Google ドメインに特定の属性があり、LDAP サーバーに異なる属性があるユーザーはいますか?これらの異なる属性を維持しますか?Google Cloud Directory Sync(GCDS)で同期中にユーザーの属性が変更されないようにするにはどうすればよいですか?
答えは、LDAP データ用と Google ドメインデータ用の 2 つの除外ルールが必要になるということです。
シナリオの例
LDAP サーバーと Google ドメインの両方にユーザー fred@solarmora.com が存在する場合のシナリオは次のとおりです。
- Google ドメイン - Fred は「テストユーザー」サブ組織に属しています。
- LDAP サーバー - Fred は「Finance」組織部門に所属しています。
- 検索ルール - 「財務」組織部門のユーザーを Google ドメインの「財務」サブ組織に配置する検索ルールがあります。
- 除外ルール - Fred がメンバーである「/Test Users」の Google 組織の完全なパスの除外ルールがあります。
同期が実行されると、GCDS は「/Test Users」除外ルールにより、Google ドメインに fred@solarmora.com が存在することを無視しますが、LDAP の結果で fred@solarmora.com を認識するため、このユーザーを作成しようとします。Fred は Google ドメインにすでに存在するため、再作成されませんが、他のアクション(Fred が正常に作成されることに依存するアクション)は実行されます。たとえば、Fred は「Finance」サブ組織に配置されています。
このシナリオを回避するには、ユーザーを LDAP サーバーと Google ドメインの両方から除外する必要があります。これを行うには、Google ドメインの除外ルールと連携する LDAP 除外ルールを追加します。この例では、メールアドレスで LDAP 除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。
複数のユーザーに向けた最善の方法
GCDS を使用すると、LDAP サーバーを使用して複数のユーザーを簡単に管理できます。
LDAP サーバーの組織部門に関係なく、Google ドメインの特定の組織部門にユーザー グループを配置する場合は、次の方法が最適です。
- LDAP サーバーで、カスタム属性またはグループ メンバーシップを使用してこれらのユーザーにマークを付けます。
- これらのユーザーのみに一致する検索ルールを作成します。たとえば、カスタム属性またはグループ メンバーシップ名(「memberOf=groupname」)を検索するルールを使用します。
- 検索ルールを特別な組織部門にマッピングします。注: ユーザーが複数の検索ルールで検出された場合でも特定の組織部門に送られるように、検索ルールの優先度を高く設定できます。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。