ユーザーが Google ドメインと LDAP サーバーに存在し、そのユーザーの Google ドメインでの属性が LDAP サーバーでの属性と異なることがあります。そうしたさまざまな属性を維持したい場合に、Google Cloud Directory Sync (GCDS) で、同期中にユーザーの属性が変更されないようにするにはどうすればよいでしょうか。
その解決法は 2 つの除外ルールを用意することです。1 つは LDAP データ用、もう 1 つは Google ドメインデータ用です。
使用例
[email protected] というユーザーが、LDAP サーバーと Google ドメインに存在する例を挙げて説明します。
- Google ドメイン - Fred さんは下位組織の「Test Users」に属しています。
- LDAP サーバー - Fred さんは組織部門「Finance」に属しています。
- 検索ルール - 組織部門「Finance」のユーザーを検索し、Google ドメインの下位組織「Finance」に配置する検索ルールが設定されています。
- 除外ルール - Fred さんが所属する Google ドメインの組織のパス「/Test Users」全体に対する除外ルールが設定されています。
同期の実行時、「/Test Users」の除外ルールにより Google ドメインに存在する [email protected] は GCDS で無視されますが、LDAP の結果には表示されるため、このユーザーの作成が試行されます。Fred さんは Google ドメインに既に存在するため、ユーザーは再作成されませんが、その他の処理が実行されます(処理内容は Fred さんが正しく作成されているかどうかにより異なります)。たとえば Fred さんは下位組織「Finance」に配置されてしまいます。
上記の状況を回避するには、LDAP サーバーと Google ドメインの両方からユーザーを除外する必要があります。そのためには、Google ドメインの除外ルールと連携する LDAP の除外ルールを追加します。この例では、メールアドレスを使用して LDAP の除外ルールを追加します。詳しくは、GCDS を使用した除外ルールの設定をご覧ください。
複数のユーザーを操作する場合の対応方法
GCDS の使用時には、LDAP サーバーを使用して複数のユーザーを管理した方が簡単です。
あるユーザー グループが LDAP サーバーでどの組織部門に属しているかにかかわらず、そのグループを Google ドメインの特定の組織部門に配置するには、次の方法がおすすめです。
- LDAP サーバーで、該当するユーザーにカスタム属性またはグループ メンバーシップでマークを付けます。
- このようなユーザーのみと一致する検索ルールを作成します。たとえば、カスタム属性またはグループ メンバーシップの名前を検索するルール("memberOf=groupname")を作成します。
- 検索ルールを特定の組織部門にマッピングします。
注: ユーザーが複数の検索ルールで検出された場合でも特定の組織部門に送られるように、検索ルールの優先度を高く設定できます。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。
