Veja abaixo perguntas comuns sobre o uso do Google Cloud Directory Sync.
- Configurar o GCDS
- Sua Conta do Google
- Sincronização de usuários e unidades organizacionais
- Sincronização de grupos
- Geral
- Google Cloud
Configurar o GCDS
Abrir seção | Recolher tudo e voltar ao início
Como posso autorizar o GCDS em um computador sem uma interface gráfica do usuário (GUI)?- Verifique se você está usando o GCDS 4.7.14 ou mais recente.
Veja mais detalhes em Atualizar o GCDS.
- Autorize o GCDS em um computador que tenha uma GUI.
Veja mais detalhes em Autorizar sua Conta do Google.
- Crie e salve o arquivo XML.
- No mesmo computador, use a linha de comando para executar a ferramenta upgrade-config com o parâmetro -exportkeys.
Exemplo: upgrade-config -exportkeys arquivo de chave de criptografia [password]
Nesse exemplo, as chaves são exportadas em um arquivo chamado arquivo de chave de criptografia. O uso de senha é opcional.
- Copie o arquivo da chave de criptografia e o arquivo de configuração em um computador sem uma GUI.
- No computador sem uma GUI, use a linha de comando para executar a ferramenta upgrade-config com o parâmetro -importkeys.
Exemplo: upgrade-config -importkeys nome do arquivo
Importante: o parâmetro -importkeys remove todas as configurações autorizadas do GCDS no seu computador.
- Se necessário, digite a senha configurada na etapa 4.
Você vai receber a confirmação de que as chaves foram importadas.
Dica: para ver mais opções, digite upgrade-config -help na linha de comando.
- Se você achar que tem alterações pendentes nos endereços de e-mail dos usuários (renomeações de usuários) ou não tiver certeza, escolha uma opção:
- Faça uma sincronização no servidor antigo.
- Copie os arquivos de valores separados por tabulação (TSV) para o novo servidor.
Para encontrar o nome e o local dos arquivos TSV no arquivo de configuração, pesquise .tsv.
- Instale o GCDS no novo servidor. Confira instruções em Fazer o download e instalar o GCDS.
- Copie o arquivo de configuração para o novo servidor.
- Abra o arquivo no Gerenciador de configuração no novo servidor.
- Autorize novamente o GCDS para sua Conta do Google. Confira instruções em Autorizar sua Conta do Google.
- Na página LDAP Configuration, atualize a senha do LDAP. Confira instruções em Configurações da conexão LDAP.
- Na página Notifications, atualize a senha do SMTP. Veja as instruções em Atributos de notificação.
- Faça uma sincronização simulada.
- Verifique a sincronização para evitar alterações inesperadas.
- Faça uma sincronização completa.
Os arquivos TSV do servidor antigo são atualizados depois da sincronização. Se você não tiver transferido os arquivos TSV, novos arquivos serão criados.
Se você tiver problemas com certificados ao executar o GCDS, consulte Resolver problemas relacionados ao certificado.
Sua Conta do Google
Abrir seção | Recolher tudo e voltar ao início
O GCDS usa quais APIs?O GCDS usa as APIs do Google Workspace para sincronizar os dados do diretório com sua Conta do Google. As APIs usam OAuth, não a senha de um administrador, para autenticar. Com essa abordagem, recursos como a verificação em duas etapas (2SV, na sigla em inglês) permanecem ativos sem afetar a funcionalidade do GCDS.
Estas são as APIs utilizadas:
Pode levar até oito dias para que você veja uma alteração na sua Conta do Google. Para entender por que isso acontece, você precisa saber como o GCDS armazena dados em cache.
O GCDS mantém um cache dos dados da sua Conta do Google por no máximo oito dias. Esse cache pode ser limpo com mais frequência, dependendo do tamanho dos dados armazenados. Se ele não for limpo, poderá levar até oito dias para as alterações feitas na sua Conta do Google (no Admin Console ou em outro cliente de API) serem percebidas.
Depois que o cache é limpo, o GCDS identifica a alteração na Conta do Google e a compara com os dados de origem no diretório LDAP. Quando os dados não correspondem, o GCDS cancela a alteração na Conta do Google.
Para limpar o cache manualmente:
- Faça uma sincronização no Gerenciador de configuração e escolha limpar o cache quando sincronizar.
- Use o sinalizador de linha de comando -f para forçar a limpeza do cache.
- Modifique o arquivo de configuração XML para definir o valor maxCacheLifetime como maxCacheLifetime.
Importante: a limpeza do cache pode aumentar consideravelmente o tempo de sincronização.
Os perfis de usuário, inclusive os outros atributos, são gravados na conta de usuário do Google e ficam visíveis no diretório da conta. O GCDS acessa o diretório nos Contatos do Google. Saiba mais em Visão geral: configurar e gerenciar o Diretório.
Na configuração do GCDS, você pode especificar os atributos que o GCDS avalia. Ele só avalia os dados armazenados no atributo se eles corresponderem a um endereço SMTP válido.
Quando você usa o atributo proxyAddresses do Microsoft Active Directory, o GCDS remove o prefixo proxyAddresses durante a sincronização para ele não aparecer no seu domínio do Google.
Sim. Você pode usar o GCDS para sincronizar de um diretório LDAP para várias Contas do Google usando mais de um arquivo de configuração. Se várias sincronizações forem executadas ao mesmo tempo, verifique se os arquivos de configuração foram salvos com nomes exclusivos.
Para clonar um arquivo de configuração, use a opção Save as no Gerenciador de configuração e salve o arquivo com um novo nome.
O GCDS segue as configurações de gerenciamento de contas conflitantes que você configurou no Google Admin Console. Saiba mais em Gerenciar contas conflitantes com o GCDS.
Sincronização de usuários e unidades organizacionais
Abrir seção | Recolher tudo e voltar ao início
Como configuro o GCDS para provisionar apenas um subconjunto de usuários?Se você quiser sincronizar um subconjunto de usuários com sua Conta do Google, use um único grupo de diretórios do Active Directory ou LDAP como origem. Isso limita o número de usuários provisionados na sua Conta do Google.
Exemplo:
User Query
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Essa consulta retorna todos os usuários que são participantes do grupo identificados pelo DN do grupo, têm endereços de e-mail e cujas contas não foram desativadas.
Você pode configurar o GCDS para excluir uma unidade organizacional configurada na sua Conta do Google. Para fazer isso, defina uma regra de exclusão de caminho completo da organização na configuração do domínio do Google.
Exemplo:
Exclude Rule
Type: Organization Complete Path
Match Type: Exact Match
Rule: /OUPath/MyExcludedOU
Se você tiver adicionado um domínio (secundário), poderá usar o GCDS para sincronizar os usuários com esse domínio. Para sincronizar os usuários com o domínio secundário, verifique se o endereço de e-mail dos usuários no servidor LDAP correspondem ao nome do domínio secundário. O GCDS cria os usuários na sua Conta do Google utilizando o domínio secundário como o endereço de e-mail principal.
Se você não quiser alterar seu atributo de e-mail LDAP, determine outro atributo para sincronizar os endereços de e-mail dos usuários do domínio secundário. Veja mais detalhes sobre domínios secundários em Adicionar um domínio de alias de usuário ou um domínio secundário.
Sim, desde que o servidor LDAP aceite caracteres curinga.
Os diretórios LDAP não permitem caracteres curinga em atributos de DN quando você está fazendo uma consulta de pesquisa de usuário. Por exemplo, você pode usar (mail=user*), mas não (distinguishedName=*,DC=domain,DC=com).
Sim, se você estiver usando um servidor LDAP compatível com a pesquisa recursiva do atributo "memberOf". Elas são permitidas no Active Directory, mas não no OpenLDAP.
Se uma conta de usuário do Google Workspace for suspensa após a execução do GCDS, você vai receber uma mensagem de erro explicando o motivo. Para não repetir esse erro nas próximas sincronizações, implemente uma destas soluções dependendo da causa do problema:
- Problema: o usuário não existe no servidor LDAP.
Solução: como o usuário não existe no servidor LDAP, o cliente deve definir uma regra de exclusão de usuário do Google para impedir que o GCDS suspenda esse usuário no Google Workspace.
-
Problema: o usuário não tem um e-mail válido no servidor LDAP.
Solução: configure um endereço de e-mail para esse usuário ou defina uma regra de exclusão de usuário do Google para impedir que o GCDS suspenda o usuário no Google Workspace.
Também é possível alterar a configuração do GCDS para que ele use o atributo de endereço de e-mail do usuário que aparece no servidor LDAP. Por exemplo, use o atributo userPrincipalName (UPN) em vez do atributo userPrincipalName.
-
Problema: o usuário está sendo ignorado pelas regras de exclusão no servidor LDAP.
Solução: corrija as regras de exclusão se você não quiser suspender o usuário.
-
Problema: o usuário está sendo identificado e suspenso nas regras de pesquisa porque a opção Suspend these users in the Google Domain está marcada.
Solução: talvez o usuário precise ser suspenso.
-
Problema: o usuário foi suspenso no servidor LDAP.
Solução: talvez o usuário precise ser suspenso.
Sincronização de grupos
Abrir seção | Recolher tudo e voltar ao início
O GCDS pode sincronizar associações a grupos cíclicas?Em uma associação a grupo cíclica, dois (ou mais) grupos são membros um do outro. Por exemplo, o "Grupo A" é um participante do "Grupo B", e o "Grupo B" é um participante do "Grupo A".
As associações a grupos cíclicas são permitidas no LDAP e no Microsoft Active Directory. No entanto, não é possível usá-las no Grupos do Google. Se você tentar sincronizar uma associação cíclica, verá o erro "Associações cíclicas não são permitidas".
Você pode configurar o GCDS para excluir um grupo definindo uma regra de exclusão Endereço de e-mail do grupo na configuração do domínio do Google. Saiba mais em Usar regras para dados do Google.
Exemplo:
Exclude Rule
Type: Group Email Address
Match Type: Exact Match
Rule: GCP_Project1@example.com
Observação: recomendamos que você crie e gerencie esses grupos no diretório LDAP. As associações a grupos permanecem atualizadas na sua Conta do Google quando o GCDS sincroniza dados.
Para manter os grupos que não estão atualmente no LDAP, você pode ativar a configuração Don’t delete Google Groups not found in LDAP. Veja detalhes em Política de exclusão do Grupos do Google.
Um grupo criado por usuário é um grupo criado no Grupos do Google para empresas. Se um grupo LDAP corresponder a um grupo criado por usuário, o GCDS vai ignorar o grupo como se existisse uma regra de exclusão do GCDS em vigor para esse grupo específico. O GCDS não removerá o grupo se ele não corresponder aos dados LDAP.
Se você adicionou membros ao objeto/à entidade correspondente no LDAP, o GCDS adicionará esses membros ao grupo. Se você adicionou usuários ao Grupo do Google que não correspondam aos seus dados LDAP, esses membros não serão removidos durante o processo de sincronização.
Saiba mais sobre grupos criados por usuários em Perguntas frequentes para administradores de grupos.
Sim, o GCDS sincroniza associações a grupos aninhados. No entanto, existem algumas limitações para grupos aninhados e na entrega de e-mails no Grupos do Google para empresas. Nem todos os participantes do grupo aninhado recebem conteúdo de e-mail enviado para o grupo nestas situações:
- Quando a permissão de moderação está ativada: um e-mail só será entregue automaticamente para os participantes de um grupo ou para outros grupos aninhados após a aprovação do moderador do grupo.
- Um grupo pai não tem permissão de postagem para enviar a mensagem aos grupos aninhados.
Temas relacionados
Sim. O GCDS sincroniza os participantes dos grupos, mesmo quando o participante é um usuário ou um grupo. No entanto, uma regra de pesquisa no GCDS não poderá expandir participantes de grupos aninhados se não for compatível com o servidor LDAP.
Geral
Abrir seção | Recolher tudo e voltar ao início
Como adicionar uma flag de recurso opcional ao arquivo de configuração do GCDS?Antes de começar: verifique se o GCDS oferece suporte ao recurso.
- Localize o arquivo de configuração. Esse é o mesmo arquivo XML usado para carregar a configuração do GCDS.
- Abra o arquivo de configuração com um editor de texto.
- No arquivo XML, localize a tag <features> e insira uma nova linha dentro dela.
- Na nova linha, adicione uma nova tag <optional> com o nome do recurso.
- Salve e feche o arquivo.
Exemplo
O exemplo a seguir mostra como adicionar o recurso DONT_RESOLVE_USER_CONFLICT_ACCOUNTS.
<features>
<optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>
</features>
O erro pode ser causado por um problema de configuração, como uma configuração incorreta da regra de exclusão. Essa configuração incorreta pode ser ocultada pelo armazenamento em cache do GCDS.
O GCDS mantém um cache dos dados do Serviço do Google (como o Google Workspace ou o Cloud Identity) por no máximo oito dias. Esse cache pode ser limpo com mais frequência, dependendo do tamanho dos dados armazenados. Se ele não for limpo, poderá levar até oito dias para as alterações feitas na sua Conta do Google (no Admin Console ou em outro cliente de API) serem percebidas.
Para limpar o cache manualmente:
- Faça uma sincronização no Gerenciador de configuração e escolha limpar o cache quando sincronizar.
- Use o sinalizador de linha de comando -f para forçar a limpeza do cache.
- Modifique o arquivo de configuração XML para definir o valor maxCacheLifetime como maxCacheLifetime.
Importante: a limpeza do cache pode aumentar consideravelmente o tempo de sincronização.
Exemplo: você tem um grupo que existe no servidor LDAP e na sua Conta do Google. Você cria uma regra de exclusão do Google para esse grupo, esperando impedir que ele seja alterado pelo GCDS durante uma sincronização.
No entanto, essa regra faz o GCDS não identificar o grupo no seu domínio do Google. O GCDS tenta criar o grupo. Como ele já existe, uma mensagem de erro é exibida, e o GCDS adiciona o grupo ao cache. As sincronizações subsequentes usam o cache, e o GCDS reconhece que o grupo já existe. Em seguida, depois que o cache é limpo, o GCDS continua não identificando a existência do grupo.
As configurações padrão de sincronização de senhas no GCDS são usadas para definir como o GCDS cria senhas para novas contas de usuário. Se você não quiser personalizar uma senha de conta inicial, nenhuma ação será exigida. Basta usar as configurações padrão.
Se você estiver usando o Active Directory, poderá usar o Password Sync para sincronizar senhas de usuário do Active Directory para seu domínio do Google.
O GCDS considera as regras em ordem, da mais importante para a menos importante.
Por exemplo, você configura uma regra de sincronização de contas de usuário para criar usuários na unidade organizacional raiz ou /. Em seguida, cria uma regra inferior para criar usuários na unidade organizacional /Exceções. Quando uma sincronização for concluída, os usuários que corresponderem às duas regras serão criados na unidade organizacional raiz porque essa regra tem precedência mais alta.
Para assegurar que os usuários sejam colocados corretamente em /Exceções, confirme que a regra está listada com uma precedência mais alta do que outras regras conflitantes ou que ela é a primeira regra na lista ordenada.
O GCDS usa o OAuth 2.0 de três etapas para a autorização. Esse processo concede um token OAuth 2.0 ao GCDS. O token permite que o GCDS atue em nome do administrador que deu a autorização.
Todos os eventos de auditoria são listados pelo administrador que autorizou o GCDS. Considere a possibilidade de criar uma conta de administrador dedicada para entender claramente as mudanças e as auditorias feitas pelo GCDS.
Tema relacionado
Durante uma sincronização, o GCDS considera a configuração atual do LDAP para determinar se um esquema personalizado deve ser retido ou excluído na sua Conta do Google.
Além disso, o arquivo de configuração do GCDS tem uma configuração schemaHistory que contém informações sobre esquemas personalizados já sincronizados. Se um esquema personalizado tiver sido sincronizado pelo GCDS, ele será adicionado automaticamente à configuração "schemaHistory". Quando você exclui manualmente as configurações "schemaHistory" no arquivo de configuração e o esquema personalizado não existe no diretório LDAP, o GCDS ignora e não exclui o esquema personalizado na sua Conta do Google.
Para excluir "schemaHistory" manualmente no arquivo de configuração, procure:
<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>
O Java crypto KeyGenerator padrão usa o AES 128 para gerar a chave simétrica que criptografa o token de atualização do GCDS.
O armazenamento da chave simétrica é processado pelo método "userNodeForPackage" na classe "Preferences" do Java. A localização exata da chave não é controlada pelo GCDS e depende do SO.
No Windows, os dados de preferência são armazenados no hive do registro do usuário. No Linux, eles são armazenados no diretório principal do usuário.
Sugerimos que os clientes sigam as práticas recomendadas para assegurar que a chave esteja devidamente protegida usando um sistema de arquivos criptografados e criando ACLs restritivas.
O ID exclusivo, também chamado de chave primária sem endereço, é usado internamente pelo GCDS e não é sincronizado com o Google Workspace. O GCDS armazena o ID exclusivo em um arquivo TSV no computador em que o GCDS está instalado. Você encontra o nome e o caminho completo do arquivo TSV no arquivo de configuração XML.
Se um usuário for renomeado no servidor LDAP, mas não no Google Workspace, o GCDS usará o ID exclusivo para evitar que os detalhes do usuário sejam excluídos ou duplicados.
Observação: talvez você cause problemas de sincronização se mudar manualmente os endereços de e-mail do usuário no servidor LDAP e no Google Workspace. Para evitar esse problema, remova os registros de usuário correspondentes do arquivo TSV antes de executar o GCDS.
Google Cloud
Abrir seção | Recolher tudo e voltar ao início
Como posso sincronizar grupos de segurança do Active Directory ou do meu diretório LDAP e usá-los no Cloud IAM?Você pode configurar o GCDS para sincronizar grupos de segurança usando regras de pesquisa LDAP.
Exemplo 1: pesquisar todos os grupos de segurança
Este exemplo mostra uma pesquisa LDAP de todos os grupos de segurança que têm um endereço de e-mail:
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))
Exemplo 2: pesquisar um subconjunto de grupos de segurança
Se você quer sincronizar um subconjunto de grupos de segurança, considere o uso do "extensionAttribute1" e defina um valor específico, como "GoogleCloud". Em seguida, refine a consulta do GCDS para aprovisionar apenas o subconjunto específico de grupos de segurança:
Este exemplo mostra uma pesquisa LDAP para todos os grupos de segurança que têm um endereço de e-mail e o atributo "GoogleCloud":
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))
Importante:
- Todos os grupos em um domínio do Google são referenciados por um endereço de e-mail. Assegure que todos os grupos de segurança que você quer configurar tenham um atributo de e-mail válido definido.
- Um grupo criado em um domínio do Google não tem automaticamente um papel explícito no gerenciamento de identidade e acesso (IAM, na sigla em inglês) do Google Cloud. Após a criação de um grupo, você precisará usar o Cloud IAM para atribuir um grupo a funções específicas.
Você pode configurar o GCDS adicionando uma regra de sincronização de usuário para usuários do Google Cloud. A maneira mais simples de fazer isso é criar uma nova consulta com base nos usuários que são participantes de um grupo. Por exemplo:
(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Depois, use o filtro de pesquisa a seguir para retornar os usuários que são participantes do grupo, têm um endereço de e-mail e cujas contas não estão suspensas:
group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com
Considere a possibilidade de colocar esses usuários em uma única unidade organizacional. Para fazer isso, defina um Nome da unidade organizacional (por exemplo, "Usuários do Cloud") na regra. Crie a unidade organizacional se ela ainda não existir.
Problemas de licenciamento
Considere como seu domínio é configurado para atribuir licenças de produtos a contas de usuário da forma apropriada. Se o licenciamento automático estiver ativado, exclua a unidade organizacional "Usuários do Cloud" para que não receba uma licença de produto. Saiba mais em Definir opções de licenciamento automático para uma organização.
Para requisitos de licenciamento mais complexos, você pode configurar o GCDS para sincronizar e gerenciar todas as atribuições de licenças de usuários. Confira mais detalhes em Sincronizar licenças.
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.