FAQ GCDS

1. Pastikan Anda menjalankan GCDS versi 4.7.14 atau yang lebih baru.

   Untuk mengetahui detailnya, buka Mengupdate GCDS.

2. Berikan otorisasi ke GCDS di komputer yang memiliki GUI.

   Untuk mengetahui detailnya, buka Memberikan otorisasi ke Akun Google Anda.

3. Buat dan simpan file XML. 
4. Di komputer yang sama, gunakan command line untuk menjalankan alat upgrade-config menggunakan parameter -exportkeys.

   Contoh: file kunci enkripsiupgrade-config -exportkeys  [sandi]

   Dalam contoh ini, kunci diekspor ke dalam file yang disebut file kunci enkripsi. Penggunaan sandi bersifat opsional.

5. Salin file kunci enkripsi dan file konfigurasi ke komputer yang tidak memiliki GUI.
6. Di komputer yang tidak memiliki GUI, gunakan command line untuk menjalankan alat upgrade-config menggunakan parameter -importkeys.

   Contoh: nama fileupgrade-config -importkeys

   Penting: Parameter -importkeys menghapus semua konfigurasi GCDS resmi yang mungkin Anda miliki di komputer. 

7. Jika perlu, masukkan sandi yang Anda tetapkan di langkah 4.

   Anda akan mendapatkan konfirmasi bahwa kunci berhasil diimpor.

Tips: Untuk opsi lainnya, dari command line, masukkan perintah upgrade-config -help.

1. Jika Anda ragu apakah ada atau tidak ada perubahan alamat email pengguna (perubahan nama pengguna) yang tertunda, pilih salah satu opsi:
   • Jalankan sinkronisasi di server lama.
   • Salin file nilai yang dipisahkan tab (TSV) ke server baru.

     Anda dapat menemukan nama dan lokasi file TSV di file konfigurasi dengan menelusuri .tsv.

   • Instal GCDS di server baru. Untuk mengetahui petunjuknya, buka Mendownload & menginstal GCDS.
2. Salin file konfigurasi ke server baru.
3. Di server baru, di Configuration Manager, buka file konfigurasi.
4. Lakukan otorisasi ulang GCDS untuk Akun Google Anda. Untuk mengetahui detailnya, buka Memberikan otorisasi ke Akun Google Anda.
5. Di halaman LDAP Configuration, perbarui sandi LDAP. Untuk mengetahui detailnya, buka Setelan koneksi LDAP.
6. Di halaman Notifications, perbarui sandi SMTP. Untuk petunjuknya, lihat Atribut notifikasi.
7. Jalankan simulasi sinkronisasi.
8. Tinjau sinkronisasi untuk memastikan bahwa tidak ada perubahan yang tidak diharapkan.
9. Jalankan sinkronisasi penuh.

   Setelah sinkronisasi, file TSV dari server lama akan diperbarui. Jika Anda tidak mentransfer file TSV, file baru akan dibuat.

Jika Anda mengalami masalah sertifikat saat menjalankan GCDS, lihat Memecahkan masalah terkait sertifikat.

GCDS menggunakan Google Workspace API untuk menyinkronkan data direktori ke Akun Google Anda. API menggunakan OAuth, bukan sandi admin, untuk melakukan autentikasi. Pendekatan ini memungkinkan fitur seperti Verifikasi 2 Langkah untuk tetap aktif tanpa memengaruhi fungsi GCDS.

GCDS menggunakan API berikut:

• Directory API
• Cloud Identity API
• Groups Settings API
• Enterprise License Manager API
• Domain Shared Contacts API

Dibutuhkan waktu hingga 8 hari sampai perubahan di Akun Google Anda muncul. Untuk memahami alasannya, Anda perlu memahami cara GCDS menyimpan cache data.

GCDS menyimpan cache data untuk Akun Google Anda selama maksimum 8 hari. GCDS dapat lebih sering menghapus cache, bergantung pada ukuran data cache. Namun, jika cache tidak dihapus, kemungkinan diperlukan waktu hingga 8 hari sampai perubahan yang dibuat langsung di Akun Google Anda (menggunakan konsol Admin atau klien API lainnya) muncul.

Setelah cache dihapus, GCDS mengidentifikasi perubahan di Akun Google dan membandingkannya dengan data sumber di direktori LDAP. Jika data tidak cocok, GCDS akan mengurungkan perubahan yang dibuat di Akun Google.

Cara menghapus cache secara manual:

• Jalankan sinkronisasi dari Configuration Manager, lalu pilih untuk menghapus cache saat melakukan sinkronisasi.
• Gunakan tanda command line -f untuk memaksa pembersihan cache.
• Ubah file konfigurasi XML untuk menetapkan nilai maxCacheLifetime menjadi 0.

Penting: Pembersihan cache dapat membuat waktu sinkronisasi menjadi jauh lebih lama.

Profil pengguna, termasuk atribut pengguna tambahan, ditulis ke akun pengguna Google dan terlihat di Direktori akun. GCDS mengakses Direktori di Google Kontak. Untuk mengetahui detailnya, buka Ringkasan: Menyiapkan dan mengelola Direktori.

Dalam konfigurasi GCDS, Anda dapat menentukan atribut yang dievaluasi GCDS. GCDS mengevaluasi data yang disimpan dalam atribut hanya jika data tersebut cocok dengan alamat SMTP yang valid.

Saat menggunakan proxyAddresses Microsoft Active Directory, GCDS menghapus awalan smtp: selama sinkronisasi sehingga awalan tersebut tidak muncul di domain Google Anda. 

Ya. Anda dapat menggunakan GCDS untuk menyinkronkan dari satu direktori LDAP ke beberapa akun Google menggunakan lebih dari satu file konfigurasi. Jika lebih dari satu sinkronisasi dijalankan bersamaan, pastikan masing-masing file konfigurasi disimpan dengan nama yang unik.

Untuk meng-clone file konfigurasi yang ada, gunakan opsi Save as di Configuration Manager, lalu simpan file dengan nama baru.

GCDS mengikuti setelan pengelolaan akun bentrok yang Anda siapkan di konsol Google Admin. Untuk mengetahui detailnya, buka Mengelola akun bentrok dengan GCDS.

Jika ingin menyinkronkan sebagian pengguna ke Akun Google, Anda dapat menggunakan satu Active Directory atau grup direktori LDAP sebagai sumber. Menggunakan grup akan membatasi jumlah pengguna yang mendapatkan penyediaan di Akun Google Anda.

Contoh:

Kueri Pengguna
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Kueri ini menampilkan semua pengguna yang merupakan anggota grup yang diidentifikasi oleh DN grup, yang memiliki alamat email, dan yang akunnya tidak dinonaktifkan.

Anda dapat mengonfigurasi GCDS untuk mengecualikan unit organisasi yang telah disiapkan di Akun Google dengan menentukan aturan pengecualian Organization Complete Path di konfigurasi domain Google.

Contoh:

Aturan Pengecualian
Type: Organization Complete Path
Match Type: Exact Match
Rule: /OUPath/MyExcludedOU

Jika domain tambahan (sekunder) sudah ditambahkan, Anda dapat menggunakan GCDS untuk menyinkronkan pengguna ke domain tersebut. Untuk menyinkronkan pengguna ke domain sekunder, pastikan alamat email pengguna di server LDAP Anda cocok dengan nama domain sekunder Anda. GCDS membuat pengguna di Akun Google Anda menggunakan domain sekunder sebagai alamat email utama.

Jika tidak ingin mengubah atribut email LDAP Anda yang ada, tetapkan atribut lain untuk menyinkronkan alamat email milik pengguna domain sekunder Anda. Untuk mengetahui detail tentang domain sekunder, lihat Menambahkan domain alias pengguna atau domain sekunder.

Ya, asalkan server LDAP mendukung karakter pengganti.

Direktori LDAP tidak mendukung karakter pengganti di atribut DN saat melakukan kueri penelusuran pengguna. Misalnya, Anda dapat menggunakan (mail=user*), tapi bukan (distinguishedName=*,DC=domain,DC=com).

Ya, jika Anda menggunakan server LDAP yang mendukung penelusuran rekursif memberOf. Penelusuran tersebut didukung oleh Active Directory, tetapi tidak oleh OpenLDAP.

Jika akun pengguna Google Workspace ditangguhkan setelah GCDS dijalankan, Anda akan menerima pesan error yang menjelaskan penyebabnya. Agar tidak terjadi error yang sama pada proses sinkronisasi berikutnya, Anda dapat menerapkan salah satu solusi berikut, bergantung pada penyebab masalah yang Anda alami:

• Masalah: Pengguna tidak ada di server LDAP.

  Solusi: Karena pengguna tidak ada di server LDAP, pelanggan harus menetapkan aturan pengecualian pengguna Google agar GCDS tidak menangguhkan pengguna ini di Google Workspace.

• Masalah: Pengguna tidak memiliki email yang valid di server LDAP.

  Solusi: Anda harus mengonfigurasi alamat email untuk pengguna ini atau menyetel aturan pengecualian pengguna Google untuk mencegah GCDS menangguhkan pengguna di Google Workspace.

  Anda juga dapat mengubah konfigurasi GCDS agar menggunakan atribut alamat email pengguna yang ada di server LDAP. Misalnya, gunakan atribut userPrincipalName (UPN), bukan atribut userPrincipalName.

• Masalah: Pengguna dilewati oleh aturan pengecualian di server LDAP.

  Solusi: Anda harus memperbaiki aturan pengecualian jika tidak ingin menangguhkan pengguna ini.

• Masalah: Pengguna ditemukan dan ditangguhkan dalam aturan penelusuran karena opsi Tangguhkan pengguna ini di Domain Google dicentang.

  Solusi: Pengguna mungkin perlu ditangguhkan.

• Masalah: Pengguna telah ditangguhkan di server LDAP.

  Solusi: Pengguna mungkin perlu ditangguhkan.

Dalam keanggotaan grup siklik, 2 grup (atau lebih) menjadi anggota satu sama lain. Misalnya, Grup A adalah anggota Grup B dan Grup B adalah anggota Grup A.

Keanggotaan grup siklik didukung oleh LDAP dan Microsoft Active Directory. Namun, keanggotaan tersebut tidak didukung oleh Google Grup. Jika mencoba menyinkronkan keanggotaan siklik, Anda akan menerima pesan error "Keanggotaan siklik tidak diizinkan".

Anda dapat mengonfigurasi GCDS untuk mengecualikan grup dengan menetapkan aturan pengecualian Alamat Email Grup dalam konfigurasi domain Google. Untuk mengetahui detailnya, buka Menggunakan aturan untuk data Google.

Contoh:

Aturan Pengecualian
Type: Group Email Address
Match Type: Exact Match
Rule: GCP_Project1@example.com.

Catatan: Sebaiknya Anda membuat dan mengelola grup ini di direktori LDAP Anda. Keanggotaan grup tetap diperbarui di Akun Google Anda saat GCDS menyinkronkan data.

Untuk mempertahankan grup saat ini yang tidak ada di LDAP, Anda dapat mengaktifkan setelan Jangan hapus Google Grup yang tidak ada di LDAP. Untuk mengetahui detailnya, lihat kebijakan penghapusan Google Grup.

Grup yang dibuat pengguna adalah grup yang dibuat di Google Grup untuk Bisnis. Jika grup LDAP cocok dengan grup yang dibuat pengguna, GCDS mengabaikan grup seolah-olah ada aturan pengecualian GCDS untuk grup tertentu. GCDS tidak akan menghapus grup jika grup tersebut tidak cocok dengan data LDAP. 

Jika Anda menambahkan anggota ke objek/entitas yang sesuai di LDAP, GCDS menambahkan anggota tersebut ke grup. Jika Anda menambahkan pengguna ke Grup Google yang tidak cocok dengan data LDAP Anda, anggota tersebut tidak akan dihapus selama proses sinkronisasi.

Untuk mengetahui informasi selengkapnya mengenai grup yang dibuat pengguna, buka FAQ administrator grup.

Ya, GCDS menyinkronkan keanggotaan grup bertingkat. Namun, ada beberapa batasan terkait grup bertingkat dan pengiriman email dengan Google Grup untuk Bisnis. Tidak semua anggota grup bertingkat menerima konten email yang dikirim ke grup jika:

• Izin moderasi diaktifkan. Email tidak akan otomatis masuk ke anggota grup atau grup bertingkat lain sampai moderator grup memberikan persetujuan.
• Grup induk tidak memiliki izin memposting untuk mengirimkan pesan ke grup bertingkat.

Topik terkait

• Menambahkan sebuah grup ke grup lain
• Mencari tahu anggota yang dapat melihat, memposting, dan memoderasi

Ya. GCDS menyinkronkan anggota grup, terlepas dari apakah anggota tersebut adalah pengguna atau grup. Namun, GCDS tidak mendukung aturan penelusuran untuk meluaskan anggota grup bertingkat jika aturan penelusuran tersebut tidak didukung oleh server LDAP.

Sebelum memulai: Pastikan GCDS mendukung fitur tersebut.

1. Cari file konfigurasi. File ini adalah file XML yang sama dengan yang Anda gunakan untuk memuat konfigurasi GCDS.
2. Buka file konfigurasi dengan editor teks.
3. Di file XML, temukan tag <features>, lalu sisipkan baris baru di dalam tag. 
4. Pada baris baru, tambahkan tag <optional> baru dengan nama fitur di dalamnya.
5. Simpan dan tutup file tersebut.

Contoh

Contoh berikut menunjukkan cara menambahkan fitur DONT_RESOLVE_USER_CONFLICT_ACCOUNTS.

<features>

      <optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>

</features>

Error tersebut mungkin karena masalah konfigurasi, seperti kesalahan konfigurasi aturan pengecualian. Kesalahan konfigurasi dapat disembunyikan dengan penyimpanan cache GCDS.

GCDS menyimpan cache data untuk layanan Google Anda (seperti Google Workspace atau Cloud Identity) selama maksimum 8 hari. GCDS dapat lebih sering menghapus cache, bergantung pada ukuran data cache. Namun, jika cache tidak dihapus, kemungkinan diperlukan waktu hingga 8 hari sampai perubahan yang dibuat langsung di Akun Google Anda (menggunakan konsol Admin atau klien API lainnya) muncul. 

Cara menghapus cache secara manual:

• Jalankan sinkronisasi dari Configuration Manager, lalu pilih untuk menghapus cache saat melakukan sinkronisasi.
• Gunakan tanda command line -f untuk memaksa pembersihan cache.
• Ubah file konfigurasi XML untuk menetapkan nilai maxCacheLifetime menjadi 0.

Penting: Pembersihan cache dapat membuat waktu sinkronisasi menjadi jauh lebih lama.

Contoh: Anda memiliki grup di server LDAP dan Akun Google Anda. Anda membuat aturan pengecualian Google untuk grup ini agar GCDS tidak mengubah grup selama sinkronisasi.

Namun, aturan ini justru menyebabkan GCDS berperilaku seolah-olah grup tidak ada di Akun Google Anda. GCDS mencoba membuat grup, tetapi karena grup tersebut sudah ada, muncul pesan error dan GCDS menambahkannya ke cache. Sinkronisasi berikutnya menggunakan cache tersebut, dan GCDS menganggap grup tersebut sudah ada. Kemudian, begitu cache dihapus, GCDS kembali berperilaku seolah-olah grup tersebut tidak ada.

Setelan sinkronisasi sandi default di GCDS digunakan untuk menentukan cara GCDS membuat sandi bagi akun pengguna baru. Jika Anda tidak ingin menyesuaikan sandi akun awal, tidak ada tindakan yang diperlukan. Cukup gunakan setelan default.

Jika menggunakan Active Directory, Anda dapat menggunakan Password Sync untuk menyinkronkan sandi pengguna dari Active Directory ke domain Google Anda.

GCDS menerapkan aturan sesuai urutan, dari yang tertinggi hingga yang terendah. 

Misalnya, Anda mengonfigurasi aturan sinkronisasi Akun Pengguna untuk membuat pengguna di unit organisasi root atau /. Anda kemudian membuat aturan yang lebih rendah untuk membuat pengguna di unit organisasi /Exceptions. Setelah sinkronisasi, pengguna yang cocok dengan kedua aturan tersebut akan dibuat di unit organisasi root karena aturan tersebut memiliki prioritas yang lebih tinggi. 

Untuk memastikan bahwa pengguna ditempatkan dengan benar di /Exceptions, pastikan aturan berada di tingkat lebih tinggi dari aturan lain yang bertentangan. Atau, pastikan bahwa aturan itu adalah aturan pertama dalam daftar yang diurutkan.

GCDS menggunakan 3-legged OAuth 2.0 untuk otorisasi. Proses ini memberikan GCDS token OAuth 2.0. Token ini memungkinkan GCDS melakukan tindakan atas nama administrator yang melakukan otorisasi.

Semua peristiwa audit dicantumkan oleh administrator yang memiliki otorisasi atas GCDS. Pertimbangkan membuat akun administrator GCDS khusus. Dengan begitu, Anda dapat dengan jelas mendeteksi perubahan dan audit yang dilakukan oleh GCDS.

Topik terkait

Memberikan otorisasi pada Akun Google Anda

Selama sinkronisasi, GCDS mempertimbangkan bahwa LDAP saat ini disiapkan untuk menentukan apakah skema kustom harus dipertahankan atau dihapus di Akun Google Anda.

Selain itu, file konfigurasi GCDS memiliki setelan schemaHistory yang berisi informasi tentang skema kustom yang telah disinkronkan sebelumnya. Jika skema kustom telah disinkronkan oleh GCDS, skema tersebut akan otomatis ditambahkan ke schemaHistory. Jika Anda menghapus setelan schemaHistory secara manual di file konfigurasi, dan jika skema kustom tidak ada di direktori LDAP, GCDS akan melewati dan tidak menghapus skema kustom di Akun Google Anda.

Untuk menghapus schemaHistory secara manual di file konfigurasi, cari: 

<schemas>
   <schemaDefinitions />
   <schemaHistory>
      <schemaName>GroupMembership</schemaName>
   </schemaHistory>
</schemas>

GCDS hanya dapat menyinkronkan dari satu direktori LDAP. Jika Anda memiliki beberapa direktori LDAP, konsolidasikan data server LDAP Anda ke dalam satu direktori. Untuk mengetahui detailnya, lihat Langkah 2 di Menyiapkan direktori LDAP Anda.

Kunci simetris yang mengenkripsi token refresh GCDS dibuat oleh KeyGenerator kripto Java default menggunakan AES 128. 

Penyimpanan kunci simetris ditangani oleh metode userNodeForPackage di class Preferences di Java. Lokasi pasti kunci tidak dikontrol oleh GCDS dan bergantung pada OS.

Di Windows, data preferensi disimpan di hive registry untuk pengguna. Di Linux, data tersebut disimpan di direktori home pengguna.

Sebaiknya pelanggan mengikuti praktik terbaik untuk memastikan kunci diamankan dengan baik menggunakan sistem file terenkripsi dan dengan memastikan ACL bersifat membatasi.

ID unik (juga disebut sebagai kunci utama non-alamat) digunakan secara internal oleh GCDS, dan tidak disinkronkan ke Google Workspace. GCDS menyimpan ID unik dalam file TSV di komputer tempat GCDS diinstal. Anda dapat menemukan nama file TSV dan jalur lengkapnya di file konfigurasi XML.

Jika nama pengguna diganti di server LDAP, tetapi tidak di Google Workspace, GCDS akan menggunakan ID unik untuk mencegah detail pengguna dihapus atau diduplikasi.

Catatan: Akan terjadi masalah sinkronisasi jika Anda mengubah alamat email pengguna secara manual di server LDAP dan Google Workspace. Untuk menghindari masalah ini, hapus data pengguna yang sesuai dari file TSV sebelum menjalankan GCDS.

Anda dapat mengonfigurasi GCDS untuk menyinkronkan grup keamanan menggunakan aturan penelusuran LDAP.

Contoh 1: Menelusuri semua grup keamanan

Contoh ini menunjukkan penelusuran LDAP untuk semua grup keamanan yang memiliki alamat email:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Contoh 2: Menelusuri sebagian grup keamanan

Jika Anda ingin menyinkronkan sebagian grup keamanan, pertimbangkan untuk menggunakan extensionAttribute1 dan setel nilai tertentu, seperti GoogleCloud. Anda kemudian dapat mempersempit kueri GCDS hanya untuk menyediakan sebagian grup keamanan tertentu.

Contoh ini menunjukkan penelusuran LDAP untuk semua grup keamanan yang memiliki alamat email dan atribut GoogleCloud:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

Penting:

• Semua grup di domain Google direferensikan oleh alamat email. Anda harus memastikan bahwa semua grup keamanan yang ingin disinkronkan memiliki atribut email valid yang ditentukan.
• Grup yang dibuat di domain Google tidak secara otomatis memiliki peran Google Cloud Identity and Access Management (IAM) eksplisit. Setelah grup dibuat, Anda perlu menggunakan Cloud IAM untuk menetapkan grup ke peran tertentu.

Anda dapat mengonfigurasi GCDS dengan menambahkan aturan sinkronisasi pengguna untuk pengguna Google Cloud. Cara termudah adalah membuat kueri baru berdasarkan pengguna yang menjadi anggota grup.

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Selanjutnya, Anda dapat menggunakan filter penelusuran berikut untuk menampilkan pengguna yang merupakan anggota grup, memiliki alamat email, dan akunnya tidak ditangguhkan: 

group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

Pertimbangkan untuk menempatkan pengguna tersebut ke satu unit organisasi. Untuk melakukannya, tetapkan Nama Unit Org (misalnya, Pengguna Cloud) dalam aturan. Buat unit organisasi jika belum ada. 

Masalah pemberian lisensi

Pertimbangkan cara domain Anda dikonfigurasi, sehingga Anda dapat menetapkan lisensi produk dengan tepat ke akun pengguna. Jika pemberian lisensi otomatis diaktifkan, sebaiknya kecualikan unit organisasi Pengguna Cloud agar tidak diberi lisensi produk. Untuk mengetahui detailnya, buka Menetapkan opsi pemberian lisensi otomatis untuk organisasi.

Untuk persyaratan pemberian lisensi yang lebih kompleks, Anda dapat mengonfigurasi GCDS untuk menyinkronkan dan mengelola semua penetapan lisensi pengguna Anda. Untuk mengetahui detailnya, buka Menyinkronkan lisensi.