Za pomocą reguł wyszukiwania LDAP możesz synchronizować dane z serwera katalogowego LDAP z kontem Google Twojej organizacji przy użyciu Google Cloud Directory Sync (GCDS). Po dodaniu reguły wyszukiwania dane zgodne z regułą wyszukiwania są synchronizowane podczas następnej synchronizacji. Te, które nie są zgodne z regułą wyszukiwania, są usuwane.
Ważne: Google nie debuguje zapytań LDAP ani nie zapewnia wsparcia dla nich.
Podstawowa składnia zapytań LDAP
Możesz utworzyć dowolne zapytanie wyszukiwania LDAP, które jest zgodne ze standardem RFC 2254.
Operator | Znak | Działanie |
---|---|---|
Równa się | = | Tworzy filtr, który wymaga, aby w polu była podana konkretna wartość. |
Dowolny | * | Przedstawia pole, które może mieć dowolną wartość oprócz NULL. |
Nawiasy | ( ) | Oddziela filtry, aby umożliwić działanie innych operatorów logicznych. |
I | & | Łączy filtry. Wszystkie warunki w serii muszą być spełnione. |
Lub | | | Łączy filtry. Co najmniej jeden warunek w serii musi być spełniony. |
Nie | ! | Wyklucza wszystkie obiekty zgodne z filtrem. |
Dodawanie reguły wyszukiwania LDAP
Te kroki możesz zastosować do dowolnych reguł wyszukiwania.
- W Menedżerze konfiguracji otwórz User Accounts (Konta użytkowników) Search Rules (Reguły wyszukiwania).
- Kliknij Add Search Rule (Dodaj regułę wyszukiwania).
- W menu wybierz opcję wyboru zakresu reguły wyszukiwania:
- Sub-tree (Poddrzewo) – reguła wyszukiwania ma zastosowanie do obiektu podstawowej nazwy wyróżniającej i wszystkich jego obiektów podrzędnych.
- One-level (Jeden poziom) – reguła wyszukiwania ma zastosowanie do obiektów podrzędnych, które znajdują się bezpośrednio pod obiektem podstawowej nazwy wyróżniającej, ale nie do samej podstawowej nazwy wyróżniającej.
- Object (Obiekt) – reguła wyszukiwania ma zastosowanie tylko do obiektu podstawowej nazwy wyróżniającej.
- W polu Rule (Reguła) wpisz regułę wyszukiwania, korzystając ze składni zapytania LDAP.
Zobacz przykłady poniżej.
- W sekcji Podstawowa nazwa wyróżniająca wybierz opcję:
- Wpisz podstawową nazwę wyróżniającą.
- Aby użyć podstawowej nazwy wyróżniającej określonej na stronie LDAP Connection (Połączenie LDAP), pozostaw to pole puste.
- Aby sprawdzić wyniki znalezione po użyciu danego zapytania, Kliknij Test LDAP Query (Przetestuj zapytanie LDAP).
Możesz sprawdzić liczbę znalezionych obiektów i 5 pierwszych wyników. Wyniki nie obejmują użytkowników bez adresów e-mail. - Kliknij OK.
- (Opcjonalnie) Aby dodać kolejną regułę wyszukiwania, powtórz te czynności.
Wykluczanie danych z reguły wyszukiwania
Reguły wykluczania
Za pomocą reguł wykluczania możesz pominąć dane na serwerze katalogowym LDAP, których nie chcesz synchronizować z kontem Google Twojej organizacji. W regule wyszukiwania LDAP możesz na przykład określić, że synchronizacja ma obejmować wszystkie adresy e-mail. Następnie za pomocą reguły wykluczania zignorować wszystkie wiadomości, które zaczynają się od danego ciągu znaków.
Zapytanie dotyczące użytkowników
W przypadku zapytań dotyczących użytkowników GCDS identyfikuje użytkowników na koncie Google pasujących do wyników znalezionych po użyciu danego zapytania. Jeśli konto użytkownika Google nie jest zgodne z wynikami, GCDS przeprowadza synchronizację tak, jakby konto użytkownika nie istniało.
Jeśli korzystasz z zapytania dotyczącego użytkowników, upewnij się, że reguły wyszukiwania LDAP nie zwracają kont użytkowników, które znajdują się w Google, ale nie zostały uwzględnione w wynikach zapytań. W przeciwnym razie GCDS spróbuje utworzyć konta użytkowników podczas każdej synchronizacji.
Na przykład adres yuri@altostrat.com, który znajduje się na koncie Google, jest też zwracany w regule wyszukiwania LDAP. Jeśli użyjesz email:m* jako zapytania dotyczącego użytkowników, GCDS spróbuje utworzyć adres yuri@altostrat.com podczas każdej synchronizacji, ponieważ yuri@altostrat.com nie zaczyna się od litery m.
Więcej informacji znajdziesz w artykule Pomijanie danych za pomocą reguł wykluczania i zapytań.
Przykłady zapytań LDAP i reguł wyszukiwania
Poniższe przykłady są ogólne i mogą nie mieć zastosowania w Twoim środowisku. Podziały wiersza służą jedynie do formatowania strony.
Otwórz sekcję | Zwiń wszystko i przejdź na górę strony
Podstawowe zapytania LDAP- Wszystkie obiekty (może powodować problemy z ładowaniem)
objectClass=*
- Wszystkie obiekty użytkowników wyznaczone jako „person” (osoba)
(&(objectClass=user)(objectCategory=person))
- Tylko listy adresowe
(objectCategory=group)
- Tylko foldery publiczne
(objectCategory=publicfolder)
- Wszystkie obiekty użytkowników oprócz tych, których podstawowe adresy e-mail zaczynają się od słowa „test”
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Wszystkie obiekty użytkowników oprócz tych, których podstawowe adresy e-mail kończą się słowem „test”
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Wszystkie obiekty użytkowników oprócz tych, których podstawowe adresy e-mail zawierają słowo „test”
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
- Wszystkie obiekty użytkowników i aliasów, które są wyznaczone jako „person” (osoba) i należą do grupy lub listy dystrybucyjnej
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Wszystkie obiekty użytkowników, które są wyznaczone jako „person” (osoba), wszystkie obiekty grup i wszystkie kontakty, oprócz tych, dla których dowolna wartość jest zdefiniowana jako „extensionAttribute9”
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Wszystkich użytkowników należących do grupy identyfikowanej przez nazwę wyróżniającą „CN=Group,OU=Users,DC=Domain,DC=com”
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Zwraca wszystkich użytkowników
- W przypadku Active Directory: (&(objectCategory=person)(objectClass=user))
- W przypadku OpenLDAP: (objectClass=inetOrgPerson)
- W przypadku HCL Domino: (objectClass=dominoPerson)
- Wszystkie obiekty z adresem e-mail wyznaczonym jako „person” (osoba) lub „group” (grupa) (w katalogu LDAP Domino)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Wszystkich aktywnych (niewyłączonych) użytkowników, którzy mają adresy e-mail w Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Wszystkich użytkowników należących do Group_1 lub Group_2 zgodnie z definicją nazwy wyróżniającej grupy
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Wszystkich użytkowników, których atrybut extensionAttribute1 ma wartość „Engineering” (Techniczny) lub „Sales” (Sprzedaż)
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Cyklicznie pobieraj członków grupy zagnieżdżonych w określonej grupie w Active Directory
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Zapytanie dotyczące członkostwa w grupie za pomocą ObjectGUID w Active Directory. Wartość szesnastkowa atrybutu ObjectGUID grupy to 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Optymalizacja reguł wyszukiwania
Możesz zoptymalizować reguły wyszukiwania, by zwiększyć wydajność synchronizacji.
Przykład 1. Zwraca użytkowników z adresem e-mail | Przypadek użycia |
---|---|
User search rule (Reguła wyszukiwania użytkowników): (&(objectClass=user)(objectCategory=person)(mail=*)) | Zamiast używać reguły podstawowej, która zwraca wszystkich użytkowników, zoptymalizuj regułę za pomocą zapytania mail=.
Synchronizacja działa wydajniej, ponieważ serwer LDAP i GCDS nie muszą przetwarzać wpisów, które zostałyby odrzucone. |
Przykład 2. Zwraca użytkowników, których adres-mail pasuje do ciągu znaków | Przypadek użycia |
---|---|
User search rule (Reguła wyszukiwania użytkowników): (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | Zamiast stosować regułę podstawową i regułę wykluczania, która zwraca wszystkich użytkowników z adresem e-mail bez grupy adresowej sprzedaż, użyj reguły zoptymalizowanej z pasującym ciągiem znaków.
Serwer LDAP i GCDS nie muszą przetwarzać wpisów, które zostałyby odrzucone. Nie musisz konfigurować reguły wykluczania ani wybierać priorytetu. |
Powiązany artykuł
Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.