Password Sync をインストールする前に、Google の認証方法を選択する必要があります。認証にはサービス アカウントの使用をおすすめします。コマンドラインから Password Sync をインストールする場合は、サービス アカウントを使用する必要があります。
3-legged OAuth を認証に使用できるのは、デスクトップ エクスペリエンス搭載 Microsoft Windows Server 上でのみです。ドメイン コントローラの数が 5 個を超えている場合は、各ドメイン コントローラを個別に認可する必要があります。この処理には時間がかかることがあります。そのため、サービス アカウントを使用することをおすすめします。
現在: 手順 2/7
オプション 1: サービス アカウントを使用して認証する
サービス アカウントはユーザーではなくアプリケーションに属します。アプリケーションがサービス アカウントに代わって Google API にリクエストを送信します。そのため、ユーザーが認証処理に直接関わることはありません。
サービス アカウントのメリット:
- 1 つのサービス アカウントを複数のドメイン管理者で管理、監視することができます。したがって、管理者に変更があっても、Password Sync には影響しません。
- 3-legged OAuth に影響する更新トークンの制限は、サービス アカウントには適用されません。
- サービス アカウントの認証情報は JSON ファイルとしてダウンロードされ、多数のドメイン コントローラで使用できます。ドメイン コントローラごとに認証処理を繰り返す必要はありません。
- サービス アカウントの認証にウェブブラウザは必要ありません。Windows Server Core を使用していれば、Password Sync を設定できます。
- Password Sync のインストールと設定は、コマンドラインを使って行うことができます。
サービス アカウントのデメリット:
- Google Cloud でプロジェクトを作成する必要があり、設定が複雑になります。
オプション 2: 3-legged OAuth を使用して認証する
3-legged OAuth を使用すると、アプリケーションがユーザーに代わって Google API にリクエストを送信します。ただし、サービス アカウントとは異なり、3-legged OAuth では通常、各ユーザーがアプリケーションにデータへのアクセスを許可する必要があります。Password Sync の場合、ドメイン管理者がすべてのユーザーに代わって、設定の処理時にこの手順を実施します。一方、Password Sync でドメインのすべてのユーザーのパスワードを正しく同期するためには、ドメインの管理者が各ドメイン コントローラで Password Sync を承認する必要があります。
3-legged OAuth のメリット:
- 3-legged OAuth の使い方は簡単で、設定は 1 つのステップだけです。
3-legged OAuth のデメリット:
- この方法は、デスクトップ エクスペリエンス搭載の Windows Server でのみご利用いただけます。Windows Server Core ではご利用いただけません。
- 複数のドメイン コントローラがあるドメインは、トークンの制限を超過する可能性があります。各ドメイン コントローラを個別に認可する必要があります。この処理には時間がかかることがあります。
- 3-legged OAuth は単一の管理者アカウントに結び付けられています。そのアカウントが無効になった場合、または削除された場合、Password Sync は機能しません。
- サービス アカウントとは異なり、Google Cloud から使用状況をモニタリングすることはできません。
- 3-legged OAuth では、コマンドラインを使って Password Sync のインストールと設定を行うことはできません。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。