フォーム読み込み中
Directory Sync を使用して同期されたユーザーのドメイン名を自動的に置き換えてみる
クラウドテクノロジーブログ編集チーム
ソフトバンクのエンジニアが、その専門分野で様々な記事を日々執筆しています。
2023年10月5日掲載
去年、GWSにてDirectory Syncを使用する事ができるようになりました。
この一年間が経ち、Directory Syncの利用できる機能が増え、設定も便利になりつつあります。
吸収合併などの際、会社の元のドメインを、Google Cloud ディレクトリ内で同期することが可能であることはご存知でしょうか。
本記事では、同期されたユーザーとグループのドメイン名を自動的に置き換えることができる新機能を紹介します。
言い換えると、同期された Google ユーザーとグループは、同期後に外部ディレクトリで使用されているドメインとは異なるドメイン名を持つことができます。
はじめに
ドメインの変更を、新しく同期されるユーザーとグループに対して行うか、新しく同期されるユーザーとグループおよび以前に同期したユーザーとグループに対して行うかを指定できます。
管理者は、以下に対してドメイン変更を行うかどうかを指定できます。
- 新しく同期されたユーザーとグループ
- 新規および以前に同期したユーザーとグループ
本記事は新しく同期されたユーザーとグループ を対象に、実際の検証を実施したプロセスと注意点などを紹介したいと考えます。下記のテーブルとダイアグラムに移行検証の構成要素とシナリオを表示しますので、ご理解を促していただければよいかと考えます。
事前操作
・有効化にする
まずはGWSコンソールで全般設定までアクセスし、「メールドメインの置き換え」をオフからオンに変更する。続きは、本検証中自動的に置き換える予定のドメインを選びます。(本検証は<dev.ep-cloud.jp>を選定した)
※この設定をしても既存のドメインに影響がないことを確認しました。
上記の事前設定が完了後、自動置き換えの機能が使え、指定のドメインに統合することができるようになります。
・Azure AD を追加
元々オンプレのADをGWSのDirectorySyncで同期する予定でしたが、GCPかAzureかを経由して接続可能なネットワークを構築しないといけません。
しかし、今年リリースされた【AZURE ACTIVE DIRECTORY を追加】をまとめて検証するため、ここではオンプレではなくこの便利な新機能で試してみます。
まずはGWSコンソールにて【AZURE ACTIVE DIRECTORY を追加】をクリックし、【続行】に進みます。
そして、追加したいAzure Active Directoryでディレクトリ名を記入し、【承認して保存】に進み、お持ちのMicrosoftアカウントでMicrosoft Azureにログインします(2段階認証は必要かもしれない)。
正しいコードを入力し、【検証】をクリックすると、下記の「要求されているアクセス許可」の画面が現れ、「組織の代理として同意する」にチェックを入れてから【承諾】をクリックする。設定に問題がなければ、「Azure Active Directory」と「Google Directory」との間に接続成功のマークが表示されるので、【続行】をクリックしたら接続が完了になります。
同期実施
接続が完了したら、ユーザー同期の設定を実施します。
手続きとして、GWSコンソールにて【ユーザー同期】に進むと同時に、AzureADにて同期予定のユーザー情報を確認します(「Azure_exchange_test」を確認した)。
確認完了後、GWSコンソールの【ユーザー同期】に戻って設定します。
設定手順が下記となっています。
Step1
「ユーザースコープ」のユーザーを同期するグループを指定する所に、「Azure_exchange_test」とのグループ名を記入し、【所有権を証明】をクリックし、【続行】に進みます。
事前にGWSコンソールで、【組織部門の作成】をクリックし、目標ドメイン元で新しい組織部門を作成をクリックし、「組織部門の名前】に “Azureドメイン切り替えテスト” を記入してから【作成】ボタンをクリックします。
Step2
組織部門にて事前に作成された「Azureドメイン切り替えテスト」が存在することを確認した後、「組織部門のマッピング」をクリックし、同期対象である「Azureドメイン切り替えテスト」を選び、【続行】ボタンをクリックして次のステップに進みます。
Step3
「ユーザー属性」にて必須属性を確認し、「名前」「姓」「メインのメール」の三箇所に下記の図のように記入します。
また、アカウントの有効化にて「次の宛先に有効化の案内メールを送信する」にチェックを入れ、【続行】ボタンをクリックして次に進みます。
「プロビジョニング解除」にて [Google Directoryでユーザーを停止する]にチェックを入れないままで、【続行】ボタンをクリックして次に進みます。
「安全保護対策」にてデフォルトのままで「同期をシミュレート」に進み、「今すぐシミュレーションを開始」をクリックします。
上記の設定を終えたら、下記の同期シミュレートを開始してみてください。
Step4(同期と置き換え成功の結果)
設定に問題がなければ、下記の画像のように成功の緑色を表示してくれますが、設定が間違った場合は赤色が出てしまうので、その時一度前のステップに戻ってチェックした上で再設定の方を実施してください。
同期シミュレーションが成功の場合は、本番の同期の実行に移り、【同期を有効にして実行】ボタンをクリックして進んでください。
同期実行完了後、GWSコンソール上で同期された元々[***paas.onmicrosoft.com] のドメインが自動的に [dev.**-cloud.jp] のドメインに切り替えることを確認できれば、本検証は成功と言えます。
まとめ
「Directory Sync を使用し、同期されたユーザーのドメイン名の自動置き換えの新機能」の操作手順を紹介しました。
当該機能は問題なく実行できたことを確認しました。しかし、今回はAzureからGWSへの移行を仮定した検証として成功しましたが、実際の場合はオンプレとGWSとの移行・共存が多いため、実用に向けてオンプレのADとの検証を後に実施する必要があります。
もし自社でDirectorySyncを利用してたくさんの別のドメインのユーザを同期する需要がありましたら(特に大規模な移行などを実施する予定のある会社様にとって)、その自動のドメイン置き換え機能を利用することになるかもしれないため、ぜひ試してみてください。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
