Configurer la synchronisation des utilisateurs

1. Connectez-vous à la Console d'administration Google.

   Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

2. Dans la console d'administration, accédez à Menu   Annuaire Synchronisation des annuaires.
3. Cliquez sur le nom de votre annuaire externe.
4. Cliquez sur Configurer la synchronisation des utilisateurs.
5. Saisissez le nom du groupe de l'annuaire externe, puis appuyez sur Entrée.

   Directory Sync synchronise les membres du groupe avec votre annuaire Google Cloud.

6. Indiquez les autres noms de groupe souhaités.
7. (Active Directory uniquement) Dans le champ Nom distinctif de base, saisissez le nom distinctif (DN) de base.

   Les groupes spécifiés aux étapes 4 et 5 doivent se trouver directement sous le nom distinctif de base.

   Exemple : ou=Sales, dc=example, dc=com. Dans cet exemple, Directory Sync recherche des groupes sous l'unité organisationnelle "Sales".

8. Cliquez sur Valider pour vérifier que les groupes existent dans votre annuaire externe.
9. Cliquez sur Continuer.
10. Si vous souhaitez mapper les utilisateurs à une seule unité organisationnelle, sélectionnez l'unité organisationnelle OK.
11. (Facultatif) Pour vous assurer que le compte utilisateur reste dans l'unité organisationnelle de votre annuaire Google Cloud s'il est déplacé dans l'annuaire externe, décochez l'option Appliquer le mappage des unités organisationnelles.
12. Cliquez sur Continuer.

1. Sélectionnez une option :
   • Si vous souhaitez placer les utilisateurs dans une seule unité organisationnelle, cliquez sur Sélectionner une unité organisationnelle, accédez à l'unité organisationnelle et sélectionnez-la cliquez sur OK.
   • Si vous souhaitez placer les utilisateurs dans une unité organisationnelle définie dans un attribut de votre annuaire externe, pour Placer les utilisateurs dans l'UO stockée dans un attribut, saisissez l'attribut utilisateur de votre annuaire externe contenant l'intégralité du chemin d'accès à l'unité organisationnelle.

     Pour savoir comment créer le chemin d'accès, consultez Ajouter une unité organisationnelle en tant qu'attribut dans votre annuaire externe (ci-dessous).

2. (Facultatif) Pour vous assurer que le compte utilisateur reste dans l'unité organisationnelle de votre annuaire Google Cloud s'il est déplacé dans l'annuaire externe, décochez l'option Appliquer le mappage des unités organisationnelles.
3. Cliquez sur Continuer.

Ajoutez une unité organisationnelle en tant qu'attribut à votre annuaire externe

1. Configurez la structure de l'unité organisationnelle dans la console d'administration Google. Pour en savoir plus, consultez Ajouter une unité organisationnelle.
2. Dans votre annuaire externe, définissez le chemin d'accès à l'unité organisationnelle pour chaque utilisateur à l'aide d'un attribut standard ou personnalisé. Utilisez le format suivant :
   • N'incluez pas l'unité organisationnelle racine.
   • Séparez les unités organisationnelles parent et enfant par une barre oblique (/).

Exemple: Si vous voulez ajouter l'utilisateur yuri@example.com à l'unité organisationnelle Sales située sous l'unité organisationnelle Finance, procédez comme suit:

1. Dans l'annuaire externe, pour yuri@example.com, définissez l'attribut Service sur Finance/Sales.
2. Lorsque vous configurez Directory Sync, cliquez sur Placer les utilisateurs dans l'UO stockée dans un attribut et ajoutez l'attribut Service.

Configurer les attributs obligatoires

Confirmez ou saisissez les attributs de l'annuaire externe qui correspondent aux attributs utilisateur suivants dans votre annuaire Google Cloud:

• Prénom
• Nom
• Adresse e-mail principale

Si vous modifiez les attributs, vous pouvez cliquer sur Définir les valeurs par défautContinuer pour rétablir les attributs par défaut.

Mapper des attributs facultatifs

Vous pouvez mapper des attributs utilisateur standards et personnalisés de votre annuaire externe avec votre annuaire Google Cloud. Pour voir les mappages fréquemment utilisés, consultez Mappages d'attributs utilisateur courants (ci-dessous).

1. Dans le champ Saisir un attribut, saisissez l'attribut utilisateur de votre annuaire externe.

   Si l'attribut utilisateur de l'annuaire externe est imbriqué, séparez l'attribut et le sous-attribut par un point (par exemple, donnéesOrgEmployé.service).

2. Dans la liste, sélectionnez l'attribut utilisateur de l'annuaire Google Cloud.

   Vous pouvez mapper un seul attribut de l'annuaire externe sur plusieurs attributs utilisateur de l'annuaire Google Cloud. Toutefois, vous ne pouvez pas mapper un seul attribut de l'annuaire Google Cloud avec plusieurs attributs de l'annuaire externe.

3. (Facultatif) Pour mapper d'autres attributs utilisateur, répétez cette procédure.

Mappages d'attributs utilisateur courants

Voici quelques mappages d'attributs courants. Il n'est pas nécessaire de suivre ces mappages. Vous pouvez modifier l'attribut dans l'annuaire externe et le mapper sur un autre attribut de votre annuaire Google Cloud.

Articles associés

• Attributs AD
• Attributs Azure AD

1. Sélectionnez une option :
   • Envoyer un e-mail d'activation : les utilisateurs reçoivent un e-mail concernant l'activation de leur nouveau compte et la définition d'un mot de passe.

     Si vous sélectionnez cette option, indiquez si vous souhaitez envoyer l'e-mail à l'adresse principale ou à l'adresse de récupération de l'utilisateur. Si vous sélectionnez l'adresse e-mail de récupération, assurez-vous d'avoir ajouté un mappage pour l'adresse à l'Étape 3: Mappez l'attribut utilisateur (ci-dessus).

     Pour en savoir plus sur ce que les utilisateurs doivent faire, consultez Que se passe-t-il lorsqu'un utilisateur reçoit un e-mail d'activation ? (ci-dessous).

   • Ne pas envoyer d'e-mail d'activation : les utilisateurs ne reçoivent pas d'e-mail.

     Utilisez cette option si vous souhaitez communiquer directement avec vos utilisateurs au sujet de nouveaux comptes ou si vous utilisez un fournisseur d'identité (IdP) tiers pour l'authentification. (Si vous utilisez un IdP, les utilisateurs n'ont pas besoin de définir de mot de passe Google.)

2. Cliquez sur Continuer.

Que se passe-t-il lorsqu'un utilisateur reçoit un e-mail d'activation ?

Après la synchronisation, vos utilisateurs reçoivent un e-mail contenant des informations sur l'activation de leur nouveau compte Google géré. Lorsqu'ils sont prêts à se connecter au nouveau compte pour la première fois, ils doivent procéder comme suit:

1. Dans leur compte de messagerie d'origine, ouvrir l'e-mail et cliquer sur Connexion  Suivant.
2. Ensuite, cliquer sur Envoyer pour obtenir un code de validation.
3. Dans leur compte d'origine, ouvrir le message contenant le code de validation et le copier.
4. Dans leur nouveau compte Google, saisir le code de validation, puis cliquer sur Suivant.
5. Acceptez les conditions d'utilisation.
6. Créer un mot de passe sécurisé et cliquer sur Modifier le mot de passe.

Si un utilisateur est suspendu ou introuvable dans l'annuaire externe (par exemple, son groupe a été supprimé de l'annuaire externe), vous pouvez le suspendre dans votre annuaire Google Cloud. 

Pour suspendre des utilisateurs qui ne se trouvent pas dans l'annuaire externe :

1. Cochez l'option Suspendre l'utilisateur dans Google.

   Si vous ne souhaitez pas suspendre des utilisateurs, décochez cette case.

2. Cliquez sur Continuer.

Remarque : Directory Sync synchronise l'état de l'utilisateur. Si vous suspendez le compte d'un utilisateur, mais que le compte de l'annuaire externe est actif, le compte de l'utilisateur est activé après une synchronisation.

Définissez les conditions dans lesquelles une synchronisation est automatiquement annulée. Si la synchronisation dépasse les limites de sauvegarde, elle est automatiquement annulée et aucun utilisateur n'est suspendu. Aucune autre synchronisation n'aura lieu tant que vous n'aurez pas activé la synchronisation manuellement. Pour en savoir plus sur les sauvegardes, consultez Comment les sauvegardes sont-elles déterminées ? dans la section suivante.

Pour définir une sauvegarde :

1. Pour Sauvegardes, sélectionnez Définir un pourcentage d'utilisateurs ou Définir un nombre total d'utilisateurs, et saisissez un pourcentage ou un nombre.
2. Cliquez sur Simuler la synchronisation.
3. Si une sauvegarde est déclenchée, vous recevez une notification contenant des informations sur l'échec de la synchronisation. Vous pouvez également consulter des détails supplémentaires dans le journal d'audit.

   Pour en savoir plus, consultez Utiliser le centre d'alerte et Vérifier les événements de journaux pour Directory Sync.

Comment les sauvegardes sont-elles déterminées ?

Directory Sync calcule le nombre de comptes utilisateur présents dans votre annuaire externe et le compare au nombre de comptes susceptibles d'être suspendus après une synchronisation. Si ce nombre est supérieur au pourcentage ou au nombre spécifié, la synchronisation est automatiquement annulée et aucune action n'est effectuée.

Exemples

Vous disposez de 100 utilisateurs dans l'annuaire externe. Lors d'une synchronisation, Directory Sync propose de suspendre 12 comptes utilisateur et d'en ajouter 3.

Exemple 1 : vous définissez une limite numérique de 14 comme sauvegarde. Étant donné que le nombre de comptes que le système propose de déprovisionner (12) est inférieur à celui de la sauvegarde (14), Directory Sync poursuit les modifications proposées.

Exemple 2 : vous définissez un pourcentage de sauvegarde de 10 %. Directory Sync compare les 12 candidats potentiels à la suspension au pourcentage défini. Étant donné que le pourcentage de candidats à suspendre (12 %) dépasse la limite de 10 %, Directory Sync arrête la synchronisation sans appliquer les modifications.