「設定管理員」會逐步引導您建立及測試 Google Cloud Directory Sync (GCDS) 設定檔。您可以從「開始」選單開啟設定管理員。
步驟 1:預先設定好您的伺服器
在「一般設定」頁面中指定您想與 LDAP 伺服器進行同步處理的項目。請選取下列一或多個選項:
- 機構單位
- 使用者帳戶
- 群組
- 使用者個人資料
- 自訂架構
- 共用聯絡人
- 日曆資源
- 授權
請在「設定管理員」的「Google 網域設定」頁面中定義您的 Google 網域連線資訊。
連線設定分頁
- Primary domain name (主網域名稱) - 輸入 Google 帳戶的主網域名稱。該主網域必須已通過驗證。詳情請參閱驗證您的 Google Workspace網域。
- Replace domain names in LDAP email addresses (取代 LDAP 電子郵件地址的網域名稱) - 如果勾選這個方塊,GCDS 會變更 LDAP 電子郵件地址,以符合「Alternate email domain」(備用電子郵件網域)欄位中所列的網域。如果「Alternate email domain」(備用電子郵件網域) 為空白,GCDS 會變更 LDAP 電子郵件地址,以符合「Primary domain name」(主網域名稱) 欄位中的網域。
- Alternate email domain (備用電子郵件網域) - 為使用者指定備用網域 (例如測試網域)。否則,請將這個欄位留空。
- 使用 OAuth 進行授權 - 如要授權 GCDS:
- 依序點選 [立即授權] [登入]。
- 使用超級管理員的使用者名稱和密碼登入 Google 帳戶。
如果驗證成功,系統會顯示已收到驗證碼的確認訊息,此時 GCDS 便已獲得授權。
「Proxy Settings」(Proxy 設定) 分頁
請視需要在這裡配置網路 Proxy 設定。如果您的伺服器不需要 Proxy 就能連上網際網路,請略過這個分頁。
排除規則分頁
運用排除規則將資訊保存在不屬於 LDAP 系統的 Google 網域中 (例如只在 Google 帳戶中的使用者)。詳情請參閱「搭配使用排除規則與 GCDS」。
請在「設定管理員」的「LDAP Configuration」(LDAP 設定) 頁面中輸入您的 LDAP 伺服器資訊。
建議您在設定 LDAP 伺服器時使用安全 LDAP,以確保從 GCDS 到您 LDAP 伺服器的連線受到加密保護。
如果選取 OpenLDAP 或 Active Directory 做為您的 LDAP 伺服器,請按一下各個設定頁面底部的 [Use default] (使用預設值),使用預設參數設定同步處理作業,接著您就可以依照自身需求自訂這些數值。
完成 LDAP 驗證設定後,請按一下 [Test Connection] (測試連線),「設定管理員」接著會連線至您的 LDAP 伺服器,並嘗試登入以驗證您輸入的設定。
相關主題
步驟 2:決定要同步處理的內容
請在「一般設定」頁面中勾選您要同步處理的物件類型旁邊的方塊。
請在「設定管理員」的「機構單位」頁面中指定 LDAP 機構單位與 Google 帳戶中機構單位的對應方式。
點選各個分頁標籤,輸入下列資訊:
- LDAP Org Unit mappings (LDAP 機構單位對應) - 為 LDAP 伺服器中的頂層機構單位新增對應對象。GCDS 會將 LDAP 目錄伺服器的子機構以相同的名稱對應至 Google 機構單位。
注意:機構單位名稱中不得使用「/」字元,
如果您勾選 [Do not create or delete Google Organizations] (不要建立或刪除 Google 機構) 方塊,系統將不會從 LDAP 伺服器同步處理機構單位,但您仍然可以在使用者帳戶規則中為不同機構單位指定使用者。
如要進一步瞭解如何新增機構單位對應規則,請參閱機構單位對應。
- 搜尋規則 - 運用 LDAP 查詢語法指定要匯入和進行同步處理的機構單位。
您可以透過排除規則來修改搜尋規則。詳情請參閱機構單位搜尋規則。 - Exclusion Rules (排除規則) - 如果您的 LDAP 目錄伺服器中有與搜尋規則相符的機構單位,但您不想將這些機構單位新增到 Google 帳戶,就可以新增排除規則將其排除。進一步瞭解如何使用排除規則。
範例:LDAP 目錄伺服器上有劃分成兩個辦公室位置 (墨爾本和底特律) 的機構階層。Google 機構單位階層會採用同樣的階層。
第一條規則:
- (LDAP) DN:ou=melbourne,dc=ad,dc=example,dc=com
- (Google 網域) 名稱:Melbourne
第二條規則:
- (LDAP) DN:ou=detroit,dc=ad,dc=example,dc=com
- (Google 網域) 名稱:Detroit
請在「設定管理員」的「使用者帳戶」頁面中指定 GCDS 產生 LDAP 使用者清單的方式。點選各個分頁標籤,輸入下列資訊:
- User attributes (使用者屬性) - 指定 GCDS 在產生 LDAP 使用者清單時使用的屬性。
- Additional users attributes (其他使用者屬性) - 輸入選用的 LDAP 屬性 (例如密碼);您可以使用這些屬性匯入 Google 使用者的其他資訊。
- Search rules (搜尋規則) - 透過 LDAP 查詢語法指定要匯入和進行同步處理的使用者,您可以透過排除規則來修改搜尋規則。詳情請參閱使用 LDAP 搜尋規則同步處理資料。
- User exclusion rules (使用者排除規則) - 如果您的 LDAP 目錄伺服器中有與搜尋規則相符的使用者,但這些使用者不應新增到 Google 網域,您可以新增排除規則將其排除。詳情請參閱搭配使用排除規則與 GCDS。
相關主題
請在「設定管理員」的「Groups」(群組) 頁面上將 LDAP 伺服器的郵寄清單同步到 Google 網路論壇。
點選各個分頁標籤,輸入下列資訊:
- 搜尋規則 - 透過 LDAP 查詢語法指定要匯出和進行同步處理的群組。
您可以透過排除規則來修改搜尋規則。詳情請參閱群組搜尋規則。 - Exclusion rules (排除規則) - 如果您的 LDAP 伺服器中有與郵寄清單規則相符的項目,但不應被視為郵寄清單 (例如沒有外部電子郵件地址的內部郵寄清單),請在這裡列出這些項目。進一步瞭解如何使用排除規則。
建立群組時的各項預設權限如下:
- 誰可以檢視:所有群組成員。
- 清單:不要將這個群組列入清單。
- 誰可以檢視成員:只有管理員和擁有者可以查看群組成員清單。
- 誰可以加入:機構內所有人員皆可要求加入。
- 接受外部成員:不允許。
- 誰可以張貼訊息:網域內的所有人皆可張貼。
- 允許從網路轉貼:允許。
- 哪些人可以邀請新成員:僅限管理員和擁有者。
- 貼文審核:不審核。
- 貼文封存:停用封存功能。
- 允許外部電子郵件:不允許。
您無法變更群組的預設權限,但可以在建立群組後變更「群組」設定。
您使用的是網路論壇企業版嗎?
如果您的網域使用網路論壇企業版服務,使用者可以在您的網域中建立自己的群組。
這些群組是由您的使用者控管,而不是由管理員控管。進一步瞭解群組的建立方式。
GCDS 會自動偵測這些群組,且不會刪除或覆寫這些群組。如果您的 LDAP 目錄中有與這類群組的電子郵件地址相同的群組,GCDS 會套用非破壞性的變更 (例如更新名稱、說明以及新增成員),但不會刪除您已從 LDAP 目錄中刪除的成員。將使用者建立的群組變成管理控制台群組的做法只有一種,就是先將該群組刪除,然後透過管理控制台重新建立群組。
相關主題
請在「設定管理員」的「使用者個人資料」頁面中為使用者指定個人資料內容。使用者個人資料包含使用者的額外資訊,例如電話號碼以及職稱。
點選各個分頁標籤,輸入下列資訊:
- User profile attributes (使用者個人資料屬性) - 指定 GCDS 在產生 LDAP 使用者個人資料時使用的屬性。
- 搜尋規則 - 透過 LDAP 查詢語法指定要匯出和進行同步處理的使用者個人資料內容。
您可以透過排除規則來修改搜尋規則。 - Exclusion rules (排除規則) - 如果您的 LDAP 目錄伺服器中有與搜尋規則相符的使用者個人資料,但這些資料不應新增到 Google 帳戶,您可以新增排除規則將其排除。詳情請參閱使用排除規則。
相關主題
自訂結構定義可讓您將額外的使用者資訊從 LDAP 目錄同步到 Google 帳戶。您可以使用多種結構定義,藉此同步處理不同類型的使用者資料,例如「財務」這類特定機構單位。在「設定管理員」的「Custom Schemas」(自訂結構定義) 頁面中,您可以設定自訂結構定義,並決定要為哪些使用者套用。
如要瞭解自訂結構定義有何限制,請參閱 JSON 要求資訊。
步驟 1:決定要為哪些使用者套用自訂結構定義
您可以為下列使用者套用自訂架構:
- LDAP 搜尋規則和使用者帳戶設定中各項設定定義的所有使用者。
- 自訂 LDAP 搜尋與排除規則定義的另一組使用者。
如何為所有使用者帳戶套用最新自訂架構:
- 按一下 [Add Schema] (新增架構)。
- 選取 [Use rules defined in "User Accounts"] (使用「使用者帳戶」中定義的規則)。
如何為特定的一組使用者套用最新自訂架構:
- 按一下 [Add Schema] (新增架構)。
- 選取 [Define custom search rules] (定義自訂搜尋規則)。
- 在「Search Rules」(搜尋規則) 分頁按一下 [Add search rule] (新增搜尋規則),並輸入下列資訊:
- 範圍
- 規則
- 基準辨別名稱 (DN)
進一步瞭解如何搭配使用 LDAP 查詢與 GCDS。
- 按一下 [OK] (確定)。
- 在「Exclusion Rules」(排除規則) 分頁按一下 [Add Exclusion rule] (新增排除規則),並輸入下列資訊:
- 排除類型
- 比對類型
- 排除規則
進一步瞭解如何搭配使用排除規則與 GCDS。
- 點選「OK」(確定)。
如何套用新的自訂架構,但不同步處理使用者帳戶:
- 在設定管理員中前往「General Settings」(一般設定),然後開啟「User Accounts」(使用者帳戶)。
- 前往「User Accounts」(使用者帳戶) 並設定電子郵件地址屬性。
該屬性是用來識別要套用結構定義的 Google 使用者,因此即使您尚未建立使用者搜尋規則,仍須設定這個屬性。
- 前往「General Settings」(一般設定),然後關閉「User Accounts」(使用者帳戶)。
- 按一下「Save」(儲存)。
步驟 2:為使用者群組新增自訂結構定義
您可以使用預先定義的架構欄位,也可以自行建立架構欄位。
如何使用預先定義的架構欄位:
- 在 [Schema Name] (結構定義名稱) 欄位中輸入名稱,然後按一下 [Add Field] (新增欄位)。
- 從 [Schema Field] (結構定義欄位) 清單中選擇預先定義的結構定義欄位。
- 在 [Google Field Name] (Google 欄位名稱) 欄位中,確認預先填入的名稱是否正確。
- 確認 [已編入索引] 和 [讀取權限類型] 設定是否正確。
- 按一下 [確定]。
- (選用) 如要將任何其他預先定義的欄位加入結構定義中,請重複以上步驟。
- (選用) 如要新增任何自訂結構定義欄位,請按照下方的步驟操作。
- 按一下 [OK] (確定),即可在設定中新增自訂結構定義。
如何自行建立架構欄位:
- 在 [Schema Name] (結構定義名稱) 欄位中輸入名稱,然後按一下 [Add Field] (新增欄位)。
- 從 [Schema Field] (結構定義欄位) 清單中選取 [Custom] (自訂)。
- 在 [LDAP Field Name] (LDAP 欄位名稱) 欄位中,輸入要同步到 Google 帳戶的 LDAP 欄位名稱。
- 從 [LDAP Field Type] (LDAP 欄位類型) 清單中選取欄位類型。
- 在 [Google Field Name] (Google 欄位名稱) 欄位中,輸入要對應 LDAP 資料的目標 Google 欄位名稱。
- 從 [Google Field Type] (Google 欄位類型) 清單中選取欄位類型。
- (選用) 如要為資料建立索引,請勾選 [Indexed] (已編入索引) 方塊。
- 在 [讀取權限類型] 清單中,選取要如何控制在架構欄位中定義的欄位資料讀取權限。
- 按一下 [確定]。
- (選擇性) 如要新增其他架構欄位,請重複以上步驟。
- 按一下「確定」,即可在設定中新增自訂架構。
步驟 3:為二進制屬性選取編碼架構 (選用)
如果您使用二進制屬性 (例如 objectSid 或 objectGUID) 做為自訂欄位的值,系統會利用編碼架構將該屬性轉換成字串。
如要變更編碼架構,請按一下「Encoding scheme for binary attributes」(二進制屬性的編碼架構),然後選取所需選項:
- Base16 (又稱為十六進位)
- Base32
- Base32Hex
- Base64
- Base64URL (預設)
注意:系統會自動移除自訂結構定義和欄位名稱開頭或結尾的空白字元,但會保留中間的空白字元。
請在「設定管理員」的「Shared Contacts」(共用聯絡人) 頁面中指定共用聯絡人的同步處理設定。共用聯絡人等同於 Microsoft Active Directory 以及其他目錄伺服器中的全域通訊清單 (GAL),當中包含姓名、電子郵件地址、電話號碼和職稱等資訊。
重要事項:
- 請務必只同步處理網域外的共用聯絡人,因為同步處理網域內的聯絡人可能會導致 GAL 中出現重複項目。
- 共用聯絡人資料最多可能要經過 24 小時才會同步完成並正常顯示。
點選各個分頁標籤,輸入下列資訊:
- Shared contact attributes (共用聯絡人屬性) - 指定 GCDS 在產生 LDAP 共用聯絡人時使用的屬性。
- 搜尋規則 - 透過 LDAP 查詢語法指定要匯出和進行同步處理的聯絡人。
您可以透過排除規則來修改搜尋規則。 - Exclusion rules (排除規則) - 如果您的 LDAP 目錄伺服器中有與搜尋規則相符的聯絡人,但這些聯絡人不應新增到 Google 帳戶,您可以新增排除規則將其排除。詳情請參閱使用排除規則。
相關主題
請在「設定管理員」的「日曆資源」頁面中指定 GCDS 產生 LDAP 日曆資源的方式。
點選各個分頁標籤,輸入下列資訊:
- Calendar resource attribute (日曆資源屬性) - 指定 GCDS 在產生 LDAP 日曆資源時使用的屬性。
重要事項:如果日曆資源屬性中包含空格或 @ 符號、冒號 (:) 等字元,GCDS 就不會同步處理這個日曆資源屬性。如要進一步瞭解日曆資源命名的相關資訊,請參閱 Google 日曆的資源命名建議。
- 搜尋規則 - 運用 LDAP 查詢語法指定要匯入和進行同步處理的日曆資源。
您可以透過排除規則來修改搜尋規則。 - Exclusion rules (排除規則) - 如果您的 LDAP 目錄伺服器中有與搜尋規則相符的日曆資源,但這些日曆資源不應新增到 Google 帳戶,您可以新增排除規則將其排除。詳情請參閱使用排除規則。
相關主題
步驟 3:檢查同步處理設定
請在「設定管理員」的「Notifications」(通知) 頁面中指定關於您郵件伺服器的詳細資訊,以及同步處理完成後的電子郵件通知設定。
每次同步處理時,GCDS 會寄送通知給您在 [To addresses] (收件人地址) 欄位中指定的一或多個電子郵件地址。請在輸入所有地址後按一下 [新增]。
如要將測試郵件寄送至您列出的地址,請按一下 [測試通知]。
相關主題
請在「設定管理員」的「同步處理」頁面中按一下 [模擬同步處理],測試您的設定。
執行模擬同步處理並不會更新或變更您的 LDAP 伺服器資料或 Google 帳戶中的使用者帳戶,模擬作業僅用於檢查及測試設定。在模擬過程中,「設定管理員」會執行以下動作:
- 連結您的 Google 帳戶並連線至 LDAP 伺服器,然後產生使用者清單、群組清單以及共用聯絡人清單
- 產生 Google 與 LDAP 帳戶的差異清單
- 記錄所有事件
如果模擬作業順利完成,「設定管理員」會產生一份報告,顯示您對 Google 資料所做的變更。確認設定無誤之後,您就可以執行同步處理作業。
相關主題
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。