あなたの会社はオンプレミスの Active Directory と Google Cloud の IAM を統合し、社員が会社のドメインアカウントで Google Cloud にシングルサインオンしたいと考えています。最も適切な構成はどれですか?
- A. Google Cloud Directory Sync(GCDS)と SAML/OIDC フェデレーションを使って AD と Cloud Identity を同期・統合する
- B. VPN でオンプレミスと Google Cloud を接続して AD の認証をそのまま使う
- C. 社員全員に個人の Gmail アカウントを使わせて Google Cloud にアクセスさせる
- D. 各社員のオンプレミス AD アカウントを手動で Cloud Identity アカウントに複製する
解答と解説を見る
正解: A
Google Cloud Directory Sync(GCDS)はオンプレミスの LDAP/Active Directory のユーザー・グループを Cloud Identity または Google Workspace に同期するツールです。さらに SAML 2.0 または OIDC を使ったフェデレーション設定を行うことで、社員はオンプレミスの AD アカウントで SSO して Google Cloud にアクセスできます。パスワードはオンプレミス AD で管理されるため、Google 側にパスワードを保存しません。手動での複製は管理負荷が高く、AD 変更の追従が困難です。個人 Gmail アカウントの使用は企業管理ができません。VPN 接続だけでは IAM フェデレーションを実現しません。