3. LDAP データの管理

同期する Google ドメインを特定します。この情報は、GCDS を設定するときに必要になります。

注: GCDS を使用してドメイン エイリアス アドレスを同期することはできません。詳しくは、ドメインの基本をご覧ください。

ドメイン名の置き換えを行うこともできます。ドメイン名の置き換えは、試験用ドメインを作成する際によく行われますが、GCDS を使用して新しいドメインに移行する場合にも利用できます。設定マネージャーで別のドメインを指定する場合は、ユーザーの一覧を別のドメインに読み込むことができます。

新しいドメインをプライマリ ドメインとして設定します。次に、設定マネージャーの [LDAP Configuration] で、Google ドメインとして新しいドメインを入力し、そのドメインの管理者を指定します。[Google Domain Configuration] で、GCDS を [Replace domain names in LDAP email addresses] に設定します。同期の際に、すべてのユーザーのメールアドレスが新しいドメインに変更されます。

試験運用期間が終了した後、ドメイン名（および Google 管理者）を実際のプライマリ ドメインに変更することができます。また、その他の設定オプションはすべてそのまま利用できます。

• ユーザー: LDAP ブラウザでユーザー ディレクトリ全体を確認し、読み込み対象のユーザー数が正しいことをチェックします。所有しているライセンスよりも読み込み対象のユーザー数が多い場合、同期の際にエラーが発生することがあります。詳しくは、ユーザー ライセンスを管理する方法をご覧ください。
• ユーザー プロファイル: LDAP ディレクトリ サーバーに、住所、電話番号、連絡先情報などの追加情報が含まれている場合、その情報も同期できます。
• エイリアス: LDAP ディレクトリの複数のエイリアスの属性を、それぞれ Google アドレスのエイリアスに同期できます。
• 一意の ID: ユーザーがユーザー名（メールアドレス）を変更する可能性が高い場合は、ユーザーがメールアドレスを変更したときにユーザー情報が失われないように、同期を設定する前に、一意の ID 属性を設定しておきます。
• パスワード: GCDS は一部のパスワード操作に対応しています。Microsoft Active Directory サーバーを導入している場合は、Password Sync を使用して、LDAP ディレクトリのパスワードが Google アカウントに同期されるようにすることができます。
• 削除および停止中のユーザー: LDAP ディレクトリに存在しないユーザーはデフォルトで Google アカウントから削除され、停止中のユーザーは無視されます。デフォルト設定は、設定マネージャーのユーザー アカウント ページから変更できます。ユーザーを削除せずに一時停止するよう GCDS を設定する場合、ユーザー アセットを表示、転送し、データ復旧を行うことができます。なお、停止中のユーザーを削除することはできますが、削除と一時停止の両方を実行することはできません。

メーリング リストまたは組織構造で、お使いの Google アカウントに含まれるユーザーを整理することができます。

メーリング リスト

LDAP ディレクトリ サーバーから Google アカウントに同期するメーリング リストを選びます。LDAP ディレクトリ サーバーのメーリング リストは、Google アカウントのグループとして読み込まれます。

一部のメーリング リスト属性はリテラル アドレスを含み、user@example.com のような形式になります。また、次のような識別名（DN）の参照を含む属性もあります。
cn=Terri Smith,ou=Executive Team,dc=example,dc=com

メーリング リストを Google アカウントでも継続利用したい場合:

1. メーリング リストのメンバー情報を含む属性を調べます。通常は member 属性または mailAddress 属性です。
2. メーリング リスト メンバーの LDAP 属性にメールアドレスまたはユーザーの識別名が含まれるかどうかを調べます。

組織構造

GCDS では、デフォルトですべてのユーザーが 1 つの単一階層構造に同期されます。小規模な組織や、すべてのユーザーの設定と権限を同一にする場合に適しています。また、大規模な公開前に、小規模なグループでテストする場合にも役立ちます。

Google アカウントで組織部門の階層を使用する場合は、LDAP ディレクトリ サーバーの組織階層を同期できます。この場合、まず LDAP ブラウザで組織部門全体を見渡し、同期対象が適切な構造であることを確認します。プリンタ用の組織部門など、特殊な組織部門については Google アカウントに移行しない方がよい場合もあります。

組織部門を Google アカウントで手動で作成したい場合は、まず Google アカウントに組織部門を設定し、その後ユーザーが移行されるようにします。既存の組織を変更する必要はありません。このオプションは設定マネージャーの [Org Units] ページで選択できます。すべてのユーザー検索ルールに対して、ユーザーを含む組織、または適切な組織名を含む LDAP 属性を指定します。

GCDS を使用してライセンスを管理する場合は、ユーザーを作成し、特定のライセンス グループにグループ化する必要があります。また、ユーザー アカウントごとに特定の属性を設定することもできます。

GCDS ではグループまたは属性を使用して適切なライセンスを確認し、アカウントに適用します。

GCDS では、共有の連絡先やカレンダー リソースなど、他の LDAP リソースを Google アカウントに同期することができます。

• 共有の連絡先: 共有の連絡先の詳細は、連絡先リストのすべてのユーザーに表示されます。また、共有の連絡先を設定すると、一覧のすべてのユーザーで、Gmail でメールアドレスのオートコンプリートが有効になります。共有の連絡先として Google アカウントにアドレスを読み込むには、設定マネージャーの [General Settings] ページで [Shared Contacts] を有効にします。共有の連絡先を同期した後、Google ドメインに変更が反映されるまでに最長で 24 時間ほどかかることがあります。

  注: GCDS では共有の連絡先のみが同期されます。個人の連絡先は同期されません。

• カレンダー リソース: LDAP ディレクトリから Google アカウントにカレンダー リソース（会議室など）を読み込む場合、リソースがすべてのユーザーに表示されるように、カレンダー リソースの同期を設定する必要があります。

• カレンダー リソースの命名形式を指定する必要があります。カレンダー リソース名のルールは、他の同期される情報とは異なることに注意してください。名前にはスペースや特殊文字を含めることはできません。

GCDS でサポートされているパスワード操作は限定的です。GCDS では、プレーン テキスト、Base64、ソルトなしの MD5、またはソルトなしの SHA-1 形式でパスワードを保存する LDAP 属性としてのみ、パスワードを読み込むことができます。その他のパスワードで暗号化されたハッシュとソルト付きハッシュには対応していません。ほとんどのディレクトリ サーバーでは、これらの形式はネイティブでサポートされていないため、これらの形式でユーザーのパスワードをメールサーバーに保存することは、セキュリティに深刻なリスクが生じる可能性があります。

GCDS には、次のパスワード同期のオプションが用意されています。

• ドメインにシングル サインオンを実装する: Google アカウントと LDAP ディレクトリ サーバーで同じパスワードと認証を使用できます。管理者のアカウントでシングル サインオンを管理できるよう、Security Assertion Markup Language（SAML）サーバーを設定することができます。この場合、同期中に GCDS でランダムなパスワードが作成されます。

  注: シングル サインオンは、ウェブ認証のみに対応しています。他の形式の認証（IMAP、POP、ActiveSync など）はシングル サインオンに対応していないため、Google パスワードが必要になります。

• 新規ユーザー用のデフォルトのパスワードにプレーン テキストの LDAP 属性を使用する: ユーザーに個別のワンタイム パスワードを用意する場合は、このオプションを使用します。このオプションを使用する場合、Google パスワードは、LDAP ディレクトリ サーバーのパスワードとは別になります。この方法を使用すると、プレーン テキスト形式でデータを保持する LDAP 属性から仮のパスワードを作成できます。
• サードパーティ ユーティリティを使用してサポートされないパスワードをサポートされる形式に変換する: Google で LDAP ディレクトリ サーバーと同じパスワードを使用する必要がある場合はこのオプションを使用します。ただし、SAML サーバーは設定できません。Google Workspace Marketplace で、パスワードの同期を支援するサードパーティ ツールを探してみましょう。なお、Google ではサードパーティ ツールのサポートは提供していません。
• 新規ユーザー用のデフォルトのパスワードを指定する: このオプションを使用すると、個々のユーザーがログインしてパスワードを変更するまで、すべての新規ユーザーに同じパスワードが設定されます。Google のパスワードは、LDAP ディレクトリ サーバーのパスワードとは別に保存されます。このオプションを使用するには、新規ユーザー用にデフォルトのパスワードを設定し、GCDS で新規ユーザーのパスワードを同期して、パスワードの変更を必須とするように設定します。
  パスワードは他のユーザーに推測される可能性があるため、一般的にセキュリティ オプションとしては推奨されません。

LDAP ディレクトリ サーバーのデータを Google アカウントのデータにマッピングする方法を決め、すべてのユーザー、グループ、リソースがどのように同期されるかについて明確に把握する必要があります。マッピングは、フラット階層、1 対 1 の自動同期、カスタムルールの手動設定のいずれかに指定できます。詳しくは、同期の対象をご参照ください。

組織の Google 管理者として、LDAP サーバー上にある既存の組織階層を Google アカウントにコピーすることを決め、同期する組織部門を指定する。

組織でどの項目を同期する必要があるかを判断します。

• 組織部門
• ユーザー
• エイリアス
• グループ（メーリング リスト）
• 共有の連絡先
• カレンダー リソース

LDAP ディレクトリ サーバーのメーリング リストは、member 属性を使用して各メーリング リストのメンバーを保存します。member 属性には、メーリング リスト メンバーのメールアドレスではなく、完全識別名（DN）が含まれています。GCDS 管理者としてこの属性を記録します。なお、この属性はリテラル属性ではなく参照属性である点に注意してください。

LDAP サーバーの LDAP ユーザー プロファイル情報は組織全体で使用される標準形式ではないため、あなたは Google 管理者としてこの情報を同期しないと判断します。

LDAP サーバーでカスタム属性を作成し、ランダムに生成されたワンタイム パスワードをその属性に設定します。Google アカウントでメールの統合を設定し、パスワードと、アカウントを有効にする方法に関するお知らせをユーザーに送信します。

今後利用することのない（期間限定のコントラクターなどの）組織部門のユーザーは、同期対象から除外する必要があります。このようなユーザーの一覧を検討する際、そうしたユーザーのアドレスがすべて「defunct」で始まるため 1 つの正規表現に全ユーザーが一致することを利用することにします。一覧を準備したら、Google ドメインでこのようなユーザーの例外を作成します。