3. Упорядочьте данные LDAP

Выберите домен Google, который необходимо синхронизировать. Он вам понадобится при настройке GCDS.

Примечание. GCDS не синхронизирует адреса для псевдонимов домена. Ознакомьтесь с основной информацией о работе с несколькими доменами одновременно.

Вы также можете заменить доменное имя. Чаще всего этот метод используют для тестовых доменов, однако он также применяется при переходе на новый домен с помощью GCDS. Указав в Диспетчере конфигураций другой домен, вы можете импортировать в него полный список пользователей.

Сделайте новый домен основным. Затем в конфигурации LDAP Диспетчера конфигураций укажите его в качестве домена Google и назначьте для него администратора. В конфигурации Google Domains настройте для GCDS замену доменных имен в адресах электронной почты LDAP на новое доменное имя. Во время синхронизации GCDS укажет во всех адресах пользователей новый домен вместо старого.

По окончании тестового периода вы можете вернуть имя основного домена и назначить прежнего администратора, не меняя другие параметры конфигурации.

• Пользователи. С помощью браузера LDAP посмотрите каталог пользователей и проверьте число импортируемых аккаунтов. Если оно превышает количество доступных лицензий, могут возникнуть ошибки. Подробнее о том, как управлять лицензиями пользователей…
• Профили пользователей. Если на сервере каталога LDAP есть дополнительные данные, например адреса, телефонные номера или другая контактная информация, их тоже можно синхронизировать.
• Псевдонимы. Атрибуты псевдонимов из каталога LDAP можно синхронизировать с псевдонимами адресов Google.
• Уникальный идентификатор. Если имена пользователей (адреса электронной почты) могут измениться, перед настройкой синхронизации задайте атрибут Unique ID (Уникальный идентификатор). В этом случае данные пользователя не потеряются при изменении его адреса электронной почты.
• Пароли. GCDS поддерживает ограниченный набор операций с паролями. Если у вас есть сервер Microsoft Active Directory, вы можете поддерживать синхронизацию паролей каталога LDAP с аккаунтом Google с помощью инструмента Password Sync.
• Удаленные и заблокированные пользователи. По умолчанию пользователи, не найденные в каталоге LDAP, удаляются из аккаунта Google, а заблокированные пользователи игнорируются. Чтобы изменить стандартные настройки, перейдите на страницу User Accounts (Аккаунты пользователей) в Диспетчере конфигураций. Установив блокировку аккаунтов вместо удаления, вы сможете посмотреть и при необходимости восстановить их данные. Вы также можете удалить заблокированных пользователей (однако обратите внимание, что нельзя удалить одни заблокированные аккаунты, а другие оставить).

В аккаунте Google вы можете упорядочивать пользователей по спискам рассылки или по структуре организации.

Список рассылки

Выберите, какие списки рассылки вы хотите синхронизировать между сервером каталога LDAP и аккаунтом Google. Списки рассылки на вашем сервере каталога LDAP импортируются в аккаунт Google в виде групп.

Некоторые атрибуты списков рассылки содержат точный адрес в формате user@example.com. Другие содержат ссылку на уникальное имя в следующем формате:
cn=Olya Chaiko,ou=Rukovodstvo,dc=example,dc=com.

Если вы хотите сохранить списки рассылки в аккаунте Google, сделайте следующее:

1. Узнайте, в каком атрибуте указаны пользователи из списка рассылки. Обычно это атрибут member или mailAddress.
2. Проверьте, что содержится в атрибуте LDAP: адрес электронной почты или уникальное имя пользователя.

Структура организации

По умолчанию GCDS синхронизирует всех пользователей в виде единой плоской структуры. Это удобно, если в вашей организации немного сотрудников или вы хотите, чтобы у всех пользователей были одинаковые права и настройки. Этот вариант также подходит при тестировании небольшой группы перед масштабным развертыванием.

Кроме того, при синхронизации вы можете перенести в аккаунт Google иерархию организационных подразделений с сервера каталога LDAP. Чтобы убедиться, что вы синхронизируете нужную структуру, посмотрите подразделения в браузере LDAP. Возможно, у вас есть особые организационные подразделения, которые не нужно переносить в аккаунт Google, например организационное подразделение для принтеров.

Если вы хотите вручную создать организационные подразделения в аккаунте Google, вы можете настроить их в Google, а затем GCDS перенесет туда пользователей без изменения текущей структуры организации. Это можно сделать на странице Org Units (Организационные подразделения) в Диспетчере конфигураций. Для каждого правила поиска пользователей укажите нужную организацию или атрибут LDAP, содержащий ее название.

Если вы хотите управлять лицензиями с помощью GCDS, создайте группы пользователей определенных лицензий или добавьте в каждый аккаунт пользователя специальный атрибут.

На основании группы или атрибута сервер GCDS определяет, какая лицензия применяется к аккаунту.

С помощью GCDS вы можете импортировать в аккаунт Google другие ресурсы LDAP, например общие контакты и ресурсы календаря.

• Общие контакты. Общие контакты видны каждому пользователю из списка контактов. Когда он начинает вводить их в поля Gmail, они подставляются автоматически. Чтобы импортировать эти адреса в аккаунт Google как общие контакты, установите флажок Shared Contacts (Общие контакты) на странице General Settings (Основные настройки) Диспетчера конфигураций. После синхронизации общих контактов изменения отобразятся в домене Google в течение 24 часов.

  Примечание. GCDS синхронизирует только общие контакты, но не личные.

• Ресурсы календаря. Если вы хотите импортировать ресурсы календаря (например, переговорные комнаты) из каталога LDAP в аккаунт Google, вам нужно настроить синхронизацию ресурсов календаря, чтобы эти ресурсы были видны всем пользователям.

• Укажите формат названия для ресурсов календаря. Обратите внимание, что правила для них отличаются от требований к названиям других данных. Название не может содержать пробелы и специальные символы.

GCDS поддерживает ограниченный набор операций с паролями. Пароли можно импортировать только в виде атрибута LDAP, где они хранятся в одном из следующих форматов: обычный текст, Base64, MD5 (без соли) или SHA-1 (без соли). Другие способы шифрования с паролем и использование соли для хешей не поддерживаются. В большинстве серверов каталогов нет их нативной поддержки, и хранение паролей в этих форматах на почтовом сервере может привести к серьезным проблемам с безопасностью.

Доступны следующие способы синхронизации паролей:

• Включите систему единого входа для домена. Пользователям будут доступны одинаковые пароли и разрешения и в аккаунте Google, и на сервере каталога LDAP. Чтобы управлять системой единого входа, настройте сервер SAML (Security Assertion Markup Language) для своего аккаунта. В этом случае при синхронизации инструмент GCDS будет создавать случайные пароли.

  Примечание. В системе единого входа возможна только веб-аутентификация. Другие формы, например IMAP, POP и ActiveSync, не поддерживаются: для них по-прежнему будет необходим пароль Google.

• Используйте атрибут LDAP в формате обычного текста для создания стандартных паролей новых пользователей. В этом случае пользователи получат отдельные одноразовые пароли для Google и сервера каталога LDAP. Этот метод позволяет создать временный пароль на основе любого атрибута LDAP, в котором данные хранятся в виде обычного текста.
• Преобразуйте пароли в поддерживаемый формат с помощью сторонних инструментов. Это поможет, если вы хотите использовать одинаковые пароли в Google и на сервере каталога LDAP, а настроить сервер SAML невозможно. Поищите в каталоге Google Workspace Marketplace инструменты сторонних разработчиков для синхронизации паролей. Однако имейте в виду, что Google не предоставляет для них поддержку.
• Укажите пароль по умолчанию для новых пользователей. В этом случае все новые пользователи будут получать одинаковый пароль, пока не войдут в систему и не изменят его. Пароли Google не синхронизируются с паролями на сервере каталога LDAP. Чтобы использовать этот вариант, укажите стандартный пароль для новых пользователей, настройте в GCDS его синхронизацию, а затем установите обязательное изменение пароля.
  В целях безопасности мы не рекомендуем делать это, поскольку пароль могут узнать посторонние.

Решите, как информация с сервера каталога LDAP будет сопоставляться с данными аккаунта Google. Вы должны понимать, как импортируется каждый пользователь, группа или ресурс. Вы можете выбрать сопоставление в виде плоской иерархии, автоматическую синхронизацию "один к одному" или настроить собственный набор правил. Подробнее о параметрах синхронизации…

Вы являетесь администратором Google в организации и принимаете решение, что существующую на сервере LDAP организационную структуру нужно импортировать в аккаунт Google, а затем определяете подразделения для синхронизации.

Вы выбираете следующие данные для синхронизации:

• организационные подразделения;
• пользователи;
• псевдонимы;
• группы (списки рассылки);
• общие контакты;
• ресурсы календаря.

Участники списков рассылок задаются на сервере каталога LDAP в атрибуте member. В нем указываются не электронные адреса, а полные уникальные имена пользователей. Вы запоминаете, в каком атрибуте хранятся данные. Обратите внимание, что в нем содержатся ссылки, а не литеральные значения.

Поскольку информация в профилях пользователей LDAP хранится на сервере в нестандартном формате, вы решаете ее не синхронизировать.

На сервере LDAP вы создаете собственный атрибут и добавляете в него одноразовый пароль, который генерируется случайным образом. В аккаунте Google вы настраиваете рассылку этих паролей вместе с инструкциями по активации новых аккаунтов.

В организационном подразделении подрядчиков некоторые пользователи уже не работают с вашей компанией. Их синхронизировать не нужно. Вы проверяете список и обнаруживаете, что все такие пользователи соответствуют простому регулярному выражению: их адреса начинаются с defunct. На этой основе вы создаете исключения для таких пользователей в домене Google.