Vous pouvez utiliser des règles de recherche LDAP pour synchroniser les données de votre serveur d'annuaire LDAP avec le compte Google de votre organisation à l'aide de Google Cloud Directory Sync (GCDS). Lorsque vous ajoutez une règle de recherche, les données correspondantes sont synchronisées lors de la prochaine synchronisation. Celles qui n'y correspondent pas sont supprimées.
Important : Google ne propose pas de débogage ni d'assistance pour les requêtes LDAP.
Syntaxe générale des requêtes LDAP
Vous pouvez créer vos propres requêtes de recherche LDAP, à condition que leur syntaxe respecte la norme RFC 2254.
Opérateur | Caractère | Utilisation |
---|---|---|
Égal à | = | Crée un filtre qui requiert une valeur donnée dans un champ. |
Toute valeur | * | Représente un champ contenant n'importe quelle valeur, à l'exception de "NULL" (vide). |
Parenthèses | ( ) | Sépare des filtres pour permettre l'utilisation d'autres opérateurs logiques. |
Et | & | Réunit plusieurs filtres. Toutes les conditions de la série doivent être remplies (renvoyer la valeur Vrai). |
Ou | | | Réunit plusieurs filtres. Au moins une des conditions de la série doit être remplie (renvoyer la valeur Vrai). |
Non | ! | Exclut tous les objets correspondant au filtre. |
Ajouter une règle de recherche LDAP
Vous pouvez suivre cette procédure pour n'importe quel type de règle de recherche.
- Dans le gestionnaire de configuration (Configuration Manager), accédez à User Accounts Search Rules (Comptes utilisateur > Règles de recherche).
- Cliquez sur Add Search Rule (Ajouter une règle de recherche).
- Dans le menu, choisissez une option pour sélectionner le champ d'application de la règle de recherche :
- Sub-tree (Arborescence secondaire) : la règle de recherche s'applique à l'objet de nom distinctif de base et à tous ses objets enfants.
- One-level (Un niveau) : la règle de recherche s'applique aux enfants immédiats de l'objet de nom distinctif de base, mais exclut le nom distinctif de base lui-même.
- Object (Objet) : la règle de recherche s'applique uniquement à l'objet DN de base.
- Dans le champ Rule (Règle), saisissez la règle de recherche en utilisant la syntaxe de requête de recherche LDAP.
Reportez-vous aux exemples ci-dessous.
- Pour Base DN (Nom distinctif de base), choisissez une option :
- Saisissez le nom de domaine de base.
- Laissez le champ vide pour utiliser le nom distinctif de base spécifié sur la page LDAP Connection (Connexion LDAP).
- Cliquez sur Test LDAP Query (Tester la requête LDAP) pour vérifier les résultats de votre requête.
Vous pouvez examiner le nombre d'objets trouvés et les cinq premiers résultats. Les résultats n'incluent pas les utilisateurs sans adresse e-mail. - Cliquez sur OK.
- (Facultatif) Pour ajouter une autre règle de recherche, répétez la procédure.
Exclure des données d'une règle de recherche
Règles d'exclusion
Vous pouvez utiliser des règles d'exclusion pour exclure les données du serveur d'annuaire LDAP que vous ne souhaitez pas synchroniser avec le compte Google de votre organisation. Par exemple, vous pouvez utiliser une règle de recherche LDAP pour indiquer que toutes les adresses e-mail doivent être synchronisées. Utilisez ensuite une règle d'exclusion pour ignorer les adresses e-mail qui commencent par une certaine chaîne.
Requêtes de recherche d'utilisateurs
À l'aide d'une requête de recherche d'utilisateurs, GCDS identifie les utilisateurs de votre compte Google qui correspondent aux résultats de la requête. Si un utilisateur Google ne correspond pas aux résultats, GCDS effectue la synchronisation comme s'il n'existait pas.
Si vous utilisez une requête de recherche d'utilisateurs, assurez-vous que les règles de recherche LDAP ne renvoient pas des utilisateurs existants dans Google, mais qui ne sont pas inclus dans les résultats de la requête. Sinon, GCDS tente de créer les comptes utilisateur à chaque synchronisation.
Par exemple, yuri@altostrat.com existe dans votre compte Google et figure également dans les résultats de la règle de recherche LDAP. Si vous utilisez la requête de recherche d'utilisateurs email:m*, GCDS tente de créer yuri@altostrat.com à chaque synchronisation, car cette adresse ne commence pas par la lettre m.
Pour en savoir plus, consultez Exclure des données avec des règles d'exclusion et des requêtes.
Exemples de requêtes LDAP et de règles de recherche
Les exemples suivants sont d'ordre général et peuvent ne pas s'appliquer à votre environnement. les sauts de ligne servent uniquement à la mise en forme des pages.
Ouvrir la section | Tout réduire et revenir en haut de la page
Requêtes LDAP de base- Tous les objets (peut entraîner des problèmes de chargement)
objectClass=*
- Tous les objets de la classe utilisateur désignés comme "person" (personne)
(&(objectClass=user)(objectCategory=person))
- Listes de diffusion uniquement
(objectCategory=group)
- Uniquement les dossiers publics
(objectCategory=publicfolder)
- Tous les objets de la classe utilisateur, à l'exception de ceux dont l'adresse e-mail principale commence par "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Tous les objets de la classe utilisateur, à l'exception de ceux dont l'adresse e-mail principale se termine par "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Tous les objets de la classe utilisateur, à l'exception de ceux dont l'adresse e-mail principale contient le mot "test"
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
- Tous les objets de la classe utilisateur et alias désignés comme "person" (personne) et faisant partie d'un groupe ou d'une liste de diffusion
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Tous les objets de la classe utilisateur désignés comme "person" (personne), tous les objets de la catégorie groupe et tous les contacts, à l'exception de ceux comportant une valeur définie comme "extensionAttribute9"
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Tous les utilisateurs appartenant au groupe identifié par le nom distinctif "CN=Group,OU=Users,DC=Domain,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Tous les utilisateurs
- Pour Active Directory : (&(objectCategory=person)(objectClass=user))
- Pour OpenLDAP : (objectClass=inetOrgPerson)
- Pour HCL Domino : (objectClass=dominoPerson)
- Tous les objets dont l'adresse e-mail est désignée comme "person" (personne) ou "group" (groupe) (dans un annuaire LDAP Domino)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Tous les utilisateurs actifs (non désactivés) disposant d'une adresse e-mail dans Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Tous les utilisateurs faisant partie du groupe Group_1 ou Group_2 tel que défini par le nom distinctif du groupe
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Tous les utilisateurs dont la valeur pour "extensionAttribute1" est "Engineering" (Ingénierie) ou "Sales" (Ventes)
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Récupérer de manière récursive les membres du groupe imbriqués sous le groupe spécifié dans Active Directory
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Requête d'appartenance à un groupe avec ObjectGUID dans Active Directory. La valeur hexadécimale de l'attribut ObjectGUID d'un groupe est 4e542fe785b1bb274e542fe785b1bb27.
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Optimiser vos règles de recherche
Vous pouvez optimiser les règles de recherche pour améliorer les performances de synchronisation.
Exemple 1 : Renvoyer les utilisateurs avec une adresse e-mail | Cas d'utilisation |
---|---|
Règle de recherche utilisateur : (&(objectClass=user)(objectCategory=person)(mail=*)) | Au lieu d'utiliser une règle de base pour renvoyer tous les utilisateurs, optimisez votre règle à l'aide de la requête mail=.
La synchronisation est plus efficace, car le serveur LDAP et GCDS n'ont pas à traiter les entrées qui, autrement, seraient supprimées. |
Exemple 2 : Renvoyer les utilisateurs avec une chaîne correspondant à une adresse e-mail | Cas d'utilisation |
---|---|
Règle de recherche utilisateur : (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | Au lieu d'utiliser une règle de base et une règle d'exclusion pour renvoyer tous les utilisateurs dont l'adresse e-mail n'est pas associée à sales, utilisez une règle optimisée avec une chaîne correspondante.
Le serveur LDAP et GCDS n'ont pas à traiter les entrées qui, autrement, seraient supprimées. De plus, il n'est pas nécessaire de configurer une règle d'exclusion ni de prendre en compte le niveau de priorité. |
Article associé
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.