Vous disposez de comptes utilisateur dont les attributs sur le domaine Google sont différents de ceux figurant sur le serveur LDAP ? Vous souhaitez conserver ces attributs différents ? Comment s'assurer que les attributs du compte utilisateur ne sont pas altérés lors de la synchronisation par Google Cloud Directory Sync (GCDS) ?
Vous devez pour cela créer deux règles d'exclusion : une pour vos données LDAP et l'autre pour les données de votre domaine Google.
Exemple de scénario
L'exemple qui suit décrit ce qu'il se passe lorsqu'un compte utilisateur ("fred@solarmora.com") figure à la fois sur le serveur LDAP et sur le domaine Google :
- Domaine Google : Fred appartient à la sous-organisation "Comptes utilisateur test".
- Serveur LDAP : Fred appartient à l'unité organisationnelle "Finance".
- Règle de recherche : une règle de recherche place les comptes utilisateur de l'unité organisationnelle "Finance" dans la sous-organisation "Finance" du domaine Google.
- Règle d'exclusion : une règle d'exclusion de chemin complet d'organisation Google a été définie pour "/Comptes utilisateur test" dont Fred fait partie.
Lors de la synchronisation, GCDS ne détecte pas le compte "fred@solarmora.com" sur le domaine Google, du fait de la règle d'exclusion "/Comptes utilisateur test", mais le voit apparaître dans les résultats LDAP et tente de le créer. Puisque le compte de Fred existe déjà sur le domaine Google, GCDS ne le recrée pas, mais effectue d'autres opérations (déclenchées par la tentative de création du compte). Par exemple, Fred est placé dans la sous-organisation "Finance".
Pour éviter que cela se produise, vous devez exclure le compte utilisateur du serveur LDAP et du domaine Google. Pour ce faire, associez une règle d'exclusion LDAP à la règle d'exclusion concernant le domaine Google. Dans cet exemple, il s'agira d'une règle d'exclusion LDAP basée sur l'adresse e-mail. Pour en savoir plus, consultez l'article Utiliser des règles d'exclusion avec GCDS.
Meilleure conduite à tenir pour gérer plusieurs comptes utilisateur
Dans GCDS, il est plus simple de gérer plusieurs comptes utilisateur à l'aide d'un serveur LDAP.
Si vous souhaitez regrouper plusieurs utilisateurs dans une unité organisationnelle spécifique du domaine Google sans tenir compte de l'unité organisationnelle à laquelle ils appartiennent sur le serveur LDAP, la meilleure approche est la suivante :
- Identifiez ces utilisateurs sur le serveur LDAP à l'aide d'un attribut personnalisé ou en les rattachant à un groupe.
- Créez une règle de recherche qui ne correspond qu'à ces utilisateurs. Par exemple, utilisez une règle qui recherche l'attribut personnalisé ou le nom du groupe concerné ("memberOf=nomgroupe").
- Reliez la règle de recherche à l'unité organisationnelle en question.
Remarque : Vous pouvez appliquer à la règle de recherche une priorité élevée, afin que le compte utilisateur soit toujours transféré vers l'unité organisationnelle choisie, même si celui-ci apparaît dans plusieurs règles de recherche.
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.
