Powiadomienie

Duet AI to teraz Gemini w Google Workspace. Więcej informacji

Instalacja i przygotowanie

3. Porządkowanie danych LDAP

Musisz określić domeny podstawowe, użytkowników, jednostki organizacyjne i grupy, które chcesz synchronizować ze swoim kontem Google przy użyciu narzędzia Google Cloud Directory Sync (GCDS). Musisz też wybrać sposób synchronizacji haseł i mapowania danych serwera katalogowego.

Krok 3 z 5

Jak uporządkować dane

Rozwiń wszystko  |  Zwiń wszystko

Która domena jest domeną podstawową?

Zidentyfikuj domenę Google, którą chcesz zsynchronizować. Będzie ona potrzebna podczas konfigurowania GCDS.

Uwaga: adresów aliasów domeny nie można synchronizować przy użyciu GCDS. Poznaj podstawowe informacje o domenach.

Możesz też użyć zastępczej nazwy domeny. Jest ona najczęściej stosowana w przypadku domeny pilotażowej, ale możesz jej też użyć, gdy korzystasz z GCDS do przechodzenia do nowej domeny. Jeśli w Menedżerze konfiguracji określisz inną domenę, możesz zaimportować pełną listę użytkowników do innej domeny.

Skonfiguruj nową domenę jako domenę podstawową. Następnie w sekcji Konfiguracja LDAP Menedżera konfiguracji wpisz nową domenę Google i określ dla niej administratora. W sekcji Konfiguracja domeny Google ustaw narzędzie GCDS tak, aby zastępowało nazwy domen w adresach e-mail LDAP nazwą nowej domeny. Podczas synchronizacji GCDS zmieni adresy e-mail wszystkich użytkowników tak, aby zawierały nową domenę.

Po zakończeniu okresu pilotażowego możesz zmienić nazwę domeny (i administratora Google) na rzeczywistą nazwę domeny podstawowej i zachować wszystkie pozostałe opcje konfiguracji.

Jakie dane użytkowników powinny być synchronizowane?
  • Użytkownicy: przy użyciu przeglądarki LDAP przejrzyj katalog użytkowników, aby upewnić się, że importujesz właściwą liczbę kont. Jeśli importowana liczba przekracza liczbę licencji, podczas synchronizacji mogą wystąpić błędy. Dowiedz się więcej o zarządzaniu licencjami użytkowników.
  • Profile użytkowników: jeśli serwer katalogowy LDAP zawiera dodatkowe informacje, na przykład adresy, numery telefonów lub informacje kontaktowe, możesz też synchronizować te informacje.
  • Aliasy: możesz synchronizować jeden lub więcej atrybutów aliasów z katalogu LDAP z aliasami adresów Google.
  • Unikalny identyfikator: jeśli spodziewasz się, że użytkownicy zmienią swoje nazwy (adresy e-mail), skonfiguruj atrybut unikalnego identyfikatora, zanim skonfigurujesz synchronizację, by po zmianie adresów informacje o użytkownikach nie zostały utracone.
  • Hasła: GCDS obsługuje ograniczoną liczbę operacji związanych z hasłami. Jeśli masz serwer Microsoft Active Directory, możesz synchronizować hasła katalogu LDAP z kontem Google przy użyciu Password Sync.
  • Usunięci i zawieszeni użytkownicy: domyślnie użytkownicy, których nie znaleziono w katalogu LDAP, są usuwani z Twojego konta Google, a zawieszeni użytkownicy są ignorowani. Domyślne ustawienie możesz zmienić na stronie kont użytkowników Menedżera konfiguracji. Jeśli w GCDS skonfigurujesz zawieszanie kont użytkowników, a nie ich usuwanie, możesz korzystać z funkcji odzyskiwania danych, aby wyświetlać i przenosić zasoby użytkowników. Możesz też usunąć zawieszone konta użytkowników. Pamiętaj jednak, że oba ustawienia – usuwanie lub zawieszanie – nie mogą być włączone jednocześnie.
Jak uporządkować grupy i listy adresowe?

Użytkowników na koncie Google możesz porządkować według listy adresowej lub struktury organizacyjnej:

Lista adresowa

Wybierz listy adresowe, które chcesz synchronizować z serwera katalogowego LDAP do konta Google. Listy adresowe na serwerze katalogowym LDAP są importowane na konto Google jako grupy.

Niektóre atrybuty listy adresowej zawierają adres literału i mają format użytkownik@example.com. Niektóre adresy zawierają odwołanie do nazwy wyróżniającej i mają format:
cn=Jan Kowalski,ou=Zespół kierowników,dc=example,dc=com.

Jeśli chcesz zachować listy adresowe na koncie Google:

  1. Dowiedz się, który atrybut zawiera członków list adresowych. Zwykle jest to atrybut member lub mailAddress.
  2. Dowiedz się, czy atrybut LDAP członków listy adresowej zawiera adres e-mail lub nazwę wyróżniającą użytkownika.

Struktura organizacyjna

Domyślnie GCDS synchronizuje wszystkie konta użytkowników w ramach pojedynczej struktury jednopoziomowej. Jest to dobre rozwiązanie, gdy organizacja jest mała lub chcesz, aby wszyscy użytkownicy mieli te same ustawienia i uprawnienia. Jest to też przydatne, gdy przed wdrożeniem na większą skalę przeprowadzasz testy na małej grupie.

Jeśli na koncie Google chcesz użyć hierarchii jednostek organizacyjnych, możesz zsynchronizować hierarchię organizacyjną z serwera katalogowego LDAP. W takim przypadku najpierw przy użyciu przeglądarki LDAP przejrzyj jednostki organizacyjne, aby upewnić się, że synchronizujesz odpowiednią strukturę. Mogą istnieć specjalne jednostki organizacyjne, których nie należy przenosić na konto Google, na przykład jednostka organizacyjna drukarek.

Jeśli chcesz ręcznie utworzyć jednostki organizacyjne na swoim koncie Google, możesz skonfigurować je w Google, a potem za pomocą GCDS przenieść użytkowników do tych organizacji bez zmieniania istniejących już organizacji. Ta opcja znajduje się na stronie Jednostki organizacyjne w Menedżerze konfiguracji. W przypadku każdej reguły wyszukiwania użytkowników określ organizację, która powinna zawierać użytkowników dla reguły, lub atrybut LDAP zawierający nazwę odpowiedniej organizacji.

Czy chcesz zarządzać licencjami przy użyciu GCDS?

Aby zarządzać licencjami w GCDS, musisz utworzyć konta użytkowników i umieścić je w odpowiednich grupach licencji. Możesz też ustawić określony atrybut dla każdego konta użytkownika.

GCDS używa grupy lub atrybutu do określania poprawnej licencji, która ma zostać zastosowana do konta.

Czy mają być synchronizowane kontakty udostępnione i zasoby kalendarza?

GCDS może synchronizować z kontem Google inne zasoby LDAP, na przykład kontakty udostępnione i zasoby kalendarza.

  • Kontakty udostępnione: szczegóły kontaktu udostępnionego są widoczne dla każdego użytkownika na liście kontaktów. Oprócz tego po skonfigurowaniu kontaktów udostępnionych każdy użytkownik z tej listy ma w Gmailu włączoną funkcję autouzupełniania adresów e-mail. Aby zaimportować do konta Google adresy jako kontakty udostępnione, włącz opcję Kontakty udostępnione na stronie Ustawienia ogólne w Menedżerze konfiguracji. Po zsynchronizowaniu kontaktów udostępnionych może upłynąć do 24 godzin, zanim zmiany pojawią się w domenie Google.

    Uwaga: GCDS synchronizuje tylko kontakty udostępnione. Kontakty osobiste nie są synchronizowane.

  • Zasoby kalendarza: jeśli chcesz zaimportować zasoby kalendarza (takie jak sale konferencyjne) z katalogu LDAP na konto Google, musisz skonfigurować synchronizację zasobów kalendarza tak, by były one widoczne dla każdego użytkownika.

  • Musisz określić format nazywania zasobów kalendarza. Pamiętaj, że reguły nazw tych zasobów różnią się od innych synchronizowanych informacji. Nazwy nie mogą zawierać spacji ani innych znaków specjalnych.

W jaki sposób powinny być synchronizowane hasła?
Wskazówka: za pomocą Password Sync możesz synchronizować hasła użytkowników w Google Workspace z ich hasłami w Active Directory.

GCDS obsługuje ograniczoną liczbę operacji związanych z hasłami. Może zaimportować hasła tylko w atrybucie LDAP zawierającym hasła w postaci zwykłego tekstu albo w formacie Base64, MD5 bez ciągu zaburzającego lub SHA-1 bez ciągu zaburzającego. Inne skróty szyfrowane przy użyciu haseł i ciągów zaburzających nie są obsługiwane. Większość serwerów katalogowych standardowo nie obsługuje tych formatów, w związku z czym przechowywanie haseł użytkowników w tej postaci na serwerze poczty może narazić je na poważne niebezpieczeństwo.

GCDS udostępnia te opcje synchronizacji haseł:

  • Wdrożenie funkcji logowania jednokrotnego w domenie: użytkownicy używają tych samych haseł i funkcji autoryzacji na koncie Google i na serwerze katalogowym LDAP. Aby zarządzać tą funkcją, możesz skonfigurować dla konta serwer SAML (Security Assertion Markup Language). W takim przypadku GCDS tworzy losowe hasła podczas synchronizacji.

    Uwaga: funkcję logowania jednokrotnego obsługuje tylko uwierzytelnianie internetowe. Inne formy uwierzytelniania (na przykład IMAP, POP i ActiveSync) nie obsługują tej funkcji i nadal wymagają hasła Google.

  • Tworzenie domyślnego hasła nowych użytkowników przy użyciu atrybutu LDAP w postaci zwykłego tekstu: użyj tej opcji, jeśli użytkownicy mają mieć różne hasła jednorazowe. W jej przypadku hasła Google różnią się od haseł na serwerze katalogowym LDAP. Pozwala ona na tworzenie haseł tymczasowych na podstawie dowolnego atrybutu LDAP przechowującego dane w postaci zwykłego tekstu.
  • Zmiana formatu haseł z nieobsługiwanego na obsługiwany przy użyciu narzędzia innej firmy: użyj tej opcji, jeśli Google i serwer katalogowy LDAP mają używać tych samych haseł, ale nie możesz skonfigurować serwera SAML. Poszukaj w Google Workspace Marketplace narzędzi innych firm ułatwiających synchronizację haseł. Google nie zapewnia pomocy dla takich narzędzi.
  • Określanie domyślnego hasła dla nowych użytkowników: w przypadku tej opcji każdy nowy użytkownik ma to samo hasło, dopóki się nie zaloguje i go nie zmieni. Hasła Google różnią się od haseł na serwerze katalogowym LDAP. Aby użyć tej opcji, ustaw domyślne hasło dla nowych użytkowników i skonfiguruj w GCDS synchronizację haseł nowych użytkowników oraz wymuś zmianę hasła przez nich.
    Ta opcja zwykle nie jest polecana jako bezpieczna, bo czasem inni użytkownicy mogą zgadnąć hasło.
W jaki sposób dane mają być mapowane?

Musisz określić sposób mapowania danych serwera katalogowego LDAP na konto Google i mieć dokładnie zaplanowaną synchronizację każdego użytkownika, każdej grupy i każdego zasobu. Mapowanie możesz skonfigurować przy użyciu płaskiej hierarchii, automatycznej synchronizacji jeden do jednego lub ręcznego zestawu własnych reguł. Szczegółowe informacje zawiera artykuł Co jest synchronizowane.

Przykładowy scenariusz

Jako administrator przykładowej organizacji w Google określasz, że istniejąca hierarchia organizacyjna na serwerze LDAP powinna zostać skopiowana na konto Google. Wskazujesz jednostki organizacyjne, które powinny być synchronizowane.

Wybierasz, że w przykładowej organizacji muszą być synchronizowane:

  • jednostki organizacyjne,
  • konta użytkowników,
  • aliasy,
  • grupy (listy adresowe),
  • kontakty udostępnione,
  • zasoby kalendarza.

Każda lista adresowa na serwerze katalogowym LDAP używa atrybutu member do przechowywania informacji o swoich członkach. Atrybut ten zawiera pełną nazwę wyróżniającą członków listy adresowej, a nie ich adresy e-mail. Jako administrator GCDS notujesz istnienie tego atrybutu oraz to, że jest to atrybut odwołania, a nie atrybut literału.

Informacje o profilach użytkowników LDAP na serwerze LDAP nie mają standardowego formatu w organizacjach, dlatego jako administrator Google decydujesz się nie synchronizować tych informacji.

Na serwerze LDAP tworzysz atrybut niestandardowy i zapełniasz go losowo wygenerowanymi hasłami jednorazowymi. Na koncie Google konfigurujesz scalenie poczty, by użytkownicy otrzymali hasła wraz z informacjami na temat sposobu aktywacji ich kont.

W jednostce organizacyjnej wykonawców istnieją użytkownicy, którzy nie pracują już w przykładowej organizacji i nie powinni być synchronizowani. Przeglądasz listę i zauważasz, że wszyscy pracownicy odpowiadają wyrażeniu regularnemu, bo wszystkie adresy użytkowników zaczynają się od słowa „defunct” (nieistniejący). Na koniec tworzysz wyjątki dla tych użytkowników w domenie Google.


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
7384561871276089105
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false