Google WorkspaceによるPassportの構成

  • hC
  • EF

始める前に

  • 組織の Google Workspace インスタンスは、Secure Lightweight Directory Access Protocol(LDAP)をサポートしている必要があります。Business Starter、Business Standard、Nonprofitの各ライセンスは、セキュアLDAPをサポートしていません。

  • 組織の特権管理者アカウントにアクセスできる必要があります。

  • Webブラウザで.zipファイルが自動的に解凍される場合は、その設定を一時的に変更してファイルを再度ダウンロードするか、圧縮されていないフォルダーを圧縮してから Passport ライブラリアイテムにアップロードします。

セキュアLDAPクライアントの作成と証明書のダウンロード

Passport は、セキュア LDAP を使用して Google と通信し、ログイン資格情報を確認し、基本的なユーザーとグループ情報を収集します。Google Workspace で新しいセキュア LDAP クライアントを作成するときは、通信を保護するための証明書をダウンロードしてサービスを有効にします。

  1. ウェブブラウザで、組織の特権管理者アカウントを使用して、 admin.google.com で組織の Google 管理コンソールにログインします。

  2. 左のサイドバーで、[アプリ]をクリックします。

  3. [アプリ] セクションで [LDAP] をクリックします(LDAP が表示されない場合は、組織で利用中のGoogle Workspaceは、セキュアLDAP サービスが提供されないBusiness Starter エディションまたは Business Standard エディションである可能性があります。)。

  4. LDAPクライアントをまだ設定していない場合は、[ LDAPクライアントの追加]をクリックします。
    すでに 1 つまたはそれ以上のLDAP クライアントが設定されている場合は、右上隅の [クライアントの追加] をクリックします。

  5. [LDAP クライアント名] フィールドに、Kandji Passportなどの名前を入力します。

  6. [説明] フィールドに、「Macのパスワードと Google のパスワードを同期するためのKandji Passport」などの説明を入力します。

  7. 「続行」をクリックします。

  8. [ユーザー資格情報の確認] セクションで [ドメイン全体] を選択するか、 Passport を特定のアカウントに制限する場合は [ 選択した組織単位、グループ、除外グループ] を選択します。

  9. [ユーザー情報の読み取り] セクションで、前の手順で行ったものと同じ設定を構成します。

  10. 「システム属性」のチェックボックスが選択されていることを確認して、Passportがデフォルトのユーザー属性を読み取れるようにします。

  11. 残りの 2 つのチェックボックスは選択解除したままにしておきます。 Passport はカスタムユーザー属性を使用しません。

  12. [グループ情報の読み取り] セクションで、スライダーを [オン] にすると、ユーザーがログインするときに、ユーザーの Google Workspace グループ情報を使用してローカルのMac アカウントを標準権限と管理者権限の間で動的に変換するようにPassport を設定できます。このオプションは、ここでオンにしない場合でも、後でオンにすることができます。

  13. 設定を確認し、[LDAPクライアントの追加]をクリックします。

  14. [証明書をダウンロード] リンクをクリックします。

  15. [クライアントの詳細に進む] をクリックします。

  16. 右上隅にある「オフ」または 開閉用三角 ボタンをクリックして、サービスをオンにする画面に移動します。

  17. [サービスの状態] フィールドで、全員に対して [オン] を選択します。

  18. 「保存」をクリックします。

セキュアLDAP証明書を再ダウンロードする(オプション)

前のセクションで LDAP クライアントを構成した後は、 Passport と Google間のLDAP 通信を保護するために使用される証明書をいつでもダウンロードできます。他にも、証明書の名前変更、追加の証明書の生成、証明書の削除など、多くのオプションがあります。

  1. ウェブブラウザで、組織の特権管理者アカウントを使用して、 admin.google.com で組織のGoogle管理コンソールにログインします。

  2. 左のサイドバーで、[アプリ]をクリックします。

  3. [アプリ] セクションで、[LDAP] をクリックします。

  4. LDAP クライアントのリストで、 Passportで使用するために作成した LDAP クライアントを選択します。

  5. [認証] セクションの任意の場所をクリックします。

  6. [証明書] セクションで、[ダウンロード] ボタンをクリックします。

  • [アクセス資格情報] セクションは空白のままにすることができます。 Passport は、証明書に加えてそれらを使用しません。

Passport によるユーザーアカウントのプロビジョニング

Passportライブラリアイテムで ID プロバイダーグループごとに指定オプションを使用する場合は、ID プロバイダーグループフィールドでGoogle グループのEメールを使用します。

  1. Google Adminで、使用するグループに移動します。

  2. グループのメールをコピーします。

  3. Kandji Passport ライブラリアイテムの [ユーザープロビジョニング] セクションで、前のセクションの値を [ID プロバイダーグループ] フィールドに貼り付けます。

  4. 追加の Google グループのメールを使用するたびに、上記の手順を繰り返します。

  5. Passport ライブラリアイテムで、[保存] をクリックします。

ライブラリアイテム設定

Google Workspace からダウンロードした証明書を入力します。

  1. [設定] セクションの [認証設定] セクションで、[ID プロバイダー] をクリックし、[Google Workspace] を選択します。

  2. [ Google Workspace から証明書をアップロード ] フィールドで、Google からダウンロードした証明書をアップロードするためのリンクをクリックします。

  3. [ アップロードするファイルの選択 ] ウィンドウで、圧縮された証明書ファイルが含まれているフォルダーに移動し、圧縮された証明書ファイルを選択します。

  4. アップロード」をクリックします。

  5. 「ファイルを検証しています」というメッセージが表示された場合は、検証が完了するまでしばらくお待ちください。

  6. 圧縮された証明書ファイルが表示されていることを確認します。