Google Cloud Directory Sync aracının kullanımıyla ilgili sık sorulan soruları aşağıda bulabilirsiniz.
- GCDS kurulumu
- Google Hesabınız
- Kullanıcıları ve kuruluş birimlerini senkronize etme
- Grupları senkronize etme
- Genel
- Google Cloud
GCDS kurulumu
Bölümü aç | Tümünü daralt ve başa dön
GUI olmayan bir makinede GCDS'yi nasıl yetkilendirebilirim?- GCDS'nin 4.7.14 veya sonraki bir sürümünü çalıştırdığınızdan emin olun.
Ayrıntılar için GCDS'yi güncelleme başlıklı makaleyi inceleyin.
- GUI bulunan bir bilgisayarda GCDS'yi yetkilendirin.
Ayrıntılar için Google Hesabınızı yetkilendirme başlıklı makaleyi inceleyin.
- XML dosyasını oluşturup kaydedin.
- Aynı bilgisayarda, -exportkeys parametresi ile upgrade-config aracını çalıştırmak için komut satırını kullanın.
Örnek: upgrade-config -exportkeys şifreleme anahtarı dosyası [şifre]
Bu örnekte, anahtarlar şifreleme anahtarı dosyası adlı bir dosyaya aktarılır. Şifre kullanmak isteğe bağlıdır.
- Şifreleme anahtarı dosyasını ve yapılandırma dosyasını grafik kullanıcı arayüzüne sahip olmayan bir bilgisayara kopyalayın.
- GUI olmayan bir bilgisayarda, -importkeys parametresi ile upgrade-config aracını çalıştırmak için komut satırını kullanın.
Örnek: upgrade-config -importkeys dosya adı
Önemli: -importkeys parametresi, bilgisayarınızda bulunabilecek tüm yetkilendirilmiş GCDS yapılandırmalarını kaldırır.
- Gerekirse 4. adımda belirlediğiniz şifreyi girin.
Anahtarların içe aktarıldığını belirten bir onay alırsınız.
İpucu: Diğer seçenekler için komut satırında upgrade-config -help komutunu girin.
- Bekleyen kullanıcı e-posta adresi değişiklikleri (kullanıcı yeniden adlandırma işlemleri) olduğunu düşünüyorsanız veya olup olmadığından emin değilseniz bir seçenek belirleyin:
- Eski sunucuda bir senkronizasyon çalıştırın.
- Sekmeyle ayrılmış değerler (TSV) dosyalarını yeni sunucuya kopyalayın.
Yapılandırma dosyasındaki TSV dosyalarının adını ve konumunu, .tsv araması yaparak bulabilirsiniz.
- Yeni sunucuya GCDS'yi yükleyin. İlgili talimatları GCDS'yi indirme ve yükleme başlıklı makalede bulabilirsiniz.
- Yapılandırma dosyasını yeni sunucuya kopyalayın.
- Yeni sunucuda, Configuration Manager'da yapılandırma dosyasını açın.
- Google Hesabınız için GCDS'yi yeniden yetkilendirin. Talimatlar için Google Hesabınızı yetkilendirme başlıklı makaleyi inceleyin.
- LDAP Configuration (LDAP Yapılandırması) sayfasında LDAP şifresini güncelleyin. Talimatlar için LDAP bağlantısı ayarları başlıklı makaleyi inceleyin.
- Bildirimler sayfasında SMTP şifresini güncelleyin. Talimatlar için Bildirim özellikleri başlıklı konuyu inceleyin.
- Senkronizasyon simülasyonu çalıştırın.
- Beklenmedik değişiklikler olmadığından emin olmak için senkronizasyonu inceleyin.
- Tam senkronizasyon gerçekleştirin.
Senkronizasyondan sonra eski sunucudaki TSV dosyaları güncellenir. TSV dosyalarını aktarmadıysanız yeni dosyalar oluşturulur.
GCDS'yi çalıştırırken sertifikalarla ilgili sorun yaşıyorsanız Sertifikalarla ilgili hataları giderme başlıklı makaleyi inceleyin.
Google Hesabınız
Bölümü aç | Tümünü daralt ve başa dön
GCDS hangi API'leri kullanır?GCDS, dizin verilerinizi Google Hesabınızla senkronize etmek için Google Workspace API'lerini kullanır. API'ler kimlik doğrulamak için yöneticinin şifresini değil, OAuth'u kullanır. Bu yaklaşım, 2 Adımlı Doğrulama gibi özelliklerin GCDS işlevselliğini etkilemeden etkin kalmasına olanak tanır.
GCDS aşağıdaki API'leri kullanır:
Google Hesabınızdaki bir değişikliği görmeniz 8 gün kadar sürebilir. Neden böyle bir süreye gerek duyulduğunu anlamak için GCDS'nin verileri önbelleğe nasıl eklediğinin anlaşılması gerekir.
GCDS, Google Hesabınızın verilerini önbellekte en fazla 8 gün tutar. GCDS, tutulan veri boyutuna bağlı olarak önbelleği daha sık temizleyebilir. Ancak önbellek temizlenmezse doğrudan Google Hesabınızda (Yönetici Konsolu veya başka bir API istemcisi kullanılarak) yapılan değişikliklerin yansıtılması 8 günü bulabilir.
Önbellek temizlendikten sonra, GCDS Google Hesabınızdaki değişimi tespit eder ve bunu LDAP dizinindeki kaynak verileriyle karşılaştırır. Veriler eşleşmezse GCDS, Google Hesabında yapılan değişikliği geri alır.
Önbelleği manuel olarak temizlemek için:
- Configuration Manager'dan bir senkronizasyon işlemi yapın ve bu işlem sırasında önbelleğin temizlenmesini tercih edin.
- Önbellek temizliğini zorunlu kılmak için -f komut satırı işaretini kullanın.
- XML config dosyasında değişiklik yaparak maxCacheLifetime değerini maxCacheLifetime olarak ayarlayın.
Önemli: Önbelleğin temizlenmesi senkronizasyon süresini önemli ölçüde artırabilir.
Ek kullanıcı özellikleri dahil olmak üzere kullanıcı profilleri, Google kullanıcı hesabına yazılır ve hesaba ait Dizin'de görünür. GCDS, Google Kişiler'deki Dizin'e erişir. Ayrıntılar için Genel Bakış: Dizin'i kurma ve yönetme başlıklı makaleyi inceleyin.
GCDS yapılandırmasında, GCDS'nin değerlendirdiği özellikleri belirleyebilirsiniz. GCDS, yalnızca geçerli bir STMP adresiyle eşleşmesi durumunda özellikte depolanan verileri değerlendirir.
Microsoft Active Directory proxyAddresses kullanırken GCDS, senkronizasyon sırasında proxyAddresses ön ekini kaldırır. Böylece ön ek Google alanınızda görünmez.
Evet. Birden fazla yapılandırma dosyasıyla tek bir LDAP dizininden birden çok Google hesabına senkronizasyon gerçekleştirmek için GCDS'yi kullanabilirsiniz. Aynı anda birden çok senkronizasyon işlemi çalıştırılacaksa yapılandırma dosyalarının birbirinden farklı adlarla kaydedildiğinden emin olun.
Mevcut bir yapılandırma dosyasını kopyalamak için Configuration Manager'daki (Yapılandırma Yöneticisi) Save As (Farklı Kaydet) seçeneğini kullanın ve dosyayı yeni bir adla kaydedin.
GCDS, Google Yönetici Konsolu'nda ayarladığınız çakışan hesap yönetimi ayarlarını uygular. Ayrıntılar için GCDS ile çakışan hesapları yönetme başlıklı makaleyi inceleyin.
Kullanıcıları ve kuruluş birimlerini senkronize etme
Bölümü aç | Tümünü daralt ve başa dön
GCDS'yi, kullanıcıların yalnızca bir kısmının temel hazırlığını yapacak şekilde nasıl yapılandırırım?Kullanıcıların yalnızca bir kısmını Google Hesabınızla senkronize etmek istiyorsanız kaynak olarak tek bir Active Directory veya LDAP dizin grubu kullanabilirsiniz. Bir grup kullanmak, Google Hesabınızda temel hazırlığı yapılan kullanıcıların sayısını sınırlar.
Örnek:
Kullanıcı Sorgusu
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Bu sorgu, group DN'siyle (grup ayırtedici adı) tanımlanan, e-posta adresine sahip ve hesapları devre dışı bırakılmamış grup üyesi tüm kullanıcıları döndürür.
Google Alanı yapılandırmasında bir Organization Complete Path (Kuruluş Tam Yolu) hariç tutma kuralı tanımlayarak GCDS'yi Google Hesabınızda ayarlanan bir kuruluş birimini hariç tutacak şekilde yapılandırabilirsiniz.
Örnek:
Hariç Tutma Kuralı
Type: Organization Complete Path (Tür: Kuruluşun Tam Yolu)
Match Type: Exact Match (Eşleme Türü: Tam Eşleme)
Rule (Kural): /OUPath/MyExcludedOU
İkincil alan eklediyseniz GCDS'yi kullanarak kullanıcıları bu alanla senkronize edebilirsiniz. Kullanıcıları ikincil alanınızla senkronize etmek için kullanıcıların LDAP sunucunuzdaki posta adreslerinin ikincil alan adınızla eşleştiğinden emin olun. GCDS, birincil posta adresi olarak ikincil alanınızı kullanarak Google Hesabınızdaki kullanıcıları oluşturur.
LDAP postanızın mevcut özelliğinde herhangi bir değişiklik yapmak istemiyorsanız ikincil alandaki kullanıcılarınızın e-posta adreslerini senkronize edebilmek için başka bir özellik atamanız gerekir. İkincil alanlarla ilgili ayrıntılar için Kullanıcı alan takma adı veya ikincil alan ekleme başlıklı makaleyi inceleyin.
Evet, LDAP sunucusu joker karakterleri desteklediği sürece.
LDAP dizinleri, bir kullanıcı arama sorgusu gerçekleştirilirken DN özelliklerindeki joker karakterleri desteklemez. Örneğin, (mail=user*) kullanabilirsiniz, ancak (distingushedName=*,DC=domain,DC=com) kullanılamaz.
Evet, memberOf yinelenen aramalarını destekleyen bir LDAP sunucusu kullanıyorsanız. Bunlar Active Directory tarafından desteklenir ancak OpenLDAP tarafından desteklenmez.
GCDS'yi çalıştırmanızın ardından Google Workspace kullanıcı hesabınız askıya alındıysa bunun nedenini açıklayan bir hata alırsınız. Sonraki senkronizasyon işlemlerinde aynı hatanın tekrarlanmaması sorunun nedenine bağlı olarak aşağıdaki çözümlerden birini uygulayabilirsiniz:
- Sorun: Kullanıcı, LDAP sunucusunda yok.
Çözüm: Kullanıcı LDAP sunucusunda olmadığından müşteri, söz konusu kullanıcının Google Workspace'te GCDS tarafından askıya alınmasını önlemek için Google user exclusion rule (Google kullanıcısı hariç tutma kuralı) ayarlamalıdır.
-
Sorun: Kullanıcının LDAP sunucusunda geçerli bir e-posta adresi yok.
Çözüm: Söz konusu kullanıcının Google Workspace'te GCDS tarafından askıya alınmasını önlemek için Google user exclusion rule (Google kullanıcısı hariç tutma kuralı) ayarlamalı veya bu kullanıcı için bir e-posta adresi yapılandırmalısınız.
Ayrıca, GCDS yapılandırmasını LDAP sunucusunda bulunan ve kullanıcıya ait e-posta adresi özelliğini kullanacak şekilde değiştirebilirsiniz. Örneğin, kullanıcıya ait userPrincipalName özelliği yerine userPrincipalName (UPN) özelliğini kullanabilirsiniz.
-
Sorun: LDAP sunucusundaki hariç tutma kuralları nedeniyle kullanıcı atlanıyor.
Çözüm: Bu kullanıcının askıya alınmasını istemiyorsanız hariç tutma kurallarını düzeltmelisiniz.
-
Sorun: Suspend these users in the Google Domain (Bu kullanıcıları Google alanında askıya al) seçeneği işaretli olduğundan kullanıcı, arama kurallarında bulunup askıya alınıyor.
Çözüm: Kullanıcının askıya alınması gerekebilir.
-
Sorun: LDAP sunucusunda kullanıcı askıya alındı.
Çözüm: Kullanıcının askıya alınması gerekebilir.
Grupları senkronize etme
Bölümü aç | Tümünü daralt ve başa dön
GCDS döngüsel grup üyeliklerini senkronize edebilir mi?Döngüsel grup üyeliklerinde 2 (veya daha fazla) grup birbirinin üyesidir. Örneğin A Grubu, B Grubunun üyesidir; B Grubu da A Grubunun üyesidir.
Döngüsel grup üyelikleri LDAP ve Microsoft Active Directory tarafından desteklenir. Ancak, Google Gruplar tarafından desteklenmez. Döngüsel bir üyeliği senkronize etmeye çalışırsanız "Cyclic memberships not allowed" (Döngüsel üyeliklere izin verilmez) hata mesajını alırsınız.
Google alan yapılandırmasında Grup E-posta Adresi hariç tutma kuralı tanımlayarak GCDS'yi bir grubu hariç tutacak şekilde yapılandırabilirsiniz. Ayrıntılar için Google verileri için kuralları kullanma bölümünü inceleyin.
Örnek:
Hariç Tutma Kuralı
Type: Group Email Address (Tür: Grup E-posta Adresi)
Match Type: Exact Match (Eşleme Türü: Tam Eşleme)
Rule (Kural): GCP_Project1@example.com
Not: Bu Grupları LDAP dizininizde oluşturmanızı ve yönetmenizi öneririz. GCDS verileri senkronize ettiğinde, grup üyelikleri Google Hesabınızda güncel tutulur.
LDAP'de bulunmayan mevcut grupları tutmak için Don’t delete Google Groups not found in LDAP (LDAP'de bulunmayan Google Gruplarını silme) ayarını etkinleştirebilirsiniz. Ayrıntılı bilgi için Google Grubu silme politikası bölümünü inceleyin.
Google Gruplar İşletme Sürümü'nde oluşturulan bir gruba, kullanıcı tarafından oluşturulan grup denir. Bir LDAP grubu kullanıcı tarafından oluşturulan grupla eşleşirse, GCDS, söz konusu grup için oluşturulmuş bir GCDS hariç tutma kuralı varmış gibi bu grubu yoksayar. LDAP verileriyle eşleşmiyorsa bu grubu kaldırmaz.
LDAP'de ilgili nesneye/varlığa üye eklediyseniz GCDS, bu üyeleri gruba ekler. Google Grubuna LDAP verilerinizle eşleşmeyen kullanıcılar eklediyseniz senkronizasyon işlemi sırasında bu üyeler kaldırılmaz.
Kullanıcı tarafından oluşturulan gruplar hakkında daha fazla bilgi edinmek için Gruplar yöneticileri için SSS başlıklı makaleyi inceleyin.
Evet, GCDS iç içe geçmiş grup üyeliklerini senkronize eder. Ancak, Google Gruplar İşletme Sürümü'nde, iç içe geçmiş gruplar ve e-posta teslimi konularında bazı sınırlamalar vardır. Aşağıdaki durumlarda, gruba gönderilen e-posta içeriğini iç içe geçmiş grup üyelerinin tümü almaz:
- Moderatör izni etkin olduğunda. Bir e-posta, grubun moderatörü onay verene kadar grup üyelerine veya diğer iç içe geçmiş gruplara otomatik olarak gitmez.
- Bir üst grup, iletiyi iç içe geçmiş gruplara göndermek için yayınlama iznine sahip değildir.
İlgili konular
Evet. GCDS, üyenin bir kullanıcı veya grup olmasına bakmadan grup üyelerini senkronize eder. Ancak, ilgili arama kuralı LDAP sunucunuz tarafından desteklenmiyorsa GCDS, arama kuralının iç içe geçmiş grupların üyelerini genişletmesini desteklemez.
Genel
Bölümü aç | Tümünü daralt ve başa dön
GCDS yapılandırma dosyasına isteğe bağlı bir özellik bayrağı nasıl eklerim?Başlamadan önce: GCDS'nin özelliği desteklediğinden emin olun.
- Yapılandırma dosyasını bulun. Bu dosya, GCDS yapılandırmanızı yüklemek için kullandığınız XML dosyasıyla aynıdır.
- Yapılandırma dosyasını bir metin düzenleyiciyle açın.
- XML dosyasında <features> etiketini bulun ve etiketin içine yeni bir satır ekleyin.
- Yeni satıra, özelliğin adını içeren yeni bir <optional> etiketi ekleyin.
- Dosyayı kaydedip kapatın.
Örnek
Aşağıdaki örnekte, DONT_RESOLVE_USER_CONFLICT_ACCOUNTS özelliğinin nasıl ekleneceği gösterilmektedir.
<features>
<optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>
</features>
Hata, bir yapılandırma kuralının yanlış yapılandırması gibi bir yapılandırma sorunundan kaynaklanıyor olabilir. Yanlış yapılandırma, GCDS önbelleğe alma işlemi tarafından gizlenebilir.
GCDS, Google hizmetinizin (ör. Google Workspace veya Cloud Identity) verilerini önbellekte en fazla 8 gün tutar. GCDS, tutulan veri boyutuna bağlı olarak önbelleği daha sık temizleyebilir. Ancak, önbellek temizlenmezse Yönetici konsolu veya başka bir API istemcisi kullanılarak, doğrudan Google Hesabınızda yapılan değişikliklerin görülebilmesi 8 günü bulabilir.
Önbelleği manuel olarak temizlemek için:
- Configuration Manager'dan bir senkronizasyon işlemi yapın ve bu işlem sırasında önbelleğin temizlenmesini tercih edin.
- Önbellek temizliğini zorunlu kılmak için -f komut satırı işaretini kullanın.
- XML config dosyasında değişiklik yaparak maxCacheLifetime değerini maxCacheLifetime olarak ayarlayın.
Önemli: Önbelleğin temizlenmesi senkronizasyon süresini önemli ölçüde artırabilir.
Örnek: Hem LDAP sunucunuzda hem de Google Hesabınızda bulunan bir grubunuz var. GCDS'nin senkronizasyon sırasında grubu değiştirmesini önlemek amacıyla bu grup için bir Google hariç tutma kuralı oluşturursunuz.
Ancak bu kural GCDS'nin, grup Google Hesabınızda mevcut değilmiş gibi davranmasına neden olur. GCDS grubu oluşturmaya çalışır, ancak grup zaten mevcut olduğu için bir hata görürsünüz ve GCDS bunu önbelleğe ekler. Sonraki senkronizasyonlar önbelleği kullanır ve GCDS grubun zaten mevcut olduğunu kabul eder. Önbellek temizlendikten sonra GCDS yine grup mevcut değilmiş gibi davranır.
GCDS'deki varsayılan şifre senkronizasyonu ayarları, GCDS'nin yeni kullanıcı hesapları için nasıl şifre oluşturduğunu tanımlamak üzere kullanılır. İlk başta verilen hesap şifresini özelleştirmek istemiyorsanız bir işlem yapmanız gerekmez. Varsayılan ayarları kullanmanız yeterlidir.
Active Directory kullanıyorsanız kullanıcı şifrelerini Active Directory'den Google alanınıza senkronize etmek için Password Sync'ten yararlanabilirsiniz.
GCDS kuralları en yukarıdan en alta doğru sırayla ele alır.
Örneğin, kök kuruluş biriminde veya / hedefinde kullanıcılar oluşturmak için Kullanıcı Hesapları senkronizasyon kuralı yapılandırıyorsunuz. Ardından /İstisnalar kuruluş biriminde kullanıcılar oluşturmak için daha alt düzeyde bir kural oluşturuyorsunuz. Bir senkronizasyon sonrasında, kök kuruluş biriminde her iki kuralla eşleşen kullanıcılar oluşturulacaktır, çünkü bu kuralın önceliği daha yüksektir.
Kullanıcıların /İstisnalar hedefine doğru bir şekilde yerleştirilmesini sağlamak için, söz konusu kuralın çakışan diğer herhangi bir kuraldan daha yukarıda sıralanmış olduğundan emin olmanız gerekir. Başka bir seçenek de bu kuralın listede ilk sırada olmasını sağlamaktır.
GCDS yetkilendirme için 3 aşamalı OAuth 2.0 kullanır. Bu işlem GCDS'ye bir OAuth 2.0 jetonu verir. Bu jeton GCDS'nin, yetkilendirmeyi yapan yönetici adına hareket etmesine olanak tanır.
Tüm denetim etkinlikleri GCDS'yi yetkilendiren yönetici tarafından listelenir. GCDS tarafından gerçekleştirilen değişiklik ve denetimleri net bir şekilde görebilmek için özel bir GCDS yönetici hesabı oluşturabilirsiniz.
İlgili konu
Senkronizasyon sırasında GCDS, özel şemanın Google Hesabınızda saklanmasını veya silinmesini isteyip istemediğinizi belirleyen geçerli LDAP kurulumunu dikkate alır.
Ek olarak, GCDS yapılandırma dosyasında, daha önce senkronize edilen özel şemalarla ilgili bilgileri içeren bir schemaHistory ayarı bulunur. Özel şema GCDS tarafından senkronize edildiyse schemaHistory'ye otomatik olarak eklenir. Yapılandırma dosyasındaki schemaHistory ayarlarını manuel olarak sildiyseniz ve özel şemanız LDAP dizininizde bulunmuyorsa GCDS, Google hesabınızdaki özel şemayı atlayıp silmez.
Yapılandırma dosyanızda schemaHistory'yi manuel olarak silmek için şunları arayın:
<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>
GCDS yenileme jetonunu şifreleyen simetrik anahtar, AES 128 kullanılarak, varsayılan Java şifreleme KeyGenerator sınıfı tarafından oluşturulur.
Simetrik anahtarın depolanması, Java'daki Preferences (Tercihler) sınıfında bulunan userNodeForPackage yöntemi tarafından yapılır. Anahtarın tam konumu GCDS tarafından kontrol edilmez ve işletim sistemine göre değişiklik gösterir.
Windows'da, tercih verileri kullanıcının kayıt defteri yolunda depolanır. Linux'ta, tercih verileri kullanıcının ana dizininde depolanır.
Anahtarın, şifrelenmiş bir dosya sistemi kullanılarak ve kısıtlayıcı EKL'ler sağlanarak düzgün bir şekilde depolanmasını sağlamak için müşterilerin en iyi uygulamaları izlemesini öneririz.
Benzersiz kimlik (adres olmayan birincil anahtar olarak da adlandırılır), GCDS tarafından dahili olarak kullanılır ve Google Workspace ile senkronize edilmez. GCDS, benzersiz kimliği GCDS'nin yüklü olduğu bilgisayardaki bir TSV dosyasında depolar. Dosya adını ve dosyanın tam yolunu TSV yapılandırma dosyasında bulabilirsiniz.
Bir kullanıcı, LDAP sunucusunda yeniden adlandırılır ancak Google Workspace'te yeniden adlandırılmazsa GCDS, kullanıcı ayrıntılarının silinmesini veya yinelenmesini önlemek için benzersiz kimliği kullanır.
Not: Kullanıcının e-posta adreslerini hem LDAP sunucusunda hem de Google Workspace'te manuel olarak değiştirirseniz senkronizasyon sorunları yaşanabilir. Bu sorunu önlemek için, GCDS'yi çalıştırmadan önce ilgili kullanıcı kayıtlarını TSV dosyasından kaldırın.
Google Cloud
Bölümü aç | Tümünü daralt ve başa dön
Active Directory'den veya LDAP dizinimden güvenlik gruplarını nasıl senkronize edebilir ve bu grupları Cloud IAM hizmetinde nasıl kullanabilirim?GCDS'yi, LDAP arama kurallarını kullanarak güvenlik gruplarını senkronize edecek şekilde yapılandırabilirsiniz.
1. Örnek: Tüm güvenlik gruplarını arama
Bu örnekte, bir e-posta adresine sahip tüm güvenlik grupları için bir LDAP araması gösterilmiştir:
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))
2. Örnek: Güvenlik gruplarının alt kümesini arama
Güvenlik gruplarının alt kümelerini senkronize etmek istiyorsanız extensionAttribute1 kullanıp belirli bir değer (ör. GoogleCloud) ayarlayabilirsiniz. Ardından, GCDS sorgusunu güvenlik gruplarının yalnızca belirli bir alt kümesinin temel hazırlığını yapacak şekilde hassaslaştırabilirsiniz:
Bu örnekte, bir e-posta adresine ve GoogleCloud özelliğine sahip olan tüm güvenlik grupları için bir LDAP araması gösterilmiştir:
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))
Önemli:
- Google alanındaki tüm gruplar bir e-posta adresi tarafından referans gösterilir. Senkronize etmek istediğiniz tüm güvenlik gruplarının tanımlanmış geçerli bir posta özelliği olmasını sağlamanız gerekir.
- Google alanında oluşturulan bir grup otomatik olarak açık bir Google Cloud Kimliğine ve Erişim Yönetimi (IAM) rolüne sahip olmaz. Bir grup oluşturulduktan sonra gruba belirli roller atamak için Cloud IAM'ini kullanmanız gerekir.
GCDS'yi, Google Cloud kullanıcıları için bir kullanıcı senkronizasyonu rolü ekleyerek yapılandırabilirsiniz. En basit yöntem, bir grubunu üyesi kullanıcıları temel alan yeni bir sorgu oluşturmaktır. Örnek:
(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Ardından, e-posta adresine sahip olan, hesapları askıya alınmamış ve grubun üyesi olan kullanıcıları döndürmek için aşağıdaki arama filtresini kullanabilirsiniz:
group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com
Bu kullanıcıları tek bir kuruluş birimine yerleştirmeniz iyi olur. Bunu yapmak için kuralda bir Kuruluş Birimi Adı (ör. Cloud Kullanıcıları) tanımlayın. Kuruluş birimi yoksa oluşturun.
Lisanslama sorunları
Kullanıcı hesaplarına ürün lisanslarını gerektiği gibi atayabilmek için alanınızın nasıl yapılandırıldığını göz önüne alın. Otomatik lisanslama etkinleştirilmişse Cloud Kullanıcıları kuruluş birimini, ürün lisansı ataması kapsamının dışında tutmak isteyebilirsiniz. Kuruluş için otomatik lisanslama seçeneklerini ayarlama başlıklı makaleden ayrıntılı bilgi edinebilirsiniz.
Daha karmaşık lisanslama işlemleri gerektiğinde, GCDS'yi tüm kullanıcı lisansı atamalarınızı senkronize edecek ve yönetecek şekilde yapılandırabilirsiniz. Ayrıntılı bilgi için Lisansları senkronize etme başlıklı makaleye bakın.
Google, Google Workspace ve ilgili markalarla logolar Google LLC'nin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.