Entra IDとGoogle Workspaceのメンバーを同期させる方法 - Provisioning編

前回の記事にて、Google Workspace側のGoogle Directory Syncという機能を利用して、Azure Entra ID(Azure Active Directory)と同期させて、メンバーを自動的に追加する手法を記しました。一方で、Azure側にもEntra IDのメンバーをGoogle Workspace側に自動プロビジョニングする機能があり、これとSSO連携する機能を組み合わせることで、Entra ID側だけをメンテすればGWS側のメンバー管理が楽になります。

今回はAzure Entra IDのプロビジョニング機能を使って、ユーザを同期する手法を検証してみます。

今回利用する機能

今回の検証はあまりGoogle Workspace側での作業がありません。殆どがAzure Entra ID側の設定となります。(ちなみにグループを指定するにはMicrosoft Entra ID P1 以上のライセンスが必要です)。今回は無償のMicrosoft365に付属ライセンスにてユーザ単位でプロビジョニングします。

この機能をセットすることで、Entra ID側でユーザが追加された場合、自動でルールに従いGoogle Workspace側でもユーザが作成される仕組みになっています。但し、パスワード同期されるわけではないので、以下のSSO連携を追加で行い、SAML認証でGoogle Workspace側に入れるようにするのが定石のようです。

Entra IDとGoogle Workspaceのメンバーを同期させる方法 - GDS編

Entra IDアカウントでGoogle WorkspaceにSSO連携してみた

事前準備

前述のGoogle WorkspaceにSSO連携してみた記事同様に、Google Workspace側はCloud Identity Freeにてアカウントを自動作成するようにします。Google Cloud Directoryのケースとは逆でEntra ID側からGoogle側に同期を図るので、Google側での準備はそこまで多くありません。

Google Workspace側では、Entra ID側からユーザ作成を行わせる専用のCloud Identity Freeアカウントを用意し、管理者権限を付与します。

※前回の記事の続きであるため、Entra ID側ではGWSと同じ独自ドメインを利用してユーザを作成しています。

専用アカウントの作成

Entra ID側からのユーザ作成を代行する管理者アカウントとその為の組織部門が必要です。

  1. 管理コンソールにログインする
  2. 左サイドパネルのディレクトリ⇒組織部門をクリックする
  3. 組織部門の作成をクリックして、親ドメインにぶら下がる形で「entra_id」という組織部門を作成します。
  4. 左サイドパネルからユーザをクリックして、作成したmicrosoft組織部門をクリック、新しいユーザーの追加をクリック
  5. 名、姓を入力し、provisioningという名称のアカウントにしました(名と姓は適当に入力)。パスワードもセットしておきましょう。

自分の場合余分なライセンス枠はないので、この時点ではCloud Identity Freeアカウントになっています。Google Workspaceライセンスは勿体ないので自動付与の場合は外してあげましょう。

図:通常のアカウント作成

管理者権限を付与

このままでは何も出来ないユーザですので、管理者権限を付与します。

  1. 作成したユーザをクリックして中に入ります。
  2. 管理者ロールと権限をクリックします。
  3. 今回はユーザ・グループの作成や削除といった権限で十分なのですが、丁度良いロールが無いので、カスタムロールを作成をクリックします。
  4. 新しいロールを作成をクリックする
  5. ロール名称を入れて、続行をクリック(今回は、EntraManageという名前で作成)
  6. 管理コンソールの権限は組織部門読み取り、ユーザおよびグループは全権限、セキュリティはセキュリティの設定のみでセット
  7. また管理APIの権限は、組織部門読み取り、ユーザ及びグループは全権限を指定する
  8. 保存をクリックする

特権管理者じゃありませんが、ユーザの作成・更新・削除が担当出来るようになったので、このアカウントに関しては厳格な管理が必要になります。カスタムロールは組織部門を限定することが出来ないので要注意。

図:カスタムロールを作成する

図:最小限の管理者権限を付与

自動プロビジョニングの設定

Entra ID側でアプリの準備する

GWS側に作成担当のユーザが準備できたので次に、Entra ID側で自動プロビジョニングの設定を行います。

  1. Azure Entra IDのトップ画面を開く
  2. 左サイドバーの下のほうにある「エンタープライズアプリケーション」をクリックする
  3. 上部にある「新しいアプリケーション」をクリックする
  4. Microsoft Entra ギャラリーを参照すると出てくるので、「Google Cloud Platform」をクリックする
  5. Google Cloud / G Suite Connector by Microsoftが出てくるのでクリックする
  6. 右サイドパネルの作成をクリックします。名前は適当につけます(今回はAuto Provisioningと命名)
  7. しばらくすると、アプリが作成されて概要画面が出てきます。
  8. 左サイドバーから「プロパティ」をクリックします。
  9. 以下の内容の設定をします。
  10. 保存をクリックする

図:GCPを選択する

図:プロパティ設定

プロビジョニング設定を開始

続いて、以下の作業を続行します。

  1. 左サイドバーから「プロビジョニング」をクリックします。
  2. 作業の開始をクリックします。
  3. プロビジョニングモードを「自動」に変更します。
  4. 管理者資格情報を開いて、承認するをクリックする
  5. Googleログイン画面がポップアップする。
  6. ここで、事前準備で作成しておいたCloud Identity Freeのアカウントでログインする
  7. Azure Active Directoryに対する許可認証を求めてくるので、許可をクリックする。
  8. テスト接続をクリックする
  9. 右上にプロビジョニングする権限がありますと出たらオッケーです。

図:承認をクリックするとGoogleログインが出てくる

図:アクセスを許可する

属性マッピング

ユーザ属性情報

続けて、Entra ID側のユーザの属性情報とGoogle Workspace側のユーザ属性情報を連結する為のマッピングを行います。必要なものだけをセットすると良いでしょう。

  1. 前述の同じ画面の下にあるマッピングをクリックし、Provision Microsoft Entra ID Usersをクリックする。
  2. 属性マッピングの画面が出てくるので、今回はprimaryEmail、name.familyName、name.givenNameの3つだけにして他は削除しました。
  3. name.familyNameおよびname.givenNameの編集をクリックする
  4. null の場合の規定値 (オプション)の値を「_」に変更しておく
  5. 最後に保存をクリックする

別途同期させたい属性情報があれば、新しいマッピングの追加から追加することも可能です。

図:マッピングメイン画面

図:属性マッピング編集画面

グループ属性情報

グループの属性情報もマッピング編集可能です。ただ問題なのは、Azure Entra IDのグループはxxxx.onmicrosoft.comという形式になっているので、これをGWS側の独自ドメインに変換するマッピングを追加する必要があります。

  1. マッピングにおいて、Provision Microsoft Entra ID Groupsをクリックする
  2. 属性情報のmailの編集をクリックする
  3. マッピングの種類を直接⇒式に変更する
  4. 式の欄に以下のように変換式を追加する
  5. OKをクリックして保存をクリックする

図:Entra IDのグループドメインはonmicrosoft

図:ドメイン変換式を設定

同期対象のユーザを追加する

作成したエンタープライズアプリケーションであるAuto Provisioningの概要画面まで戻ります。そこで、次に同期対象となるEntra ID側のユーザを追加します(グループを追加する事も可能)。

今回は予め、raspberry@独自ドメインにてユーザを作成しており、このユーザをGWS側に自動プロビジョニングさせます。

  1. 左サイドパネルからユーザとグループをクリックする
  2. 上部のユーザまたはグループの追加をクリックする
  3. ユーザの選択されていませんをクリックし、作成しておいたユーザにチェックを入れて、選択をクリックします。
  4. 下部にある割り当てをクリックする

これで同期対象が選定できました。

図:同期対象ユーザの追加

プロビジョニングの実行

同期の開始

ここまででGoogle WorkspaceおよびAzure Entra IDのプロビジョニングに関する準備が整いました。早速実行して、Google Workspace側にユーザが同期されるかテストしてみたいと思います。

  1. 作成したエンタープライズアプリケーションのプロビジョニングの概要に入る
  2. 左サイドバーからプロビジョニングをクリックする
  3. さらにプロビジョニングに入り編集画面を開く
  4. 下部にあるプロビジョニング状態を「オン」にして、保存をクリックする
  5. 上部に「プロビジョニングの開始」という項目があるのでクリックする

同期の間隔は40〜80分で行われるようです。オンデマンドでプロビジョニングにて手動で即座に特定ユーザのみを反映してテストが出来ます。

図:ステータスの変更を行う

図:プロビジョニング開始

同期の検証

少しいろいろな面で検証をしてみました。

アカウントを削除

GWS側でアカウントを削除後に、Entra ID側で再度手動でプロビジョニングすると新たに同じアカウントが生成されました。常にEntra ID側からスケジューリングで同期が掛かり指定ユーザについては常に存在するようになります。

逆にEntra ID側で同期対象ユーザから除外場合どうなるのか?そのまま1時間程度放置してみました(手動で出来ない為)。

この場合こちらにも記載があるように、Google Workspace側のユーザは「停止」となり、アカウントが削除されることはありません。よって、手動で削除する必要があります(なんですが、自分で検証してみた結果、サスペンドされてなかった・・・)。

マッピングにて、ソースのsuspendedの値をGWS側のsuspendedに対して同期を掛けることで手動でも停止をさせることが可能です。初回同期はさせるけれど停止状態にしたい場合などでも利用します(Cloud Identity Freeライセンスで追加されても、一部のGoogleサービスは使えてしまう為)

組織部門について

デフォルトのままだとGoogle Workspace側の特定の組織部門に所属するようにマッピングが出来ません。ルートの組織に登録されてしまいます。また、Entra IDとGWDでは組織部門的な管理手法が異なるので、例えばEntra ID側の管理単位は複数所属可能なのでそのまま適用も出来ません。

ローカルADからEntra IDへConnectで属性値のマッピングをしてる場合、15個のextensionAttributeという属性値にマップして、それをプロビジョニングのマップで選択して使えるのですが、問題はこの値、Azure Entra ID上ではGUIで設定する手段がありません(Graph APIを使って設定は可能)。

トリッキーなテクですが、以下のようにして組織部門として設定して同期を掛けられます。

  1. ユーザのプロパティの利用頻度が低いフィールドを代用する(例えばFAX番号)
  2. 1.のフィールドに対して、GWSのルートから見てサブディレクトリをパスとして入力(今回はルート直下にentra_idという組織部門を作ったので、ここに同期するならば、/entra_idと入力する)
  3. プロビジョニングのマッピングに於いて、ソース属性は「facsimile TelephoneNumber」を指定
  4. 対象の属性は、「OrgUnitPath」を指定
  5. OKをクリックして、保存をクリックする

実際に既にルート直下で同期をしてしまったユーザに対して手動で同期を掛けてみた所、きちんと所属する組織部門が変更されました。

OrgUnitPathはルートから見てのパスとなるのでさらにサブディレクトリがあるならば、/entra_id/subdirnameといったようにパスを入力すれば、深い組織部門に細かく配置することが可能です。

※またアプリロールを作って属性値を入れておき、そこにユーザを所属させて、式でOrgUnitPathに同期させる手法もあるようです。こちらはグループでまとめられるので便利かもしれません(カスタムロール作成はEntra ID P1もしくはP2のライセンスが必要です)。カスタムロールは組織部門毎に作成し、Valueに「/entra_id/subdirname」等を入力、それを「SingleAppRoleAssignment関数」を使った式で参照し(式:SingleAppRoleAssignment([appRoleAssignments]))、OrgUnitPathにマッピングするという手法です(一人ひとりの項目に組織部門値を入れる必要がない)

図:空いてるフィールドを代用する

関連リンク

 

コメントを残す

メールアドレスが公開されることはありません。 ※ が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)