Google Workspace のユーザー・組織情報と EVECLOUD のユーザー・グループ情報を同期する機能です。
| 機能 | 説明 |
|---|---|
| ユーザー同期 | Google Workspaceのユーザー情報をEVECLOUDユーザーとして同期。 |
| 組織同期 | Google Workspaceの組織をEVECLOUDのグループとして同期。 |
| 同期方向設定 | Google → EVECLOUD、EVECLOUD → Googleを設定可能。 |
| 手動同期 | 管理ツール上から手動で同期をトリガー可能。 |
| 同期除外処理 | Google Workspaceのルート組織直下ユーザーは同期対象外。 |
| Google Workspace | EVECLOUD | 同期内容 |
|---|---|---|
| メールアドレス | ユーザーID | 双方向一致でユーザーを紐付け |
| 姓・名 | ユーザー名 | 姓+名を連結して同期 |
| 組織 | グループ | 組織構造とEVECLOUDグループを紐づけて反映 |
同期上の注意事項
- Google Workspace の ルート組織上のユーザー は同期対象外です。
- EVECLOUDからGoogleに同期する際、Google Workspaceのドメイン以外のユーザーは同期対象外です。
Google Workspace 側EVECLOUD 側
Google Workspace 側設定
Google側の設定を行うには以下の権限が必要です。
- GCP プロジェクト作成/編集権限(API の有効化、サービスアカウント作成ができること)
- Google Workspace の スーパー管理者アカウント(Admin コンソールで Domain-wide delegation の登録ができること)
GCP プロジェクトを作成(または既存プロジェクトを選択)
- Google Cloud Console:https://console.cloud.google.com/ へアクセスし、プロジェクトの作成 または、選択をします。(以降はこのプロジェクトで操作します。)
ドメイン名を選択します。
- 「新しいプロジェクト」を選択します。
- 各種値を設定後、作成します。
Admin SDK(Directory API)を有効にする
- Cloud Consoleのメニューから「API とサービス」>「ライブラリ」を選択します。
- 「API とサービスを検索」へ「Admin SDK」を入力して検索します。
- 「Admin SDK API」を選択します。
- 有効化します。
サービスアカウント作成
- Cloud Consoleのメニューから「IAM と管理」>「サービス アカウント」を選択します。
- 「サービス アカウントを作成」を選択します。
- 各種値を設定します。
サービスアカウントの JSON キー 作成&ダウンロード(安全に保管)
- 作成した該当のサービスアカウントを一覧から選択します。「鍵」タブを選択します。
「キーを追加」から「新しい鍵を作成」を選択します。
- 「JSON」を選択し「作成」をクリックすると jsonファイルのダウンロードが開始します。このjsonファイルをEVECLOUDの管理ツールに設定します。
[注意事項]JSON キーは強力な秘密情報です。安全に保管し、必要な場合以外は共有しないでください(鍵ローテーション/失効手順も用意してください)。
サービスアカウントの Client ID(ドメイン委任用 ID)取得
- Cloud Consoleのメニューから「IAM と管理」>「サービス アカウント」を選択します。
- 該当のサービスアカウントを一覧から選択します。
- 「詳細」タブ内にある「一意の ID」の Client ID をコピーして控えておきます。次の項目で使用します
管理コンソールでドメイン全体委任を付与(スーパー管理者操作)
- 「admin.google.com」にスーパー管理者でサインインします。
- Google Workspace管理コンソールのメニューを開き、セキュリティ>Access and data control>API controls (セキュリティ>アクセスとデータ管理>API の制御)へ移動します。
- 「ドメイン全体の委任 (Domain-wide delegation)」を選択します。
- 「新しく追加 (Add new)」をクリックします。
- クライアントID欄に、前の項目で控えておいたサービスアカウントの Client ID を入力します。
- OAuth スコープ欄に、次項の「EVECLOUDで使用するDirectory API スコープ」を参考に、このアプリがドメインのユーザーデータにアクセスするために必要なスコープをカンマ区切りで入力します。「承認 (Authorize)」をクリックします。
EVECLOUDで使用するDirectory API スコープ
Google → EVECLOUD
ユーザーの取得:https://www.googleapis.com/auth/admin.directory.user.readonly
組織部門の取得:https://www.googleapis.com/auth/admin.directory.orgunit.readonly
EVECLOUD → Google
ユーザー読み書き:https://www.googleapis.com/auth/admin.directory.user
組織部門の取得:https://www.googleapis.com/auth/admin.directory.orgunit.readonly
[よくあるトラブル&対処方法]
- Admin コンソールで「Invalid client ID」エラー
コピーした Client ID が間違っている、あるいはサービスアカウントの Domain-wide delegation が有効化されていないことがあります。Client ID はサービスアカウントの詳細画面の Advanced settings → Domain-wide delegation にあります。 - 403 (insufficient permissions)
Admin コンソールで登録したスコープが不足している、またはコード側で指定した Subject(代理する管理者ユーザー)がスーパー管理者でない可能性があります。必要スコープを確認し、最小限の追加で再認可してください。 - 鍵 (JSON) 漏洩
直ちに鍵を失効(Console または gcloud でキーを削除)して、新しいキーを発行してください。
EVECLOUD 側設定
- 管理ツールにGoogleWorkspaceのアカウント設定をします。
右メニューから[組織管理]を選択します。「組織管理」ページの左メニューから[Google Workspace 同期]を選択し、画面を開きます。
「Google Workspace 管理者アカウント」「サービスアカウントのキー」「同期方向」を設定後、[保存]ボタンをクリックし、設定内容を保存します。
項目 内容 Google Workspace 管理者アカウント Google Workspaceの管理者アカウントを記載します。 サービスアカウントのキー Google Workspace 側の設定で取得した「サービスアカウントの JSON キー」を選択します。 同期方向 どちらのデータをどちらに反映させるか選択します。 [同期を開始する]ボタン 同期を開始します。必ず全ての設定が完了(グループの設定なども含め)してから実行します。 最終同期日時 過去に同期をしたことがある場合、同期した日時が記載されます。 - グループ設定からGoogleWorkspaceの組織とEVECLOUDのグループの紐づけを行います。
右メニューから[ユーザーとグループ]を選択後、グループ一覧から任意のグループを選択します。
- 選択したグループ管理ページの「Google Workspace連携」タブを選択し、設定画面を開きます。「同期するGoogle Workspaceの組織部門名」からGoogleの連携する組織部門名を選択して[更新]ボタンをクリックします。
※GoogleWoekspaceのアカウント設定が正常に行われている場合、連携しているGoogle側の組織部門が選択できます。紐づけが行われていない組織については同期されません。
- 同期を開始します。
[組織管理]>[Google Workspace 同期]を選択し、組織管理の「Google Workspace 同期」ページへ戻ります。
[同期を開始する]ボタンをクリックし同期を開始します。
- 同期中は「同期中」と表示されます。同期の完了は、最終同期日時で確認ができます。
