Anda harus menentukan domain primer, pengguna, unit organisasi, dan grup mana yang ingin disinkronkan dengan Akun Google menggunakan Google Cloud Directory Sync (GCDS). Anda juga harus mempertimbangkan sandi dan cara memetakan data server direktori sesuai dengan keinginan Anda.
Anda berada di langkah 3 dari 5
Cara mengelola data Anda
Apa domain primer Anda?Identifikasi domain Google yang ingin disinkronkan. Anda memerlukan ini ketika mengonfigurasi GCDS.
Catatan: Anda tidak dapat menyinkronkan alamat alias domain menggunakan GCDS. Pelajari dasar-dasar domain lebih lanjut.
Anda juga dapat menggunakan penggantian nama domain. Penggantian nama domain sering kali digunakan untuk domain percontohan, tetapi juga dapat digunakan jika Anda menggunakan GCDS untuk berpindah ke domain baru. Jika Anda menentukan domain lain di Configuration Manager, Anda dapat mengimpor daftar pengguna yang lengkap ke domain lain.
Siapkan domain baru sebagai domain primer. Selanjutnya, di Konfigurasi LDAP Configuration Manager, masukkan domain baru sebagai domain Google Anda, dan tentukan administrator untuk domain tersebut. Di Konfigurasi Domain Google, siapkan GCDS untuk mengganti nama domain di alamat email LDAP dengan nama domain ini. GCDS mengubah alamat email semua pengguna Anda ke domain baru selama sinkronisasi.
Setelah periode percontohan selesai, Anda dapat mengubah nama domain (dan administrator Google) ke domain primer yang sebenarnya dan menjaga semua opsi konfigurasi lainnya agar tetap sama.
- Pengguna: Periksa direktori pengguna Anda dengan browser LDAP dan pastikan bahwa Anda mengimpor jumlah pengguna yang benar. Jika pengguna yang diimpor lebih banyak dari yang telah diberi lisensi, Anda akan mengalami error selama sinkronisasi. Pelajari cara Mengelola lisensi pengguna lebih lanjut.
- Profil pengguna: Jika server direktori LDAP Anda menyertakan informasi tambahan, seperti alamat, nomor telepon, atau informasi kontak, Anda juga dapat menyinkronkan informasi ini.
- Alias: Anda dapat menyinkronkan satu atau beberapa atribut untuk alias dari direktori LDAP ke alias alamat Google.
- ID Unik: Jika pengguna Anda cenderung mengubah nama pengguna (alamat email), siapkan atribut ID Unik sebelum menyiapkan sinkronisasi. Langkah tersebut bertujuan agar informasi pengguna tidak hilang saat pengguna mengubah alamat emailnya.
- Sandi: GCDS mendukung rangkaian operasi sandi terbatas. Jika memiliki server Microsoft Active Directory, Anda dapat terus menyinkronkan sandi direktori LDAP ke Akun Google Anda dengan Password Sync.
- Pengguna yang dihapus dan ditangguhkan: Secara default, pengguna yang tidak ditemukan di direktori LDAP Anda akan dihapus dari Akun Google Anda dan pengguna yang ditangguhkan akan diabaikan. Anda dapat mengubah setelan default di halaman akun pengguna Configuration Manager. Jika GCDS diatur untuk menangguhkan pengguna dan bukan menghapusnya, Anda memiliki kemampuan guna melihat dan mentransfer aset pengguna untuk mengambil keuntungan pemulihan data. Sebagai alternatifnya, Anda dapat menghapus pengguna yang ditangguhkan, tetapi Anda hanya dapat menghapus atau menangguhkan, tidak keduanya.
Anda dapat mengelola pengguna di Akun Google Anda berdasarkan milis atau struktur organisasi:
Milis
Tentukan milis yang ingin disinkronkan dari server direktori LDAP ke Akun Google Anda. Milis di server direktori LDAP diimpor sebagai grup di Akun Google.
Beberapa atribut milis berisi alamat literal dan mengikuti format seperti pengguna@example.com. Beberapa atribut berisi referensi nama yang dibedakan (DN) dan mengikuti format ini:
cn=Terri Smith,ou=Executive Team,dc=example,dc=com.
Jika Anda ingin mempertahankan milis di Akun Google:
- Cari tahu atribut apa yang berisi anggota milis Anda. Biasanya, atribut ini adalah atribut anggota atau mailAddress.
- Cari tahu apakah atribut LDAP untuk anggota milis berisi alamat email atau Nama yang Dibedakan pengguna.
Struktur organisasi
Secara default, GCDS menyinkronkan semua pengguna ke struktur datar tunggal. Ini akan sangat bermanfaat jika Anda memiliki organisasi kecil atau jika ingin semua pengguna memiliki setelan dan hak yang sama. Ini juga akan sangat bermanfaat jika Anda hendak menguji grup kecil sebelum peluncuran yang lebih besar.
Jika ingin menggunakan hierarki unit organisasi di Akun Google, Anda dapat menyinkronkan hierarki organisasi dari server direktori LDAP. Jika Anda melakukannya, pertama-tama periksalah unit organisasi dengan browser LDAP untuk memastikan bahwa Anda menyinkronkan struktur yang benar. Anda mungkin memiliki unit organisasi khusus yang seharusnya tidak dibawa ke Akun Google, seperti unit organisasi untuk printer.
Jika ingin membuat unit organisasi secara manual di Akun Google Anda, Anda dapat menyiapkannya di Google, lalu meminta GCDS memindahkan pengguna ke organisasi tersebut tanpa mengubah organisasi yang ada. Pilih opsi ini di halaman Unit Org di Configuration Manager. Untuk setiap aturan penelusuran pengguna, tentukan organisasi yang seharusnya berisi pengguna untuk aturan tersebut atau atribut LDAP yang berisi nama organisasi yang sesuai.
Jika ingin mengelola lisensi menggunakan GCDS, Anda perlu membuat dan mengelompokkan pengguna ke grup lisensi tertentu. Atau, Anda dapat mengatur atribut khusus di setiap akun pengguna.
GCDS menggunakan grup atau atribut untuk menentukan lisensi yang benar agar dapat diterapkan pada akun.
GCDS dapat menyinkronkan resource LDAP lainnya seperti kontak bersama dan fasilitas kalender ke Akun Google Anda.
- Kontak bersama: Detail kontak bersama terlihat oleh semua pengguna di daftar kontak. Jika Anda menyiapkan kontak bersama, pelengkapan otomatis alamat email juga diaktifkan di Gmail untuk setiap pengguna di daftar tersebut. Untuk mengimpor alamat ke Akun Google sebagai kontak bersama, aktifkan Kontak Bersama di halaman Setelan Umum di Configuration Manager. Setelah kontak bersama disinkronkan, penerapan perubahan di domain Google dapat memakan waktu hingga 24 jam.
Catatan: GCDS hanya menyinkronkan kontak bersama, sedangkan kontak pribadi tidak disinkronkan.
- Fasilitas kalender: Jika ingin mengimpor fasilitas kalender (seperti ruang konferensi) dari direktori LDAP ke Akun Google, Anda harus mengonfigurasi sinkronisasi fasilitas kalender agar fasilitas terlihat oleh setiap pengguna.
-
Anda harus menentukan format penamaan untuk fasilitas kalender. Perlu diingat bahwa aturan untuk nama fasilitas kalender berbeda dengan informasi lain yang disinkronkan. Nama tidak boleh berisi karakter khusus atau spasi.
GCDS mendukung rangkaian operasi sandi terbatas. GADS hanya dapat mengimpor sandi di atribut LDAP yang menyimpan sandi dalam format teks biasa, Base64, MD5 tanpa kriptografi salt, atau SHA-1 tanpa salt. Sandi lainnya yang dienkripsi dan hash dengan salt tidak didukung. Pada awalnya, sebagian besar server direktori tidak mendukung format ini, dan menyimpan sandi pengguna dalam format ini di server email Anda dapat mengakibatkan implikasi keamanan yang serius.
Untuk sinkronisasi sandi, GCDS memberikan opsi berikut:
- Menerapkan Single Sign-On untuk domain Anda: Pengguna memiliki sandi dan otorisasi yang sama untuk Akun Google dan server direktori LDAP. Anda dapat menyiapkan server Security Assertion Markup Language (SAML) untuk akun Anda guna mengelola Single Sign-On. Dalam kasus ini, GCDS membuat sandi acak selama sinkronisasi.
Catatan: Single Sign-On hanya mendukung autentikasi web. Bentuk autentikasi lain (seperti IMAP, POP, dan ActiveSync) tidak mendukung Single Sign-On dan masih memerlukan sandi Google.
- Menggunakan atribut LDAP teks biasa untuk sandi default bagi pengguna baru: Gunakan opsi ini jika Anda ingin pengguna memiliki sandi sekali pakai yang terpisah. Dengan opsi ini, sandi Google terpisah dari sandi pada server direktori LDAP. Anda dapat menggunakan metode ini untuk membuat sandi sementara dari atribut LDAP apa pun yang menyimpan data dalam format teks biasa.
- Menggunakan aplikasi utilitas pihak ketiga untuk mengonversi sandi yang tidak didukung ke format yang didukung: Gunakan opsi ini jika Anda ingin Google menggunakan sandi yang sama seperti server direktori LDAP, tetapi Anda tidak dapat menyiapkan server SAML. Lihat Google Workspace Marketplace untuk mendapatkan alat pihak ketiga guna membantu menyinkronkan sandi. Google tidak memberikan dukungan untuk alat pihak ketiga.
- Menentukan sandi default untuk pengguna baru: Dengan opsi ini, setiap pengguna baru memiliki sandi yang sama hingga mereka masuk dan mengubahnya. Sandi Google tetap terpisah dari sandi pada server direktori LDAP. Untuk menggunakan opsi ini, setel sandi default untuk pengguna baru, lalu setel GCDS untuk menyinkronkan sandi bagi pengguna baru dan selanjutnya memaksa mereka mengubah sandi.
Karena sandi terkadang dapat ditebak oleh pengguna lain, tindakan ini umumnya tidak disarankan karena alasan keamanan.
Anda harus menentukan cara data server direktori LDAP dipetakan ke data Akun Google Anda dan benar-benar memahami cara setiap pengguna, grup, dan fasilitas kalender seharusnya disinkronkan. Anda dapat menyiapkan pemetaan ini ke hierarki datar, sinkronisasi one-to-one otomatis, atau serangkaian aturan khusus manual. Untuk detailnya, lihat Apa itu disinkronkan?
Sebagai administrator Google untuk Organisasi Contoh, Anda memutuskan bahwa hierarki organisasi yang ada di server LDAP harus disalin ke Akun Google, dan mengidentifikasi unit organisasi yang seharusnya disinkronkan.
Anda memutuskan bahwa Organisasi Contoh perlu menyinkronkan:
- Unit organisasi
- Pengguna
- Alias
- Grup (milis)
- Kontak bersama
- Fasilitas kalender
Milis di server direktori LDAP menggunakan atribut anggota untuk menyimpan anggota tiap milis dan atribut pengguna berisi nama yang dibedakan (DN) dari anggota milis lengkap, bukan alamat email mereka. Sebagai administrator GCDS, Anda mencatat atribut ini, dan bahwa atribut ini merupakan atribut referensi, bukan atribut literal.
Karena informasi profil pengguna LDAP pada server LDAP tidak dalam format standar di seluruh organisasi, sebagai administrator Google, Anda memutuskan untuk tidak menyinkronkan informasi ini.
Di server LDAP, Anda membuat atribut khusus dan mengisi atribut dengan sandi sekali pakai yang dibuat secara acak. Di Akun Google, Anda menyiapkan penggabungan email untuk mengirimkan sandi kepada pengguna bersama dengan informasi tentang cara mengaktifkan akun mereka.
Ada beberapa pengguna di unit organisasi kontraktor yang tidak lagi bekerja sama dengan Organisasi Contoh dan seharusnya tidak disinkronkan. Anda memeriksa daftar tersebut dan melihat bahwa semuanya sesuai dengan ekspresi reguler karena semua alamat pengguna dimulai dengan “tidak berfungsi”. Akhirnya, Anda membuat pengecualian untuk pengguna tersebut di domain Google.
Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.