Вы можете контролировать, какие данные доступны для синхронизации с помощью инструмента Google Cloud Directory Sync (GCDS), используя правила исключения и запросы.
Различия между правилами исключения и запросами
- Правила исключения можно использовать, чтобы не синхронизировались данные каталога LDAP и/или аккаунта Google. Например, если вы в правиле исключения укажете аккаунт пользователя, профиль или группу, инструмент GCDS при синхронизации будет считать, что соответствующий объект не существует.
- Чтобы инструмент GCDS не удалил и не заблокировал аккаунты пользователей Google, вы можете указать их в запросе, чтобы исключить из синхронизации. Если в организации много пользователей, эффективнее использовать запрос, чем ожидать, пока GCDS загрузит все аккаунты пользователей, а затем с помощью правила исключения отфильтровывать те, которые не нужно синхронизировать.
Когда следует использовать правила, а когда запросы
| Тип данных | Рекомендуем использовать… | Если это невозможно, используйте… |
|---|---|---|
| Объекты на сервере каталога LDAP, которые вы не хотите добавлять в свой аккаунт Google | Правило поиска LDAP | Правило исключения LDAP |
| Пользователи в аккаунте Google, которых вы не хотите блокировать или удалять | Запрос для поиска пользователей | Если синтаксис запроса не поддерживает нужный вам тип фильтра, используйте правило исключения Google. |
| Объекты, которые не являются пользователями (например, группы, организационные подразделения или ресурсы календаря) и должны оставаться в аккаунте Google, но не существуют на сервере каталога LDAP | Правило исключения Google |
Как добавить запрос для поиска пользователей Google
- В Диспетчере конфигураций нажмите Google Domain Configuration (Конфигурация домена Google)
Exclusion Rules (Правила исключения).
- В поле Users Search Query (Запрос для поиска пользователей) добавьте правило, используя инструкции в статье Поиск пользователей.
Как использовать правила исключения
Развернуть раздел | Свернуть все и перейти к началу
Как добавить, удалить или изменить приоритет правилаЧтобы добавить правило:
- Откройте вкладку Exclusion Rules (Правила исключения) и нажмите Add Exclusion Rule (Добавить правило исключения).
- Настройте следующие параметры:
- Type (Тип). Выберите в меню тип данных, которые нужно исключить.
- Match type (Тип соответствия). Задайте фильтр по типу правила. В меню выберите один из следующих вариантов:
- Exact match (Точное соответствие). Данные должны полностью соответствовать выбранному правилу.
- Substring match (Соответствие подстроки). Данные должны включать в себя текст правила на уровне подстроки.
- Regular expression (Регулярное выражение). Данные должны полностью соответствовать выбранному регулярному выражению.
- Exclusion rule (Правило исключения). Укажите строку соответствия или регулярное выражение для правила.
- Нажмите ОК.
Правила исключения применяются в том порядке, в котором они указаны в таблице. Вот как его изменить:
- Откройте вкладку Exclusion Rules (Правила исключения) и выберите правило.
- Нажмите на стрелку вверх или вниз, чтобы повысить или понизить его приоритет.
Чтобы удалить правило:
- Откройте вкладку Exclusion Rules (Правила исключения) и выберите правило.
- Нажмите на значок X.
Если вы не хотите синхронизировать те или иные данные на сервере каталогов LDAP с доменом Google, создайте правило исключения LDAP, чтобы убрать из процесса соответствующие объекты.
Организационные подразделения
| Цель правила исключения | Предотвратить синхронизацию тех или иных организационных подразделений на сервере LDAP с доменом Google. |
| Тип исключения | Org Unit DN (Уникальное имя организационного подразделения)
Чтобы исключение работало, в основе правила должно быть указано это имя. |
| Пример | Несколько организационных подразделений более не актуальны, так как произошло объединение двух офисов компании. В уникальных именах этих подразделений присутствует слово stpaul.
|
Пользователи
| Цель правила исключения | Предотвратить синхронизацию тех или иных пользователей на сервере каталогов LDAP с доменом Google. |
| Тип исключения | Укажите данные LDAP, которые необходимо исключить.
|
| Пример | Добавьте отдельное правило для каждого пользователя, который отказался от использования домена Google и данные которого синхронизировать не нужно. Первое правило:
Второе правило:
|
Группы
| Цель правила исключения | Предотвратить синхронизацию тех или иных списков рассылки на сервере LDAP с доменом Google. |
| Тип исключения | Укажите данные LDAP, которые необходимо исключить.
|
| Пример | Несколько списков рассылки более не актуальны, так как произошло объединение двух офисов компании. Все неактуальные списки в адресах содержат фразу "stpaul".
|
Профиль пользователя
| Цель правила исключения | Предотвратить синхронизацию тех или иных профилей пользователей на сервере LDAP с доменом Google. |
| Пример | Принтеры зарегистрированы в системе как пользователи LDAP и соответствуют запросу LDAP. В название каждого принтера входит слово "printer", и правило будет искать эту подстроку.
|
Общие контакты
| Цель правила исключения | Предотвратить синхронизацию тех или иных контактов на сервере каталогов LDAP с доменом Google. |
| Пример | На LDAP-сервере зарегистрировано примерно 500 тестовых пользователей для проведения внутреннего тестирования. Все эти пользователи принадлежат к одному домену и имеют имена, созданные по шаблону: internal-testX, где X – это число.
|
Ресурсы календаря
| Цель правила исключения | Предотвратить синхронизацию тех или иных ресурсов календаря на сервере LDAP с доменом Google. |
| Типы исключения | Укажите данные LDAP, которые необходимо исключить.
Чтобы исключить и идентификатор ресурса, и отображаемое название, создайте два правила. |
| Пример | Принтеры зарегистрированы в системе как ресурсы LDAP и соответствуют запросу LDAP. В название каждого принтера входит слово "printer".
|
В вашем аккаунте Google могут быть объекты, например пользователи или группы, которые вы хотите оставить только в нем, несмотря на то что они отсутствуют в домене LDAP. Используйте правило для исключения объектов в домене Google, чтобы объекты, к которым оно применяется, игнорировались при синхронизации.
- Откройте вкладку Google Domain configuration (Конфигурация домена Google).
- На вкладке Exclusion Rules (Правила исключения) нажмите Add Exclusion Rule (Добавить правило исключения).
- В списке Type (Тип) выберите следующее:
- Organization Complete Path (Полный путь к организации). Исключает организации и их пользователей.
- User Email Address (Адрес электронной почты пользователя). Исключает пользователей.
- Alias Email Address (Адрес электронной почты псевдонима). Исключает псевдонимы пользователей.
- Group Email Address (Адрес электронной почты группы). Исключает группы.
- Group Member Email Address (Адрес электронной почты участника группы). Исключает участников группы.
- User Profile Primary Sync Key (Основной ключ синхронизации профиля пользователя). Исключает профили пользователей по ключу синхронизации.
- Shared Contact Primary Sync Key (Основной ключ синхронизации общего контакта). Исключает общие контакты по ключу синхронизации.
- Calendar Resource ID (Идентификатор ресурса календаря). Исключает ресурсы по идентификатору.
- Calendar Resource Display Name (Отображаемое название ресурса календаря). Исключает ресурсы по названию.
- Calendar Resource Type (Тип ресурса календаря). Исключает ресурсы по категории.
- В поле Match Type (Тип соответствия) выберите:
- Exact Match (Точное соответствие) – полное совпадение с ключевым словом.
- Substring Match (Соответствие подстроки) – частичное совпадение с ключевым словом.
- Regular Expression (Регулярное выражение) – поиск совпадений с помощью регулярных выражений.
- Нажмите ОК.
Если в ваших доменах Google и LDAP есть объекты, которые вы не хотите обновлять в аккаунте Google, используйте два правила исключения:
- одно для исключения объектов в аккаунте Google;
- другое для исключения объектов в домене LDAP.
При синхронизации такие объекты в аккаунте Google будут игнорироваться.
Например, такой пользовательский атрибут, как организационное подразделение, отличается в аккаунте Google и домене LDAP, и вам необходимо сохранить его. Примените два правила исключения, чтобы при синхронизации оба атрибута игнорировались. Подробнее…
Примеры правил исключения
Развернуть раздел | Свернуть все и перейти к началу
Правило исключения для пользователей LDAPВ этом примере принтеры указаны как пользователи LDAP и соответствуют запросу LDAP. Предположим, вы хотите убедиться, что эти принтеры не будут идентифицированы как пользователи Google. В название каждого принтера в каталоге LDAP входит слово "printer", и правило будет искать эту подстроку.
- Type (Тип): Primary address (Основной адрес).
- Match type (Тип соответствия): Substring Match (Соответствие подстроки).
- Exclusion Rule (Правило исключения): printer.
Некоторые переговорные комнаты перепрофилированы в офисы. Предположим, вы хотите убедиться, что они не будут импортированы как ресурсы календаря. Добавьте отдельные правила для каждой из переговорных комнат.
Первое правило
- Type (Тип): Calendar Resource Display Name (Отображаемое название ресурса Календаря).
- Match type (Тип соответствия): Substring Match (Соответствие подстроки) или Exact Match (Точное соответствие).
- Exclusion Rule (Правило исключения): ConferenceRoom-BlueSkyMontana.
Второе правило
- Type (Тип): Calendar Resource Display Name (Отображаемое название ресурса Календаря).
- Match Type (Тип соответствия): Substring Match (Соответствие подстроки) или Exact Match (Точное соответствие).
- Exclusion Rule (Правило исключения): ConferenceRoom-BigPlains.
На LDAP-сервере существует около 500 тестовых списков рассылки, однако все они используются только для внутренней проверки загрузок. Имена всех пользователей, участвующих в проверке, принадлежат одному домену и заданы по шаблону internal-testX, где X – это число.
- Type (Тип): Group Address (Адрес группы).
- Match type (Тип соответствия): Regular Expression (Регулярное выражение).
- Exclusion Rule (Правило исключения): internal-test[0-9]*@example.com.
Если пользователь не указан на вашем сервере каталога LDAP, GCDS удалит его из списка пользователей Google и из Google Групп. Для аккаунтов пользователей и групп, которых нет в каталоге LDAP, используйте правило исключения, чтобы они оставались в вашем аккаунте Google Workspace или Cloud Identity. Аккаунты администратора Google исключаются по умолчанию, поэтому для них правило исключения создавать не нужно.
Вариант 1. Добавьте пользователей в организационное подразделение
Переместите аккаунты пользователей в отдельное организационное подразделение и создайте для него правило исключения в разделе Google domain configuration (Конфигурация домена Google) Диспетчера конфигураций.
- Type (Тип): Organization Complete Path (Полный путь к организационному подразделению).
- Match type (Тип соответствия): Exact Match (Точное соответствие).
- Exclusion Rule (Правило исключения): /OUPath/MyExcludedOU.
Вариант 2. Используйте адрес электронной почты
Создайте правило исключения на основе адреса электронной почты в разделе Google domain configuration (Конфигурация домена Google) Диспетчера конфигураций.
- Type (Тип): User Email Address (Адрес электронной почты пользователя) или Group address (Адрес группы).
- Match type (Тип соответствия): Exact Match (Точное соответствие).
- Exclusion Rule (Правило исключения): polzovatel@example.com.
Вариант 3. Исключите все прочие организационные подразделения верхнего уровня
Если вы хотите синхронизировать данные пользователей из каталога LDAP, входящих в одно организационное подразделение верхнего уровня и его дочерние подразделения, нужно создать правило исключения для всех остальных подразделений верхнего уровня. Приведенное ниже регулярное выражение позволяет исключить все организационные подразделения верхнего уровня, кроме того, которое начинается с MyIncludedOU. При использовании регулярных выражений не ставьте в начале косую черту.
- Type (Тип): Organization Complete Path (Полный путь к организационному подразделению).
- Match type (Тип соответствия): Regular Expression (Регулярное выражение).
- Exclusion Rule (Правило исключения): ^((?!MyIncludedOU).)*$
Вариант 4. Используйте основной ключ синхронизации профиля пользователя
Этот вариант можно использовать, чтобы исключить из синхронизации отдельные адреса (пользователей, групп или участников). Адрес исключенного участника не будет удален из группы в домене Google.
- Type (Тип): User profile primary sync key (Основной ключ синхронизации профиля пользователя).
- Match type (Тип соответствия): Exact Match (Точное соответствие).
- Exclusion Rule (Правило исключения): luka@solarmora.com
Вы можете исключить из синхронизации отдельные профили пользователей.
- Type (Тип): Sync key (Ключ синхронизации).
- Match type (Тип соответствия): Exact Match (Точное соответствие).
- Exclusion Rule (Правило исключения): luka@solarmora.com
Если доменное имя в адресах электронной почты LDAP (пользователей или групп) нужно заменить выбранным доменным именем, не указывайте домен @solarmora.com в правиле исключения. Используйте luka, а не luka@solarmora.com.
Статьи по теме
- Как настроить синхронизацию в Диспетчере конфигураций
- Ограничения в GCDS
- Использование правил поиска LDAP для синхронизации данных
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.