Questions fréquentes concernant GCDS

Google Cloud Directory Sync

Vous trouverez ci-dessous les questions fréquemment posées sur l'utilisation de Google Cloud Directory Sync.

Sur cette page

Configurer GCDS

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Comment puis-je autoriser GCDS sur une machine dépourvue d'interface utilisateur graphique (IUG) ?
  1. Assurez-vous d'utiliser la version 4.7.14 ou une version ultérieure de GCDS.

    Pour en savoir plus, consultez Mettre à jour GCDS.

  2. Autorisez GCDS sur un ordinateur disposant d'une IUG.

    Pour en savoir plus, consultez Autoriser votre compte Google.

  3. Créez et enregistrez le fichier XML. 
  4. Sur le même ordinateur, exécutez l'outil update-config avec la ligne de commande à l'aide du paramètre -exportkeys.

    Exemple : upgrade-config -exportkeys fichier de clé de chiffrement [mot de passe]

    Dans cet exemple, les clés sont exportées dans un fichier appelé fichier de clé de chiffrement. L'utilisation d'un mot de passe est facultative.

  5. Copiez le fichier de clé de chiffrement et le fichier de configuration sur un ordinateur sans IUG.
  6. Sur l'ordinateur dépourvu d'IUG, exécutez l'outil update-config avec la ligne de commande à l'aide du paramètre -importkeys.

    Exemple : upgrade-config -importkeys nom de fichier

    Important : Le paramètre -importkeys supprime toutes les configurations GCDS autorisées que vous possédez sur votre ordinateur. 

  7. Si nécessaire, saisissez le mot de passe que vous avez défini à l'étape 4.

    Vous devriez avoir confirmation que les clés ont bien été importées.

Conseil : Pour accéder à d'autres options, saisissez la commande upgrade-config -help dans la ligne de commande.

Comment déplacer GCDS vers un autre serveur ?
  1. Si vous pensez ou soupçonnez que des modifications d'adresse e-mail utilisateur sont en attente (changement de nom d'utilisateur), choisissez une option :
    • Exécutez une synchronisation sur l'ancien serveur.
    • Copiez les fichiers de valeurs séparées par des tabulations (TSV) sur le nouveau serveur.

      Vous trouverez le nom et l'emplacement des fichiers TSV dans le fichier de configuration en recherchant .tsv.

    • Installez GCDS sur le nouveau serveur. Pour obtenir des instructions, consultez Télécharger et installer GCDS.
  2. Copiez le fichier de configuration sur le nouveau serveur.
  3. Sur le nouveau serveur, ouvrez ce fichier de configuration dans le Gestionnaire de configuration.
  4. Autorisez à nouveau GCDS pour votre compte Google. Pour obtenir des instructions, consultez Autoriser votre compte Google.
  5. Sur la page LDAP Configuration (Configuration LDAP), mettez à jour le mot de passe LDAP. Pour obtenir des instructions, consultez Paramètres de connexion LDAP.
  6. Sur la page Notifications, mettez à jour le mot de passe SMTP. Pour obtenir des instructions, consultez Attributs de notification.
  7. Exécutez une simulation de synchronisation.
  8. Vérifiez la synchronisation pour vous assurer qu'aucune modification inattendue n'est survenue.
  9. Exécutez une synchronisation complète.

    Une fois la synchronisation effectuée, les fichiers TSV de l'ancien serveur sont mis à jour. Si vous n'avez pas transféré les fichiers TSV, d'autres fichiers sont créés.

Que puis-je faire si je rencontre des problèmes avec mes certificats ?

Si vous rencontrez des problèmes avec les certificats lors de l'exécution de GCDS, consultez Résoudre les problèmes liés aux certificats.

Votre compte Google

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Quelles sont les API utilisées par GCDS ?

GCDS utilise les API Google Workspace pour synchroniser vos données d'annuaire avec votre compte Google. Les API utilisent OAuth, et non le mot de passe d'un administrateur, pour s'authentifier. Cette approche permet de conserver des fonctionnalités telles que la validation en deux étapes actives, sans affecter le fonctionnement de GCDS.

Les API utilisées par GCDS sont les suivantes :

Pourquoi les modifications apportées à mon compte Google ne s'affichent-elles pas ?

Un délai de huit jours peut être nécessaire avant qu'une modification ne devienne visible dans votre compte Google. Pour en comprendre la raison, vous devez connaître la façon dont GCDS met en cache les données.

GCDS conserve les données de votre compte Google en mémoire cache pendant huit jours maximum. Selon la taille des données mises en cache, GCDS peut vider le cache plus fréquemment. Toutefois, s'il n'est pas vidé, un délai de huit jours peut être nécessaire pour que les modifications effectuées directement dans votre compte Google (à l'aide de la console d'administration ou d'un autre client d'API) soient visibles.

Une fois le cache vidé, GCDS identifie la modification apportée au compte Google et effectue une comparaison avec les données sources de l'annuaire LDAP. Si les données ne correspondent pas, GCDS annule la modification apportée au compte Google.

Pour vider manuellement le cache :

  • Exécutez une synchronisation à partir du Gestionnaire de configuration et sélectionnez l'option permettant de vider le cache lorsque cette opération s'exécute.
  • Forcez le vidage du cache à l'aide de l'indicateur de ligne de commande -f.
  • Modifiez le fichier de configuration XML pour définir la valeur de maxCacheLifetime sur 0.

Important : Vider le cache risque d'allonger considérablement le temps de synchronisation.

Comment GCDS accède-t-il aux données des profils utilisateur dans mon compte Google ?

Les profils utilisateur, y compris les attributs utilisateur supplémentaires, sont consignés dans le compte utilisateur Google et sont visibles dans l'annuaire du compte. GCDS accède à l'annuaire dans Google Contacts. Pour en savoir plus, consultez Présentation : configurer et gérer l'annuaire.

Comment GCDS détermine-t-il les alias d'adresse e-mail ajoutés à un compte Google ?

Vous pouvez spécifier les attributs évalués par GCDS dans sa configuration. GCDS évalue les données stockées dans l'attribut uniquement s'il s'agit d'une adresse SMTP valide.

Dans le cas de l'élément proxyAddresses de Microsoft Active Directory, GCDS efface le préfixe smtp: lors de la synchronisation, de sorte qu'il n'apparaît pas sur votre domaine Google.

Puis-je synchroniser plusieurs comptes Google à la fois ?

Oui. GCDS peut synchroniser un répertoire LDAP avec plusieurs comptes Google à l'aide de plusieurs fichiers de configuration. En cas de synchronisations simultanées, assurez-vous d'enregistrer les fichiers de configuration sous des noms uniques.

Pour cloner un fichier de configuration existant, utilisez l'option Enregistrer sous du gestionnaire de configuration et enregistrez-le sous un nouveau nom.

Comment GCDS résout-il les problèmes de comptes en conflit ?

GCDS suit les paramètres de gestion des comptes en conflit que vous avez configurés dans la console d'administration Google. Pour en savoir plus, consultez Gérer les comptes en conflit avec GCDS.

Synchronisation des utilisateurs et des unités organisationnelles

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Comment puis-je configurer GCDS de façon à n'inclure qu'un sous-ensemble d'utilisateurs ?

Si vous souhaitez synchroniser un sous-ensemble de comptes utilisateur avec votre compte Google, vous pouvez utiliser un seul groupe de l'annuaire LDAP ou Active Directory en guise de source. Si vous utilisez un groupe, le nombre de comptes utilisateur provisionnés dans votre compte Google sera limité.

Exemple :

Requête utilisateur
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Cette requête renvoie tous les utilisateurs qui sont membres du groupe (identifié par son nom distinctif), qui disposent d'adresses e-mail et dont les comptes ne sont pas désactivés.

Comment puis-je éviter qu'une unité organisationnelle de mon compte Google soit synchronisée ?

Vous pouvez configurer GCDS pour qu'il exclue une unité organisationnelle configurée dans votre compte Google. Pour cela, définissez une règle d'exclusion du chemin complet de l'unité organisationnelle dans la configuration du domaine Google.

Exemple :

Règle d'exclusion
Type : Organization Complete Path (Chemin complet d'unité organisationnelle)
Match Type (Type de correspondance) : Exact Match (Correspondance exacte)
Rule (Règle) : /OUPath/MyExcludedOU

Puis-je synchroniser les comptes utilisateur avec un domaine secondaire ?

Si vous avez ajouté un domaine secondaire, vous pouvez synchroniser les comptes utilisateur avec ce domaine à l'aide de GCDS. Pour synchroniser les comptes utilisateur avec votre domaine secondaire, assurez-vous que les adresses e-mail des utilisateurs de votre serveur LDAP correspondent à celles de votre domaine secondaire. GCDS crée les comptes utilisateur de votre compte Google en utilisant votre domaine secondaire comme adresse e-mail principale.

Si vous ne souhaitez pas modifier votre attribut de messagerie LDAP existant, attribuez-en un autre pour synchroniser les adresses e-mail des utilisateurs de votre domaine secondaire. Pour en savoir plus sur les domaines secondaires, consultez Ajouter un domaine avec alias d'utilisateur ou un domaine secondaire.

Puis-je utiliser des caractères génériques dans une requête LDAP de recherche d'utilisateurs ?

Oui, à condition que le serveur LDAP accepte les caractères génériques.

Les annuaires LDAP ne permettent pas l'utilisation de caractères génériques dans les attributs de nom distinctif (distinguishedName) lors d'une requête de recherche d'utilisateurs. Par exemple, vous pouvez utiliser (mail=utilisateur*), mais pas (distinguishedName=*,DC=domaine,DC=com).

Puis-je effectuer une recherche récursive pour les requêtes de recherche d'utilisateurs ?

Oui, si vous utilisez un serveur LDAP qui accepte les recherches récursives. Elles sont compatibles avec Active Directory, mais pas avec OpenLDAP.

Pourquoi mon compte utilisateur Google Workspace est-il suspendu après que j'ai exécuté GCDS ?

Si un compte utilisateur Google Workspace est suspendu après que vous avez exécuté GCDS, vous recevez un rapport d'erreur en expliquant les raisons. Afin d'éviter de répéter cette erreur, en particulier lors des synchronisations suivantes, vous pouvez mettre en œuvre l'une des solutions ci-dessous, en fonction de la cause du problème :

  • Problème : L'utilisateur n'existe pas sur le serveur LDAP.

    Solution : Puisque l'utilisateur n'existe pas sur le serveur LDAP, le client doit définir une règle d'exclusion Google pour empêcher la suspension de ce compte utilisateur par GCDS dans Google Workspace.

  • Problème : L'utilisateur ne possède pas d'adresse e-mail valide sur le serveur LDAP.

    Solution : Vous devez configurer une adresse e-mail pour cet utilisateur ou définir une règle d'exclusion de comptes utilisateur Google pour empêcher GCDS de suspendre le compte utilisateur dans Google Workspace.

    Vous pouvez également modifier la configuration de GCDS pour qu'elle utilise l'attribut d'adresse e-mail de l'utilisateur présent sur le serveur LDAP. Utilisez par exemple l'attribut userPrincipalName (UPN) plutôt que l'attribut userPrincipalName.

  • Problème : Les règles d'exclusion ignorent l'utilisateur sur le serveur LDAP.

    Solution : Vous devez corriger les règles d'exclusion si vous ne souhaitez pas suspendre cet utilisateur.

  • Problème : Les règles de recherche trouvent l'utilisateur et le suspendent, car l'option Suspend these users in the Google Domain (Suspendre ces utilisateurs dans le domaine Google) est cochée.

    Solution : Il se peut que l'utilisateur doive être suspendu.

  • Problème : L'utilisateur a été suspendu sur le serveur LDAP.

    Solution : Il se peut que l'utilisateur doive être suspendu.

Synchronisation des groupes

Ouvrir la section  |  Tout réduire et revenir en haut de la page

GCDS peut-il synchroniser les appartenances circulaires aux groupes ?

Dans une appartenance circulaire à un groupe, deux groupes (ou plus) sont membres l'un de l'autre. Par exemple, le groupe A est membre du groupe B, et le groupe B est membre du groupe A.

Les appartenances circulaires sont compatibles avec le protocole LDAP et Microsoft Active Directory. Toutefois, elles ne sont pas compatibles avec Google Groupes. Si vous essayez de synchroniser une appartenance circulaire, le message d'erreur suivant s'affiche : "Les appartenances circulaires ne sont pas autorisées".

Comment puis-je empêcher GCDS de supprimer ou modifier les groupes que j'ai créés ?

Vous pouvez configurer GCDS pour qu'il exclue un groupe en définissant une règle d'exclusion d'adresse e-mail de groupe dans la configuration du domaine Google. Pour en savoir plus, consultez Utiliser des règles pour les données Google.

Exemple :

Règle d'exclusion
Type : Group Email Address (Adresse e-mail de groupe)
Match Type (Type de correspondance) : Exact Match (Correspondance exacte)
Rule (Règle) : GCP_Project1@example.com

Remarque : Nous vous recommandons de créer et de gérer ces groupes dans votre annuaire LDAP. Les appartenances aux groupes sont systématiquement actualisées dans votre compte Google lorsque GCDS synchronise les données.

Pour conserver les groupes existants qui ne figurent pas dans LDAP, vous pouvez activer le paramètre Don’t delete Google Groups not found in LDAP (Ne pas supprimer les groupes Google introuvables dans LDAP). Pour en savoir plus, consultez Règles de suppression des groupes Google.

GCDS synchronise-t-il les groupes créés par les utilisateurs ?

Un groupe créé par un utilisateur est un groupe créé dans Google Groups for Business. Si un groupe LDAP correspond à un groupe créé par un utilisateur, GCDS ignore ce groupe et ne le synchronise pas. Si le groupe LDAP ne correspond pas aux données LDAP, il n'est pas supprimé.

Si vous avez ajouté des membres à l'objet ou l'entité correspondants dans LDAP, GCDS ajoute ces membres au groupe. Si vous avez ajouté au groupe Google des utilisateurs qui ne correspondent pas aux données LDAP, ces membres ne sont pas supprimés lors de la synchronisation.

Pour en savoir plus sur les groupes créés par les utilisateurs, consultez FAQ à l'intention des administrateurs de Google Groupes.

GCDS peut-il synchroniser les appartenances aux groupes imbriqués ?

Oui, GCDS synchronise les appartenances aux groupes imbriqués. Toutefois, il existe certaines limites concernant les groupes imbriqués et la distribution des e-mails avec Google Groups for Business. Dans les cas suivants, les membres des groupes imbriqués ne reçoivent pas tout le contenu des e-mails envoyés au groupe :

  • Autorisation de modération activée : un e-mail n'est pas dirigé automatiquement vers les membres d'un groupe ni vers d'autres groupes imbriqués tant que le modérateur du groupe n'a pas donné son approbation.
  • Un groupe parent ne dispose pas de l'autorisation de publication lui permettant d'envoyer le message aux groupes imbriqués.

Articles associés

GCDS peut-il rechercher les membres des groupes imbriqués ?

Oui. GCDS synchronise tous les membres des groupes, qu'il s'agisse d'utilisateurs ou d'autres groupes. Toutefois, GCDS ne peut pas appliquer les règles de recherche permettant d'afficher les membres de groupes imbriqués si celles-ci ne sont pas compatibles avec votre serveur LDAP.

Paramètres généraux

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Comment ajouter un flag de fonctionnalité facultatif au fichier de configuration GCDS ?

Avant de commencer : assurez-vous que GCDS est compatible avec cette fonctionnalité.

  1. Recherchez le fichier de configuration. Il s'agit du même fichier XML que celui que vous utilisez pour charger votre configuration GCDS.
  2. Ouvrez le fichier dans un éditeur de texte.
  3. Dans le fichier XML, recherchez la balise <features>, puis insérez une nouvelle ligne à l'intérieur de la balise. 
  4. Dans la nouvelle ligne, ajoutez une balise <optional> contenant le nom de la fonctionnalité.
  5. Enregistrez et fermez le fichier.

Exemple

L'exemple suivant montre comment ajouter la fonctionnalité DONT_RESOLVE_USER_CONFLICT_ACCOUNTS.

<features>

      <optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>

</features>

Pourquoi GCDS renvoie-t-il sans cesse une erreur lorsque le cache est vidé ?

Il peut s'agir d'un problème de configuration, tel qu'une erreur de configuration d'une règle d'exclusion. Ce type d'erreur de configuration peut être masqué par la mise en cache dans GCDS.

GCDS conserve les données de votre service Google (tel que Google Workspace ou Cloud Identity) en mémoire cache pendant huit jours maximum. Selon la taille des données mises en cache, GCDS peut vider le cache plus fréquemment. Toutefois, s'il n'est pas vidé, un délai de huit jours peut être nécessaire pour que les modifications effectuées directement dans votre compte Google (à l'aide de la console d'administration ou d'un autre client d'API) soient visibles.

Pour vider manuellement le cache :

  • Exécutez une synchronisation à partir du gestionnaire de configuration et sélectionnez l'option permettant de vider le cache lorsque cette opération s'exécute.
  • Forcez le vidage du cache à l'aide de l'indicateur de ligne de commande -f.
  • Modifiez le fichier de configuration XML pour définir la valeur de maxCacheLifetime sur 0.

Important : Vider le cache risque d'allonger considérablement le temps de synchronisation.

Exemple : Un groupe existe à la fois sur votre serveur LDAP et dans votre compte Google. Vous créez une règle d'exclusion Google pour ce groupe, dans l'espoir d'empêcher GCDS de le modifier lors d'une synchronisation.

Toutefois, en raison de cette règle, GCDS considère que le groupe n'existe pas dans votre compte Google. Étant donné que le groupe existe déjà, une erreur s'affiche lorsque GCDS tente de le créer, et GCDS ajoute le groupe au cache. Les synchronisations suivantes utilisent le cache, et GCDS reconnaît que le groupe existe déjà. Ensuite, une fois le cache vidé, GCDS considère à nouveau que le groupe n'existe pas.

Pourquoi dois-je configurer GCDS pour la synchronisation des mots de passe ?

Les paramètres de synchronisation de mot de passe par défaut dans GCDS permettent de définir comment GCDS crée des mots de passe pour les nouveaux comptes utilisateur. Si vous ne souhaitez pas personnaliser un mot de passe de compte initial, aucune action de votre part n'est nécessaire. Il vous suffit d'utiliser les paramètres par défaut.

Si vous utilisez Active Directory, vous pouvez recourir à Password Sync pour synchroniser les mots de passe utilisateur Active Directory dans votre domaine Google.

Comment GCDS résout-il les conflits lorsque plusieurs règles de synchronisation s'appliquent ?

GCDS applique les règles en fonction de leur niveau de priorité, en commençant par la règle de priorité supérieure.

Supposons que vous configuriez une règle de synchronisation de comptes utilisateur pour créer des utilisateurs dans l'unité organisationnelle racine (ou /). Vous créez ensuite une règle de priorité inférieure pour créer des utilisateurs dans l'unité organisationnelle /Exceptions. Après une synchronisation, les comptes utilisateur correspondant à ces deux règles sont créés dans l'unité organisationnelle racine, car cette règle présente une priorité plus élevée.

Pour faire en sorte que les utilisateurs soient correctement placés dans /Exceptions, veillez à répertorier la règle correspondante avant toute autre règle en conflit. Vous pouvez également vous assurer qu'il s'agit de la première règle de la liste numérotée.

Comment puis-je auditer et examiner une synchronisation GCDS ?

GCDS utilise le protocole OAuth 2.0 en trois étapes pour l'autorisation. Ce processus octroie à GCDS un jeton OAuth 2.0. Ce jeton permet à GCDS de prendre des mesures au nom de l'administrateur qui a effectué l'autorisation.

Tous les événements d'audit sont répertoriés par l'administrateur qui a autorisé GCDS. Envisagez de créer un compte administrateur GCDS dédié afin d'identifier facilement les modifications et les audits effectués par GCDS.

Article associé

Autoriser votre compte Google

Si j'active la synchronisation des schémas, GCDS supprime-t-il mes schémas ?

Lors d'une synchronisation, GCDS prend en compte la configuration LDAP actuelle pour déterminer si un schéma personnalisé doit être conservé dans votre compte Google, ou supprimé.

En outre, le fichier de configuration de GCDS comprend un historique schemaHistory qui contient les informations sur les schémas personnalisés déjà synchronisés. Si un schéma personnalisé a été synchronisé par GCDS, il est automatiquement ajouté à l'historique "schemaHistory". Si vous supprimez manuellement les paramètres de "schemaHistory" dans le fichier de configuration et que le schéma personnalisé n'existe pas dans votre annuaire LDAP, GCDS ignore le schéma personnalisé et ne le supprime pas de votre compte Google.

Pour supprimer manuellement l'historique "schemaHistory" dans votre fichier de configuration, recherchez les éléments suivants :

<schemas>
   <schemaDefinitions />
   <schemaHistory>
      <schemaName>Membresdugroupe</schemaName>
   </schemaHistory>
</schemas>

Puis-je synchroniser GCDS depuis plusieurs annuaires LDAP ?
GCDS ne peut se synchroniser que depuis un seul annuaire LDAP. Si vous possédez plusieurs annuaires LDAP, regroupez les données de votre serveur LDAP dans un seul annuaire. Pour en savoir plus, consultez l'étape 2 de Préparer votre annuaire LDAP.
Comment GCDS génère-t-il et stocke-t-il en toute sécurité la clé symétrique ?

La clé symétrique qui chiffre le jeton d'actualisation GCDS est générée par le crypto KeyGenerator Java par défaut qui utilise AES 128.

Le stockage de la clé symétrique est géré par la méthode userNodeForPackage dans la classe de Préférences de Java. L'emplacement précis de la clé n'est pas contrôlé par GCDS et dépend du système d'exploitation.

Sous Windows, les données de préférence sont stockées dans la ruche de registre pour l'utilisateur. Sous Linux, elles sont stockées dans le répertoire de départ de l'utilisateur.

Nous recommandons aux clients de suivre les bonnes pratiques visant à garantir que la clé est correctement sécurisée en utilisant un système de fichiers chiffrés et en s'assurant que les listes de contrôle d'accès (LCA) sont limitées.

Qu'est-ce que l'identifiant unique ?

L'identifiant unique (également appelé "clé primaire sans adresse") est utilisé en interne par GCDS et n'est pas synchronisé avec Google Workspace. GCDS stocke l'identifiant unique dans un fichier TSV sur l'ordinateur sur lequel il est installé. Vous trouverez le nom du fichier TSV et son chemin d'accès complet dans le fichier de configuration XML.

Si un utilisateur est renommé sur le serveur LDAP, mais pas dans Google Workspace, GCDS se sert de l'identifiant unique pour éviter que les informations sur l'utilisateur soient supprimées ou dupliquées.

Remarque : Vous risquez de provoquer des problèmes de synchronisation si vous modifiez manuellement les adresses e-mail de l'utilisateur à la fois sur le serveur LDAP et dans Google Workspace. Pour éviter cela, supprimez les enregistrements de l'utilisateur correspondant du fichier TSV avant d'exécuter GCDS.

Google Cloud

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Comment puis-je synchroniser les groupes de sécurité à partir d'Active Directory ou de mon annuaire LDAP, et les utiliser dans Cloud IAM ?

Vous pouvez configurer GCDS pour qu'il synchronise les groupes de sécurité en utilisant des règles de recherche LDAP.

Exemple 1 : Rechercher tous les groupes de sécurité

Cet exemple présente une recherche LDAP portant sur tous les groupes de sécurité dotés d'une adresse e-mail :

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Exemple 2 : Rechercher un sous-ensemble de groupes de sécurité

Si vous souhaitez synchroniser un sous-ensemble de groupes de sécurité, vous pouvez utiliser extensionAttribute1 et définir une valeur spécifique (par exemple GoogleCloud). Vous pouvez ensuite affiner la requête GCDS de façon à provisionner uniquement ce sous-ensemble de groupes de sécurité.

Cet exemple présente une recherche LDAP portant sur tous les groupes de sécurité dotés d'une adresse e-mail et de l'attribut GoogleCloud :

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

Important :

  • Tous les groupes d'un domaine Google sont référencés par une adresse e-mail. Vous devez vous assurer qu'un attribut de messagerie valide a été défini pour tous les groupes de sécurité que vous souhaitez synchroniser.
  • Un groupe créé dans un domaine Google ne dispose pas automatiquement d'un rôle explicite Google Cloud Identity and Access Management (IAM). Une fois qu'un groupe a été créé, vous devez utiliser Cloud IAM pour attribuer ce groupe à des rôles spécifiques.
Comment puis-je ajouter des utilisateurs ayant seulement besoin d'un compte pour les projets Google Cloud ?

Vous pouvez configurer GCDS en ajoutant une règle de synchronisation pour les utilisateurs Google Cloud. La meilleure façon de procéder consiste à créer une requête basée sur les utilisateurs membres d'un groupe. Exemple :

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Le filtre de recherche ci-après vous permet d'obtenir la liste des utilisateurs qui sont membres du groupe, qui disposent d'une adresse e-mail et dont le compte n'est pas suspendu :

group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

Envisagez de placer ces utilisateurs dans une même unité organisationnelle. Pour ce faire, définissez un nom d'unité organisationnelle (par exemple, "Utilisateurs Cloud") dans la règle. Si cette unité organisationnelle n'existe pas encore, créez-la.

Problèmes liés à la gestion des licences

Examinez la façon dont votre domaine est configuré pour attribuer les licences de produits appropriées aux comptes utilisateur. Si l'attribution automatique des licences est activée, vous devrez peut-être exclure l'unité organisationnelle "Utilisateurs Cloud" du processus d'attribution des licences produit. Pour en savoir plus, consultez Définir les options relatives à l'attribution automatique des licences pour une organisation.

Pour les exigences plus complexes en matière d'attribution de licences, vous pouvez configurer GCDS pour qu'il synchronise et gère la totalité de vos attributions de licences utilisateur. Pour en savoir plus, consultez Synchroniser les licences


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
10755436695896690703
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false