Im Folgenden finden Sie häufig gestellte Fragen zur Verwendung von Google Cloud Directory Sync.
- GCDS einrichten
- Ihr Google-Konto
- Nutzer und Organisationseinheiten synchronisieren
- Gruppen synchronisieren
- Allgemein
- Google Cloud
GCDS einrichten
Abschnitt öffnen | Alle minimieren und nach oben
Wie autorisiere ich GCDS auf einem Computer ohne grafische Benutzeroberfläche (graphical user interface, GUI)?- Sie benötigen die GCDS-Version 4.7.14 oder höher.
Weitere Informationen finden Sie unter GCDS aktualisieren.
- Autorisieren Sie GCDS auf einem Computer mit einer GUI.
Weitere Informationen finden Sie unter Google-Konto autorisieren.
- Erstellen und speichern Sie die XML-Datei.
- Führen Sie auf demselben Computer das upgrade-config-Tool über die Befehlszeile aus. Verwenden Sie dabei den Parameter -exportkeys.
Beispiel: upgrade-config -exportkeys Verschlüsselungsschlüsseldatei [Passwort]
In diesem Beispiel werden die Schlüssel in eine Datei mit dem Namen Verschlüsselungsschlüsseldatei exportiert. Die Verwendung eines Passworts ist optional.
- Kopieren Sie die Verschlüsselungsschlüsseldatei und die Konfigurationsdatei auf einen Computer ohne GUI.
- Verwenden Sie auf dem Computer ohne GUI die Befehlszeile, um das upgrade-config-Tool mit dem Parameter -importkeys auszuführen.
Beispiel: upgrade-config -importkeys Dateiname
Wichtig: Mit dem Parameter -importkeys werden alle autorisierten GCDS-Konfigurationen entfernt, die sich auf Ihrem Computer befinden.
- Geben Sie gegebenenfalls das in Schritt 4 festgelegte Passwort ein.
Sie erhalten eine Bestätigung, wenn die Schlüssel erfolgreich importiert wurden.
Tipp: Weitere Optionen werden durch Eingabe des Befehls upgrade-config -help in der Befehlszeile angezeigt.
- Wenn Sie der Meinung sind, dass noch Änderungen an der E-Mail-Adresse des Nutzers (Umbenennung des Nutzers) ausstehen oder Sie sich nicht sicher sind, wählen Sie eine der folgenden Optionen aus:
- Führen Sie eine Synchronisierung auf dem alten Server aus.
- Kopieren Sie die TSV-Dateien (tabulatorgetrennte Werte) auf den neuen Server.
Den Namen und den Speicherort der TSV-Dateien finden Sie in der Konfigurationsdatei. Suchen Sie dazu nach .tsv.
- Installieren Sie GCDS auf dem neuen Server. Eine Anleitung finden Sie unter GCDS herunterladen und installieren.
- Kopieren Sie die Konfigurationsdatei auf den neuen Server.
- Öffnen Sie die Konfigurationsdatei auf dem neuen Server im Konfigurationsmanager.
- Autorisieren Sie GCDS noch einmal für Ihr Google-Konto. Weitere Informationen finden Sie unter Google-Konto autorisieren.
- Aktualisieren Sie auf der Seite LDAP-Konfiguration das LDAP-Passwort. Weitere Informationen finden Sie in den LDAP-Verbindungseinstellungen.
- Aktualisieren Sie auf der Seite Benachrichtigungen das SMTP-Passwort. Eine Anleitung finden Sie unter Attribute für Benachrichtigungen.
- Führen Sie eine simulierte Synchronisierung aus.
- Prüfen Sie die Synchronisierung auf unerwartete Änderungen.
- Führen Sie eine vollständige Synchronisierung durch.
Nach der Synchronisierung werden die TSV-Dateien vom alten Server aktualisiert. Wenn Sie die TSV-Dateien nicht übertragen haben, werden neue Dateien erstellt.
Wenn bei der Ausführung von GCDS Probleme mit Zertifikaten auftreten, lesen Sie den Artikel Fehler im Zusammenhang mit Zertifikaten beheben.
Ihr Google-Konto
Abschnitt öffnen | Alle minimieren und nach oben
Welche APIs verwendet GCDS?GCDS verwendet Google Workspace APIs, um Ihre Verzeichnisdaten mit Ihrem Google-Konto zu synchronisieren. Die APIs verwenden OAuth und nicht das Passwort eines Administrators für die Authentifizierung. So können Funktionen wie die Bestätigung in zwei Schritten (2SV) aktiv bleiben, ohne dass die GCDS-Funktionen beeinträchtigt werden.
GCDS verwendet die folgenden APIs:
Es kann bis zu acht Tage dauern, bis Änderungen in Ihrem Google-Konto erscheinen. Warum das so ist, wird deutlich, wenn Sie verstehen, wie GCDS Daten im Cache speichert.
Bei GCDS werden Daten Ihres Google-Kontos für höchstens acht Tage im Cache gespeichert. Je nach Größe der im Cache gespeicherten Daten ist auch eine häufigere Leerung möglich. Wenn der Cache aber nicht geleert wird, kann es bis zu acht Tage dauern, bis Änderungen angezeigt werden, die direkt über die Admin-Konsole oder einen anderen API-Client in Ihrem Google-Konto vorgenommen wurden.
Sobald der Cache geleert ist, wird die Änderung im Google-Konto mithilfe von GCDS erkannt und mit den Quelldaten im LDAP-Verzeichnis verglichen. Falls sich dann herausstellt, dass die Daten nicht übereinstimmen, werden die Änderungen im Google-Konto bei der Synchronisierung wieder rückgängig gemacht.
So leeren Sie den Cache manuell:
- Starten Sie im Konfigurationsmanager eine Synchronisierung und wählen Sie aus, dass dabei der Cache geleert werden soll.
- Verwenden Sie das Befehlszeilen-Flag -f, um das Leeren des Cache zu erzwingen.
- Ändern Sie die XML-Konfigurationsdatei so, dass der Wert maxCacheLifetime auf 0 gesetzt wird.
Wichtig: Durch das Leeren des Cache kann sich die Synchronisierungsdauer erheblich verlängern.
Nutzerprofile werden einschließlich zusätzlicher Nutzerattribute in das Google-Nutzerkonto geschrieben und im Verzeichnis des Kontos angezeigt. GCDS greift auf das Verzeichnis in Google Kontakte zu. Weitere Informationen finden Sie unter Verzeichnis einrichten und verwalten.
In der GCDS-Konfiguration können Sie festlegen, welche Attribute von GCDS ausgewertet werden sollen. Die in einem Attribut gespeicherten Daten werden nur dann über GCDS ausgewertet, wenn eine Übereinstimmung mit einer gültigen SMTP-Adresse vorliegt.
Wenn Sie Microsoft Active Directory proxyAddresses verwenden, wird während der Synchronisierung das Präfix smtp: entfernt. Es wird also nicht in Ihrer Google-Domain angezeigt.
Ja. Mit GCDS haben Sie die Möglichkeit, mehrere Konfigurationsdateien zu verwenden, um so aus einem LDAP-Verzeichnis mit mehreren Google-Konten zu synchronisieren. Wenn mehrere Synchronisierungen gleichzeitig ausgeführt werden, sollte jede Konfigurationsdatei mit einem eigenen Namen gespeichert werden.
Mithilfe der Option Speichern unter im Konfigurationsmanager können Sie eine vorhandene Konfigurationsdatei klonen und unter einem neuen Namen speichern.
GCDS folgt den Einstellungen für die Verwaltung von in Konflikt stehenden Konten, die Sie in der Admin-Konsole eingerichtet haben. Weitere Informationen finden Sie im Hilfeartikel In Konflikt stehende Konten mit GCDS verwalten.
Nutzer und Organisationseinheiten synchronisieren
Abschnitt öffnen | Alle minimieren und nach oben
Wie konfiguriere ich GCDS so, dass nur ein Teil der Nutzer verwaltet wird?Wenn Sie eine Untergruppe von Nutzern mit Ihrem Google-Konto synchronisieren möchten, können Sie eine einzelne Active Directory- oder LDAP-Verzeichnisgruppe als Quelle verwenden. Wenn Sie Gruppen verwenden, wird die Anzahl der Personen in der Nutzerverwaltung Ihres Google-Kontos eingeschränkt.
Beispiel:
Nutzerabfrage
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Diese Abfrage gibt alle Nutzer zurück, die Mitglieder der im Gruppen-DN definierten Gruppe sind, E-Mail-Adressen haben und deren Konten nicht deaktiviert sind.
Sie können GCDS so konfigurieren, dass eine Organisationseinheit aus Ihrem Google-Konto ausgeschlossen wird. Dazu definieren Sie in der Konfiguration der Google-Domain eine Ausschlussregel für den vollständigen Pfad der Organisationseinheit.
Beispiel:
Ausschlussregel
Typ: Vollständiger Pfad der Organisation
Übereinstimmungstyp: genau passend
Regel: /OUPath/MyExcludedOU
Wenn Sie eine zusätzliche (sekundäre) Domain hinzugefügt haben, können Sie GCDS verwenden, um Nutzer mit dieser sekundären Domain zu synchronisieren. Dazu muss die E-Mail-Adresse der Nutzer auf Ihrem LDAP-Server mit dem Namen der sekundären Domain übereinstimmen. Ihre sekundäre Domain wird als primäre E-Mail-Adresse verwendet, wenn die Nutzer mithilfe von GCDS in Ihrem Google-Konto erstellt werden.
Wenn Sie Ihr vorhandenes LDAP-E-Mail-Attribut nicht ändern möchten, weisen Sie den E-Mail-Adressen Ihrer sekundären Domain-Nutzer ein weiteres Attribut zu. Weitere Informationen zu sekundären Domains finden Sie unter Domain-Alias oder sekundäre Domain hinzufügen.
Ja, sofern der LDAP-Server Platzhalter erlaubt.
LDAP-Verzeichnisse unterstützen jedoch keine Platzhalter in DN-Attributen, wenn Sie eine Nutzersuchanfrage vornehmen. Sie können beispielsweise (mail=user*) verwenden, aber nicht (distinguishedName=*,DC=domain,DC=com).
Ja, wenn Sie einen LDAP-Server verwenden, der rekursive Suchanfragen mit „memberOf“ unterstützt. Sie funktionieren beispielsweise in Active Directory, nicht jedoch bei OpenLDAP.
Wenn ein Google Workspace-Nutzerkonto nach der Ausführung von GCDS gesperrt wird, werden Sie in einer Fehlermeldung über die Ursache informiert. Wenn Sie vermeiden möchten, dass der Fehler bei nachfolgenden Synchronisierungen wieder auftritt, können Sie je nach Problemursache eine der folgenden Lösungen umsetzen:
- Problem: Der Nutzer ist nicht auf dem LDAP-Server vorhanden.
Lösung: Der Kunde sollte eine Ausschlussregel für Google-Nutzer festlegen, um zu verhindern, dass dieser Nutzer von GCDS in Google Workspace gesperrt wird.
-
Problem: Der Nutzer hat keine gültige E-Mail-Adresse auf dem LDAP-Server.
Lösung: Sie sollten eine E-Mail-Adresse für diesen Nutzer konfigurieren oder eine Ausschlussregel für Google-Nutzer festlegen, um zu verhindern, dass GCDS den Nutzer in Google Workspace sperrt.
Sie können die GCDS-Konfiguration auch so ändern, dass sie das E-Mail-Adressattribut des Nutzers verwendet, das sich auf dem LDAP-Server befindet. Verwenden Sie z. B. das Attribut userPrincipalName (UPN) anstelle des Attributs userPrincipalName.
-
Problem: Der Nutzer wird durch Ausschlussregeln auf dem LDAP-Server übersprungen.
Lösung: Sie sollten die Ausschlussregeln korrigieren, wenn Sie den Nutzer nicht sperren möchten.
-
Problem: Der Nutzer wird in den Suchregeln gefunden und gesperrt, weil die Option Suspend these users in the Google Domain (Diese Nutzer in der Google-Domain sperren) angeklickt ist.
Lösung: Möglicherweise muss der Nutzer gesperrt werden.
-
Problem: Der Nutzer wurde auf dem LDAP-Server gesperrt.
Lösung: Möglicherweise muss der Nutzer gesperrt werden.
Gruppen synchronisieren
Abschnitt öffnen | Alle minimieren und nach oben
Können mit GCDS zyklische Gruppenmitgliedschaften synchronisiert werden?Bei einer zyklischen Gruppenmitgliedschaft handelt es sich um mindestens zwei Gruppen, die als Mitglied in der jeweils anderen eingetragen sind. Beispiel: Gruppe A ist Mitglied von Gruppe B und Gruppe B ist Mitglied von Gruppe A.
Zyklische Gruppenmitgliedschaften werden zwar von LDAP und Microsoft Active Directory, aber nicht von Google Groups unterstützt. Wenn Sie versuchen, eine solche Mitgliedschaft zu synchronisieren, wird der Fehler „Zyklische Mitgliedschaften sind nicht erlaubt“ angezeigt.
Sie können GCDS so konfigurieren, dass Gruppen ausgeschlossen werden. Dazu definieren Sie in der Konfiguration der Google-Domain eine Ausschlussregel für die Gruppen-E-Mail-Adresse. Weitere Informationen finden Sie unter Regeln für Google-Daten verwenden.
Beispiel:
Ausschlussregel
Typ: Gruppen-E-Mail-Adresse
Übereinstimmungstyp: genau passend
Regel: GCP_Project1@example.com
Hinweis: Wir empfehlen, dass Sie diese Gruppen in Ihrem LDAP-Verzeichnis erstellen und verwalten. Gruppenmitgliedschaften werden bei der Datensynchronisierung mit GCDS in Ihrem Google-Konto aktualisiert.
Wenn Sie bestehende Gruppen beibehalten möchten, die nicht in LDAP vorhanden sind, können Sie die Einstellung Keine Google Groups-Gruppen löschen, die nicht auf dem LDAP-Server gefunden werden aktivieren. Weitere Informationen zu den Optionen des Konfigurationsmanagers
Von Nutzern erstellte Gruppen sind Gruppen, die in Google Groups for Business erstellt wurden. Falls eine LDAP-Gruppe mit einer von Nutzern erstellten Gruppe übereinstimmt, wird sie von GCDS ignoriert, so als würde eine GCDS-Ausschlussregel für diese spezielle Gruppe gelten. Die Gruppe wird nicht entfernt, wenn keine Übereinstimmung zwischen ihren Daten und den LDAP-Daten besteht.
Sollten Sie dem entsprechenden Objekt bzw. der entsprechenden Entität im LDAP Mitglieder hinzugefügt haben, fügt GCDS diese der Gruppe hinzu. Wenn Sie der Google Groups-Gruppe Nutzer hinzugefügt haben, die nicht mit Ihren LDAP-Daten übereinstimmen, werden diese Mitglieder während des Synchronisierungsprozesses nicht entfernt.
Weitere Informationen zu nutzererstellten Gruppen finden Sie im Hilfeartikel Häufig gestellte Fragen zu Google Groups für Administratoren.
Ja, GCDS synchronisiert auch Mitgliedschaften verschachtelter Gruppen. Es gibt jedoch Einschränkungen hinsichtlich verschachtelter Gruppen und der E-Mail-Zustellung bei Google Groups for Business. In den folgenden Fällen erhalten nicht alle Mitglieder der verschachtelten Gruppe E-Mail-Inhalte, die an die Gruppe gesendet werden:
- Die Moderationsberechtigung ist aktiviert. Eine E-Mail wird erst dann automatisch an Gruppenmitglieder oder andere verschachtelte Gruppen weitergeleitet, wenn der Moderator der Gruppe die Genehmigung erteilt hat.
- Eine übergeordnete Gruppe ist nicht berechtigt, die Nachricht an die verschachtelten Gruppen zu senden.
Weitere Informationen
Ja. Gruppenmitglieder werden unabhängig davon synchronisiert, ob das jeweilige Mitglied ein Nutzer oder eine Gruppe ist. Allerdings werden mit GCDS keine Suchregeln zum Anzeigen von Mitgliedern verschachtelter Gruppen angewandt, wenn diese Suchregel von Ihrem LDAP-Server nicht unterstützt wird.
Allgemein
Abschnitt öffnen | Alle minimieren und nach oben
Wie füge ich der GCDS-Konfigurationsdatei ein optionales Feature-Flag hinzu?Vorab: Prüfen Sie, ob die Funktion von GCDS unterstützt wird.
- Suchen Sie die Konfigurationsdatei. Dies ist dieselbe XML-Datei, mit der Sie Ihre GCDS-Konfiguration laden.
- Öffnen Sie die Konfigurationsdatei in einem Texteditor.
- Suchen Sie in der XML-Datei nach dem Tag <features> und fügen Sie eine neue Zeile in das Tag ein.
- Fügen Sie in der neuen Zeile ein neues <optional>-Tag mit dem Namen der Funktion hinzu.
- Speichern und schließen Sie die Datei.
Beispiel
Im folgenden Beispiel wird gezeigt, wie Sie die Funktion „DONT_RESOLVE_USER_CONFLICT_ACCOUNTS“ hinzufügen.
<features>
<optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>
</features>
Der Fehler kann durch ein Konfigurationsproblem, z. B. eine falsch konfigurierte Ausschlussregel, verursacht werden. Diese wird möglicherweise durch GCDS-Caching ausgeblendet.
Bei GCDS werden die Daten Ihres Google-Dienstes (z. B. Google Workspace oder Cloud Identity) höchstens acht Tage lang im Cache gespeichert. Je nach Größe der im Cache gespeicherten Daten ist auch eine häufigere Leerung möglich. Wenn der Cache aber nicht geleert wird, kann es bis zu acht Tage dauern, bis Änderungen angezeigt werden, die direkt über die Admin-Konsole oder einen anderen API-Client in Ihrem Google-Konto vorgenommen wurden.
So leeren Sie den Cache manuell:
- Starten Sie im Konfigurationsmanager eine Synchronisierung und wählen Sie aus, dass dabei der Cache geleert werden soll.
- Verwenden Sie das Befehlszeilen-Flag -f, um das Leeren des Cache zu erzwingen.
- Ändern Sie die XML-Konfigurationsdatei so, dass der Wert maxCacheLifetime auf 0 gesetzt wird.
Wichtig: Durch das Leeren des Cache kann sich die Synchronisierungsdauer erheblich verlängern.
Beispiel: Sie haben eine Gruppe, die sowohl auf Ihrem LDAP-Server als auch in Ihrem Google-Konto vorhanden ist. Sie erstellen eine Google-Ausschlussregel für diese Gruppe, um zu verhindern, dass die Gruppe während einer Synchronisierung geändert wird.
Diese Regel führt jedoch dazu, dass sich GCDS so verhält, als wäre die Gruppe in Ihrem Google-Konto gar nicht vorhanden. Über GCDS wird also versucht, die Gruppe zu erstellen. Da sie aber schon vorhanden ist, wird ein Fehler angezeigt und sie wird dem Cache hinzugefügt. Bei nachfolgenden Synchronisierungen wird der Cache verwendet und GCDS erkennt, dass die Gruppe bereits vorhanden ist. Sobald der Cache geleert ist, verhält GCDS sich wieder so, als wäre die Gruppe nicht vorhanden.
Die Standardeinstellungen zur Passwortsynchronisierung in GCDS werden verwendet, um festzulegen, wie Passwörter für neue Nutzerkonten erstellt werden. Wenn Sie kein anfängliches Kontopasswort anpassen möchten, brauchen Sie hier nichts zu tun. In diesem Fall können Sie die Standardeinstellungen nutzen.
Wenn Sie Active Directory verwenden, können Sie mit Password Sync Nutzerpasswörter aus Active Directory mit Ihrer Google-Domain synchronisieren.
In GCDS werden die Regeln in einer vorgegebenen Reihenfolge berücksichtigt, nämlich von der höchsten zur niedrigsten Priorität.
Sie konfigurieren beispielsweise eine Synchronisierungsregel für Nutzerkonten, mit der Sie Nutzer in der Stammorganisationseinheit oder in „/“ erstellen. Anschließend legen Sie eine Regel mit niedrigerer Priorität fest, um Nutzer in der Organisationseinheit „/Ausnahmen“ zu erstellen. Nach einer Synchronisierung werden Nutzer, die mit beiden Regeln übereinstimmen, in der Stammorganisationseinheit erstellt, da diese Regel eine höhere Priorität hat.
Wenn Sie möchten, dass Nutzer wie vorgesehen in „/Ausnahmen“ platziert werden, muss diese Regel in Bezug auf die Priorität über allen anderen in Konflikt stehenden Regeln stehen. Alternativ müssen Sie sie in der sortierten Liste an die erste Stelle setzen.
Bei GCDS wird für die Autorisierung das dreibeinige OAuth 2.0 verwendet. Über diesen Prozess wird GCDS ein OAuth 2.0-Token gewährt. Mithilfe des Tokens kann GCDS Aktionen im Namen des Administrators ausführen, der die Autorisierung durchgeführt hat.
Alle Auditereignisse werden nach dem Administrator aufgelistet, der GCDS autorisiert hat. Sie sollten ein eigenes GCDS-Administratorkonto erstellen, um deutlicher erkennen zu können, welche Änderungen und Prüfungen von GCDS vorgenommen wurden.
Weitere Informationen
Bei einer Synchronisierung wird die aktuelle LDAP-Konfiguration berücksichtigt und ermittelt, ob ein benutzerdefiniertes Schema in Ihrem Google-Konto beibehalten oder ob es daraus gelöscht werden soll.
Darüber hinaus umfasst die GCDS-Konfigurationsdatei die Einstellung schemaHistory, die Informationen zu benutzerdefinierten Schemas enthält, die bereits synchronisiert wurden. Wenn ein benutzerdefiniertes Schema von GCDS synchronisiert wurde, wird es „schemaHistory“ automatisch hinzugefügt. Wenn Sie die Einstellung „schemaHistory“ manuell in der Konfigurationsdatei löschen und das benutzerdefinierte Schema nicht in Ihrem LDAP-Verzeichnis vorhanden ist, wird es von GCDS übersprungen und nicht aus Ihrem Google-Konto entfernt.
Wenn Sie „schemaHistory“ manuell aus Ihrer Konfigurationsdatei löschen möchten, suchen Sie nach Folgendem:
<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>
Der symmetrische Schlüssel, mit dem das GCDS-Aktualisierungstoken verschlüsselt wird, wird vom standardmäßigen Java-Crypto-KeyGenerator mit AES 128 generiert.
Gespeichert wird der Schlüssel mit der Methode „userNodeForPackage“ in der Klasse „Preferences“ in Java. Der genaue Speicherort des Schlüssels wird nicht von GCDS gesteuert und ist betriebssystemabhängig.
Unter Windows werden die Einstellungsdaten für den Nutzer in der Registrierungsstruktur abgelegt, unter Linux im Home-Verzeichnis des Nutzers.
Wir empfehlen Kunden, Best Practices zu befolgen und ein verschlüsseltes Dateisystem sowie eingeschränkte ACLs zu verwenden, damit der Schlüssel sicher gespeichert wird.
Die eindeutige ID (auch als Nicht-Adressen-Primärschlüssel) wird intern von GCDS verwendet und nicht mit Google Workspace synchronisiert. GCDS speichert die eindeutige ID in einer TSV-Datei auf dem Computer, auf dem GCDS installiert ist. Sie finden den Namen der TSV-Datei und den vollständigen Pfad in der XML-Konfigurationsdatei.
Wenn ein Nutzer auf dem LDAP-Server, aber nicht in Google Workspace umbenannt wird, verwendet GCDS die eindeutige ID, um zu verhindern, dass die Informationen des Nutzers gelöscht oder dupliziert werden.
Hinweis: Wenn Sie die E-Mail-Adressen des Nutzers sowohl auf dem LDAP-Server als auch in Google Workspace manuell ändern, kann es zu Synchronisierungsproblemen kommen. Wenn Sie das vermeiden möchten, können Sie die entsprechenden Nutzereinträge aus der TSV-Datei entfernen, bevor Sie GCDS ausführen.
Google Cloud
Abschnitt öffnen | Alle minimieren und nach oben
Wie kann ich Sicherheitsgruppen von Active Directory oder meinem LDAP-Verzeichnis synchronisieren und in Cloud IAM verwenden?Sie können GCDS so konfigurieren, dass Sicherheitsgruppen mithilfe von LDAP-Suchregeln synchronisiert werden.
Beispiel 1: Nach allen Sicherheitsgruppen suchen
Dieses Beispiel zeigt eine LDAP-Suche nach allen Sicherheitsgruppen mit E-Mail-Adresse:
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))
Beispiel 2: Nach einem Teil der Sicherheitsgruppen suchen
Wenn Sie nur einen Teil der Sicherheitsgruppen synchronisieren möchten, sollten Sie „extensionAttribute1“ verwenden und einen bestimmten Wert festlegen, z. B. GoogleCloud. Damit können Sie dann die GCDS-Abfrage entsprechend verfeinern, um nur diese Teilmenge aller Sicherheitsgruppen bereitzustellen:
Dieses Beispiel zeigt eine LDAP-Suche nach allen Sicherheitsgruppen mit E-Mail-Adresse und dem Attribut „GoogleCloud“:
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))
Wichtig:
- Auf alle Gruppen innerhalb einer Google-Domain wird durch eine E-Mail-Adresse verwiesen. Sie müssen daher sicherstellen, dass alle Sicherheitsgruppen, die Sie synchronisieren möchten, ein gültiges E-Mail-Attribut definiert haben.
- In einer Google-Domain erstellte Gruppen haben in Google Cloud nicht automatisch eine explizite Identitäts- und Zugriffsverwaltungsrolle (Identity and Access Management – IAM). Nachdem eine Gruppe erstellt wurde, müssen Sie sie mithilfe von Cloud IAM einer bestimmten Rolle zuweisen.
Sie können GCDS konfigurieren, indem Sie eine Synchronisierungsregel zum Hinzufügen von Google Cloud-Nutzern einrichten. Am einfachsten erstellen Sie dazu eine neue Abfrage basierend auf den Nutzern, die Mitglied einer Gruppe sind:
(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Anschließend können Sie den folgenden Suchfilter verwenden, um Nutzer zurückzugeben, die Mitglieder einer Gruppe sind, eine E-Mail-Adresse haben und deren Konten nicht gesperrt sind:
group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com
Sie können diese Nutzer in einer Organisationseinheit zusammenzufassen. Legen Sie dafür in der Regel den Namen der Organisationseinheit fest, z. B. „Cloud-Nutzer“. Falls Sie noch keine solche Organisationseinheit haben, erstellen Sie sie neu.
Lizenzierungsprobleme
Denken Sie daran, wie Ihre Domain konfiguriert ist. So finden Sie den geeignetsten Weg, um Nutzerkonten Produktlizenzen zuzuweisen. Falls die automatische Lizenzierung aktiviert ist, sollten Sie die Organisationseinheit mit den Cloud-Nutzern möglicherweise von der Zuweisung einer Produktlizenz ausschließen. Weitere Informationen finden Sie im Hilfeartikel Automatische Lizenzierung für Organisationseinheiten festlegen.
Bei komplexeren Lizenzierungsanforderungen können Sie GCDS so konfigurieren, dass alle Lizenzzuweisungen Ihrer Nutzer synchronisiert und verwaltet werden. Weitere Informationen finden Sie im Hilfeartikel „Synchronisierung mit dem Konfigurationsmanager einrichten“ im Abschnitt Lizenzen synchronisieren.
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.