Google ドメインに特定の属性があり、LDAP サーバーに異なる属性があるユーザーはいますか?また、それらの異なる属性を維持したいですか?Google Cloud Directory Sync(GCDS)で同期中にユーザーの属性が変更されないようにするにはどうすればよいですか?
正解は、LDAP データ用と Google ドメイン データ用の 2 つの除外ルールが必要です。
シナリオの例
LDAP サーバーと Google ドメインの両方にユーザー fred@solarmora.com が存在する場合のシナリオは次のとおりです。
- Google ドメイン - Fred は「テストユーザー」サブ組織に属しています。
- LDAP サーバー - Fred は「Finance」組織部門に所属しています。
- 検索ルール - 「財務」組織部門のユーザーを Google ドメインの「財務」サブ組織に配置する検索ルールがあります。
- 除外ルール - Fred がメンバーである「/Test Users」の Google 組織の完全なパスの除外ルールがあります。
同期が実行されると、GCDS は「/Test Users」除外ルールにより、Google ドメインでの fred@solarmora.com の存在を無視しますが、LDAP の結果で fred@solarmora.com を認識するため、作成を試みます。Fred は Google ドメインにすでに存在するため、再作成されませんが、他のアクション(Fred が正常に作成されることに依存するアクション)は実行されます。たとえば、Fred が「Finance」サブ組織に配置されているとします。
このシナリオを回避するには、LDAP サーバーと Google ドメインの両方からユーザーを除外する必要があります。これを行うには、Google ドメインの除外ルールと連携する LDAP 除外ルールを追加します。この例では、メールアドレスで LDAP 除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。
複数のユーザーに向けた最善の方法
GCDS を使用すると、LDAP サーバーを使用して複数のユーザーを簡単に管理できます。
LDAP サーバーの組織部門に関係なく、Google ドメインの特別な組織部門に配置するユーザー グループがある場合は、次の方法をおすすめします。
- LDAP サーバーで、カスタム属性またはグループ メンバーシップを使用してこれらのユーザーにマークを付けます。
- これらのユーザーのみに一致する検索ルールを作成します。たとえば、カスタム属性またはグループ メンバーシップ名("memberOf=groupname")を検索するルールを使用します。
検索ルールを特定の組織部門にマッピングします。
注: 検索ルールを優先度の高いものに設定すると、ユーザーが複数の検索ルールに該当する場合に、特別な組織部門に転送されます。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。