Google DirectoryとOneLoginをディレクトリ連携する手順

1. 目的

このドキュメントでは、OneLoginとGoogle Directoryをディレクトリ連携し、ユーザー情報の同期をするための設定についてご案内いたします。

前提条件

• OneLoginのライセンスが AdvancedかProfessional Bundleであること
• OneLoginにおいて下記いずれかの権限をお持ちであること
  • Super User
  • Account Owner
• Google Workspace または Cloud Identity のライセンスをお持ちであること
• Googleの特権管理者権限をお持ちであること

仕様・制限

本セクションでは、OneLoginとGoogle Directoryとのディレクトリ連携をご利用頂く際の基本的な仕様・制限等についてご紹介します

• 同期対象のユーザー属性 OneLoginの下記4属性がGoogle Directory側の対応する属性（カッコ内）から同期されます ・First name（名） ・Last name（姓） ・Email（メールアドレス） ・Username（メールアドレス） ＊OneLoginのEｍail欄とUsername欄はどちらもメールアドレスが登録されます（登録不可）

• ユーザーの認証 ユーザー情報はGoogle Directoryから同期されたものを利用しますが、OneLoginにログインするパスワードはOneLoginで設定・管理します。

• OneLogin → Google Workspace のユーザープロビジョニングとは併用できません このディレクトリ連携機能では、Google Directory → OneLoginという方向でユーザー情報が同期されます。そのため、この逆向きの同期となるOneLogin → Google Workspaceという方向のユーザープロビジョニング機能とは併用することができません。

  ＊ユーザーを一旦OneLoginに取り込むためにGoogle Directoryとのディレクトリ連携を使用したいお客様は、同期が完了したのち、ディレクトリ連携を停止または削除してからGoogle Workspaceへのユーザープロビジョニングをご設定ください

補足:Google Directory 連携時のユーザー認証について

2019 年 10 月の Google API アップデートにより、Google 側 ID/PW 検証に OneLogin が利用するAPIアクセスが安全性の低いアプリケーションとしてブロックされるケースが増え、結果としてユーザー認証に失敗することが増加しました。つきましては、Google の ID・パスワードによる認証ではなく、現在では必ず OneLogin によるユーザー認証をご選択ください。

2. 手順

1. OneLoginにディレクトリ連携設定を追加する

本セクションと次のセクションでは、OneLoginとGoogle Directoryとのディレクトリ連携を、Google Directory上の下記の2ユーザを同期・作成する操作を例にしてご紹介します

❐ Google Directory上のユーザー

• 管理者 OneLogin
• 山本 哲人

❐ OneLogin上のユーザー

• 管理者 OneLogin

1. OneLoginに管理者としてログインし、［管理］をクリックし、Users > ［Directories］>［New Directory］をクリックします

2. Select a Directory Type > G Suite(※)の［Choose］をクリックします

   ※G SuiteはGoogle Workspaceの旧称です。OneLoginのUI上では依然G Suiteと表記されています。

   

3. Google Directoryの設定を行います

   • Directory名を設定します
   • Authenticate users inにおいてOneLoginをご選択ください
   • Basic Configuration > Google Apps Domain にてGoogle Directoryのプライマリドメインを登録します

4. Deleting Users from Google > Deleted users in Google … においてGoogle Directory側でユーザーが削除されたときに、紐付いたOneLoginユーザーに適用する処理を選択できます ・are unaffected（何もしない） ・are suspended（無効化する） ・are deleted（削除する） ＊無効化または削除を推奨します

   

5. Google Directoryを連携する上で各種設定を有効化します

   • Basic Configuration > Enable Google Apps as your user directory. にチェックを入れディレクトリ連携を有効化します
   • Include all sub-domains にチェックをいれるかを判断します チェックを入れることで、Google Apps Domains で指定したドメイン以外にもテナントに紐付いたドメインのユーザーをすべて同期することができます
   • Google Directoryで同期したユーザーに対してもOneLoginのMapping機能を有効にするために、Importing Users > Enable Mappings にチェックを入れます
   • Importing Users > Enable real-time updates にチェックを入れます
   • Importing Users > Sync User Status from Google にチェックを入れます
   • User Passwords > Enforce OneLogin password expiration policy にチェックを入れます

6. ［Save］をクリックします

2. OneLoginとGoogle DirectoryをAPIで連携する

本セクションでは、OneLoginとGoogle Directoryを実際に連携するためのAPI連携の方法をご紹介します

1. Basicタブ > API Authentication > ［Authorize］ をクリックすると、Googleのログイン画面に遷移しますので、Google Directoryの特権管理者でログインします
2. Google DirectoryのAPI承認ページに遷移します OneLoginがお客様のGoogle Directoryテナントに対して、下記のアクセスを行うことを承認するために ［次へ］ をクリックします

❐OneLoginが要求する権限

• ドメインのグループの表示
• ドメインのユーザーのプロビジョニングの表示と管理

3. 画面上部にDirectory successfully authorized! と表示されることを確認します

   API連携が完了すると、Basic > API Authentication > Session Token > Clear session token が表示されます

   また、［Sync Users］という手動同期実施用のボタンも同時に表示されます

   

4. Google DirectoryからOneLoginにユーザー同期を開始するために、［Sync Users］ をクリックします

以上で、OneLoginとGoogle DirectoryをAPIで連携する方法及び基本的なGoogle Directoryとのディレクトリ連携の設定は終了です

3. 結論

OneLoginとGoogle Directoryのディレクトリ連携ができているかを確認します。

1. Users / Directoriesをクリックすると、Google DirectoryとのAPI接続に成功し、ユーザー同期が開始されるとディレクトリ一覧ページに現在の接続状況とユーザー同期数が表示されます 接続ステータスが●Connectedと表示されていることを確認します

   

2. 実際に同期されてきたユーザーを確認します Users > ［Users］ をクリックします

3. Google Directoryに登録されているユーザーが登録されていることを確認します ＊既にOneLoginとGoogle Directoryの両方に存在するユーザは連携を開始すると紐付きます ＊既にMappingルールの登録がある場合は、ユーザー作成と同時にRoleの割当などが実行されます

   

ペンティオでは、OneLoginをご契約いただいた方に向けて独自のドキュメントを無料で提供しています。