Googleユーザープロビジョニング(GUP)は、Google WorkspaceテナントからユーザーをKnowBe4コンソールに直接インポートする自動的な方法です。このインテグレーションにより、Google Workspaceのデータを使用して、KnowBe4コンソールでユーザーをプロビジョニングできます。Google Workspaceでユーザーの情報やステータスを変更すると、その変更は自動的にKnowBe4コンソールと同期されます。一度インテグレーションを設定すれば、全てのユーザーを1か所で管理できるようになります。
このインテグレーションを利用するには、Googleのスーパー管理者アカウントのアクセス権限が必要です。管理者アカウントは、このインテグレーションで必要となる6つのGoogleスコープを設定する権限を持っている必要があります。必要なスコープの全リストについては、この記事の 「必要な要素」セクションをご覧ください。Googleを利用していない場合でも、KnowBe4はユーザープロビジョニングを自動化する別の方法を提供しています。別のユーザープロビジョニング方法の詳細については、「SCIM設定ガイド」または「Active Directory Integration(ADI)設定ガイド」を参照してください。
GUPの仕組み
自分のGoogle顧客IDとKnowBe4のクライアントIDを使って、Google Workspace環境とKnowBe4コンソール間を直接接続するように設定できます。この接続を確立すると、KnowBe4コンソールと同期するGoogle Workspaceのユーザーやグループを設定できるようになります。Google Workspaceでユーザーに対して行った変更は、自動的にKnowBe4コンソールに反映されます。
この同期は、一日を通じて自動的に繰り返されるプロセスです。同期は最低でも6時間ごとに行われます。この同期は一方向のプロセスであり、KnowBe4コンソールでユーザーに対して行った変更はGoogle Workspace環境には同期されません。KnowBe4コンソールでユーザーに直接行った変更は、Google Workspaceのデータで上書きされます。KnowBe4コンソールに存在していてもGoogle Workspaceに存在しないユーザーは、次のGUP同期でアーカイブされます。
前提条件
- 自組織のKnowBe4コンソールに対する管理者アクセス権限が付与されている必要があります。
- Google Workspaceに対するスーパー管理者アクセス権限が付与されている必要があります。
Google Workspace接続の設定
GUPを設定するためには、KnowBe4コンソールをGoogle Workspaceテナントに接続する必要があります。
必要な要素
Google Workspaceとの接続を完了するために、KnowBe4の[アカウント設定]からKnowBe4クライアントIDと6つのスコープのリストを収集する必要があります。この情報は、[アカウント設定]に移動し、[ユーザー管理] > [ユーザープロビジョニング]を選択してから、以下のスクリーンショットに示すように[Google]ボタンを切り替えることで確認できます。
さらに、KnowBe4の[アカウント設定]で接続を設定する際には、Google顧客IDとGoogleスーパー管理者のメールアドレスも必要になります。この情報は、Google管理コンソールにあります。admin.google.com admin.google.com(新しいウィンドウでリンクが開きます)にログインし、[アカウント] > [アカウント設定]を選択して、この情報を確認できます。顧客IDはリストの一番上に表示されています。
上記の情報を入手したら、Google Workspace接続の設定を開始できます。
Google Workspaceの設定
Google WorkspaceとKnowBe4コンソールを接続するには、以下のステップに従って操作します。
- admin.google.com admin.google.com(新しいウィンドウでリンクが開きます)にログインします。
- Google管理コンソールのホームページから、[セキュリティ] > [アクセスとデータ管理] > [API の制御]を選択します。
-
[ドメイン全体の委任を管理]を選択します。
-
次の画面で、[新しく追加]を選択します。
-
[アカウント設定]にあるKnowBe4の[クライアントID]と6つの範囲リストと一緒に入力する必要があります。
注:各範囲は、カンマで区切る必要があります。
この情報を入力したら、[承認]を選択します。これで、[APIクライアント]リストにKnowBe4のGUPが表示さます。
KnowBe4の[アカウント設定]の構成
上記の手順を完了したら、KnowBe4コンソールからGoogle Workspaceへの接続を設定できます。
- KnowBe4コンソールにログインします。
- 自分のユーザー名を選択して、ドロップダウンメニューで[アカウント設定]を選択して、[アカウント設定]に移動します。
- [ユーザー管理] > [ユーザープロビジョニング]を選択して、[Google]ボタンを切り替えます。
-
[Google Workspace顧客ID]と[Google Workspace管理者のメールアドレス]フィールドに情報を入力します。[Google Workspace顧客ID]を見つける操作手順については、上記の「Google Workspace接続の設定」セクションを参照してください。
-
この情報を入力したら、[保存]を選択します。
接続が成功すると、上のスクリーンショットに示しているように「接続が保存されました」というメッセージが表示されます。次に、[Googleプロビジョニングのユーザー範囲の設定]を選択して、KnowBe4コンソールにインポートするユーザーの設定を開始できます。詳細な操作手順については、次のセクションのステップ1を参照してください。
Googleプロビジョニングの設定
KnowBe4コンソールとGoogle Workspace の接続を正常に完了したら、ユーザーのプロビジョニングを開始できます。Google Workspaceとの接続を確立していない場合は、上記の「Google Workspace接続の設定」セクションを参照してください。
最初の同期を実行する前に、同期結果に満足できるかどうかを確認するために、KnowBe4コンソールをテストモードのままにしておくことを強くお勧めします。テストモードでは、ユーザーをKnowBe4コンソールに追加する前に、同期対象のユーザーを確認できます。これにより、実際にユーザーをプロビジョニングする前に、設定について必要な調整を行うことができます。コンソールをテストモードに設定する方法の詳細については、「KnowBe4コンソールのアカウント設定:ユーザー管理」の記事の「ユーザープロビジョニング」セクションを参照してください。
ユーザー範囲の設定
[ユーザー範囲の設定]を開始するには、以下のステップに従って操作します。
- KnowBe4コンソールにログインしたら、[ユーザー] > [プロビジョニング]に移動します。
-
右上にある[Googleプロビジョニングの設定]ボタンを選択します。
続行する前に、KnowBe4コンソールにユーザーを同期する方法を決定する必要があります。同期方法として、ドメインとグループメンバーシップによる同期、OU範囲の設定、または両方を組み合わせたオプションを選択できます。通常のケースでは、ドメインを追加してから、同期するユーザーとグループを設定する方法をお勧めします。これは、グループメンバーシップ情報をKnowBe4コンソールと同期できる唯一の方法です。
ドメインを追加して同期するグループを設定する方法でユーザーを同期する場合は、以下の「ドメインとグループメンバーシップによる同期」セクションに進んでください。OU範囲を設定してユーザーを同期する場合は、「OU範囲の設定による同期」セクションに移動してください。
ドメインとグループメンバーシップによる同期
この方法は、ユーザーグループや個別のユーザーを同期する場合に使用できます。グループやユーザーを追加または除外することができ、ユーザーのグループメンバーシップ情報をKnowBe4コンソールと同期することも可能です。
-
[+ ドメインを追加]ボタンを選択します。
これにより、ユーザーをインポートするドメインを選択できるようになります。KnowBe4コンソールにユーザーをインポートするには、ユーザーが属しているGoogleドメインを選択する必要があります。現在利用可能なドメインのリストがドロップダウンメニューに表示されます。
-
ドメインを選択したら、[保存]をクリックします。
注:このドメインは、お客様のアカウントで許可されているドメインである必要があります。許可ドメインを追加する方法の詳細については、「ドメインの追加と確認」の記事を参照してください。
-
追加したドメインが[ユーザー範囲の設定]セクションに表示されます。ドメイン名の横にある矢印を選択して、ドロップダウンメニューを展開します。
同期の対象とするユーザーやグループを設定するオプションが表示されます。同期の対象から除外するグループやユーザーを指定することもできます。グループやユーザーを除外する設定は、追加する設定よりも優先されます。例えば、あるグループを同期対象にしており、そのグループに属する特定のユーザーを対象から除外した場合、そのグループのすべてのユーザーはプロビジョニングされますが、その特定のユーザーだけは除外されます。
-
[グループ管理]:このボタンを使用すると、Google Workspace環境のグループを選択できます。同期に含めるグループを指定できるほか、特定のグループを同期から除外することもできます。このオプションは、大規模なグループにあるネストされたグループを除外する場合に便利です。ネストされたグループとは、別のグループのメンバーになっているGoogleグループであり、手動で除外しない限り、デフォルトで同期の対象として追加されます。
KnowBe4コンソールに同期するためにはグループ名は、異なるドメインにある場合でも、一意である必要があります。
注:ドロップダウンメニューから選択するには、追加または除外するグループの名前を入力する必要があります。メニューに表示するには、グループ名の少なくとも2文字を入力する必要があります。
追加するグループと除外するグループの設定が完了したら、[保存]を選択します。
-
[ユーザー管理]:このボタンを使用すると、Google Workspace環境のユーザーを選択できます。同期に含めるユーザーを指定できるほか、特定のユーザーを同期から除外することもできます。[このドメインのすべてのユーザーを同期]チェックボックスを選択すると、そのドメインに関連付けられているすべてのユーザーをプロビジョニングできます。同期から除外されたユーザーは、このチェックボックスを選択してもプロビジョニングされません。
注:ドロップダウンメニューからユーザーを選択するには、追加または除外するユーザーのメールアドレスを入力する必要があります。メニューに表示するには、ユーザーのメールアドレスの少なくとも5文字を入力する必要があります。
追加するユーザーと除外するユーザーの設定が完了したら、[保存]を選択します。
-
-
グループとユーザーの設定が完了したら、[設定を保存]を選択します。
- このボタンが[今すぐ同期]に変わります。ユーザーとグループの設定に加えて、OU範囲の設定や[フィールドマッピング]の設定が不要な場合は、このボタンを選択してGoogle Workspaceからユーザーの同期を開始できます。グループメンバーシップの設定に加えて、OU範囲の設定や[フィールドマッピング]も設定する場合は、以下のセクションに進んでください。
OU範囲の設定による同期
GUPを設定し、OUを使用してユーザーを同期するように設定する場合は、[OU範囲の設定を有効化]トグルスイッチを選択します。この設定により、Google Workspace環境のOUを同期に追加するよう指定できます。この方法は、同期対象のユーザーやグループの設定に加えて使用することも、OU範囲のみを設定して同期するために使用することもできます。
OU範囲の設定は、ユーザーを検索するときに、ネスト構造をサポートします。例えば、同期対象としてあるOUを含めた場合、GUPはそのOUに属する全てのユーザーに加え、その下にネストされているOUに含まれる全てのユーザーも含めます。OU範囲のみを設定してユーザーを同期する場合、グループメンバーシップ情報はKnowBe4コンソールに同期されません。Google Workspaceからグループメンバーシップ情報を同期する場合は、上記の「ドメインとグループメンバーシップによる同期」セクションで説明しているように、ユーザーおよびグループ情報を指定する必要があります。
ユーザーのOU範囲を設定するには、以下のステップに従って操作します。
-
[OU範囲の設定を有効化]トグルスイッチを選択します。
-
これにより、[OUの追加]または[OUの除外]メニューが有効になります。同期対象として追加または除外するOUを選択できます。
-
同期するOUの設定が完了したら、[設定を保存]を選択します。
- 設定を適切に行ったら、[今すぐ同期]を選択して同期を実行します。
また、最初の同期を実行する前にユーザーのフィールドマッピングを設定する場合は、同期を続行する前に以下の「フィールドマッピング」セクションを参照してください。
フィールドマッピング
GUP同期では、標準のGoogleユーザー属性をKSATコンソールと同期できます。ユーザーの[フィールドマッピング]セクションの設定はオプションです。デフォルトでは、GUP同期は以下のGoogle属性を対応するKSAT属性にマッピングします。
| Googleディレクトリ属性 | KSAT属性 |
|---|---|
| givenName | First Name |
| familyName | Last Name |
| workPhone | Phone Number |
| externalID | Employee Number |
| orgTitle | Job Title |
| orgName | Organization |
| orgDepartment | Department |
| なし | Mobile Phone Number |
| なし | Location |
| なし | Division |
| なし | Custom Field 1 |
| なし | Custom Field 2 |
| なし | Custom Field 3 |
| なし | Custom Field 4 |
同期に含めるデフォルト属性を調整する場合は、以下のステップに従って操作します。
- 上記の「ユーザー範囲の設定」セクションのステップ1と2に示しているように、[Googleプロビジョニングの設定]ページに移動してください
-
[フィールドマッピング]セクションで、 [マッピングルール]の横にあるドロップダウン矢印を選択します。
-
この操作によって[フィールドマッピング]セクションが展開されます。
- [Googleディレクトリ属性]:この列には、Google Workspace環境に表示されているユーザーのデータと属性が含まれます。[Googleディレクトリ属性]の名前の横にあるドロップダウン矢印を選択すると、ドロップダウンメニューが開き、追加の属性を選択できます。画面左側で選択した属性は、隣にある右側の[KSAT属性]にマッピングされます。現在、同期に対応しているのはプライマリの属性タイプのみです。
-
[KSAT属性]:この列には、ユーザーの属性が含まれます。これらの属性は、KnowBe4コンソールの[ユーザー情報]サブタブに表示されます。[Googleディレクトリ属性]列で選択された項目は、これらの属性にマッピングされます。
以下のスクリーンショットの例では、Google Workspaceの「workPhone」属性が、KnowBe4コンソールの[Phone Number]属性にマッピングされます。
以下の例のように、ドロップダウンメニューで[Googleディレクトリ属性]を変更することで、利用可能なGoogleディレクトリ属性を希望する[KSAT属性]にマッピングできます。
-
[フィールドマッピング]の選択が完了したら、ページ右上の[設定を保存]ボタンを選択します。
-
このボタンが[今すぐ同期]に変わります。このボタンを選択すると、上記の「ユーザー範囲の設定」セクションのステップ6に示すように、同期を実行できます。
注:GUPテストモードによる同期結果に満足したら、GoogleユーザーがKnowBe4コンソールに同期されるように、[アカウント設定]で[テストモード]を無効にする必要があります。
トラブルシューティング
このセクションでは、GUPに関連するエラーメッセージとその原因を参照できます。
| エラーメッセージ | 原因 |
|---|---|
| Google管理コンソールのメール接続が無効になりました。 |
このエラーメッセージには、いくつかの原因が考えられます。
|
| Googleドメインへの接続が無効になりました。 | このエラーメッセージは、プロビジョニング設定で使用されたドメインが、Google Workspaceテナントに存在しなくなった場合に発生します。 |
| 無効な管理者のメールアドレスです。 | このエラーメッセージは、KnowBe4の[アカウント設定]にGoogleスーパー管理者メールアドレスを入力した際に発生します。このメッセージは、メールアドレスのフォーマットが正しくないことを意味します。 |
| 同期エラー。 |
同期にエラーがあると、[認証情報]タブが表示されます。エラーがない場合、[ドメイン]、[認証情報]、および[OU]の同期サブタブは表示されません。
|
設定について質問がある場合や問題が発生した場合は、サポートチケットを提出 サポートチケットを提出(新しいウィンドウでリンクが開きます)してください。