サポートsupport - IAM

Google Directoryとディレクトリを統合する

Google Directory連携比較表

Google Directory
→OneLogin		 OneLogin
→Google Directory (Google Workspace)
ユーザー情報の
同期
(即時同期)
(Google Workspaceへユーザープロビジョニングを用いることで同期可能)
ユーザー認証
(Google PWでOneLoginにログイン。選択可能だが非推奨)
(OneLoginでユーザー判定)

準備するもの

このページでは以下の条件を満たしていることを前提としています。

  • OneLoginのライセンスがAdvanced, Professional Bundleであること
  • OneLoginにおいて下記いずれかの権限をお持ちであること
    • Super User
    • Account Owner
  • Google Workspace または Cloud Identity のライセンスをお持ちであること
  • Googleの特権管理者権限をお持ちであること

OneLogin × Google Directory ディレクトリ連携の基本的な説明

本セクションでは、OneLoginとGoogle Directoryとのディレクトリ連携をご利用頂く際の基本的な仕様・制限等についてご紹介します

同期対象のユーザー属性

OneLogin側とGoogle Directory側の対応する属性は以下の表のとおりです。

OneLogin Google Directory
First name
Last name
Email メールアドレス
Username メールアドレス

*OneLoginのEmail欄とUsername欄はどちらもメールアドレスが登録されます(登録不可)

ユーザーの認証

後述する具体的な設定手順内でもご案内しますが、2021年6月現在ではGoogle Directoryから同期されたユーザーは原則としてOneLoginによる認証をご利用いただきます。つまりユーザー情報はGoogle Directoryから同期されたものを利用しますが、OneLoginにログインするパスワードはOneLoginで設定・管理します。

OneLogin → Google Workspace のユーザプロビジョニングとは併用できません

このディレクトリ連携機能では、Google Directory → OneLoginという方向でユーザー情報が同期されます。そのため、この逆向きの同期となるOneLogin → Google Workspaceという方向のユーザープロビジョニング機能とは併用することができません。

手順

OneLoginにディレクトリ連携設定を追加する

OneLoginとGoogle Directoryとのディレクトリ連携を、Google Directory上の以下の2ユーザーを同期と作成する操作を例としてご紹介します。

  • Google Directory上のユーザー
    • 管理者 OneLogin
    • 山本 哲人
  • OneLogin上のユーザー
    • 管理者 OneLogin
  1. OneLoginに管理者としてログインし、[管理]をクリックします
  2. Users > [Directories]をクリックします
  3. [New Directory]をクリックします
  4. Select a Directory Type > G Suiteの[Choose]をクリックします
  5. Directory名を設定します
    例:Google Directory
  6. Directory > Authenticate users in において、Google Directoryから同期したユーザーの認証をOneLoginとGoogleのどちらで実施するかを選択しますが、必ずOneLoginをご選択ください

  7. Basic Configuration > Google Apps Domain にてGoogle Directoryのプライマリドメインを登録します

  8. Deleting Users from Google > Deleted users in Google ... においてGoogle Directory側でユーザーが削除されたときに、紐付いたOneLoginユーザーに適用する処理を選択できます
    • are unaffected(何もしない)
    • are suspended(無効化する)
    • are deleted(削除する)

    *無効化または削除を推奨します

  9. ディレクトリ連携を有効化するために、Basic Configuration > Enable Google Apps as your user directory. にチェックを入れます
    *原則としてチェックを入れます

  10. Basic Configuration > Google Apps Domain > Include all sub-domains にチェックをいれるかを判断します
    チェックを入れることで、Google Apps Domains で指定したドメイン以外にもテナントに紐付いたドメインのユーザーをすべて同期することができます

  11. Google Directoryで同期したユーザーに対してもOneLoginのMapping機能を有効にするために、Importing Users > Enable Mappings にチェックを入れます
    *原則としてチェックを入れます

  12. Google Directoryでユーザーを作成したりユーザー情報が更新されたりすると、OneLoginへのユーザー情報のリアルタイム同期を有効にするために、Importing Users > Enable real-time updates にチェックを入れます
    *原則としてチェックを入れます

  13. Google Directoryのユーザーステータス(有効・強制停止中など)のOneLoginのユーザーステータスへの同期を有効にするために、Importing Users > Sync User Status from Googleにチェックを入れます
    *原則としてチェックを入れます

  14. User Passwords > Enforce OneLogin password expiration policy にチェックを入れると認証に用いるパスワードの期限にOneLogin側のパスワード期限ポリシーを適用することができます
    *手順6で認証ディレクトリとして OneLogin をご選択頂いた場合、設定値は挙動に影響しません
    *原則としてチェックを入れます

  15. [Save]をクリックします

以上で、OneLoginにディレクトリ連携設定を追加する 手順は終了です。

OneLoginとGoogle DirectoryをAPIで連携する

本セクションでは、OneLoginとGoogle Directoryを実際に連携するためのAPI連携の方法をご紹介します。

  1. Basicタブ > API Authentication > [Authorize] をクリックします

  2. Googleのログイン画面に遷移しますので、Google Directoryの特権管理者でログインします

  3. Google DirectoryのAPI承認ページに遷移します
    OneLoginがお客様のGoogle Directoryテナントに対して、下記のアクセスを行うことを承認するために[次へ]をクリックします

    • OneLoginがアクセスを求める項目
      • ドメインのグループの表示
      • ドメインのユーザーのプロビジョニングの表示と管理

  4. 画面上部に Directory successfully authorized! と表示されることを確認します
    API連携が完了すると、Basic > API Authentication > Session Token > Clear session token が表示されます
    また、[ Sync Users ]という手動同期実施用のボタンも同時に表示されます

  5. Google DirectoryからOneLoginにユーザー同期を開始するために、[Sync Users]をクリックします
    *初回のユーザー同期を開始する際にはクリックする必要があります
    *今後はトラブル発生時を除き、基本的に[Sync User]をクリックする必要はありません

  6. 画面左上の Directories / をクリックします

  7. Google DirectoryとのAPI接続に成功し、ユーザー同期が開始されるとディレクトリ一覧ページに現在の接続状況とユーザー同期数が表示されます
    接続ステータスが ●Connected と表示されていることを確認します

  8. 実際に同期されてきたユーザーを確認します
    Users > [Users]をクリックします

  9. Google Directoryに登録されているユーザーが登録されていることを確認します

    • 既にOneLoginとGoogle Directoryの両方に存在するユーザは連携を開始すると紐付きます
    • 既にMappingルールの登録がある場合は、ユーザー作成と同時にRoleの割当などが実行されます

    例)pentio-dev.com ドメインを持つユーザーにはDefaultロールを割り当てる

以上で、OneLoginとGoogle DirectoryをAPIで連携するは終了です。

また、基本的なGoogle Directoryとのディレクトリ連携の設定も完了です。

標準属性値以外をOneLoginに同期したい場合

Google DirectoryからOneLoginへ標準的に同期されるユーザー情報は OneLogin × Google Directory ディレクトリ連携の基本的な説明 でご説明したとおり、下記の4つです。

  • First name
  • Last name
  • Email
  • Username

OneLogin Advancedプランをご利用のお客様は、カスタムユーザーフィールド機能を併用することで、上記4つ以外のユーザー情報についてもOneLoginへ同期することができます。Google DirectoryからOneLoginへ同期することができるユーザーの属性値は以下の9つです。

  • Company:会社ドメイン
  • Cost Center:コストセンター
  • Department:部門
  • Manager:マネージャー
  • Employee ID:従業員 ID
  • Employee Type:従業員の種類
  • Groups:グループ
  • Phone:電話番号
  • Title:役職

このセクションでは、例としてGoogle DirectoryのDepartmentをOneLoginの部署(カスタムユーザーフィールド)に同期する手順をご紹介します。

  1. 管理者としてOneLoginにログインし、[管理]をクリックします

  2. カスタムユーザーフィールドを作成します
    Users > [Custom User Fields]をクリックします

  3. 画面右上の[New User Field]をクリックします

  4. New User Fieldにおいて、NameとShortnameを設定し、[Save]をクリックします
    例:Name:部署、Shortname:custom_user_field_department

  5. Custom User Fields内に 部署 というカスタムユーザーフィールドが作成されたことを確認します

  6. Users > [Directories]をクリックし、対象のDirectoryを選択します

  7. Directory Attributesタブ > Directory Attributes > [Add Attribute]をクリックします

  8. Directory Attributes > Directory Field でGoogle Directory側のユーザー属性を選択します
    例:Department

  9. Directory Attributes > OneLogin Field でOneLogin側のカスタムユーザーフィールドを選択します
    例:部署

  10. 設定ができたら、[Save]をクリックします

  11. 設定した属性をすぐに同期するために、More Actions > [Synchronize Users]をクリックします

  12. ページ上部に Users are being imported in the background. Check your Activity tab in a few moments to get feedback と表示されたことを確認します

  13. 設定した属性値がOneLoginに同期されていることを確認します

カスタムユーザーフィールドではなく通常のフィールドに同期したい場合

標準属性値以外をOneLoginに同期したい場合 をご覧になったお客様で、Company, Department, Titleなど本来であれば標準ユーザー情報として同期して欲しい情報がある場合にどうすればよいか疑問を持たれたお客様もいらっしゃるかと思います
原則としてG Suiteディレクトリ連携における 加的なユーザー情報同期では、カスタムユーザーフィールドを利用するほかありません。また、OneLoginからクラウドアプリへのユーザープロビジョニングでは標準フィールドと同様にカスタムユーザーフィールドも利用できますので、大きなデメリットはございません。
ただし、OneLoginプロフィール画面で肩書(Title)を表示したい、OneLogin SMSなどOTPで利用する電話番号をG Suiteから同期し、かつプロフィール画面からユーザー本人に変更させられるようにしたいなど特殊なご事情がある場合は、OneLoginのMappingを併用することでカスタムユーザーフィールドから標準フィールドに値をコピーすることが可能です。
以下、その設定方法をご紹介します。

利用したいケース例

  • OneLoginプロフィール画面に肩書を表示したい
  • OneLoginプロフィール画面でユーザーが自分の電話番号を書き換えられるようにしたい
    (OneLogin SMS ワンタイムパスワードのため)

本セクションでは、Company, Department, Title, Phoneの4つの属性値をOneLoginの標準ユーザー情報として同期する方法を紹介します。

  1. OneLoginに管理者としてログインし、[管理]をクリックします
  2. Users > [Custom User Fields]をクリックします

  3. カスタムユーザーフィールドを作成します
    例:G_Company、G_Department、G_Phone、G_Title

  4. Users > [Directories]をクリックします
  5. Google Directory側のユーザー属性を選択します

  6. 手順8〜10のようにDirectory Attributesを設定し、[Save]をクリックします

  7. 次に、手順6で作成したパラメータの値をカスタムユーザーフィールドから標準フィールドにコピーするためのMappingを作成します
    [Mappings]をクリックします
  8. [New Mappings]をクリックします
  9. Mapping名を設定します
    例:Google Directory

  10. Mappings > Google Directory > Conditions を設定します
    本ドキュメントではGoogle Directoryのユーザーにのみ適用するため、 Directory Name equals Google Directory と設定します

  11. Mappings > Google Directory > Actionsを設定します
    {custom_attribute_<name>} とは、OneLoginの なかで利用できるマクロで <name> にはカスタムユーザーフィールドのShort nameがそのまま入ります
    *マクロの詳細については、 Attribute Macros をご参照ください

  12. Mapping処理を実行するための[Reapply All Mappings]をクリックすることを促すポップアップが表示されますので、[了解]をクリックします

  13. Mappingが作成されていることを確認し、[Reapply All Mappings]をクリックします
  14. Activity > Jobs にてMapping処理の進捗が確認できることを示すポップアップが表示されますので、[Continue]をクリックします

  15. 画面上部に、The mapping job has been sent to the background. You can monitor its progress here が表示されたことを確認します

  16. Google Directoryから同期しているユーザーのページを開き、各項目に情報が同期されていることを確認します

以上で、カスタムユーザフィールドではなく通常のフィールドに同期したい場合は終了です

トライアル申し込み

ペンティオでは、OneLoginの30日間無料トライアルを実施しております。企業ごとに独立したアカウントを発行していますので安心してご利用いただけます。検証課題が解消していない場合にはトライアルの期間を延長することも可能です。ご興味のある方はぜひ一度お試しください。また、ご不明な点がございましたら、お問い合わせフォームよりお問い合わせください。

無料トライアルのお申し込みはこちら
問い合わせはこちら