Du kan använda LDAP-sökregler för att synkronisera data från LDAP-katalogservern till organisationens Google-konto med Google Cloud Directory Sync (GCDS). När du lägger till en sökregel synkroniseras data som matchar sökregeln under nästa synkronisering. Data som inte matchar sökregeln tas bort.
Viktigt! Google felsöker inte och ger inte support för LDAP-frågor.
Grundläggande LDAP-frågesyntax
Du kan skapa en anpassad LDAP-sökfråga så länge den uppfyller RFC 2254.
| Operator | Tecken | Användning |
|---|---|---|
| Lika med | = | Skapar ett filter som kräver att ett fält har ett visst värde. |
| Alla | * | Representerar ett fält som kan motsvara vad som helst förutom NULL. |
| Parentes | ( ) | Separerar filter så att andra logiska operatorer kan fungera. |
| Och | & | Sammanfogar filter. Alla villkor i serien måste vara sanna. |
| Eller | | | Sammanfogar filter. Minst ett villkor i serien måste vara sant. |
| Inte | ! | Exkluderar alla objekt som matchar filtret. |
Lägga till en LDAP-sökregel
Du kan använda de här stegen för alla typer av sökregler.
- I Konfigurationshanteraren öppnar du Användarkonton
Sökregler.
- Klicka på Lägg till sökregel.
- På menyn väljer du ett alternativ för att välja omfattningen för sökregeln:
- Underträd – sökregeln gäller för DN-basobjektet och alla dess underordnade objekt.
- En-nivå – sökregeln gäller de underordnade i bas-DN men utesluter bas-DN.
- Objekt – sökregeln gäller enbart för DN-basobjektet.
- För Regel anger du sökregeln med LDAP-sökfrågesyntax.
Här följer några exempel.
- Välj ett alternativ för Bas-DN:
- Ange bas-DN.
- Lämna fältet tomt om du vill använda det bas-DN som anges på sidan LDAP-anslutning.
- Klicka på Testa LDAP-fråga om du vill kontrollera resultatet av din fråga.
Du kan granska antalet objekt som hittades och de första fem resultaten. Resultaten inkluderar inte användare utan e-postadress. - Klicka på OK.
- (Valfritt) Upprepa stegen om du vill lägga till ytterligare en sökregel.
Utesluta data från en sökregel
Uteslutningsregler
Du kan använda undantagsregler för att utesluta data på LDAP-katalogservern som du inte vill ska synkroniseras med organisationens Google-konto. Du kan till exempel använda en LDAP-sökregel för att ange att alla e-postadresser ska synkroniseras. Använd sedan en uteslutningsregel för att ignorera e-postadresser som börjar med en viss sträng.
Användarnas sökfrågor
Med en användares sökfråga identifierar GCDS de användare på ditt Google-konto som matchar resultatet av sökfrågan. Om en Google-användare inte matchar resultaten utför GCDS synkroniseringen som om användaren inte finns.
Om du använder en användares sökfråga kontrollerar du att LDAP-sökreglerna inte returnerar användare som finns på Google men inte ingår i sökresultaten. I annat fall försöker GCDS att skapa användarna under varje synkronisering.
Till exempel finns yuri@altostrat.com i ditt Google-konto och returneras även i LDAP-sökregeln. Om du använder email:m* som användarens sökfråga försöker GCDS att skapa yuri@altostrat.com under varje synkronisering eftersom yuri@altostrat.com inte börjar med bokstaven m.
Mer information finns i Uteslut data med uteslutningsregler och sökfrågor.
Exempel på LDAP-fråga och sökregel
Följande exempel är allmänna och gäller kanske inte din miljö. Radbrytningar är endast avsedda för sidformatering.
Öppna avsnitt | Komprimera alla och gå högst upp
Grundläggande LDAP-frågor- Alla objekt (kan orsaka belastningsproblem)
objectClass=*
- Alla användarobjekt som betecknas som ”person”
(&(objectClass=user)(objectCategory=person))
- Endast e-postlistor
(objectCategory=group)
- Endast offentliga mappar
(objectCategory=publicfolder)
- Alla användarobjekt utom de med primära e-postadresser som börjar med ”test”
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Alla användarobjekt utom de med primära e-postadresser som slutar med ”test”
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Alla användarobjekt utom de med primära e-postadresser som innehåller ordet ”test”
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
- Alla användar- och aliasobjekt som betecknas som ”person” och som ingår i en grupp eller distributionslista
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Alla användarobjekt som betecknas som ”person”, alla gruppobjekt och alla kontakter förutom sådana med ett värde som definieras som ”extensionAttribute9”
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Alla användare som är medlemmar i gruppen som identifieras av DN ”CN=Group,OU=Users,DC=Domain,DC=com”
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Returnerar alla användare
- För Active Directory: (&(objectCategory=person)(objectClass=user))
- För OpenLDAP: (objectClass=inetOrgPerson)
- För HCL Domino: (objectClass=dominoPerson)
- Alla objekt med den e-postadress som har angetts som ”person” eller ”group” (i en Domino LDAP-katalog)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Alla aktiva (inte inaktiverade) användare som har e-postadresser i Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Alla användare som är medlemmar i antingen Group_1 eller Group_2 enligt definitionen i grupp-DN
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Alla användare som har extensionAttribute1-värdet ”Engineering” eller ”Sales”
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Hämta gruppmedlemmarna rekursivt under den angivna gruppen i Active Directory
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Sök efter gruppmedlemskap med ObjectGUID i Active Directory. Det hexadecimala värdet för attributet ObjectGUID för en grupp är 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Optimera dina sökregler
Du kan optimera sökreglerna för att förbättra synkroniseringsresultatet.
| Exempel 1: Returnera användare med e-postadress | Användningsfall |
|---|---|
| Regel för användarsökning: (&(objectClass=user)(objectCategory=person)(mail=*)) | Istället för att använda en grundläggande regel för att returnera alla användare kan du optimera regeln med hjälp av sökfrågan mail=.
Synkroniseringen utförs effektivare eftersom LDAP-servern och GCDS inte behöver bearbeta poster som annars skulle ignoreras. |
| Exempel 2: Returnera användare med en sträng som matchar e-postadressen | Användningsfall |
|---|---|
| Regel för användarsökning: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | I stället för att använda en grundläggande regel och en uteslutningsregel för att returnera alla användare med en e-postadress som inte har försäljning kan du använda en optimerad regel med en matchande sträng.
LDAP-servern och GCDS behöver inte bearbeta poster som annars skulle ignoreras. Du behöver inte skapa en uteslutningsregel eller ta hänsyn till prioritetsnivån. |
Relaterat ämne
Google, Google Workspace och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.
