2. 認証方法の選択

Password Sync をインストールする前に、Google の認証方法を選択する必要があります。認証にはサービス アカウントの使用をおすすめします。コマンドラインから Password Sync をインストールする場合は、サービス アカウントを使用する必要があります。

3-legged OAuth を認証に使用できるのは、デスクトップ エクスペリエンス搭載 Microsoft Windows Server 上でのみです。ドメイン コントローラの数が 5 個を超えている場合は、各ドメイン コントローラを個別に認可する必要があります。この処理には時間がかかることがあります。そのため、サービス アカウントを使用することをおすすめします。

現在: 手順 2/7

オプション 1: サービス アカウントを使用して認証する

サービス アカウントはユーザーではなくアプリケーションに属します。アプリケーションがサービス アカウントに代わって Google API にリクエストを送信します。そのため、ユーザーが認証処理に直接関わることはありません。

サービス アカウントのメリット:

• 1 つのサービス アカウントを複数のドメイン管理者で管理、監視することができます。したがって、管理者に変更があっても、Password Sync には影響しません。
• 3-legged OAuth に影響する更新トークンの制限は、サービス アカウントには適用されません。
• サービス アカウントの認証情報は JSON ファイルとしてダウンロードされ、多数のドメイン コントローラで使用できます。ドメイン コントローラごとに認証処理を繰り返す必要はありません。
• サービス アカウントの認証にウェブブラウザは必要ありません。Windows Server Core を使用していれば、Password Sync を設定できます。
• Password Sync のインストールと設定は、コマンドラインを使って行うことができます。

サービス アカウントのデメリット:

• Google Cloud でプロジェクトを作成する必要があり、設定が複雑になります。

オプション 2: 3-legged OAuth を使用して認証する

3-legged OAuth を使用すると、アプリケーションがユーザーに代わって Google API にリクエストを送信します。ただし、サービス アカウントとは異なり、3-legged OAuth では通常、各ユーザーがアプリケーションにデータへのアクセスを許可する必要があります。Password Sync の場合、ドメイン管理者がすべてのユーザーに代わって、設定の処理時にこの手順を実施します。一方、Password Sync でドメインのすべてのユーザーのパスワードを正しく同期するためには、ドメインの管理者が各ドメイン コントローラで Password Sync を承認する必要があります。

3-legged OAuth のメリット:

• 3-legged OAuth の使い方は簡単で、設定は 1 つのステップだけです。

3-legged OAuth のデメリット:

• この方法は、デスクトップ エクスペリエンス搭載の Windows Server でのみご利用いただけます。Windows Server Core ではご利用いただけません。
• 複数のドメイン コントローラがあるドメインは、トークンの制限を超過する可能性があります。各ドメイン コントローラを個別に認可する必要があります。この処理には時間がかかることがあります。
• 3-legged OAuth は単一の管理者アカウントに結び付けられています。そのアカウントが無効になった場合、または削除された場合、Password Sync は機能しません。
• サービス アカウントとは異なり、Google Cloud から使用状況をモニタリングすることはできません。
• 3-legged OAuth では、コマンドラインを使って Password Sync のインストールと設定を行うことはできません。