グループとユーザーを Cloud Search の ID ソースに同期する

Google Cloud Search では、ID ソースを使用してサードパーティ製リポジトリのユーザー ID をマッピングできます。ユーザー ID は、Microsoft Active Directory などの LDAP サーバーに保存できます。Active Directory のグループを ID ソースと同期するには、Google Cloud Directory Sync (GCDS)を使用してください。

同期しているユーザー ID が特定の検索ルールと除外ルールによって定義されている場合は、ユーザーが所属する業種や職種などを使用して、特定のユーザー群にカスタム スキーマを適用します。

• 始める前に
• 手順 1: ID マッピング グループを有効にする
• 手順 2: 同期するグループを追加する
• 手順 3: ユーザー ID を Cloud Search に同期する
• 手順 4: 同期スケジュールを設定する
• ステップ 5: バイナリ属性のエンコード スキームを選択する（省略可）

始める前に

• Active Directory のデータを同期するには、Google Cloud Directory Sync についてをご覧ください。
• サービス アカウントとその認証情報を作成するには、アクセス認証情報を作成するをご覧ください。
• Google 管理コンソールで ID ソースを作成するには、ID ソース ID をコピーします。詳しくは、Cloud Search でユーザー ID をマッピングするをご覧ください。
• 検索ルール、除外ルール、カスタム スキーマの使い方に関する情報を確認してください。

手順 1: ID マッピング グループを有効にする

1. Linux を使用している場合は、インストール ディレクトリで次のコマンドを入力します。
   $ ./config-manager --enable-img
2. Windows を使用している場合は、次のコマンドを入力します。
   > config-manager.exe --enable-im
3. 設定マネージャーを開きます。
4. サイドバーの [全般設定] をクリックします。
5. [ID マッピング グループ] チェックボックスをオンにします。

手順 2: 同期するグループを追加する

1. 設定マネージャーを開きます。
2. サイドバーで [ID マッピング グループ] をクリックします。
3. [検索ルール] タブで次の情報を入力します。
   • ID ソースの ID（文字列の「identitysources/」の部分を含む）
   • サービス アカウント ファイルのパス
4. [Add Search Rule] をクリックして次の情報を入力します。
   • スコープ
   • ルール
   • グループ属性
5. [OK] をクリックします。
6. 検索ルールを追加した後でテストするには、[LDAP クエリをテスト] をクリックします。
7. （省略可）検索ルールを追加するには、LDAP 検索ルールを追加する手順に沿って操作します。詳しくは、LDAP 検索ルールを使用してデータを同期するをご覧ください。
8. （省略可）グループを除外するには、[除外ルール] タブをクリックして、新しい除外ルールを追加します。詳しくは、除外ルールとクエリを使ってデータを除外するをご確認ください。

手順 3: ユーザー ID を Cloud Search に同期する

1. 設定マネージャーを開きます。
2. サイドバーの [カスタム スキーマ] をクリックします。
3. [スキーマの追加] をクリックし、次のいずれかを選択します。
   • カスタム検索ルールを定義する
   • [ユーザー アカウント] で定義されたユーザールール
     詳しくは、カスタム スキーマを使用してカスタム ユーザー フィールドを同期するをご覧ください。
4. [Schema name] に ID ソースの ID を入力します。「identitysources」は含めないでください。
5. [LDAP field name] に、外部ユーザー ID を含む LDAP フィールドの名前を入力します。たとえば、Cloud Search のユーザー プリンシパル名で使用される ID の形式は次のとおりです。
   identitysources/source-id/users/user-identifier
6. [Google フィールド名] に、ID ソースの ID と「_identifier」を入力します。たとえば、ID ソースの ID が「02b392ce3a23」であれば「02b392ce3a23_identifier」と入力します。
7. [Google field type] で [String] を選択し、値が 1 つのみであることを確認します。
8. [OK] をクリックします。

詳しくは、ID ソースを作成するをご覧ください。

手順 4: 同期スケジュールを設定する

1. 設定マネージャーを開きます。
2. サイドバーの [同期] をクリックします。

同期をシミュレーションしたり、設定を保存したりすることができます。詳しくは、同期プロセスを自動化する方法についてのページをご覧ください。

ステップ 5: バイナリ属性のエンコード スキームを選択する（省略可）

グループ名属性またはユーザーのメール属性としてバイナリ属性（objectSid や objectGUID など）をご使用の場合、それらはエンコード スキームを使用して文字列に変換されます。サポートされているエンコード スキームは次のとおりです。

• Base 16（16 進法）
• Base 32
• Base 32 Hex
• Base 64
• Base 64 URL

エンコード スキームを変更する場合は、構成ファイルを手動で更新します。

1. 構成ファイルを開き、<identityMappedGroupBasicConfig> タグの下で <binaryAttributesEncoding> を探します。

2. <binaryAttributesEncoding> がない場合、ご使用のエンコード スキームは従来の base 64 です。<identityMappedGroupBasicConfig> の下に <binaryAttributesEncoding> を追加します。

3. 次のいずれかのオプションを使用して <binaryAttributesEncoding> を更新します。

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

例:

<identityMappedGroupBasicConfig>

    <identitySourceId>identitysources/...</identitySourceId>

    <serviceAccountFilePath>....</serviceAccountFilePath>

    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>

</identityMappedGroupBasicConfig>