Google Workspace の「動的グループ」を試してみた
「Google Workspace にも動的グループの機能はあるのだろうか 🤔 」とググってみたら、ありました。 2021 年 2 月にリリースされていたんですね。
動的グループ機能を使って、ユーザの契約形態や所属部門に応じてグループへの自動追加・削除ができるか試してみました。メーリングリストや共有ドライブのアクセス権設定用途として期待!!
前提・制約
ヘルプページからポイントになりそうな部分を抜粋します。
プラン
動的グループを利用するためには以下プランの契約が必要です。
- Enterprise Standard、Enterprise Plus
- Education Standard, Plus
- Cloud Identity Premium
グループのネスト
「他のグループ (静的なグループ) に動的グループを追加することができない」のはちょっと残念です。。部門の階層化にも対応したかった。。
ユーザーのみがメンバーになれる
- グループはメンバーシップの条件を満たさないため、動的グループにグループを追加することはできません。また、他のグループに動的グループを追加することはできません。
通常の「グループ」からの変更
通常の静的なグループから動的グループへ変更することはできないとのこと。 ※ サポートに確認しました
動的グループで使えるユーザ属性
動的グループのクエリで利用可能なユーザ属性はこちらで確認できます。
今回は以下の属性情報で検証しました。
・従業員の種類 ... organization.description
・部門 ... organization.department
ユーザ属性の設定
ユーザの属性情報を登録します。
・organization.description: regular (正社員)
・organization.department: corp-it
動的グループの作成
グループの管理画面で [ 動的グループを作成 ] をクリックします。
クエリビルダーが表示されるので、目的の属性情報や判定ルールを入力します。[ 停止中のユーザを除外する ] のチェックボックスが標準で用意されているのは良いですね。
部門に応じた動的グループを作成するため、以下のとおり設定します。
org.department Equals corp-it
クエリが自動生成され、条件に該当するメンバーを確認することができます。意図したクエリであることが確認できたので [ 動的グループを作成 ] をクリックします。
※ ユーザ名、メールアドレスを塗りつぶしていますが、上記で属性を設定したユーザです。
動的グループのグループ名、説明(今回は空欄のまま)、メールアドレスを入力して [ 保存 ] をクリックします。
通常の(静的な)グループを作成する場合は、この画面でグループのオーナーを指定することができますが、動的グループではメンバーの追加・削除が自動的に行われるためオーナーの指定は不要です。
作成したグループには「動的」のラベルがついてきます。
メンバー管理画面では、所属ユーザを決定するためのクエリと実際に所属しているメンバーが表示されます。
動的グループも、メーリングリストや共有ドライブのアクセス権設定で使えました。
*********
organization.description でも同じ要領でクエリの設定、動的グループの作成ができました。
ユーザ属性を変更してみる
人事異動を想定して、organization.department を sales に変更してみます。
変更直後にグループの管理画面を更新すると、corp-it グループから当該メンバーが削除され、予め作成しておいた sales グループに追加されました。リアルタイムに反映されるようです。
「部門」 × 「契約形態」 の組み合わせを試してみる
組織によっては「部門 × 契約形態の組合わせで共有ドライブのアクセス権をコントロールしたい」ニーズがあると思います。動的グループは複数条件の組み合わせにも対応しているので試してみます。
パターン①: corp-it_regular グループ
・organization.department: corp-it
・organization.description: regular (正社員)
パターン②: corp-it_subcontracting グループ
・organization.department: corp-it
・organization.description: subcontracting (業務委託)
まずはパターン①で意図した動的グループに追加されていることを確認します。
organization.description の値を subcontracting に変更します。
corp-it_regular グループからは削除され、
corp-it_subcontracting グループに追加されていることが確認できました。
まとめ
新規にユーザを作成したり、人事異動・組織変更対応でグループへのユーザの出し入れを行うのは地味に大変です。。動的グループでこの辺りの工数が削減できるのは嬉しいですね。
人事マスタや ID 基盤 (SCIM) と Google Workspace の各ユーザ属性を同期させておけば、さらに自動化できて幸せになれそうです。
参考情報
いただいたサポートは記事を書くためのエネルギー(珈琲、甘いもの)に変えさせていただきます!