セキュア LDAP のスキーマ

この機能は Cloud Identity Premium でご利用いただけます。各エディションの比較

セキュア LDAP サービスでは、以下のセクションで説明する階層と属性を使用して、LDAP クライアントから Google Cloud Directory オブジェクトを利用できます。

階層の例

• <root>
  • cn=subschema
     
  • dc=example,dc=com
    • ou=Users
      • ou=Sales
        • uid=lisasmith
      • uid=jimsmith
    • ou=Groups
      • cn=group1
      • cn=group2

属性

ルート

サーバーのメタデータ:

• objectClass: top
• supportedLdapVersion: 3
• supportedSASLMechanism: EXTERNAL、PLAIN
• supportedExtension: 1.3.6.1.4.1.1466.20037 (StartTLS)
• subschemaSubentry: cn=subschema

​サブスキーマ

LDAP サーバー スキーマの機械読み取り可能な定義:

• objectClass: top、subschema
• objectClasses: サポートされているオブジェクト クラスの説明
• attributeTypes: サポートされている属性タイプの説明
• matchingRules: サポートされている一致ルールの説明

ドメイン

Google Workspace または Cloud Identity Premium に登録する際に使用したドメインです。サブドメイン、ユーザー、グループ、組織部門が含まれます。

• objectClass: top、domain、dcObject
• dc: ドメイン コンポーネントの名前（例: dc=example、dc=com）
• hasSubordinates: TRUE

組織部門

これは、ディレクトリ ツリー内の組織部門です。組織部門には、他の組織部門や、その組織部門内のユーザーが含まれることがあります。この組織部門ツリーは、Google 管理コンソールに表示される組織部門ツリーと同じです。

• objectClass: top、organizationalUnit
• ou: 組織部門の名前（例: ou=Users）
• description: 組織部門に関する、人間が読み取れる形式の詳しい説明
• hasSubordinates: TRUE

ユーザー

ドメイン内のユーザー。所属する組織部門の下に表示されます。

• objectClass: top、person、organizationalPerson、inetOrgPerson、posixAccount
• uid: ユーザーのユーザー名。メールアドレスのユーザー名の部分。
• googleUid: uid と同じ。posixUid と明確に区別するために存在します。
• posixUid: ユーザーのユーザー名、または POSIX ユーザー名（設定されている場合）。
• cn: 一般名（コモンネーム）。2 つの値（ユーザーのユーザー名と表示名）が含まれます。
• sn: ユーザーの姓。
• givenName: ユーザーの名。
• displayName: ユーザーの表示名（フルネーム）。
• mail: ユーザーのメールアドレス。
• memberOf: このユーザーが属するグループの完全修飾名のリスト。
• title: ユーザーの役職。
• employeeNumber: ユーザーの従業員 ID。
• employeeType: 組織におけるユーザーの役割。
• departmentNumber: ユーザーの所属部門の名前。数値でなくてもかまいません。
• physicalDeliveryOfficeName: ユーザーの所在地または住所。
• jpegPhoto: ユーザーのプロフィール写真。
• entryUuid: このユーザーに固有で不変の識別子。
• objectSid: このユーザーの汎用一意識別子（Windows セキュリティ識別子に相当）。
• uidNumber: ユーザーの POSIX UID 番号。ユーザーに POSIX ID が設定されている場合は、その ID が反映されます。設定されていない場合は、固有で不変の識別子になります。
• gidNumber: ユーザーのプライマリ グループの POSIX GID 番号。ユーザーに POSIX GID が設定されている場合は、その GID が反映されます。設定されていない場合は、ユーザーの UID 番号と同じになります。

  注: 管理者が Admin SDK API を使用して uidNumber や gidNumber などの属性を設定していないかぎり、これらの属性を使用するユーザーを検索できません。これらの属性を API を使用して設定する際は、posixAccount systemId 属性も同じく設定する必要があります。そうしないと、uidNumber と gidNumber を検索できなくなります。

• homeDirectory: ユーザーの POSIX ホーム ディレクトリ。デフォルトは「/home/<ユーザー名>」です。
• loginShell: ユーザーの POSIX ログインシェル。デフォルトは「/bin/bash」です。
• gecos: ユーザーの GECOS（伝統的）属性。
• hasSubordinates: FALSE

​グループ

• objectClass: top、groupOfNames、posixGroup
• cn: グループのドメイン固有の名前。
• displayName: グループの、人間が読み取れる表示名。
• description: グループに関する、人間が読み取れる形式の詳しい説明。
• gidNumber: グループの POSIX GID 番号。不変で固有の ID ですが、これを使用してグループを効率的に検索できるわけではありません。
• entryUuid: このグループに固有で不変の識別子。
• objectSid: このグループの汎用一意識別子（Windows セキュリティ識別子に相当）。
• member: このグループに属するメンバーの完全修飾名のリスト。
• memberUid: このグループに属するメンバーのユーザー名のリスト。
• googleAdminCreated: このグループが管理者によって作成された場合は TRUE。
• hasSubordinates: FALSE