【備忘録】Google WorkspaceのAAD連携

ちゃんとやったことがなかったので、今回はじめてトライします。
やりたいことを以下にまとめてみました。

• Azure Active Directory（以下AAD）をIdPにして、Google Workspace（以下GWS）と連携する

  • ユーザーの作成

  • SSO

  • アカウント停止時にGWSへのログイン制御

  • グループ追加

  • グループ変更

  • ユーザーの削除

それでは、やっていきます。

Cloud Identy freeの登録

先に以下の目的で、GWSとは別にCloud Identy freeを登録します。

• アカウント管理用のユーザーを分ける

• 最上位の組織（OU）はCloud Identy freeにし、意図せずライセンスが割り当たることを防ぐ

連携ユーザーの作成

以下の記事をみながら設定していきます。

Azure AD ユーザーのプロビジョニングとシングル サインオン  |  Identity and Access Management  |  Google Cloud

組織（OU）の作成、ユーザーの作成、ロールの設定

組織の作成と、ユーザーの作成

ロールの設定

AADとGWSの連携

AADのエンタープライズアプリケーションからGWSの連携設定をしていきます。

GWSと連携するユーザー（azuread-provisioning@ドメイン名）で承認します。

ユーザープロビジョニングの設定

ユーザープロビジョニングは参考URL以上の設定は特にしていません。

プロビジョニングの有効化

それでは、テストユーザーを作成し、今回作成したエンタープライズアプリケーションに割り当てます。
今回は、「GWSSync」というセキュリティグループを作成して割り当てし、そのグループにテストユーザーを追加しています。

事前準備が完了したので、「プロビジョニングの開始」からプロビジョニングをはじめました。結果はいかに…

ユーザー作成時の挙動

ユーザー作成後、無事自動的に作成されました。

ユーザー停止時の挙動

MS365側からサインインをブロックしてみました。

しっかり同期されました。ログインしていたGoogleアカウントからもログアウトされていることを確認しました。

アプリケーションごとに確認した方がよさそうだけれど、ひとまず良い感じ。

アカウント再開後、GWSに同期されると停止解除になります。
今回は5分後でしたが、プロビジョニングの周期が40分間隔なので、最大40分かかる可能性があります。

ユーザー削除時の挙動

最後にユーザー削除時の挙動も見ていこうと思います。

AAD側でユーザーを削除すると、GWS側は「停止」になります。

ちなみに、GWS側で削除のままだとライセンスが適用されたまま（課金対象）になってしまうので注意しましょう。

まとめ

ユーザープロビジョニング周りはそこまで苦労なく、かつイメージ通りに進めることができました。
次回はSSOか、グループプロビジョニングを検証していこうと思います。

それではまた来週！