Configurar a sincronização de usuários

1. Faça login com uma conta de administrador no Google Admin Console.

   Se você não estiver usando uma conta de administrador, não vai conseguir acessar o Admin Console.

2. Acesse Menu  Diretório > Directory Sync.

   Exige o privilégio Gerenciar configurações do Directory Sync.

3. Clique no nome do diretório externo.
4. Clique em Configurar sincronização de usuários.
5. Digite o nome do grupo do diretório externo e pressione Enter.

   O Directory Sync sincroniza os participantes do grupo com o diretório do Google Cloud.

6. Digite os nomes adicionais dos grupos.
7. (Somente no Active Directory) Em DN de base, insira o nome distinto (DN, na sigla em inglês) de base.

   Os grupos especificados nas etapas 4 e 5 precisam estar no DN de base.

   Exemplo: ou=Sales, dc=example, dc=com. Neste exemplo, o Directory Sync pesquisa grupos na unidade organizacional "Vendas".

8. Clique em Verificar para conferir se os grupos existem no diretório externo.
9. Clique em Continuar.
10. Se você quiser mapear usuários para uma única unidade organizacional, selecione a unidade organizacional Concluído.
11. (Opcional) Para garantir que o usuário permaneça na unidade organizacional no seu diretório do Google Cloud se ele for movido para o diretório externo, desmarque a caixa Aplicar mapeamento de unidade organizacional.
12. Clique em Continuar.

1. Escolha uma opção:
   • Para colocar os usuários em uma única unidade organizacional, clique em Selecionar unidade organizacional, acesse e selecione a unidade organizacionalclique Concluído.
   • Para colocar usuários em uma unidade organizacional definida em um atributo no diretório externo, em Colocar usuários na UO armazenada como um atributo, digite o atributo do usuário no diretório externo que contém o caminho até a unidade organizacional.

     Confira as etapas para criar o caminho em Adicionar uma unidade organizacional como um atributo no seu diretório externo (mais abaixo nesta página).

2. (Opcional) Para garantir que o usuário permaneça na unidade organizacional no seu diretório do Google Cloud se ele for movido para o diretório externo, desmarque a caixa Aplicar mapeamento de unidade organizacional.
3. Clique em Continuar.

Adicionar uma unidade organizacional como um atributo ao diretório externo

1. Configure a estrutura da unidade organizacional no Google Admin Console. Confira as etapas em Adicionar uma unidade organizacional.
2. No diretório externo, usando um atributo padrão ou personalizado, defina o caminho da unidade organizacional pretendida para cada usuário. Use o seguinte formato:
   • Não inclua a unidade organizacional de nível superior.
   • Separe as unidades organizacionais mãe e filha com uma barra (/).

Exemplo: se você quiser adicionar o usuário yuri@example.com à unidade organizacional Vendas que está em Finanças, siga estas etapas:

1. No diretório externo, para yuri@example.com, defina o atributo Departamento como Finanças/Vendas.
2. Ao configurar o Directory Sync, clique em Colocar usuários na unidade organizacional armazenada como um atributo e adicione o atributo Departamento.

Configurar atributos obrigatórios

Confirme ou insira os atributos do diretório externo que são mapeados para os seguintes atributos de usuário no seu diretório do Google Cloud:

• Nome
• Sobrenome
• Endereço de e-mail principal

Se você mudar os atributos, clique em Definir padrãoContinuar para redefinir ao padrão.

Mapear atributos opcionais

É possível mapear atributos de usuário padrão e personalizados do seu diretório externo para o diretório do Google Cloud. Para conferir os mapeamentos usados com frequência, acesse Mapeamentos de atributos do usuário comuns (abaixo nesta página).

1. Em Insira um atributo, digite o atributo do usuário do seu diretório externo.

   Se o atributo de usuário do diretório externo estiver aninhado, separe o atributo e o subatributo com um ponto (por exemplo, employeeOrgData.division).

2. Na lista, selecione o atributo de usuário do Google Cloud Directory.

   É possível mapear um único atributo de diretório externo para vários atributos de usuário do diretório do Google Cloud. No entanto, não é possível mapear um único atributo do Google Cloud Directory para vários atributos de diretórios externos.

3. (Opcional) Para mapear outros atributos do usuário, repita as etapas.

Mapeamentos de atributos do usuário comuns

Confira alguns mapeamentos de atributos comuns. Não é necessário seguir esses mapeamentos. É possível mudar o atributo no diretório externo e fazer o mapeamento para outro atributo no diretório do Google Cloud.

Atributo de diretório externo no Active Directory (AD) ou no Azure AD	Geralmente é mapeado para este atributo de usuário do Google...
givenName (AD e Azure AD)	Nome
sn (AD) surname (Azure AD)	Sobrenome
mail (AD) userPrincipalName (Azure AD)	E-mail principal
company (AD) companyName (Azure AD)	Nome da empresa
assistant (AD)	E-mail do assistente
department (AD & Azure AD)	Departamento
physicalDeliveryOfficeName (AD) officeLocation (Azure AD)	Local do escritório
title (AD) jobTitle (Azure AD)	Cargo
employeeID (AD) employeeId (Azure AD)	ID do funcionário
telephoneNumber (AD)	Telefone comercial
homePhone (AD)	Número de telefone residencial
facsimileTelephoneNumber (AD) faxNumber (Azure AD)	Número de fax
mobile (AD) mobilePhone (Azure AD)	Número do celular
pager (AD)	Número do telefone celular comercial
telephoneAssistant (AD)	Número do assistente
streetAddress (AD & Azure AD)	Endereço
postOfficeBox (AD)	Caixa postal
l (lowercase L in AD) city (Azure AD)	Cidade
st (AD) state (Azure AD)	Estado/província
postalCode (AD & Azure AD)	CEP/código postal
co (AD) country (Azure AD)	País
preferredLanguage (Azure AD)	Idioma
aboutMe (Azure AD)	Sobre
employeeOrgData.costCenter (Azure AD)	Centro de custo
uidNumber (AD)	UID no formato POSIX
primaryGroupID (AD)	GID no formato POSIX
sAMAccountName (AD)	Nome de usuário no formato POSIX
unixHomeDirectory (AD)	Diretório principal no formato POSIX

Temas relacionados

• Atributos do anúncio
• Atributos do Azure AD

1. Escolha uma opção:
   • Enviar e-mail de ativação: os usuários recebem uma mensagem por e-mail sobre a ativação da nova conta e a definição de uma senha.

     Se você selecionar essa opção, escolha se quer enviar o e-mail para o endereço de e-mail principal ou de recuperação do usuário. Se você selecionar o endereço de e-mail de recuperação, adicione um mapeamento para ele na Etapa 3: mapear o atributo do usuário (acima nesta página).

     Confira mais informações sobre o que os usuários precisam fazer em O que acontece quando um usuário recebe um e-mail de ativação?. (mais adiante nesta página).

   • Não enviar um e-mail de ativação: os usuários não recebem o e-mail.

     Use essa opção se você quiser se comunicar diretamente com os usuários sobre novas contas ou usar um provedor de identidade (IdP) de terceiros para a autenticação. Se você usa um IdP, os usuários não precisam definir uma senha do Google.

2. Clique em Continuar.

O que acontece quando um usuário recebe um e-mail de ativação?

Após a sincronização, seus usuários recebem uma mensagem por e-mail com detalhes sobre a ativação da nova Conta do Google gerenciada. Quando estiver tudo pronto para fazer login na nova conta pela primeira vez, os usuários vão precisar seguir estas etapas:

1. Na conta de e-mail original do usuário, abra a mensagem e clique em Fazer loginAvançar.
2. Clique em Enviar para receber um código de verificação.
3. Na conta original, abra a mensagem do código de verificação e copie o código.
4. Na nova Conta do Google, digite o código de verificação e clique em Próxima.
5. Aceite os Termos de Serviço.
6. Crie uma senha forte e clique em Alterar senha.

Se um usuário estiver suspenso ou não for encontrado no diretório externo (por exemplo, se o grupo do usuário for excluído no diretório externo), você poderá suspendê-lo no Google Cloud Directory. 

Para suspender usuários não encontrados no diretório externo:

1. Marque a caixa Suspender usuário no Google.

   Se você não quiser suspender usuários, desmarque a caixa.

2. Clique em Continuar.

Importante: o Directory Sync sincroniza o estado do usuário. Se você suspender a conta de um usuário, mas a conta do diretório externo estiver ativa, a conta do usuário será ativada após uma sincronização.

Defina as condições em que uma sincronização é cancelada automaticamente. Se a sincronização exceder os limites de salvaguarda, ela será cancelada automaticamente, e nenhum usuário será suspenso. Nenhuma outra sincronização será executada até você ativar a sincronização manualmente. Para mais informações sobre proteções, acesse Como as proteções são determinadas (na próxima seção desta página).

Para definir uma salvaguarda:

1. Em Salvaguardas, selecione Definir uma porcentagem de usuários ou Definir um número total de usuários e digite uma porcentagem ou número.
2. Clique em Simular sincronização.
3. Se uma salvaguarda for acionada, você receberá uma notificação com detalhes sobre a sincronização com falha. Também é possível ver outros detalhes no registro de auditoria.

   Veja mais informações em Usar a Central de alertas e Verificar os eventos de registro do Directory Sync.

Como as salvaguardas são determinadas

O Directory Sync calcula quantas contas de usuário existem no diretório externo e compara esse número com quantas contas podem ser suspensas após uma sincronização. Se o valor for maior que o percentual ou número especificado, a sincronização será cancelada automaticamente e nenhuma ação será tomada.

Exemplos

Você tem 100 usuários de diretório externo. Durante uma sincronização, o Directory Sync propõe a suspensão de 12 contas de usuário e a adição de três contas.

Exemplo 1: você definiu um limite numérico de 14 como salvaguarda. Como o número de contas proposto para a suspensão (12) é menor do que a salvaguarda (14), o Directory Sync continuará com as mudanças propostas.

Exemplo 2: você definiu um limite de porcentagem de 10% como salvaguarda. O Directory Sync compara as 12 contas sugeridas para suspensão com o limite de porcentagem. Como a porcentagem de candidatos para suspensão (12%) excede o limite de 10%, o Directory Sync interrompe a sincronização sem aplicar alterações.