設定マネージャーを使用した同期の設定

[General Settings] ページで、LDAP サーバーから同期する項目を指定します。次のうち 1 つ以上を選択します。

• 組織部門
• ユーザー アカウント
• グループ
• ユーザー プロフィール
• カスタム スキーマ
• 共有の連絡先
• カレンダー リソース
• ライセンス

設定マネージャーの [Google Domain Configuration] ページで、Google ドメインの接続情報を定義します。

[Connection Settings] タブ

• Primary Domain Name - Google アカウントのプライマリ ドメイン名を入力します。プライマリ ドメインの所有権の証明が完了していることをご確認ください。詳しくは、Google Workspace のドメインの所有権を証明するをご覧ください。
• Replace domain names in LDAP email addresses - このチェックボックスをオンにすると、GCDS により LDAP メールアドレスが [Alternative email domain] に表示されているドメインと一致するように変更されます。[Alternate email domain] が空白の場合、GCDS により LDAP メールアドレスが [プライマリ ドメイン名 ] のドメインと一致するように変更されます。
• Alternate email domain - ユーザーの予備のドメイン（テストドメインなど）を指定します。それ以外の場合は、空欄のままにしてください。
• Authorize access using OAuth - GCDS を承認するには、次の操作を行います。
  1. [Authorize Now] [Sign In] をクリックします。
  2. 特権管理者のユーザー名とパスワードで Google アカウントにログインします。

     認証が成功すると、確認コードが届いたことを確認するメッセージが表示されます。これで GCDS の承認は完了です。

[Proxy Settings] タブ

ネットワーク プロキシ設定をここで入力します。サーバーからインターネットへの接続にプロキシを必要としない場合、このタブは省略できます。

[Exclusion Rules] タブ

LDAP システムにない Google ドメインの情報（Google アカウントにのみ存在するユーザーなど）を維持するには、除外ルールを使用します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

設定マネージャーの [LDAP Configuration] ページで、LDAP サーバー情報を入力します。

LDAP サーバーを構成する際は、GCDS から LDAP サーバー間の接続が暗号化されるよう、セキュア LDAP を使用することをおすすめします。

LDAP サーバーに OpenLDAP または Active Directory を選択した場合は、デフォルトのパラメータを使って同期を設定できるように、各設定ページの下部にある [Use defaults] をクリックします。後から必要に応じて設定をカスタマイズできます。

LDAP 認証の設定が終わったら、[Test Connection] をクリックします。入力した設定を確認するため、設定マネージャーから LDAP サーバーへの接続が行われ、ログインが試行されます。

関連トピック

• LDAP 接続の設定

[General Settings] ページで、同期したいオブジェクトのタイプの横にあるチェックボックスをオンにします。

設定マネージャーの [Org Units] ページで、LDAP の組織部門と Google アカウントの組織部門との関連付けを行います。

各タブをクリックして次の情報を入力します。

• LDAP Org Unit Mappings - LDAP サーバーの最上位にある組織部門のマッピングを追加します。LDAP ディレクトリ サーバー上の下位組織が Google の組織部門に同じ名前でマッピングされます。

  注: 組織部門の名前に「/」は使用できません。

  [Do not create or delete Google Organizations] チェックボックスをオンにすると、LDAP サーバーからの組織部門の同期は行われません。ただし、どのユーザーがどの組織部門に所属するかはユーザー アカウント ルールで指定できます。

  組織部門のマッピング ルールの追加方法について詳しくは、組織部門のマッピングをご覧ください。

• Search Rules - LDAP クエリ表記法を使用して、読み込み、同期する組織単位を指定します。
  検索ルールは除外ルールを使って変更できます。詳しくは、組織部門の検索ルールをご覧ください。
• Exclusion Rules - LDAP ディレクトリ サーバー上の組織部門のうち、検索ルールに一致しても Google アカウントに追加したくない組織部門がある場合は、除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

例: LDAP ディレクトリ サーバーで組織階層が 2 か所（メルボルンとデトロイト）の会社所在地に分かれているとします。Google の組織部門の階層も、これと同じ階層になります。

1 つ目のルール:

• （LDAP）DN: ou=melbourne,dc=ad,dc=example,dc=com
• （Google ドメイン）Name: Melbourne

2 つ目のルール:

• （LDAP）DN: ou=detroit,dc=ad,dc=example,dc=com
• （Google ドメイン）Name: Detroit

設定マネージャーの [User Accounts] ページで、LDAP ユーザーリストの生成方法を指定します。各タブをクリックして次の情報を入力します。

• User Attributes - LDAP ユーザーリストの生成時に使用する属性を指定します。
• Additional Users Attributes - Google ドメイン ユーザーに関する追加情報を読み込むためのオプションの LDAP 属性（パスワードなど）を入力します。
• Search Rules - LDAP クエリ表記法を使用して、読み込み、同期するユーザーを指定します。検索ルールは除外ルールを使って変更できます。詳しくは、LDAP 検索ルールを使用してデータを同期するをご覧ください。
• User Exclusion Rules - LDAP ディレクトリ サーバー上のユーザーのうち、検索ルールに一致しても Google アカウントに追加するべきではないユーザーがいる場合は、除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

関連トピック

• ユーザー属性の設定
• その他のユーザー属性
• ユーザー検索ルール

設定マネージャーの [Groups] ページで、LDAP サーバー上のメーリング リストを Google グループに同期します。

各タブをクリックして次の情報を入力します。

• Search Rules - LDAP クエリ表記法を使用して、読み込み、同期するグループを指定します。
  検索ルールは除外ルールを使って変更できます。詳しくは、グループ検索ルールをご覧ください。
• Exclusion Rules - LDAP サーバー上のエントリのうち、メーリング リスト ルールに一致してもメーリング リストとして扱うべきではないエントリ（外部メールアドレスが登録されていない内部のメーリング リストなど）がある場合は、こちらにリストします。詳しくは、GCDS で除外ルールを使用するをご覧ください。

作成したグループには、デフォルトで次の権限が設定されます。

• 表示できるユーザー: グループのすべてのメンバー。
• リストへの掲載: このグループをリストに含めない。
• メンバーリストを閲覧できるユーザー: マネージャーとオーナーのみがグループのメンバーリストを表示できる。
• 参加できるユーザー: 組織内のすべてのユーザーが参加をリクエストできる。
• 外部メンバーを許可する: 許可しない。
• メッセージを投稿できるユーザー: ドメインのすべてのユーザーが投稿できる。
• ウェブからの投稿を許可する: 許可する。
• 新しいメンバーを招待できるユーザー: マネージャーとオーナーのみ。
• メッセージの管理: 管理しない。
• メッセージのアーカイブ: アーカイブは無効。
• 外部メールを許可: 許可しない。

[Groups] のデフォルト設定は変更できませんが、グループの作成後に設定を変更することは可能です。

ビジネス向け Google グループをご使用の場合

ドメインでビジネス向け Google グループ サービスをご使用の場合、ユーザーはドメイン内に独自のグループを作成できます。
こうしたグループは、管理者ではなくユーザーが管理します。詳しくは、グループの作成方法をご覧ください。

GCDS ではこうしたグループが自動的に検出されるため、削除されたり、上書きされたりすることはありません。同じメールアドレスを持つグループが LDAP ディレクトリに存在する場合は、GCDS により破損につながらない変更（名前や説明の更新、新しいメンバーの追加など）が適用されますが、LDAP ディレクトリから削除したメンバーが削除されることはありません。ユーザーが作成したグループを管理コンソールのグループに変更するには、いったん削除してから管理コンソールで再度作成するのが唯一の方法です。

関連トピック

• グループ検索ルール
• グループ検索ルール（Prefix-Suffix）

設定マネージャーの [User Profiles] ページで、ユーザーのプロフィール情報を指定します。ユーザー プロフィールには、電話番号や役職といったユーザーに関する追加情報が含まれます。

各タブをクリックして次の情報を入力します。

• User Profile Attributes - LDAP ユーザー プロフィールの生成時に使用する属性を指定します。
• Search Rules - LDAP クエリ表記法を使用して、読み込み、同期するユーザー プロフィール情報を指定します。
  検索ルールは除外ルールを使って変更できます。
• Exclusion rules - LDAP ディレクトリ サーバー上のユーザー プロフィールのうち、検索ルールに一致しても Google アカウントに追加するべきではないものがある場合は、除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

関連トピック

• ユーザー プロフィール属性

カスタム スキーマを使用すると、LDAP ディレクトリから Google アカウントに追加のユーザー情報を同期できます。たとえば、特定の組織部門（例: 財務）で複数のスキーマを使用して、さまざまな種類のユーザーデータを同期できます。設定マネージャーの [Custom Schemas] ページでは、カスタム スキーマを設定し、どのユーザーに適用するかを指定できます。

カスタム スキーマに適用される制限については、JSON リクエストに関するページをご覧ください。

ステップ 1: カスタム スキーマを適用するユーザーを指定する

カスタム スキーマは、次のユーザーに適用できます。

• LDAP 検索ルールと [User Accounts configuration] の設定で定義されたすべてのユーザー。
• カスタム LDAP 検索と除外ルールで定義された個別のユーザーセット。

すべてのユーザー アカウントに新しいカスタム スキーマを適用するには:

1. [Add Schema] をクリックします。
2. [Use rules defined in <ユーザー アカウント名>] を選択します。

特定のユーザーセットに新しいカスタム スキーマを適用するには:

1. [Add Schema] をクリックします。
2. [Define custom search rules] を選択します。
3. [Search Rules] タブで [Add search rule] をクリックし、次の情報を入力します。
   • スコープ
   • ルール
   • ベース識別名（DN）

   詳しくは、GCDS での LDAP クエリの使用に関するページをご覧ください。

4. [OK] をクリックします。
5. [Exclusion Rules] タブで [Add Exclusion rule] をクリックし、次の情報を入力します。
   • Exclude Type
   • Match Type
   • Exclusion Rule

   詳しくは、GCDS での除外ルールの使用に関するページをご覧ください。

6. [OK] をクリックします。

ユーザー アカウントを同期せずに新しいカスタム スキーマを適用するには:

1. 設定マネージャーで [General Settings] に移動し、[User Accounts] をオンにします。
2. [User Accounts ] に移動し、[Email Address] 属性を設定します。

   この属性は、スキーマが適用される Google ユーザーの識別に使用されるため、ユーザー検索ルールを作成していない場合でも、この属性を設定する必要があります。

3. [General Settings] に移動し、[User Accounts] をオフにします。
4. [Save] をクリックします。

ステップ 2: カスタム スキーマをユーザー グループに追加する

定義済みのスキーマ フィールドを使用するか、独自のスキーマ フィールドを作成することができます。

定義済みのスキーマ フィールドを使用するには:

1. [Schema Name] 欄にスキーマの名前を入力し、[Add Field] をクリックします。
2. [Schema Field] リストから定義済みのスキーマ フィールドを選択します。
3. [Google Field Name] 欄で入力済みの名前が正しいことを確認します。
4. [Indexed] と [Read Access Type] 設定が正しいことを確認します。
5. [OK] をクリックします。
6. （省略可）別の定義済みのフィールドをスキーマに含めるには、上の手順を繰り返します。
7. （省略可）カスタム スキーマ フィールドを追加します（以下の手順を参照）。
8. [OK] をクリックし、カスタム スキーマを設定に追加します。

独自のスキーマ フィールドを作成するには:

1. [Schema Name] 欄にスキーマの名前を入力し、[Add Field] をクリックします。
2. [Schema Field] リストから [Custom] を選択します。
3. [LDAP Field Name] 欄に、Google アカウントに同期する LDAP フィールドの名前を入力します。
4. [LDAP Field Type] リストからフィールドのタイプを選択します。
5. [Google Field Name] 欄に LDAP データをマッピングする Google フィールドの名前を入力します。
6. [Google Field Type] リストからフィールドのタイプを選択します。
7. （省略可）データをインデックスに登録するには、[Indexed] チェックボックスをオンにします。
8. [Read Access Type] リストから、スキーマ フィールドで定義されたフィールド データの読み取りアクセス権をコントロールする方法を選択します。
9. [OK] をクリックします。
10. （省略可）別のスキーマ フィールドを追加するには、上記の手順を繰り返します。
11. [OK] をクリックし、カスタム スキーマを設定に追加します。

ステップ 3: バイナリ属性のエンコード スキームを選択する（省略可）

カスタム フィールド値としてバイナリ属性（objectSid や objectGUID など）を使用する場合は、エンコード スキームを使用して文字列に変換されます。

エンコード スキームを変更するには、[Encoding scheme for binary attributes] をクリックして次のいずれかを選択します。 

• Base16（16 進数）
• Base32
• Base32Hex
• Base64
• Base64URL（デフォルト）

注: カスタム スキーマの前後にある空白文字と欄の名前は、自動的に削除されます。内部の空白文字は保持されます。

設定マネージャーの [Shared Contacts] ページで、共有の連絡先の同期を設定します。共有の連絡先は、Microsoft Active Directory などのディレクトリ サーバーのグローバル アドレス一覧（GAL）に相当します。共有の連絡先には、名前、メールアドレス、電話番号、役職などの情報が含まれます。

重要:

• ドメイン外の共有の連絡先のみ同期してください。ドメイン内の連絡先を同期すると、GAL でエントリが重複する可能性があります。
• 共有の連絡先が同期されて表示されるまでに、最長で 24 時間ほどかかることがあります。

各タブをクリックして次の情報を入力します。

• Shared Contact Attributes - LDAP の共有連絡先の生成時に使用する属性を指定します。
• Search Rules - LDAP クエリ表記法を使用して読み込み、同期する連絡先を指定します。
  検索ルールは除外ルールを使って変更できます。
• Exclusion Rules - LDAP ディレクトリ サーバー上の連絡先のうち、検索ルールに一致しても Google アカウントに追加するべきではないものがある場合は、除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

関連トピック

• GCDS で同期後にドメイン ディレクトリに連絡先が重複して表示される
• 共有の連絡先の属性

設定マネージャーの [Calendar Resources] ページで、LDAP カレンダー リソースの生成方法を指定します。

各タブをクリックして次の情報を入力します。

• Calendar resource attribute - LDAP カレンダー リソースの生成時に使用する属性を指定します。

  重要: GCDS では、スペースと特殊文字（アットマーク（@）、コロン（:）など）を含むカレンダー リソース属性は同期されません。カレンダー リソースの命名方法について詳しくは、Google カレンダーに推奨されるリソースの命名規則をご覧ください。

• Search Rules - LDAP クエリ表記法を使用して、読み込み、同期するカレンダー リソースを指定します。
  検索ルールは除外ルールを使って変更できます。
• Exclusion Rules - LDAP ディレクトリ サーバー上のカレンダー リソースのうち、検索ルールに一致しても Google アカウントに追加するべきではないものがある場合は、除外ルールを追加します。詳しくは、GCDS で除外ルールを使用するをご覧ください。

関連トピック

• カレンダー リソースの属性

設定マネージャーの [Licenses] ページで、Google アカウントのユーザーに対する GCDS のライセンスの同期を設定します。詳しくは、ライセンスの管理と割り当てをご覧ください。

設定マネージャーの [Notifications] ページで、メールサーバーに関する詳細と、同期後のメール通知に関する詳細を指定します。

同期が行われるたびに、[To addresses] 欄で指定したメールアドレスに通知が送信されます。アドレスを入力するごとに、[Add] をクリックしてください。

リストしたアドレスにテスト メッセージを送信するには、[Test Notification] をクリックします。

関連トピック

• 通知属性

設定マネージャーの [Logging] ページで、ログのファイル名と必要な詳細レベルを指定します。

関連トピック

• ロギングの設定

設定マネージャーの [Sync] ページで、[Simulate sync] をクリックして設定をテストします。

同期のシミュレーションを実行しても、LDAP サーバーのデータまたは Google アカウントのユーザー アカウントが更新または変更されることはありません。シミュレーションはあくまでも設定の確認との目的で行います。シミュレーション中、設定マネージャによって次の処理が行われます。

• Google アカウントと LDAP サーバーに接続し、ユーザー、グループ、共有の連絡先のリストを生成する
• Google アカウントと LDAP アカウントの違いの一覧を表示する
• すべてのイベントをログに記録する

シミュレーションが成功すると、Google データに対して行われた変更を示すレポートが生成されます。設定が正しいことを確認したら、同期を実行する準備は完了です。

関連トピック

• GCDS のレポートと通知
• 手動による同期の実行