Você pode usar regras de pesquisa LDAP para sincronizar dados do servidor de diretório LDAP com a Conta do Google da sua organização com o Google Cloud Directory Sync (GCDS). Quando você adiciona uma regra de pesquisa, os dados que correspondem a ela são sincronizados durante sua próxima sincronização. Os dados que não corresponderem à regra de pesquisa são removidos.
Importante: o Google não depura nem oferece suporte para consultas LDAP.
Sintaxe da consulta LDAP básica
Você pode criar qualquer consulta de pesquisa LDAP, desde que ela siga as diretrizes no documento RFC 2254.
Operador | Caractere | Uso |
---|---|---|
Igual a | = | Cria um filtro que exige que um campo tenha determinado valor. |
Indiferente | * | Representa um campo que pode ser igual a qualquer valor, menos NULO. |
Parênteses | ( ) | Separa filtros para permitir que os operadores lógicos funcionem. |
E | & | Une filtros. Todas as condições na série precisam ser verdadeiras. |
Ou | | | Une filtros. Pelo menos uma condição na série precisa ser verdadeira. |
Não | ! | Exclui todos os objetos que correspondem ao filtro. |
Adicionar uma regra de pesquisa LDAP
Você pode seguir estas etapas para qualquer tipo de regra de pesquisa.
- No Gerenciador de configuração, acesse Contas de usuárioRegras de pesquisa.
- Clique em Add Search Rule.
- No menu, escolha uma opção para selecionar o escopo da regra de pesquisa:
- Sub-tree: a regra de pesquisa se aplica ao objeto DN de base e a todos os objetos filho.
- One-level: a regra de pesquisa se aplica aos filhos imediatos do objeto DN de base, mas exclui o próprio DN de base.
- Objeto: a regra de pesquisa se aplica apenas ao objeto DN de base.
- Em Regra, digite a regra de pesquisa usando a sintaxe de consulta de pesquisa LDAP.
Veja os exemplos abaixo.
- Em Base DN, escolha uma opção:
- Digite o DN de base.
- Deixe o campo em branco para usar o DN de base especificado na página LDAP Connection.
- Clique em Testar consulta LDAP para verificar os resultados da consulta.
Você pode analisar o número de objetos encontrados e os cinco primeiros resultados. Os resultados não incluem usuários sem um endereço de e-mail. - Clique em OK.
- (Opcional) Para adicionar outra regra de pesquisa, repita as etapas.
Excluir dados de uma regra de pesquisa
Regras de Exclusão
Você pode usar regras de exclusão para excluir dados no servidor de diretório LDAP que não quiser sincronizar com a Conta do Google da sua organização. Por exemplo, você pode usar uma regra de pesquisa LDAP para especificar que todos os endereços de e-mail sejam sincronizados. Em seguida, use uma regra de exclusão para ignorar os endereços de e-mail que começam com uma determinada string.
Consultas de pesquisa dos usuários
Com uma consulta de pesquisa de usuários, o GCDS identifica os usuários na sua Conta do Google que correspondem aos resultados da consulta. Se um usuário do Google não corresponder aos resultados, o GCDS fará a sincronização como se o usuário não existisse.
Se você estiver usando uma consulta de pesquisa de usuários, verifique se as regras de pesquisa LDAP não retornam usuários que existem no Google, mas que não estão incluídos nos resultados da consulta. Caso contrário, o GCDS tentará criar os usuários em cada sincronização.
Por exemplo, yuri@altostrat.com existe na sua Conta do Google e também é retornado na regra de pesquisa LDAP. Se você usar email:m* como a consulta de pesquisa dos usuários, o GCDS tentará criar yuri@altostrat.com durante todas as sincronizações, porque yuri@altostrat.com não começa com a letra m.
Veja mais detalhes em Omitir dados com regras de exclusão e consultas.
Exemplos de consulta LDAP e regra de pesquisa
Os exemplos a seguir são gerais e podem não se aplicar ao seu ambiente. As quebras de linha são apenas para formatação de página.
Abrir seção | Recolher tudo e voltar ao início
Consultas LDAP básicas- Todos os objetos (pode causar problemas de carregamento)
objectClass=*
- Todos os objetos de usuário designados como "person"
(&(objectClass=user)(objectCategory=person))
- Apenas listas de e-mails
(objectCategory=group)
- Apenas pastas públicas
(objectCategory=publicfolder)
- Todos os objetos de usuário, exceto aqueles com endereços de e-mail principais que começam com "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Todos os objetos de usuário, exceto aqueles com endereços de e-mail principais que terminam em "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Todos os objetos de usuário, exceto aqueles com endereços de e-mail principais que contêm a palavra "test"
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
- Todos os objetos de usuário e alias designados como "person" e que fazem parte de um grupo ou de uma lista de distribuição
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Todos os objetos de usuário designados como "person", todos os objetos de grupo e todos os contatos, excluindo aqueles com qualquer valor definido como "extensionAttribute9"
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Todos os usuários que são participantes do grupo identificado pelo DN "CN=Group,OU=Users,DC=Domain,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Retorna todos os usuários
- Para o Active Directory: (&(objectCategory=person)(objectClass=user))
- Para OpenLDAP: (objectClass=inetOrgPerson)
- Para o HCL Domino: (objectClass=dominoPerson)
- Todos os objetos com o endereço de e-mail designado como "person" ou "group" (em um diretório LDAP Domino)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Todos os usuários ativos (não desativados) que têm endereços de e-mail no Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Todos os usuários que são membros de Group_1 ou Group_2, conforme definido pelo DN "Group"
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Todos os usuários que têm o valor “Engineering” ou “Sales” para extensionAttribute1
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Recuperar recursivamente os membros do grupo aninhados no grupo especificado no Active Directory
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Consulta de associação a grupos com o ObjectGUID no Active Directory. O valor hexadecimal do atributo ObjectGUID de um grupo é 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Otimizar suas regras de pesquisa
Você pode otimizar as regras de pesquisa para melhorar o desempenho da sincronização.
Exemplo 1: retornar usuários com endereço de e-mail | Caso de uso |
---|---|
Regra de pesquisa de usuário: (&(objectClass=user)(objectCategory=person)(mail=*)) | Em vez de usar uma regra básica para retornar todos os usuários, otimize a regra usando a consulta mail=.
A sincronização é feita com mais eficiência porque o servidor LDAP e o GCDS não precisam processar entradas que seriam descartadas. |
Exemplo 2: retornar usuários com uma string correspondente do endereço de e-mail | Caso de uso |
---|---|
Regra de pesquisa de usuário: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | Em vez de usar uma regra básica e uma regra de exclusão para retornar todos os usuários com um endereço de e-mail que não tenha vendas, use uma regra otimizada com uma string correspondente.
O servidor LDAP e o GCDS não precisam processar entradas que seriam descartadas. Além disso, você não precisa configurar uma regra de exclusão ou considerar o nível de prioridade. |
Tema relacionado
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.