この機能は Cloud Identity Premium でご利用いただけます。各エディションの比較
Cloud Identity または Google Workspace のユーザー アカウントを停止するとどうなりますか?
セキュア LDAP サービスでは Cloud Directory を基に認証、承認、ディレクトリ検索が行われており、停止中のアカウントでは、Cloud Identity または Google Workspace に関連するどのアプリケーション(LDAP アプリケーションを含む)にもログインすることができません。停止中のアカウントのパスワードを LDAP で確認することはできませんが、アカウントは引き続きクライアント サービスによる LDAP 検索の対象となります。
Google Workspace または Cloud Identity でサードパーティの ID プロバイダまたは SSO プロバイダを設定した場合はどうなりますか?
サードパーティの ID プロバイダを使用することによる影響は HTTP ベースのトランザクション(SAML ベースの認証など)に限られるため、認証、承認、ディレクトリ検索でのセキュア LDAP の使用に影響はありません。
注: セキュア LDAP で接続されたアプリケーションでユーザーが認証できるようにしたい場合は、ユーザーに Google のユーザー名とパスワードを知らせてください。認証時には、サードパーティ ID プロバイダの認証情報ではなく、Google の認証情報が必要になるためです。
LDAP クライアントを認証するために証明書とアクセス認証情報の両方が必要なのはなぜですか?
LDAP クライアントを認証するのは、証明書だけです。アクセス認証情報は、クライアントがユーザー名とパスワードの送信を必要とする場合にのみ存在します。アクセス認証情報だけでは LDAP サーバーやユーザーデータへのアクセスは許可されませんが、特定の LDAP クライアントへのログインに使用されないように秘密にしておく必要があります。
LDAP クライアントがアクセス認証情報を必要とする場合は、証明書とアクセス認証情報の両方を使用して LDAP クライアントを認証します。
LDAP アプリケーションで TLS 証明書がサポートされていない場合は、何か別の方法がありますか?
stunnel をアプリケーションとセキュア LDAP 間のプロキシとして利用することができます。詳細と手順については、stunnel をプロキシとして使用するをご覧ください。
以前にアクセス認証情報を生成しましたが、LDAP クライアントの別のインスタンスを設定するためのパスワードがわからなくなりました。別のアクセス認証情報を生成することはできますか?
管理者は、別のユーザー名とパスワードのペアで構成されたアクセス認証情報を新たに生成することができます。最多で 2 つの認証情報を同時にアクティブにすることができます。認証情報が不正使用された場合や使用されなくなった場合は、削除することができます。
LDAP クライアントでセキュリティ上の問題が疑われる場合、クライアントをすぐに無効にするにはどうすればよいですか?
LDAP クライアントのセキュリティ上の問題が疑われる場合(たとえば証明書や認証情報が不正使用された場合など)、そのクライアントと関連付けられたすべてのデジタル証明書を削除することで、すぐにクライアントを無効にすることができます。クライアントを即座に無効にするにはこの方法が最善です。サービスのステータスを [オフ] にする方法を利用すると、クライアントが無効になるまでに最長で 24 時間ほどかかることがあります。
手順については、証明書を削除するをご覧ください。
後でクライアントを有効にする場合は、新しい証明書を生成して LDAP クライアントに証明書をアップロードする必要があります。
Google Compute Engine の Linux パソコンに外部 IP アドレスがなくても、セキュア LDAP サービスに接続できますか?
はい。外部 IP アドレスのない Linux パソコンから Google Compute Engine で SSSD モジュールを使用している場合、Google サービスへの内部アクセスを有効にしている限り、セキュア LDAP サービスに接続できます。プライベート アクセスの設定について詳しくは、限定公開の Google アクセスの構成をご覧ください。