ใช้กฎการค้นหา LDAP เพื่อซิงค์ข้อมูล

คุณจะใช้กฎการค้นหา LDAP เพื่อซิงค์ข้อมูลจากเซิร์ฟเวอร์ไดเรกทอรี LDAP กับบัญชี Google ขององค์กรด้วย Google Cloud Directory Sync (GCDS) ได้ โดยเมื่อคุณเพิ่มกฎการค้นหา ระบบจะซิงค์ข้อมูลที่ตรงกับกฎการค้นหาระหว่างการซิงค์ครั้งถัดไป และจะนำข้อมูลที่ไม่ตรงกับกฎออก

ข้อสำคัญ: Google จะไม่แก้ไขข้อบกพร่องหรือให้การสนับสนุนการค้นหา LDAP

ไวยากรณ์การค้นหา LDAP พื้นฐาน

คุณจะสร้างคำค้นหา LDAP ที่กำหนดเองได้ตามต้องการ โดยต้องสอดคล้องกับข้อกำหนด RFC 2254

โอเปอเรเตอร์	อักขระ	การใช้งาน
เท่ากับ	=	สร้างตัวกรองที่กำหนดให้ช่องหนึ่งมีค่าที่กำหนด
ไม่จำกัด	*	หมายถึงช่องที่เท่ากับอะไรก็ได้ยกเว้น NULL
เครื่องหมายวงเล็บ	( )	แยกตัวกรองเพื่อให้โอเปอเรเตอร์ทางตรรกะอื่นสามารถทำงานได้
และ	&	รวมตัวกรองเข้าด้วยกัน เงื่อนไขทั้งหมดในชุดจะต้องเป็นจริง
หรือ	\|	รวมตัวกรองเข้าด้วยกัน เงื่อนไขในชุดจะต้องเป็นจริงอย่างน้อย 1 เงื่อนไข
ไม่ใช่	!	ยกเว้นออบเจ็กต์ทั้งหมดที่ตรงตามตัวกรอง

เพิ่มกฎการค้นหา LDAP

คุณใช้ขั้นตอนต่อไปนี้กับกฎการค้นหาประเภทใดก็ได้

ในเครื่องมือจัดการการกำหนดค่า ให้ไปที่บัญชีผู้ใช้กฎการค้นหา
คลิกเพิ่มกฎการค้นหา
เลือกตัวเลือกเพื่อกำหนดขอบเขตของกฎการค้นหาจากเมนู ดังนี้
- Sub-tree - กฎการค้นหาจะมีผลกับออบเจ็กต์ DN ฐานรวมถึงออบเจ็กต์ย่อยทั้งหมด
- One-level - กฎการค้นหาจะมีผลกับออบเจ็กต์ย่อยของออบเจ็กต์ Base DN ทันที แต่ไม่รวมออบเจ็กต์ Base DN เอง
- ออบเจ็กต์ - กฎการค้นหาจะมีผลกับออบเจ็กต์ Base DN เท่านั้น
ในช่อง Rule ให้ป้อนกฎการค้นหาโดยใช้ไวยากรณ์คำค้นหาของ LDAP
โปรดดูตัวอย่างด้านล่าง
สําหรับ Base DN ให้เลือกตัวเลือกต่อไปนี้
- ป้อน DN พื้นฐาน
- เว้นช่องนี้ว่างไว้เพื่อใช้ DN พื้นฐานที่ระบุในหน้าการเชื่อมต่อ LDAP
คลิกทดสอบการค้นหาของ LDAP เพื่อดูผลลัพธ์ของคําค้นหา
คุณสามารถตรวจสอบจํานวนออบเจ็กต์ที่พบและผลลัพธ์ 5 รายการแรกได้ โดยผลลัพธ์จะไม่รวมผู้ใช้ที่ไม่มีอีเมล
คลิกตกลง
(ไม่บังคับ) หากต้องการเพิ่มกฎการค้นหาอื่น ให้ทำตามขั้นตอนอีกครั้ง

ยกเว้นข้อมูลจากกฎการค้นหา

กฎการยกเว้น

คุณสามารถใช้กฎนี้เพื่อยกเว้นข้อมูลในเซิร์ฟเวอร์ไดเรกทอรี LDAP ที่คุณไม่ต้องการให้ซิงค์กับบัญชี Google ขององค์กรได้ เช่น คุณสามารถใช้กฎการค้นหา LDAP เพื่อระบุว่าควรซิงค์อีเมลทั้งหมด จากนั้นใช้กฎการยกเว้นเพื่อยกเว้นไม่ซิงค์กับอีเมลที่ขึ้นต้นด้วยสตริงที่กำหนดได้

คำค้นหาผู้ใช้

เมื่อใช้คำค้นหาผู้ใช้ เครื่องมือ GCDS จะระบุผู้ใช้ในบัญชี Google ที่ตรงกับผลการค้นหา หากผู้ใช้ Google ไม่ตรงกับผลการค้นหา GCDS จะทำการซิงค์เสมือนว่าไม่มีผู้ใช้ดังกล่าว

หากคุณใช้คำค้นหาผู้ใช้ โปรดตรวจสอบว่ากฎการค้นหา LDAP ไม่แสดงผลผู้ใช้ที่มีอยู่ใน Google แต่ก็ไม่ได้แสดงอยู่ในผลการค้นหาด้วย ไม่เช่นนั้น GCDS จะพยายามสร้างผู้ใช้ดังกล่าวในระหว่างการซิงค์ทุกครั้ง

ตัวอย่างเช่น yuri@altostrat.com มีอยู่ในบัญชี Google และระบบแสดงผู้ใช้ดังกล่าวในกฎการค้นหา LDAP ด้วย หากใช้ email:m* เป็นคำค้นหาผู้ใช้ GCDS จะพยายามสร้าง yuri@altostrat.com ระหว่างการซิงค์ทุกครั้งเนื่องจาก yuri@altostrat.com ไม่ได้ขึ้นต้นด้วยตัวอักษร m

โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อยกเว้นข้อมูลด้วยกฎการยกเว้นและการค้นหา

ตัวอย่างการค้นหาและกฎการค้นหา LDAP

ตัวอย่างต่อไปนี้เป็นตัวอย่างทั่วไปและอาจใช้กับระบบของคุณไม่ได้ ตัวแบ่งบรรทัดมีไว้เพื่อการจัดรูปแบบหน้าเท่านั้น

เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด

การค้นหา LDAP พื้นฐาน

ออบเจ็กต์ทั้งหมด (อาจทำให้เกิดปัญหาในการโหลด)
objectClass=*
ออบเจ็กต์ผู้ใช้ทั้งหมดที่กำหนดว่าเป็น "บุคคล"
(&(objectClass=user)(objectCategory=person))
รายชื่ออีเมลเท่านั้น
(objectCategory=group)
โฟลเดอร์สาธารณะเท่านั้น
(objectCategory=publicfolder)
ออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีอีเมลหลักที่ขึ้นต้นด้วย "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
ออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีอีเมลหลักที่ลงท้ายด้วย "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
ออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีอีเมลหลักที่มีคำว่า "test"
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

การค้นหา LDAP ที่เจาะจง

ออบเจ็กต์ผู้ใช้และชื่อแทนทั้งหมดที่กำหนดว่าเป็น "บุคคล" และเป็นส่วนหนึ่งของกลุ่มหรือรายชื่อการแจกจ่าย
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
ออบเจ็กต์ผู้ใช้ทั้งหมดที่กำหนดว่าเป็น "บุคคล" ออบเจ็กต์กลุ่มทั้งหมด และรายชื่อติดต่อทั้งหมด ยกเว้นรายการที่มีค่ากำหนดเป็น "extensionAttribute9"
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
ผู้ใช้ทั้งหมดที่เป็นสมาชิกของกลุ่มที่ระบุโดย DN "CN=Group,OU=Users,DC=Domain,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
แสดงผู้ใช้ทั้งหมด
- สำหรับ Active Directory: (&(objectCategory=person)(objectClass=user))
- สำหรับ OpenLDAP: (objectClass=inetOrgPerson)
- สำหรับ HCL Domino: (objectClass=dominoPerson)
ออบเจ็กต์ทั้งหมดที่มีอีเมลกำหนดว่าเป็น "บุคคล" หรือ "กลุ่ม" (ในไดเรกทอรี LDAP ของ Domino)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
ผู้ใช้ที่ใช้งานอยู่ (ไม่ได้ปิดใช้งาน) ทั้งหมดที่มีอีเมลใน Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
ผู้ใช้ทั้งหมดที่เป็นสมาชิกของ Group_1 หรือ Group_2 ที่กำหนดด้วย Group DN
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
ผู้ใช้ทั้งหมดที่มีค่า extensionAttribute1 เป็น "Engineering" หรือ "Sales"
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
เรียกสมาชิกกลุ่มที่ซ้อนกันภายใต้กลุ่มที่ระบุใน Active Directory ซ้ำ
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
การค้นหาการเป็นสมาชิกกลุ่มด้วย ObjectGUID ใน Active Directory ซึ่งค่าเลขฐานสิบหกของแอตทริบิวต์ ObjectGUID ของกลุ่มคือ 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))

เพิ่มประสิทธิภาพกฎการค้นหา

คุณจะเพิ่มประสิทธิภาพกฎการค้นหาเพื่อปรับปรุงประสิทธิภาพการซิงค์ได้

ตัวอย่างที่ 1: แสดงผลผู้ใช้พร้อมด้วยอีเมล	กรณีการใช้งาน
กฎการค้นหาผู้ใช้: (&(objectClass=user)(objectCategory=person)(mail=*))	ใช้คำค้นหา mail= เพื่อเพิ่มประสิทธิภาพกฎแทนการใช้กฎพื้นฐานเพื่อแสดงผู้ใช้ทั้งหมด การซิงค์จะทำงานได้อย่างมีประสิทธิภาพมากขึ้นเนื่องจากเซิร์ฟเวอร์ LDAP และ GCDS ไม่ต้องประมวลผลรายการที่จะทิ้ง

ตัวอย่างที่ 1: แสดงผลผู้ใช้พร้อมด้วยอีเมล

กรณีการใช้งาน

กฎการค้นหาผู้ใช้: (&(objectClass=user)(objectCategory=person)(mail=*))

ใช้คำค้นหา mail= เพื่อเพิ่มประสิทธิภาพกฎแทนการใช้กฎพื้นฐานเพื่อแสดงผู้ใช้ทั้งหมด

การซิงค์จะทำงานได้อย่างมีประสิทธิภาพมากขึ้นเนื่องจากเซิร์ฟเวอร์ LDAP และ GCDS ไม่ต้องประมวลผลรายการที่จะทิ้ง

ตัวอย่างที่ 2: แสดงผลผู้ใช้ด้วยสตริงอีเมลที่ตรงกัน

กรณีการใช้งาน

กฎการค้นหาผู้ใช้: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*)))

ใช้กฎที่เพิ่มประสิทธิภาพซึ่งมีสตริงที่ตรงกันแทนที่จะใช้กฎพื้นฐานและกฎการยกเว้นเพื่อแสดงผลผู้ใช้ทั้งหมดซึ่งไม่มี sales ในอีเมล

เซิร์ฟเวอร์ LDAP และ GCDS ไม่ต้องประมวลผลรายการที่จะทิ้ง และคุณไม่จำเป็นต้องตั้งค่ากฎการยกเว้นหรือพิจารณาลำดับความสำคัญ

หัวข้อที่เกี่ยวข้อง

เตรียมไดเรกทอรี LDAP

_{Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง}

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร