配置管理器会指导您创建和测试 Google Cloud Directory Sync (GCDS) 的配置文件。您可通过开始菜单打开配置管理器。
第 1 步:准备服务器
在基本设置页面,指定您要从 LDAP 服务器同步的内容。选择一个或多个要同步的内容:
- 单位部门
- 用户帐号
- 群组
- 用户个人资料
- 自定义架构
- 共享的联系人
- 日历资源
- 许可
在配置管理器的 Google 网域配置页面,指定您的 Google 网域连接信息。
“连接设置”标签页
- 主域名 - 输入您 Google 帐号的主域名。请确保您已验证主域名。有关详情,请参阅验证用于 Google Workspace 的域名。
- 替换 LDAP 电子邮件地址中的域名:如果您勾选此复选框,GCDS 会更改 LDAP 电子邮件地址,以匹配备用电子邮件域名字段中列出的域名。如果备用电子邮件域名为空,则 GCDS 会更改 LDAP 电子邮件地址以匹配主域名字段中的域名。
- 备用电子邮件域名 - 为用户指定备用域名(例如测试域名)。否则,请将此字段留空。
- 使用 OAuth 授予访问权限 - 要向 GCDS 授予访问权限,请执行以下操作:
- 点击立即授权
登录。
- 使用超级用户用户名和密码登录 Google 帐号。
如果成功通过身份验证,系统会显示消息,确认收到验证码。至此,GCDS 授权成功。
- 点击立即授权
“代理设置”标签页
在此处提供任何必要的网络代理设置。如果您的服务器不需要使用代理连接到互联网,请跳过此步骤。
“排除规则”标签页
使用排除规则保留位于您的 Google 网域,但不在您的 LDAP 系统中的信息(例如仅在 Google 帐号中的用户)。有关详情,请参阅结合使用排除规则和 GCDS。
在配置管理器的 LDAP 配置页面,输入您的 LDAP 服务器信息。
在配置 LDAP 服务器时,建议使用“安全 LDAP”以确保 GCDS 到 LDAP 服务器的连接受到加密保护。
如果您选择 OpenLDAP 或 Active Directory 作为您的 LDAP 服务器,请点击每个配置页面底部的使用默认值,以使用默认参数设置同步。然后,您就可以根据需要进行自定义设置。
配置完 LDAP 身份验证设置后,请点击测试连接。配置管理器会连接到您的 LDAP 服务器,尝试登录并验证您输入的设置。
相关主题
第 2 步:决定要同步的内容
在常规设置页面,选中您要同步的对象类型旁边的复选框。
在配置管理器的单位部门页面,指定 LDAP 单位部门与您的 Google 帐号中单位部门对应的方式。
点击相应标签页并输入以下信息:
- LDAP 单位部门映射 - 为您的 LDAP 服务器中的顶级单位部门添加映射。GCDS 会将您的 LDAP 目录服务器中的下级单位部门映射到具有相同名称的 Google 单位部门。
注意:组织部门名称中不允许使用“/”字符。
如果您选中请勿创建或删除 Google 单位复选框,单位部门将不会从 LDAP 服务器同步。不过,您仍然可以在用户帐号规则中指定要将哪些用户放入哪些单位部门。
要详细了解如何添加单位部门映射规则,请参阅单位部门映射。
- 搜索规则 - 使用 LDAP 查询符号指定要导入和同步的单位部门。
您可以使用排除规则修改搜索规则。有关详情,请参阅单位部门搜索规则。 - 排除规则:如果 LDAP 目录服务器中有单位部门与您的搜索规则匹配,但您不希望将其添加到 Google 帐号,则可以添加排除规则。详细了解如何使用排除规则。
示例:一个 LDAP 目录服务器具有划分为两个办公地点(墨尔本和底特律)的单位层次结构。Google 单位部门层次结构将匹配相同的层次结构:
第一条规则:
- (LDAP) DN: ou=melbourne,dc=ad,dc=example,dc=com
- (Google domain) Name: Melbourne
第二条规则:
- (LDAP) DN: ou=detroit,dc=ad,dc=example,dc=com
- (Google domain) Name: Detroit
在配置管理器的用户帐号页面,指定 GCDS 生成 LDAP 用户列表的方式。点击相应标签页并输入以下信息:
- 用户属性:指定 GCDS 生成 LDAP 用户列表时将使用的属性。
- 其他用户属性:输入您可以用来导入 Google 用户其他信息的可选 LDAP 属性(例如密码)。
- 搜索规则:使用 LDAP 查询符号指定要导入和同步的用户。您可以使用排除规则修改搜索规则。有关详情,请参阅使用 LDAP 搜索规则同步数据。
- 用户排除规则:如果 LDAP 目录服务器中有用户与您的搜索规则匹配,但您不希望将其添加到 Google 帐号中,则可以添加排除规则。有关详情,请参阅结合使用排除规则和 GCDS。
相关主题
在配置管理器的群组页面上,将 LDAP 服务器上的邮寄名单同步到 Google 网上论坛群组。
点击相应标签页并输入以下信息:
- 搜索规则 - 使用 LDAP 查询符号指定要导入和同步的群组。
您可以使用排除规则修改搜索规则。有关详情,请参阅群组搜索规则。 - 排除规则 - 如果您的 LDAP 服务器中有条目与邮寄名单规则匹配,但不应被视作邮寄名单(例如没有外部电子邮件地址的内部邮寄名单),请在此处列出。详细了解如何使用排除规则。
创建群组时的各项默认权限设置如下:
- 谁可以查看群组:群组内的所有成员。
- 是否列出:不列出此群组。
- 谁可以查看成员:仅管理员和所有者可查看群组的成员列表。
- 谁可以加入群组:单位内的所有人都可以申请加入。
- 是否允许外部成员访问群组:不允许。
- 谁可以向群组发送邮件:网域内的所有人。
- 是否允许发布网络消息:允许。
- 谁可以邀请新成员:仅限管理员和所有者。
- 邮件审核:不审核。
- 邮件归档:归档功能已关闭。
- 是否允许接收外部电子邮件:不允许。
群组的默认权限无法更改,但您可以在创建群组后修改其设置。
您使用的是网上论坛企业版吗?
如果您的网域使用的是网上论坛企业版服务,则用户可以在您的网域中创建自己的网上论坛群组。
这种情况下,群组的控制权将属于用户,而不是管理员。详细了解创建群组的方法。
GCDS 会自动检测这些群组,不会将其删除或覆盖。如果您的 LDAP 目录中存在电子邮件地址相同的群组,GCDS 会应用无损更改(例如更新名称、说明以及添加新成员),但不会删除您已从 LDAP 目录中删除的成员。要将由用户创建的网上论坛群组更改为管理控制台群组,唯一的方法就是先将其删除,然后通过管理控制台重新创建。
相关主题
借助自定义架构,您可以将额外的用户信息从 LDAP 目录同步到您的 Google 帐号。您可以使用多个架构以同步不同类型的用户数据,例如特定单位部门(如财务)。您可以设置自定义架构,并确定要在配置管理器的自定义架构页面将这些架构应用到哪些用户。
要了解有关自定义架构的限制,请阅读 JSON 请求信息。
第 1 步:确定要将自定义架构应用到哪些用户
您可以将自定义架构应用于以下用户:
- 由 LDAP 搜索规则和用户帐号配置中的设置定义的所有用户。
- 由自定义 LDAP 搜索和排除规则定义的另外一组用户。
要将新的自定义架构应用到所有用户帐号,请按以下步骤操作:
- 点击添加架构。
- 选择使用“用户帐号”中定义的规则。
要将新的自定义架构应用到特定的一组用户,请按以下步骤操作:
- 点击添加架构。
- 选择定义自定义搜索规则。
- 在搜索规则标签页中,点击添加搜索规则,然后输入以下信息:
- 范围
- 规则
- 基本标识名 (DN)
详细了解如何搭配使用 LDAP 查询和 GCDS。
- 点击确定。
- 在排除规则标签页中,点击添加排除规则,然后输入以下信息:
- 排除类型
- 匹配类型
- 排除规则
详细了解如何搭配使用排除规则和 GCDS。
- 点击确定。
要在不同步用户帐号的情况下应用新的自定义架构,请执行以下操作:
- 在配置管理器中,转到常规设置,然后开启用户帐号。
- 转到用户帐号,并设置电子邮件地址属性。
此属性用于标识应应用架构的 Google 用户,因此即使您未创建任何用户搜索规则,也必须填写此属性。
- 转到“常规设置”,然后关闭用户帐号。
- 点击保存。
第 2 步:将自定义架构添加到用户群组
您可以针对架构使用预定义字段或创建您自己的架构字段。
要使用预定义的架构字段,请按以下步骤操作:
- 在架构名称字段,输入名称,然后点击添加字段。
- 在架构字段列表中,选择预定义的架构字段。
- 在 Google 字段名称字段,确认预填充的名称是正确的。
- 确认编入索引和读取访问权限类型设置是正确的。
- 点击确定。
- (可选)为任何您要添加到架构中的额外预定义字段重复这些步骤。
- (可选)添加任何自定义架构字段(参见以下步骤)。
- 点击确定即可将自定义架构添加到您的配置。
要创建您自己的架构字段,请按以下步骤操作:
- 在架构名称字段,输入名称,然后点击添加字段。
- 在架构字段列表中,选择自定义。
- 在 LDAP 字段名称字段,输入您要同步到 Google 帐号的 LDAP 字段名称。
- 在 LDAP 字段类型列表中,选择字段类型。
- 在 LDAP 字段名称字段,输入您要映射 LDAP 数据的目标 Google 字段名称。
- 在 Google 字段类型列表中,选择字段类型。
- (可选)要将数据编入索引,请勾选编入索引复选框。
- 在读取访问权限类型列表中,选择控制架构字段中定义的读取字段数据访问权限的方式。
- 点击确定。
- (可选)要添加额外的架构字段,请重复上述步骤。
- 点击确定即可将自定义架构添加到您的配置。
第 3 步:为二进制属性选择编码方案(可选)
如果您使用二进制属性(例如 objectSid 或 objectGUID)作为自定义字段值,那么系统会使用一种编码方案将其转换为字符串。
要更改编码方案,请点击二进制属性的编码方案,然后选择一个选项:
- Base16(也称为十六进制)
- Base32
- Base32Hex
- Base64
- Base64URL(默认)
注意:系统会自动移除自定义架构和字段名称开头或结尾的空格。内部空格字符会保留。
在配置管理器的共享联系人页面,为共享联系人设置同步。共享联系人与 Microsoft Active Directory 和其他目录服务器中的全局地址列表 (GAL) 对应。共享联系人信息包括姓名、电子邮件地址、电话号码和职位等联系人相关信息。
重要提示:
- 仅同步网域外的共享联系人。如果同步网域内的联系人,可能会导致 GAL 内出现重复条目。
- 共享联系人最长可能需要 24 小时才能同步完成并显示。
点击相应标签页并输入以下信息:
- 共享联系人属性 - 指定 GCDS 在生成 LDAP 共享联系人时要使用的属性。
- 搜索规则 - 使用 LDAP 查询符号指定要导入和同步的联系人。
您可以使用排除规则修改搜索规则。 - 排除规则 - 如果 LDAP 目录服务器中有联系人与您的搜索规则匹配,但相应联系人不应添加到 Google 帐号中,您可以添加排除规则。有关详情,请参阅使用排除规则。
相关主题
在配置管理器的日历资源页面,指定 GCDS 生成 LDAP 日历资源的方式。
点击相应标签页并输入以下信息:
- 日历资源属性 - 指定 GCDS 生成 LDAP 日历资源时会使用的属性。
重要提示:GCDS 不会同步包含空格或者 @ 符号或冒号 (:) 等字符的日历资源属性。要详细了解如何命名日历资源,请参阅关于 Google 日历资源命名的建议。
- 搜索规则 - 使用 LDAP 查询符号指定要导入和同步的日历资源。
您可以使用排除规则修改搜索规则。 - 排除规则 - 如果 LDAP 目录服务器中存在与您的搜索规则匹配的日历资源,但相应资源不应添加到 Google 帐号中,您可以添加排除规则。有关详情,请参阅使用排除规则。
相关主题
第 3 步:检查同步
在配置管理器的通知页面上,指定您邮件服务器的详情以及同步后发送的电子邮件通知。
每次发生同步后,GCDS 均会向您在收件人地址字段中指定的一个或多个电子邮件地址发送通知。每输入一个地址后都请点击添加。
点击测试通知即可向您列出的地址发送测试邮件。
相关主题
在配置管理器的同步页面,点击模拟同步以测试您的设置。
运行模拟同步不会更新或更改您的 LDAP 服务器数据,也不会更新或更改您的 Google 帐号中的用户帐号。该模拟仅用于检查和测试您的设置。在同步过程中,配置管理器会执行以下操作:
- 连接到您的 Google 帐号和 LDAP 服务器,并生成用户、群组和共享联系人列表
- 列出 Google 帐号和 LDAP 帐号之间的差异
- 记录所有活动
如果模拟成功,配置管理器会生成一份报告,其中会显示您可以对 Google 数据做出的更改。如果您确信配置正确无误,则可以开始运行同步了。
相关主题
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。
