Vous pouvez contrôler les données que Google Cloud Directory Sync (GCDS) peut examiner et mettre à jour avec des règles d'exclusion ou des requêtes.
Différences entre les règles d'exclusion et les requêtes
- Les règles d'exclusion vous permettent d'exclure de la synchronisation les données de l'annuaire LDAP, les données des comptes Google ou les deux à la fois. Par exemple, si vous utilisez une règle d'exclusion pour exclure un utilisateur, un profil ou un groupe, GCDS effectue la synchronisation comme s'il n'existait pas.
- Pour empêcher GCDS de supprimer ou de suspendre des comptes utilisateur, vous pouvez utiliser une requête incluant les données des comptes Google afin d'exclure les utilisateurs Google d'une synchronisation. Si vous avez de nombreux utilisateurs, une requête est plus efficace que le chargement de tous les utilisateurs par GCDS, puis l'utilisation d'une règle d'exclusion pour filtrer ceux que vous ne souhaitez pas synchroniser.
Cas d'utilisation des règles et des requêtes
Type de données | Envisagez d'utiliser... | Si ce n'est pas possible, utilisez... |
---|---|---|
Entités de votre serveur d'annuaire LDAP que vous ne souhaitez pas voir figurer dans votre compte Google | Règle de recherche LDAP | Règle d'exclusion LDAP |
Utilisateurs de votre compte Google que vous ne souhaitez pas suspendre ni supprimer | Requête de recherche d'utilisateurs | Si la syntaxe de la requête n'est pas compatible avec le type de filtre dont vous avez besoin, utilisez une règle d'exclusion Google. |
Entités autres que des utilisateurs (groupes, unités organisationnelles ou ressources d'agenda, par exemple) qui doivent rester dans votre compte Google, mais qui n'existent pas sur votre serveur d'annuaire LDAP | Règle d'exclusion Google |
Ajouter une requête de recherche d'utilisateurs Google
- Dans le gestionnaire de configuration, cliquez sur Google Domain Configuration (Configuration du domaine Google)Exclusion rules (Règles d'exclusion).
- Dans le champ Users Search Query (Requête de recherche d'utilisateurs), ajoutez la règle en suivant les consignes de la page Rechercher des utilisateurs.
Gestion des règles d'exclusion
Ouvrir la section | Tout réduire et revenir en haut de la page
Ajouter ou supprimer une règle, ou modifier son niveau de prioritéPour ajouter une règle :
- Dans l'onglet "Exclusion Rules" (Règles d'exclusion), cliquez sur Add Exclusion Rule (Ajouter une règle d'exclusion).
- Renseignez les options suivantes :
- Type : dans le menu, spécifiez le type de données à exclure.
- Match type (Type de correspondance) : spécifiez le type de règle à utiliser pour le filtre. Dans le menu, sélectionnez l'une des options suivantes :
- Exact match (Correspondance exacte) : les données doivent correspondre exactement à la règle.
- Substring match (Correspondance de sous-chaîne) : les données doivent contenir le texte de la règle en tant que sous-chaîne.
- Regular expression (Expression régulière) : les données doivent correspondre à l'expression régulière spécifiée.
- Exclusion rule (Règle d'exclusion) : saisissez la chaîne à rechercher ou l'expression régulière de la règle.
- Cliquez sur OK.
Les règles s'appliquent dans l'ordre dans lequel elles apparaissent dans le tableau. Pour changer cet ordre :
- Dans l'onglet Exclusion Rules (Règles d'exclusion), cliquez sur la règle souhaitée.
- Cliquez sur la flèche vers le haut ou vers le bas pour augmenter ou diminuer le niveau de priorité.
Pour supprimer une règle :
- Dans l'onglet Exclusion Rules (Règles d'exclusion), cliquez sur la règle souhaitée.
- Cliquez sur X.
Si des données de votre serveur d'annuaire LDAP correspondent à vos règles de recherche mais ne doivent pas être ajoutées à un domaine Google, utilisez une règle d'exclusion LDAP de manière à exclure ces données de la synchronisation.
Unités organisationnelles
Objectif de la règle d'exclusion | Certaines unités organisationnelles de votre serveur LDAP correspondent à vos règles de recherche, mais vous ne souhaitez pas qu'elles soient ajoutées à un domaine Google. |
Type d'exclusion | "Org Unit DN" (nom distinctif de l'unité organisationnelle)
Basez la règle d'exclusion sur le nom distinctif de l'unité organisationnelle à exclure. |
Exemple | Plusieurs unités organisationnelles ne sont plus utilisées, car deux bureaux ont été réunis. Le nom distinctif de toutes les unités organisationnelles abandonnées comprend les caractères "stpaul".
|
Comptes utilisateur
Objectif de la règle d'exclusion | Des comptes utilisateur de votre serveur d'annuaire LDAP correspondent à vos règles de recherche, mais vous ne souhaitez pas qu'ils soient ajoutés à un domaine Google. |
Type d'exclusion | Spécifiez les données LDAP à exclure.
|
Exemple | Ajoutez une règle distincte pour chaque utilisateur s'étant désinscrit du domaine Google et dont le compte ne doit pas être synchronisé. Première règle :
Deuxième règle :
|
Groupes
Objectif de la règle d'exclusion | Certaines entrées de votre serveur LDAP correspondent à une règle de liste de diffusion, mais vous ne souhaitez pas utiliser de liste de diffusion sur un domaine Google. |
Type d'exclusion | Spécifiez les données LDAP à exclure.
|
Exemple | Des listes de diffusion ne sont plus utilisées, car deux bureaux adjacents ont été réunis. L'adresse des listes abandonnées comprend les caractères "stpaul".
|
Profil utilisateur
Objectif de la règle d'exclusion | Votre serveur LDAP contient des informations de profil utilisateur que vous ne souhaitez pas synchroniser avec un domaine Google. |
Exemple | Les imprimantes sont répertoriées en tant que comptes utilisateur LDAP et correspondent à la requête LDAP. Le nom de toutes les imprimantes comprend le mot "imprimante". La règle effectue donc une recherche sur cette sous-chaîne.
|
Contacts partagés
Objectif de la règle d'exclusion | Vous avez des contacts sur votre serveur d'annuaire LDAP qui correspondent à vos règles de recherche, mais vous ne souhaitez pas qu'ils soient ajoutés à un domaine Google. |
Exemple | Environ 500 comptes utilisateur test sont répertoriés sur le serveur LDAP, mais sont uniquement destinés à des tests internes. Le nom des comptes utilisateur test suit toujours le même format : test-interneX, où X correspond à un nombre. Tous les comptes utilisateur appartiennent au même domaine.
|
Ressources d'agenda
Objectif de la règle d'exclusion | Certains éléments de votre serveur LDAP correspondent à vos règles de recherche de ressources d'agenda, mais vous ne souhaitez pas qu'ils soient ajoutés à un domaine Google en tant que ressources d'agenda. |
Types d'exclusion | Spécifiez les données LDAP à exclure.
Pour exclure des ID de ressource et des noms à afficher, créez deux règles d'exclusion. |
Exemple | Les imprimantes sont répertoriées en tant que ressources LDAP et correspondent à la requête LDAP. Le nom de toutes les imprimantes comprend le mot "imprimante".
|
Il est possible que certaines entités de votre compte Google, telles que des utilisateurs ou des groupes, n'existent pas dans votre domaine LDAP, mais que vous souhaitiez les conserver dans votre compte Google. Utilisez une règle d'exclusion de domaine Google pour que, lors de la synchronisation, les entités Google restent :
- Cliquez sur l'onglet Google Domain configuration (Configuration du domaine Google).
- Dans l'onglet "Exclusion Rules" (Règles d'exclusion), cliquez sur Add Exclusion Rule (Ajouter une règle d'exclusion).
- Sous Type, sélectionnez dans la liste l'un des éléments suivants :
- Organization Complete Path (Chemin complet d'unité organisationnelle) pour exclure des organisations et leurs utilisateurs
- User Email Address (Adresse e-mail du compte utilisateur) pour exclure des utilisateurs
- Alias Email Address (Adresse e-mail de l'alias) pour exclure des alias utilisateur
- Group Email Address (Adresse e-mail de groupe) pour exclure des groupes
- Group Member Email Address (Adresse e-mail du membre du groupe) pour exclure des membres de groupes
- User Profile Primary Sync Key (Clé de synchronisation principale de profil utilisateur) pour exclure des profils utilisateur par clé de synchronisation
- Shared Contact Primary Sync Key (Clé de synchronisation principale de contact partagé) pour exclure les contacts partagés par clé de synchronisation
- Calendar Resource ID (ID de ressource d'agenda) pour exclure des ressources par ID
- Calendar Resource Display Name (Nom à afficher de la ressource d'agenda) pour exclure par nom
- Calendar Resource Type (Type de ressource d'agenda) pour exclure par catégorie
- Dans Match Type (Type de correspondance), sélectionnez :
- Exact Match (Correspondance exacte) pour établir une correspondance avec un mot clé précis
- Substring Match (Correspondance de sous-chaîne) pour établir une correspondance partielle avec un mot clé
- Regular Expression (Expression régulière) pour établir une correspondance avec le mot clé à l'aide d'une expression régulière
- Cliquez sur OK.
Si vous souhaitez que les entités de vos domaines Google et LDAP ne soient pas mises à jour dans votre compte Google, utilisez deux règles d'exclusion :
- Une règle d'exclusion de domaine Google permettant d'exclure les entités du compte Google
- Règle d'exclusion de domaine LDAP excluant les entités du domaine LDAP
Lorsque vous effectuez une synchronisation, les entités ne sont pas synchronisées et restent inchangées dans le compte Google.
Par exemple, vous devrez peut-être conserver dans votre compte Google un attribut utilisateur, tel qu'une unité organisationnelle, qui soit différent de l'attribut utilisateur du domaine LDAP. L'utilisation de deux règles d'exclusion vous permet de vous assurer que les attributs ne changent pas lors d'une synchronisation. Pour en savoir plus, consultez l'article Conserver des attributs utilisateur différents lors de la synchronisation.
Exemples de règles d'exclusion
Ouvrir la section | Tout réduire et revenir en haut de la page
Règle d'exclusion LDAP pour un compte utilisateurDans cet exemple, les imprimantes sont répertoriées en tant que comptes utilisateur LDAP et correspondent à la requête LDAP. Vous devez toutefois vous assurer que les imprimantes ne sont pas identifiées en tant que comptes utilisateur Google. Toutes les imprimantes comportent le mot "imprimante" dans le nom du répertoire LDAP. La règle effectue donc une recherche sur cette sous-chaîne.
- Type : adresse principale
- Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne)
- Règle d'exclusion : imprimante
Certaines salles de conférence sont transformées en bureaux. Vous voulez vous assurer qu'elles ne sont pas importées en tant que ressources d'agenda. Ajoutez une règle pour chaque salle de conférence.
Première règle :
- Type : nom à afficher de la ressource d'agenda
- Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne) ou "Exact Match" (Correspondance exacte)
- Règle d'exclusion : SalledeConference-MontBlanc
Deuxième règle :
- Type : nom à afficher de la ressource d'agenda
- Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne) ou "Exact Match" (Correspondance exacte)
- Règle d'exclusion : SalledeConference-GrandesPlaines
Le serveur LDAP compte environ 500 listes de diffusion de test, consacrées uniquement à des tests de charge internes. Tous les comptes utilisateur test appartiennent au même domaine, et le nom de chaque compte suit le même schéma, à savoir test-interneX, où X correspond à un chiffre.
- Type : Adresse du groupe
- Match type (Type de correspondance) : "Regular Expression" (Expression régulière)
- Exclusion Rule (Règle d'exclusion) : test-interne[0-9]*@example.com
Si un utilisateur ne figure pas dans votre serveur d'annuaire LDAP, GCDS le supprime de votre liste d'utilisateurs Google et de Google Groupes. Pour les comptes utilisateur et les groupes qui n'existent pas dans votre annuaire LDAP, utilisez une règle d'exclusion afin que les utilisateurs et les groupes restent dans votre compte Google Workspace ou Cloud Identity. Les comptes administrateur Google sont exclus par défaut. Vous n'avez donc pas besoin de créer de règle d'exclusion pour ces comptes.
Option 1 : utiliser une unité organisationnelle pour fidéliser les utilisateurs
Déplacez les comptes utilisateur vers une unité organisationnelle dédiée et créez une règle d'exclusion pour elle dans les paramètres Google domain configuration (Configuration du domaine Google) du gestionnaire de configuration.
- Type : Organization Complete Path (Chemin complet de l'unité organisationnelle)
- Match type (Type de correspondance) : "Exact Match" (Correspondance exacte)
- Exclusion Rule (Règle d'exclusion) : / OUPath/MyExcludeOU
Option 2 : utiliser une adresse e-mail
Créez une règle d'exclusion correspondant à une adresse e-mail dans les paramètres Google domain configuration (Configuration du domaine Google) du gestionnaire de configuration.
- Type : adresse e-mail d'utilisateur ou adresse de groupe
- Match type (Type de correspondance) : "Exact Match" (Correspondance exacte)
- Exclusion Rule (Règle d'exclusion) : utilisateur@example.com
Option 3 : exclure toutes les autres organisations
Si vous souhaitez synchroniser vos utilisateurs LDAP dans une unité organisationnelle racine et ses sous-organisations listées ci-dessous, vous devez exclure toutes les autres unités organisationnelles racines. L'expression régulière suivante exclut toutes les unités organisationnelles racines autres que celles commençant par MyIncludedOU. N'incluez pas de barre oblique au début si vous utilisez des expressions régulières.
- Type : Organization Complete Path (Chemin complet de l'unité organisationnelle)
- Match type (Type de correspondance) : "Regular Expression" (Expression régulière)
- Exclusion Rule (Règle d'exclusion) : ^((?!MyIncludedOU).)*$
Option 4 : clé de synchronisation principale du profil utilisateur
Cette clé vous permet d'indiquer l'adresse e-mail d'un utilisateur, d'un groupe ou d'un membre à exclure d'une synchronisation. Exclure une adresse de membre ne la supprime pas du groupe dans le domaine Google.
- Type : "User profile primary sync key" (Clé de synchronisation principale du profil utilisateur)
- Match type (Type de correspondance) : "Exact Match" (Correspondance exacte)
- Exclusion Rule (Règle d'exclusion) : luka@solarmora.com
Dans cet exemple, vous pouvez spécifier les profils utilisateur à exclure d'une synchronisation.
- Type : "Sync Key" (Clé de synchronisation)
- Match type (Type de correspondance) : "Exact Match" (Correspondance exacte)
- Exclusion Rule (Règle d'exclusion) : luka@solarmora.com
Si vous choisissez de remplacer le nom de domaine des adresses e-mail LDAP (d'utilisateurs et de groupes) par @solarmora.com, ne spécifiez pas ce nom de domaine dans la règle d'exclusion. Indiquez luka au lieu de luka@solarmora.com.
Articles associés
- Configurer la synchronisation avec le gestionnaire de configuration
- Utiliser des limites avec GCDS
- Utiliser des règles de recherche LDAP pour synchroniser des données
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.