Google ドメインと LDAP サーバーで異なる属性を持つユーザーがいますか?また、それらの異なる属性を維持したいですか?Google Cloud Directory Sync(GCDS)で同期中にユーザーの属性が変更されないようにするにはどうすればよいですか?
答えは、LDAP データ用と Google ドメインデータ用の 2 つの除外ルールが必要になるということです。
シナリオの例
次のシナリオでは、ユーザー fred@solarmora.com が LDAP サーバーと Google ドメインの両方に存在します。
- Google ドメイン - Fred は「テストユーザー」サブ組織に属しています。
- LDAP サーバー - Fred は「Finance」組織部門に所属しています。
- 検索ルール - 「財務」組織部門のユーザーを Google ドメインの「財務」サブ組織に配置する検索ルールがあります。
- 除外ルール - Fred がメンバーである「/Test Users」の Google 組織の完全なパスの除外ルールがあります。
同期が実行されると、GCDS は「/Test Users」除外ルールにより Google ドメインでの fred@solarmora.com の存在を無視しますが、LDAP の結果で fred@solarmora.com を認識するため、fred@solarmora.com を作成しようとします。Fred は Google ドメインにすでに存在するため、再作成されませんが、他のアクション(Fred が正常に作成されることに依存するアクション)は実行されます。たとえば、Fred が「Finance」というサブ組織に配置されているとします。
このシナリオを回避するには、ユーザーを LDAP サーバーと Google ドメインの両方から除外する必要があります。これを行うには、Google ドメインの除外ルールと連携する LDAP 除外ルールを追加します。この例では、メールアドレスで LDAP 除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。
複数のユーザーに向けた最善の方法
GCDS を使用すると、LDAP サーバーを使用して複数のユーザーを簡単に管理できます。
LDAP サーバーの組織部門に関係なく、Google ドメインの特別な組織部門にユーザー グループを配置する場合は、次の方法が最適です。
- LDAP サーバーで、カスタム属性またはグループ メンバーシップを使用してこれらのユーザーにマークを付けます。
- これらのユーザーのみに一致する検索ルールを作成します。たとえば、カスタム属性またはグループ メンバーシップ名(「memberOf=groupname」)を検索するルールを使用します。
- 検索ルールを特別な組織部門にマッピングします。注: ユーザーが複数の検索ルールで検出された場合でも特定の組織部門に送られるように、検索ルールの優先度を高く設定できます。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。