP 属性。 |
| 住所 | 連絡先のメインの勤務先住所のうち番地の部分の LDAP 属性。 |
| 私書箱 | 連絡先のメインの勤務先住所の私書箱の LDAP 属性。 |
| 市区町村 | 連絡先のメインの勤務先住所の市区町村の LDAP 属性。 |
| 都道府県 | 連絡先のメインの勤務先住所の都道府県の LDAP 属性。 |
| 郵便番号 | 連絡先のメインの勤務先住所の郵便番号の LDAP 属性。 |
| 国 / 地域 | 連絡先のメインの勤務先住所の国または地域の LDAP 属性。 |
カレンダー リソースの属性
[Calendar Resources] ページで、LDAP カレンダー リソース リストの生成時に使用する属性を指定します。
| LDAP カレンダー属性の設定 | 説明 |
|---|---|
| リソース ID | カレンダー リソースの ID の LDAP 属性。これは LDAP システムで管理される項目であり、カスタム属性の場合があります。このフィールドは一意である必要があります。
重要: カレンダー リソースでは、スペースまたは特殊文字(アットマーク(@)やコロン(:)など)の LDAP 属性は同期されません。 カレンダー リソースの命名方法について詳しくは、リソースの命名規則をご覧ください。 |
| (省略可)表示名 |
カレンダー リソースの名前の LDAP 属性。 例: [building]-[floor]-Boardroom-[roomnumber] この例では、building、floor、roomnumber が LDAP 属性です。同期後、これらの属性は適切な値に置き換えられます(例: Main-12-Boardroom-23)。 |
| (省略可)説明 | カレンダー リソースの説明の LDAP 属性。
例: [description] |
| (省略可)リソースタイプ | カレンダー リソースの種類の LDAP 属性。
重要: カレンダー リソースでは、スペースまたは特殊文字(アットマーク(@)やコロン(:)など)の LDAP 属性は同期されません。 |
| (省略可)Mail | カレンダー リソースのメールアドレスの LDAP 属性。この属性は、CSV 書き出しオプションの [Export Calendar resource mapping] でのみ使用します。GCDS は Google カレンダー リソースのメールアドレスを設定しません。 |
| (省略可)カレンダー リソースのマッピングをエクスポートする | LDAP カレンダー リソースと、対応する Google ドメインのリソースをリストした CSV ファイルを生成します。 Google Workspace Migration for Microsoft Exchange(GWMME)で CSV ファイルを使用すると、Microsoft Exchange カレンダー リソースの内容を、適切な Google カレンダー リソースに移行することができます。GWMME について詳しくは、GWMME とはをご覧ください。 |
関連トピック
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。