業務ハックLab

とある社内SEの備忘録的なものです。

【スポンサーリンク】

Google WorkspaceでAzure ADを利用したプロビジョニングを設定する

皆さんこんにちは。
業務ハックLabのよ~よんです。

前回、Google WorkspaceでSSOを使用する方法についてご案内しましたが、今回はプロビジョニングの設定方法についてご案内したいと思います。

プロビジョニングとは
今回のプロビジョニングは「ユーザー・プロビジョニング」を指します。
ユーザー・プロビジョニングをWikiで調べてみると「1つまたは複数のシステムやディレクトリやアプリケーションにおいて、ユーザアカウントの生成・保守・削除などを行うこと」と記述されています。
簡単に言うと片方のシステムでユーザーを作ったり、削除したりするともう片方のシステムでも自動的にユーザー作成、削除などが行われるってことですね。
これはIT管理者の方にとってはものすごく効率化になります。
特に多くのシステムを入れている企業にとっては便利な機能ですよね。

では早速設定方法を案内していきたいとおもいますが前回の記事でSSOの設定まで完了している前提で案内を進めたいと思います。
過去記事はこちら!

yo-yon.hatenablog.com

 

 Google Workspaceでのプロビジョニング設定方法

前回同様、Azure AD(以下AAD)を利用してプロビジョニングを設定していきます。

Google Workspace側の設定

管理APIの権限確認
  1. 管理コンソール上で「管理者ロール」をクリックします。

    f:id:yo-yon:20210406113425p:plain

  2. 「特権管理者」をクリックします。

    f:id:yo-yon:20210406113517p:plain

  3. 「権限」をクリックします。

    f:id:yo-yon:20210406113707p:plain

  4. 管理APIの権限が全てにチェックが入っているか確認します。

    f:id:yo-yon:20210406113721p:plain

ライセンスの自動割当設定確認

Google WorkspaceでCloud Identityを利用している方はプライマリで自動割り当てさせるライセンスがCloud Identityのものになります。
Google Workspaceのライセンスも自動割当をしたい方は下記設定で自動割当をオンにしてください。(デフォルト設定がオンになっているので確認だけしてください。)
また自動割当をしたくない方については下記設定で必ずオフにしてください。

  1. 管理コンソール上で「お支払い」から「その他サービスを利用する」をクリックします。

    f:id:yo-yon:20210406114153p:plain

  2. 割当しているプランの「サブスクリプションを表示」をクリックします。

    f:id:yo-yon:20210406114242p:plain

  3. 「ライセンス設定を管理」をクリックします。

    f:id:yo-yon:20210406114311p:plain

  4. 鉛筆マークをクリックします。

    f:id:yo-yon:20210406114421p:plain

  5. 任意の設定にして「保存」をクリックします。
    オン:ユーザーが作成された時点でライセンスが割り当てられる
    オフ:ライセンスは自動割当されず、管理者側で手動でライセンスの割当を行う

    f:id:yo-yon:20210406115604p:plain

AAD側の設定

  1. エンタープライズアプリケーションで「Google Cloud・・・」を選択し、ブレードメニューから「プロビジョニング」をクリックします。

    f:id:yo-yon:20210406110337p:plain

  2. 「作業の開始」をクリックします。

    f:id:yo-yon:20210406110437p:plain

  3. モードを「自動」にします。

    f:id:yo-yon:20210406110608p:plain

  4. 管理者資格情報で「承認する」をクリックします。

    f:id:yo-yon:20210406110709p:plain

  5. 管理者のメールアドレスを入力し、「次へ」をクリックします。

    f:id:yo-yon:20210406110948p:plain

  6. パスワードを入力し、「次へ」をクリックします。

    f:id:yo-yon:20210406111111p:plain

  7. 「許可」をクリックします。

    f:id:yo-yon:20210406111320p:plain

  8. マッピングの「Provision Azure Active Directory Users」をクリックします。

    f:id:yo-yon:20210406111523p:plain

  9. Google Workspaceにマッピングする属性を定義します。

    f:id:yo-yon:20210406111635p:plain

  10. 「保存」をクリックします。

    f:id:yo-yon:20210406111732p:plain

  11. グループの同期は今回はしないので「Provision Azure Active Directory Groups」をクリックし「有効」を「いいえ」にして保存をクリックします。

    f:id:yo-yon:20210406112113p:plain
    f:id:yo-yon:20210406112127p:plain
    f:id:yo-yon:20210406112147p:plain

  12. 範囲を「割り当てられたユーザーとグループのみを同期する」にして「オン」を選択します。

    f:id:yo-yon:20210406112318p:plain

  13. 「保存」をクリックします。

    f:id:yo-yon:20210406112354p:plain

以上でプロビジョニングの設定は完了です。
これでAADでユーザー追加をしたり情報を変更したりするとGoogle Workspace側にも反映されるようになります。
注意ポイントですがSSO、プロビジョニングともにUPNを利用していますので両方のシステムのドメインは一緒にしておいてください。
それでは皆さん良い業務ハックライフを~

免責事項