Google Cloud Search では、ID ソースを使用してサードパーティ製リポジトリのユーザー ID をマッピングします。ユーザー ID は Microsoft Active Directory などの Lightweight Directory Access Protocol(LDAP)サーバーに保存できます。Active Directory のグループを ID ソースと同期するには、Google Cloud Directory Sync (GCDS)を使用してください。
注: 同期しているユーザー ID が特定の検索ルールと除外ルールによって定義されている場合は、新しいカスタム スキーマを特定のユーザー群に適用してください。そうでない場合は、新しいカスタム スキーマをすべてのユーザー アカウントに適用してください。
始める前に
- Active Directory のデータを同期するように GCDS を設定します。
- サービス アカウントと認証情報を作成します。
- 管理コンソールで ID ソースを作成します。ID ソースの ID をコピーします。
手順 1: ID マッピング グループを有効にする
- コマンドラインで、次のいずれかのコマンドを入力します。
- Linux(インストール ディレクトリから):
$ ./config-manager --enable-img - Microsoft Windows:
> config-manager.exe --enable-img
- Linux(インストール ディレクトリから):
- 設定マネージャーを開きます。
- 左パネルの [General Settings] をクリックします。
- [Identity Mapped Groups] チェックボックスをオンにします。
左パネルに [Identity Mapped Groups] オプションが表示されます。
手順 2: 同期するグループを追加する
- 設定マネージャーを開きます。
- 左パネルの [Identity Mapped Groups] をクリックします。
- [Search Rules] タブで次の情報を入力します。
- ID ソースの ID(文字列の「identitysources/」の部分を含む)
- サービス アカウント ファイルのパス
- [Add Search Rule] をクリックして次の情報を入力します。
- スコープ
- ルール
- グループ属性
- [OK] をクリックします。
次の操作
- 検索ルールを追加した後でテストするには、[Test LDAP Query] をクリックします。
- 検索ルールをさらに追加して、そのすべてを GDCS で同期することができます。詳しくは、データ同期用の LDAP 検索ルールを追加する方法についてのページをご覧ください。
- 検索ルールから返されたグループを除外するには、[Exclusion Rules] タブをクリックします。方法については、GCDS で除外ルールを使用するをご参照ください。
手順 3: ユーザー ID を Cloud Search に同期する
- 左パネルの [Custom schemas] をクリックします。
- [Add Schema] をクリックします。
- [Define custom search rules] または [User rules defined in "User Accounts"] を選択します。詳しくは、カスタム スキーマを使用してカスタム ユーザー フィールドを同期するをご覧ください。
- [Schema name] に ID ソースの ID を入力します。「identitysources」は含めないでください。
- [LDAP field name] に、外部ユーザー ID を含む LDAP フィールドの名前を入力します。この ID は、Cloud Search のユーザー プリンシパル名にて「
identitysources/<ソース ID>/users/<ユーザー ID>」の形式で使用されます。 - [Google field name] に、ID ソースの ID と「_identifier」を入力します。たとえば、ID ソースの ID が「02b392ce3a23」であれば「02b392ce3a23_identifier」と入力します。
- [Google field type] で [String] を選択し、値が 1 つのみであることを確認します。
- [OK] をクリックします。
詳しくは、ID ソースを作成するをご覧ください。
手順 4: 同期スケジュールを設定する
- 設定マネージャーを開きます。
- 左パネルの [Sync] をクリックします。
同期をシミュレーションしたり、設定を保存したりすることができます。詳しくは、同期プロセスを自動化する方法についてのページをご覧ください。
バイナリ属性をエンコードする
グループ名属性またはユーザーのメール属性としてバイナリ属性(objectSid や objectGUID など)をご使用の場合、それらはエンコード スキームを使用して文字列に変換されます。サポートされているエンコード スキームは次のとおりです。
- Base 16(16 進法)
- Base 32
- Base 32 Hex
- Base 64
- Base 64 URL
エンコード スキームを変更する場合は、構成ファイルを手動で更新します。
- 構成ファイルを開き、<identityMappedGroupBasicConfig> タグの下で <binaryAttributesEncoding> を探します。
-
<binaryAttributesEncoding> がない場合、ご使用のエンコード スキームは従来の base 64 です。<identityMappedGroupBasicConfig> の下に <binaryAttributesEncoding> を追加します。
-
次のいずれかのオプションを使用して <binaryAttributesEncoding> を更新します。
- BASE16
- BASE32_NOPADDING
- BASE32_HEX_NOPADDING
- BASE64_URL_NOPADDING
例:
<identityMappedGroupBasicConfig>
<identitySourceId>identitysources/...</identitySourceId>
<serviceAccountFilePath>....</serviceAccountFilePath>
<binaryAttributesEncoding>BASE16</binaryAttributesEncoding>
</identityMappedGroupBasicConfig>
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。