Utilizzare le regole di ricerca LDAP per sincronizzare dati

Puoi utilizzare le regole di ricerca LDAP per sincronizzare dati dal server di directory LDAP con l'Account Google della tua organizzazione mediante Google Cloud Directory Sync (GCDS). Quando aggiungi una regola di ricerca, i dati che corrispondono alla regola vengono sincronizzati alla successiva sincronizzazione. I dati che non corrispondono alla regola di ricerca vengono rimossi.

Importante: Google non esegue il debug né fornisce assistenza per le query LDAP.

Sintassi della query LDAP di base

Puoi creare query di ricerca LDAP personalizzate nel modo che preferisci purché sia rispettata la conformità a RFC 2254.

Operatore Carattere Utilizza
Uguale a = Crea un filtro che richiede la presenza di un dato valore in un campo.
Qualsiasi * Rappresenta un campo che può essere uguale a qualsiasi valore tranne NULL.
Parentesi tonde ( ) Separano i filtri per consentire il funzionamento di altri operatori logici.
E & Unisce più filtri. Tutte le condizioni della serie devono essere vere.
O | Unisce più filtri. Almeno una condizione della serie deve essere vera.
No ! Esclude tutti gli oggetti che corrispondono al filtro.

Aggiungere una regola di ricerca LDAP

Puoi seguire questi passaggi per qualsiasi tipo di regola di ricerca.

  1. In Configuration Manager, vai a User Accounts (Account utente)e poiSearch Rules (Regole di ricerca).
  2. Fai clic su Add Search Rule (Aggiungi regola di ricerca).
  3. Dal menu, scegli un'opzione per selezionare l'ambito della regola di ricerca:
    • Sub-tree (Sottoalbero): la regola di ricerca viene applicata all'oggetto DN di base e a tutti i suoi oggetti secondari.
    • One-level (Un livello): la regola di ricerca viene applicata agli oggetti immediatamente secondari rispetto all'oggetto DN di base, ma esclude il DN di base.
    • Object (Oggetto): la regola di ricerca si applica solo all'oggetto DN di base.
  4. In Rule (Regola), inserisci la regola di ricerca utilizzando la sintassi delle query di ricerca LDAP.

    Vedi gli esempi qui sotto.

  5. Per Base DN (DN di base), scegli un'opzione:
    • Inserisci il DN di base.
    • Lascia vuoto il campo per utilizzare il DN di base specificato nella pagina della connessione LDAP.
  6. Fai clic su Test LDAP Query (Prova query LDAP) per verificare i risultati della query.
    Puoi esaminare il numero di oggetti trovati e i primi cinque risultati. I risultati non includono gli utenti senza un indirizzo email.
  7. Fai clic su OK.
  8. (Facoltativo) Per aggiungere un'altra regola di ricerca, ripeti i passaggi.

Escludere dati da una regola di ricerca

Regole di esclusione

Puoi utilizzare le regole di esclusione per escludere dal server di directory LDAP i dati che non vuoi sincronizzare con l'Account Google della tua organizzazione. Ad esempio, puoi utilizzare una regola di ricerca LDAP per specificare che tutti gli indirizzi email devono essere sincronizzati. Quindi, utilizza una regola di esclusione per ignorare gli indirizzi email che iniziano con una determinata stringa.

Query di ricerca degli utenti

Con una query di ricerca degli utenti, GCDS identifica gli utenti del tuo Account Google che corrispondono ai risultati della query. Se un utente Google non corrisponde ai risultati, GCDS esegue la sincronizzazione come se l'utente non esistesse. 

Se utilizzi una query di ricerca degli utenti, assicurati che le regole di ricerca LDAP non restituiscano utenti esistenti su Google, ma non inclusi nei risultati della query. In caso contrario, GCDS tenta di creare gli utenti durante ogni sincronizzazione.

Ad esempio, yuri@altostrat.com esiste nel tuo Account Google e viene restituito anche nella regola di ricerca LDAP. Se utilizzi email:m* come query di ricerca degli utenti, GCDS tenta di creare yuri@altostrat.com durante ogni sincronizzazione perché yuri@altostrat.com non inizia con la lettera m.

Per informazioni dettagliate, vedi Omettere i dati con query e regole di esclusione.

Esempi di regole di ricerca e query LDAP

I seguenti esempi sono generici e potrebbero non essere validi per il tuo ambiente. Le eventuali interruzioni di riga servono solo per la formattazione della pagina.

Apri sezione  |  Comprimi tutto e torna all'inizio della pagina

Query LDAP di base
  • Tutti gli oggetti (possono causare problemi di carico)

    objectClass=*

  • Tutti gli oggetti utente corrispondenti a una determinata "persona"

    (&(objectClass=user)(objectCategory=person))

  • Solo le mailing list

    (objectCategory=group)

  • Solo le cartelle pubbliche

    (objectCategory=publicfolder)

  • Tutti gli oggetti utente ad eccezione di quelli con indirizzi email principali che iniziano con "test"

    (&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))

  • Tutti gli oggetti utente ad eccezione di quelli con indirizzi email principali che terminano con "test"

    (&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))

  • Tutti gli oggetti utente ad eccezione di quelli con indirizzi email principali che contengono la parola "test"

    &(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

Query LDAP specifiche
  • Tutti gli oggetti utente e alias corrispondenti a una determinata "persona" e che fanno parte di un gruppo o di un elenco di distribuzione

    (|(&(objectClass=user)(objectCategory=person))(objectCategory=group))

  • Tutti gli oggetti utente corrispondenti a una determinata "persona", tutti gli oggetti gruppo e tutti i contatti, esclusi quelli con un valore definito come "extensionAttribute9"

    (&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))

  • Tutti gli utenti che sono membri del gruppo identificato dal DN "CN=Group,OU=Users,DC=Domain,DC=com"

    (&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))

  • Restituisce tutti gli utenti
    • Per Active Directory: (&(objectCategory=person)(objectClass=user))
    • Per OpenLDAP: (objectClass=inetOrgPerson)
    • Per HCL Domino: (objectClass=dominoPerson)
  • Tutti gli oggetti il cui indirizzo email corrisponde a una persona o un gruppo (in una directory LDAP Domino)

    (&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))

  • Tutti gli utenti attivi (non disattivati) che hanno indirizzi email in Active Directory

    (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

  • Tutti gli utenti che sono membri di Group_1 o Group_2, come definiti dal DN del gruppo

    (&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))

  • Tutti gli utenti il cui valore extensionAttribute1 è "Engineering" o "Sales"

    (&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

  • Recupera in modo ricorsivo i membri del gruppo nidificati nel gruppo specificato in Active Directory

    (&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))

  • Query di appartenenza al gruppo con ObjectGUID in Active Directory. Il valore esadecimale dell'attributo ObjectGUID di un gruppo è 4e542fe785b1bb274e542fe785b1bb27

    (&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))

Ottimizzare le regole di ricerca

Puoi ottimizzare le regole di ricerca per migliorare il rendimento della sincronizzazione.

Esempio 1: restituisci gli utenti con indirizzo email Caso d'uso
Regola ricerca utente: (&(objectClass=user)(objectCategory=person)(mail=*)) Anziché utilizzare una regola di base per restituire tutti gli utenti, ottimizza la regola utilizzando la query mail=.

La sincronizzazione viene eseguita in modo più efficiente poiché il server LDAP e GCDS non devono elaborare voci che altrimenti verrebbero ignorate.
Esempio 2: restituisci gli utenti con la stringa corrispondente all'indirizzo email Caso d'uso
Regola ricerca utente: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) Anziché utilizzare una regola di base e una regola di esclusione per restituire tutti gli utenti con un indirizzo email che non include sales, usa una regola ottimizzata con una stringa corrispondente.

Il server LDAP e GCDS non devono elaborare voci che altrimenti verrebbero ignorate. Inoltre, non devi configurare una regola di esclusione o considerare il livello di priorità.

Argomento correlato

Preparare la directory LDAP


Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
8425382310123101622
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false