GCDS FAQ

Google Cloud 디렉터리 동기화

다음은 Google Cloud 디렉터리 동기화 사용에 대한 일반적인 질문입니다.

이 페이지의 내용

GCDS 설정하기

섹션 열기  |  모두 접고 상단으로 이동하기

GUI가 없는 시스템을 사용하는 경우 GCDS를 승인하려면 어떻게 해야 하나요?
  1. GCDS 버전 4.7.14 이상을 실행 중인지 확인합니다.

    자세한 내용은 GCDS 업데이트하기를 참고하세요.

  2. GUI가 있는 컴퓨터에서 GCDS를 승인합니다.

    자세한 내용은 Google 계정 승인하기를 참고하세요.

  3. XML 파일을 만들어 저장합니다. 
  4. 동일한 컴퓨터에서 명령줄을 사용하여 -exportkeys 매개변수로 upgrade-config 도구를 실행합니다.

    예: upgrade-config -exportkeys encryption key file [password]

    이 예에서는 키를 encryption key file이라고 하는 파일로 내보내며, 비밀번호 사용은 선택사항입니다.

  5. 암호화 키 파일 및 구성 파일을 GUI가 없는 컴퓨터에 복사합니다.
  6. GUI가 없는 컴퓨터에서 명령줄을 사용하여 -importkeys 매개변수로 upgrade-config 도구를 실행합니다.

    예: upgrade-config -importkeys file name

    중요: -importkeys 매개변수는 컴퓨터에 있을 수 있는 모든 승인된 GCDS 구성을 삭제합니다. 

  7. 필요한 경우 4단계에서 설정한 비밀번호를 입력합니다.

    키 가져오기가 완료되었다는 확인 메시지가 표시됩니다.

도움말: 더 많은 옵션을 보려면 명령줄에서 upgrade-config -help 명령을 입력하세요.

GCDS를 다른 서버로 이동하려면 어떻게 해야 하나요?
  1. 보류 중인 사용자 이메일 주소 변경사항(사용자가 이름을 변경하는 경우)이 있는 것으로 생각되거나 이러한 변경사항이 있는지 잘 모르는 경우 다음 옵션 중 하나를 선택합니다.
    • 이전 서버에서 동기화를 실행합니다.
    • 탭으로 구분된 값(TSV) 파일을 새 서버로 복사합니다.

      .tsv를 검색하여 구성 파일에서 TSV 파일의 이름과 위치를 찾을 수 있습니다.

    • 새 서버에 GCDS를 설치합니다. 자세한 내용은 GCDS 다운로드 및 설치하기를 참고하세요.
  2. 구성 파일을 새 서버로 복사합니다.
  3. 새 서버의 구성 관리자에서 구성 파일을 엽니다.
  4. Google 계정의 GCDS를 다시 승인합니다. 자세한 내용은 Google 계정 승인하기를 참고하세요.
  5. LDAP 구성 페이지에서 LDAP 비밀번호를 업데이트합니다. 자세한 내용은 LDAP 연결 설정을 참고하세요.
  6. 알림 페이지에서 SMTP 비밀번호를 업데이트합니다. 자세한 안내는 알림 속성을 참고하세요.
  7. 시뮬레이션된 동기화를 실행합니다.
  8. 예상치 못한 변경사항이 없도록 동기화를 검토합니다.
  9. 전체 동기화를 실행합니다.

    동기화하면 이전 서버의 TSV 파일이 업데이트됩니다. TSV 파일을 전송하지 않았다면 새 파일이 생성됩니다.

인증서에 문제가 있는 경우 어떻게 해야 하나요?

GCDS 실행 시 인증서에 문제가 있는 경우인증서 관련 문제 해결하기를 참고하세요.

Google 계정

섹션 열기  |  모두 접고 상단으로 이동하기

GCDS에서는 어떤 API를 사용하나요?

GCDS는 Google Workspace API를 사용하여 디렉터리 데이터를 Google 계정에 동기화합니다. API는 관리자의 비밀번호가 아닌 OAuth를 사용하여 인증합니다. 이 방법을 사용하면 GCDS 기능에 영향을 주지 않고 2단계 인증(2SV)과 같은 기능을 활성 상태로 유지할 수 있습니다.

GCDS에서 사용하는 API는 다음과 같습니다.

내 Google 계정에 예상되는 변경사항이 표시되지 않는 이유는 무엇인가요?

Google 계정에 변경사항이 표시되는 데 최대 8일이 소요될 수 있습니다. 그 이유를 알아보려면 GCDS에서 데이터를 캐시하는 방법을 파악해야 합니다.

GCDS에서는 Google 계정 데이터를 최대 8일 동안 캐시합니다. GCDS는 캐시된 데이터의 크기에 따라 캐시를 더 자주 삭제할 수 있습니다. 하지만 캐시가 삭제되지 않으면 관리 콘솔 또는 다른 API 클라이언트를 사용하여 Google 계정에서 직접 변경한 사항이 표시되는 데 최대 8일이 소요될 수 있습니다.

캐시가 삭제되면 GCDS에서 Google 계정의 변경사항을 식별하고 이를 LDAP 디렉터리의 원본 데이터와 비교합니다. 데이터가 일치하지 않으면 GCDS에서는 Google 계정에서 이루어진 변경사항을 실행취소합니다.

캐시를 수동으로 삭제하려면 다음 안내를 따르세요.

  • 구성 관리자에서 동기화를 실행하고 동기화를 수행할 때 캐시 삭제를 선택합니다.
  • 명령줄 플래그 -f를 사용하여 캐시를 강제 삭제합니다.
  • XML 구성 파일을 수정하여 maxCacheLifetime 값을 0으로 설정합니다.

중요: 캐시를 삭제하면 동기화 시간이 상당히 증가할 수 있습니다.

GCDS에서는 내 Google 계정의 사용자 프로필 데이터에 어떻게 액세스하나요?

추가 사용자 속성을 비롯한 사용자 프로필은 Google 사용자 계정에 기록되며 계정의 디렉터리에 표시됩니다. GCDS에서는 Google 주소록의 디렉터리에 액세스합니다. 자세한 내용은 개요: 디렉터리 설정 및 관리하기를 참고하세요.

GCDS에서는 Google 계정에 추가되는 별칭 이메일 주소를 어떻게 결정하나요?

GCDS 구성에서 GCDS가 평가하는 속성을 지정할 수 있습니다. GCDS에서는 유효한 SMTP 주소와 일치하는 경우에만 속성에 저장된 데이터를 평가합니다.

Microsoft Active Directory proxyAddresses를 사용하는 경우, GCDS는 동기화를 실행하는 동안 smtp: 접두사를 삭제하여 Google 도메인에 이 접두사가 표시되지 않도록 합니다. 

동시에 2개 이상의 Google 계정에 동기화할 수 있나요?

예. GCDS를 사용하면 구성 파일을 2개 이상 사용하여 하나의 LDAP 디렉터리를 여러 Google 계정에 동기화할 수 있습니다. 여러 계정에 동기화가 동시에 실행되는 경우 구성 파일이 고유한 이름으로 저장되는지 확인합니다.

기존 구성 파일을 복제하려면 구성 관리자에서 다른 이름으로 저장 옵션을 사용하여 새 이름으로 파일을 저장합니다.

GCDS에서는 중복 계정을 어떻게 해결하나요?

GCDS는 Google 관리 콘솔에서 설정한 중복 계정 관리 설정을 따릅니다. 자세한 내용은 GCDS로 중복 계정 관리하기를 참고하세요.

사용자 및 조직 단위 동기화하기

섹션 열기  |  모두 접고 상단으로 이동하기

일부 사용자만 프로비저닝하도록 GCDS를 구성하려면 어떻게 해야 하나요? 

일부 사용자를 Google 계정에 동기화하려는 경우 Active Directory 또는 LDAP 디렉터리의 단일 그룹을 소스로 사용할 수 있습니다. 그룹을 사용하면 Google 계정에서 프로비저닝되는 사용자 수가 제한됩니다.

예:

사용자 쿼리
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

이 쿼리는 그룹 DN으로 식별되는 그룹의 구성원인 모든 사용자 중 이메일 주소를 가지고 있으며 계정이 사용 중지되지 않은 사용자를 반환합니다.

Google 계정의 조직 단위를 동기화에서 제외하려면 어떻게 해야 하나요?

Google 도메인 구성에서 조직 전체 경로 제외 규칙을 정의하면 Google 계정에 설정된 조직 단위를 제외하도록 GCDS를 구성할 수 있습니다.

예:

제외 규칙
유형: 조직 전체 경로
검색 유형: 일치검색
규칙: /OUPath/MyExcludedOU

사용자를 보조 도메인에 동기화할 수 있나요?

추가(보조) 도메인을 추가한 경우 GCDS를 사용하여 해당 도메인으로 사용자를 동기화할 수 있습니다. 사용자를 보조 도메인으로 동기화하려면 LDAP 서버에 있는 사용자의 메일 주소가 보조 도메인 이름과 일치해야 합니다. GCDS에서는 보조 도메인을 기본 메일 주소로 사용하여 Google 계정 사용자를 생성합니다.

기존 LDAP 메일 속성을 변경하지 않으려면 다른 속성을 지정하여 보조 도메인 사용자의 이메일 주소를 동기화하세요. 보조 도메인에 대한 자세한 내용은 사용자 별칭 도메인 또는 보조 도메인 추가하기를 참고하세요.

LDAP 사용자 검색어로 와일드 카드를 사용할 수 있나요?

예, LDAP 서버에서 와일드 카드를 지원하면 가능합니다.

사용자 검색어를 실행할 때 LDAP 디렉터리에서는 DN 속성의 와일드 카드를 지원하지 않습니다. 예를 들어 (mail=user*)는 사용할 수 있지만 (distingudishedName=*,DC=domain,DC=com)은 사용할 수 없습니다.

사용자 검색어에 memberOf 재귀 검색을 사용할 수 있나요?

예, memberOf 재귀 검색을 지원하는 LDAP 서버를 사용하는 경우 사용할 수 있으며 Active Directory에서는 지원되지만 OpenLDAP에서는 지원되지 않습니다.

GCDS를 실행한 후 Google Workspace 사용자 계정이 정지되는 이유는 무엇인가요?

GCDS를 실행한 후 Google Workspace 사용자 계정이 정지되면 계정이 정지된 이유가 설명된 보고서를 받게 됩니다. 이후의 동기화에서 특정 오류가 반복되지 않도록 문제의 원인에 따라 다음 해결책 중 하나를 구현할 수 있습니다.

  • 문제: 사용자가 LDAP 서버에 존재하지 않습니다.

    해결책: 사용자가 LDAP 서버에 없으므로 고객은 Google 사용자 제외 규칙을 설정하여 GCDS가 Google Workspace.에서 해당 사용자를 정지시키지 않도록 합니다.

  • 문제: LDAP 서버에 올바른 사용자 이메일이 없습니다.

    해결 방법: 이 사용자의 이메일 주소를 구성하거나 Google 사용자 제외 규칙을 설정하여 GCDS가 Google Workspace에서 해당 사용자를 정지시키지 않도록 합니다.

    LDAP 서버에 있는 사용자의 이메일 주소 속성을 사용하도록 GCDS 구성을 변경할 수도 있습니다. 예를 들어 userPrincipalName 속성 대신 userPrincipalName(UPN) 속성을 사용합니다.

  • 문제: LDAP 서버의 제외 규칙에 따라 사용자를 계속 건너뜁니다.

    해결책: 이 사용자를 정지하지 않으려면 제외 규칙을 수정해야 합니다.

  • 문제: Google 도메인에서 사용자 정지 옵션이 선택되었으므로 사용자가 검색 규칙에서 발견되어 정지됩니다.

    해결책: 사용자를 정지해야 할 수 있습니다.

  • 문제: 사용자가 LDAP 서버에서 정지되었습니다.

    해결책: 사용자를 정지해야 할 수 있습니다.

그룹 동기화하기

섹션 열기  |  모두 접고 상단으로 이동하기

GCDS에서는 중첩된 그룹 멤버십을 동기화할 수 있나요?

중첩된 그룹 멤버십에서는 2개 이상의 그룹이 서로의 구성원입니다. 예를 들어 그룹 A는 그룹 B의 구성원이고 그룹 B는 그룹 A의 구성원인 경우입니다.

중첩된 그룹 멤버십은 LDAP 및 Microsoft Active Directory에서 지원되지만 Google 그룹스에서는 지원되지 않습니다. 중첩된 멤버십을 동기화하려고 하면 '중첩된 멤버십은 허용되지 않습니다.'라는 오류 메시지가 표시됩니다.

GCDS가 내가 만든 기존 그룹을 삭제하거나 수정하지 않도록 하려면 어떻게 해야 하나요?

Google 도메인 구성에서 그룹 이메일 주소 제외 규칙을 정의하여 특정 그룹을 제외하도록 GCDS를 구성할 수 있습니다. 자세한 내용은 Google 데이터에 규칙 사용하기를 참고하세요.

예:

제외 규칙
유형: 그룹 이메일 주소
검색 유형: 일치검색
규칙: GCP_Project1@example.com

참고: LDAP 디렉터리에서 이 그룹을 만들고 관리하는 것이 좋습니다. GCDS에서 데이터를 동기화하면 그룹 멤버십이 Google 계정에 최신 상태로 유지됩니다.

LDAP에 없는 기존 그룹을 유지하려면 LDAP 서버에 없는 Google 그룹스를 삭제하지 않음 설정을 사용 설정할 수 있습니다. 자세한 내용은 Google 그룹 삭제 정책을 참고하세요.

GCDS에서는 사용자가 만든 그룹을 동기화하나요?

사용자가 만든 그룹은 Google Groups for Business에서 만든 그룹입니다. GCDS에서는 LDAP 그룹과 사용자가 만든 그룹이 일치하면 해당 그룹을 제외하는 GCDS 제외 규칙을 통해 해당 그룹을 동기화하지 않습니다. LDAP 데이터와 일치하지 않는 그룹은 삭제되지 않습니다. 

LDAP의 해당 개체/항목에 구성원이 추가된 경우 GCDS에서는 해당 구성원을 그룹에 추가합니다. LDAP 데이터와 일치하지 않는 Google 그룹에 사용자가 추가된 경우 해당 구성원은 동기화 프로세스 동안 삭제되지 않습니다.

사용자가 만든 그룹에 대한 자세한 내용은 그룹스 관리자 FAQ를 참고하세요.

GCDS는 중첩된 그룹 멤버십을 동기화할 수 있나요?

예, GCDS에서는 중첩된 그룹 멤버십을 동기화합니다. 하지만 Google Groups for Business에는 중첩된 그룹 및 이메일 전송과 관련하여 몇 가지 제한사항이 있습니다. 다음의 경우 그룹으로 전송된 이메일 콘텐츠가 중첩된 그룹 구성원 중 일부에게만 전송됩니다.

  • 검토 권한이 사용 설정되었습니다. 그룹 운영자가 승인할 때까지 그룹 구성원 또는 다른 중첩된 그룹에 이메일이 자동으로 전달되지 않습니다.
  • 상위 그룹에는 중첩된 그룹에 메일을 보낼 게시 권한이 없습니다.

관련 주제

GCDS에서는 중첩된 그룹 멤버십을 검색할 수 있나요?

예. GCDS에서는 그룹의 회원이 사용자인지 그룹인지에 관계없이 회원을 동기화합니다. 하지만 중첩된 그룹의 회원을 확장하기 위한 검색 규칙이 LDAP 서버에서 지원되지 않으면 GCDS에서는 이 검색 규칙을 지원하지 않습니다.

기본설정

섹션 열기  |  모두 접고 상단으로 이동하기

GCDS 구성 파일에 기능 플래그 옵션을 추가하려면 어떻게 해야 하나요?

시작하기 전에: GCDS에서 이 기능을 지원하는지 확인하세요.

  1. 구성 파일을 찾습니다. GCDS 구성을 로드하는 데 사용하는 것과 동일한 XML 파일입니다.
  2. 텍스트 편집기로 구성 파일을 엽니다.
  3. XML 파일에서 <features> 태그를 찾아 태그 내에 새 줄을 삽입합니다. 
  4. 새 줄에 새 <optional> 태그를 추가하고 그 안에 기능 이름을 입력합니다.
  5. 파일을 저장하고 닫습니다.

다음 예는 DONT_RESOLVE_USER_CONFLICT_ACCOUNTS 기능을 추가하는 방법을 보여줍니다.

<features>

      <optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>

</features>

캐시를 삭제하면 GCDS에서 오류가 계속 발생하는 이유는 무엇인가요?

제외 규칙 구성 오류와 같은 구성 문제로 인해 오류가 발생할 수 있습니다. 구성 오류는 GCDS 캐싱에서 숨겨질 수 있습니다.

GCDS는 Google 서비스(예: Google Workspace 또는 Cloud ID) 데이터를 최대 8일 동안 캐시합니다. GCDS는 캐시된 데이터의 크기에 따라 캐시를 더 자주 삭제할 수 있습니다. 하지만 캐시가 삭제되지 않으면 관리 콘솔 또는 다른 API 클라이언트를 사용하여 Google 계정에서 직접 변경한 사항이 표시되는 데 최대 8일이 소요될 수 있습니다. 

캐시를 수동으로 삭제하려면 다음 안내를 따르세요.

  • 구성 관리자에서 동기화를 실행하고 동기화를 수행할 때 캐시를 삭제하도록 선택합니다.
  • 명령줄 플래그 -f를 사용하여 캐시를 강제 삭제합니다.
  • XML 구성 파일을 수정하여 maxCacheLifetime 값을 0으로 설정합니다.

중요: 캐시를 삭제하면 동기화 시간이 상당히 증가할 수 있습니다.

예: LDAP 서버와 Google 계정 모두에 존재하는 그룹이 있는데, 동기화 중에 GCDS에서 이 그룹을 변경하지 못하도록 해당 그룹에 대한 Google 제외 규칙을 만들었습니다.

하지만 이 규칙으로 인해 해당 그룹이 Google 계정에 존재하지 않는 것처럼 GCDS가 작동하게 됩니다. GCDS에서 이 그룹을 생성하려고 시도하지만, 해당 그룹이 이미 존재하기 때문에 오류가 발생하고 GCDS에서는 캐시에 이 그룹을 추가합니다. 다음번 동기화에서는 캐시가 사용되어 GCDS에서는 해당 그룹이 이미 있다는 것을 인식합니다. 이후 캐시가 삭제되면 GCDS에서는 또 다시 해당 그룹이 없는 것처럼 작동합니다.

비밀번호를 동기화하도록 GCDS를 구성해야 하는 이유는 무엇인가요?

GCDS의 기본 비밀번호 동기화 설정은 GCDS에서 신규 사용자 계정의 비밀번호를 만드는 방법을 정의하는 데 사용됩니다. 최초 계정의 비밀번호를 맞춤설정하지 않으려면 별도의 조치가 필요하지 않습니다. 기본 설정을 그대로 사용하면 됩니다.

Active Directory를 사용 중인 경우 Active Directory에서 Google 도메인으로 사용자 비밀번호를 동기화하려면 비밀번호 동기화를 사용할 수 있습니다.

여러 동기화 규칙을 적용할 때 GCDS에서는 어떻게 충돌을 해결하나요?

GCDS에서는 맨 위에서 맨 아래로 규칙을 적용합니다. 

최상위 조직 단위 또는 /에 사용자를 만들도록 사용자 계정 동기화 규칙을 구성한 다음, /Exceptions 조직 단위에 사용자를 만들도록 하위 규칙을 생성하는 경우를 예로 들어보겠습니다. 동기화 후에 두 규칙 모두에 일치하는 사용자는 최상위 조직 단위에 생성되는데, 이는 해당 규칙의 우선순위가 더 높기 때문입니다. 

사용자가 /Exceptions에 제대로 배치되게 하려면, /Exceptions에 배치하게 하는 규칙이 이와 충돌하는 다른 규칙보다 목록의 더 위에 표시되어야 합니다. 또는 해당 규칙이 순서가 지정된 목록의 첫 번째 규칙이 되도록 해야 합니다.

GCDS 동기화를 감사하고 검토하려면 어떻게 해야 하나요? 

GCDS에서는 3-Legged OAuth 2.0을 승인에 사용합니다. 이 과정에서 GCDS에 OAuth 2.0 토큰을 부여합니다. 토큰을 사용하면 승인을 수행한 관리자를 대신하여 GCDS에서 조치를 취할 수 있습니다.

GCDS를 승인한 관리자가 모든 감사 이벤트를 표시합니다. GCDS에서 수행된 변경사항 및 감사를 명확하게 볼 수 있도록 전용 GCDS 관리자 계정을 만드는 것이 좋습니다.

관련 주제

Google 계정 승인하기

스키마 동기화를 사용 설정하면 GCDS에서 내 스키마를 삭제하나요?

동기화를 실행하는 동안 GCDS에서는 현재 LDAP 설정을 고려하여 Google 계정에서 맞춤 스키마를 보관해야 할지 삭제해야 할지를 결정합니다.

또한 GCDS 구성 파일에는 이전에 동기화된 맞춤 스키마에 대한 정보가 포함된 schemaHistory 설정이 있습니다. GCDS에서 동기화된 맞춤 스키마는 schemaHistory에 자동으로 추가됩니다. 구성 파일에서 schemaHistory 설정을 수동으로 삭제하고 LDAP 디렉터리에 맞춤 스키마가 없다면 GCDS에서는 Google 계정의 맞춤 스키마를 건너뛰고 삭제하지 않습니다.

구성 파일에서 schemaHistory를 수동으로 삭제하려면 다음을 찾아보세요. 

<schemas>
   <schemaDefinitions />
   <schemaHistory>
      <schemaName>GroupMembership</schemaName>
   </schemaHistory>
</schemas>

여러 LDAP 디렉터리에서 GCDS를 동기화할 수 있나요?
GCDS는 단일 LDAP 디렉터리에서만 동기화할 수 있습니다. LDAP 디렉토리가 여러 개인 경우 LDAP 서버 데이터를 하나의 디렉토리에 통합하세요. 자세한 내용은 LDAP 디렉터리 준비하기의 2단계를 참고하세요.
GCDS에서는 대칭 키를 어떻게 생성하고 안전하게 저장하나요?

GCDS 갱신 토큰을 암호화하는 대칭 키는 기본 자바 암호화 KeyGenerator에서 AES 128을 사용하여 생성됩니다. 

대칭 키 저장은 자바 Preferences 클래스에서 userNodeForPackage 메서드를 통해 처리합니다. 키의 정확한 위치는 GCDS에서 관리되지 않으며 OS에 따라 다릅니다.

Windows의 경우 기본 설정 데이터는 사용자의 레지스트리 하이브에 저장되고 Linux의 경우 사용자의 홈 디렉터리에 저장됩니다.

고객은 암호화된 파일 시스템을 사용하고 제한적 ACL을 적용하여 키가 올바르게 보호되도록 권장사항을 준수하는 것이 좋습니다.

고유 ID는 무엇인가요?

고유 ID(비주소 형식 기본 키라고도 함)는 GCDS에서 내부적으로 사용되며 Google Workspace와 동기화되지 않습니다. GCDS는 GCDS가 설치된 컴퓨터의 TSV 파일에 고유 ID를 저장합니다. XML 구성 파일에서 TSV 파일 이름과 파일의 전체 경로를 찾을 수 있습니다.

사용자 이름이 LDAP 서버에서는 변경되었지만 Google Workspace에서는 변경되지 않은 경우 GCDS에서는 고유 ID를 사용하여 사용자의 세부정보가 삭제되거나 중복되는 것을 방지합니다.

참고: LDAP 서버와 Google Workspace 모두에서 사용자의 이메일 주소를 수동으로 변경하면 동기화 문제가 발생할 수 있습니다. 이 문제를 방지하려면 GCDS를 실행하기 전에 해당 사용자 레코드를 TSV 파일에서 삭제하세요.

Google Cloud

섹션 열기  |  모두 접고 상단으로 이동하기

Active Directory 또는 내 LDAP 디렉터리에서 보안 그룹을 동기화하고 Cloud IAM에서 사용하려면 어떻게 해야 하나요? 

GCDS를 구성하면 LDAP 검색 규칙을 사용하여 보안 그룹을 동기화할 수 있습니다.

예 1: 모든 보안 그룹 검색

이 예에서는 이메일 주소가 포함된 모든 보안 그룹의 LDAP 검색을 보여줍니다.

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

예 2: 일부 보안 그룹 검색

일부 보안 그룹을 동기화하려면 extensionAttribute1을 사용하여 특정 값(예: GoogleCloud)을 설정하세요. GCDS 쿼리를 구체화한 다음 일부 특정 보안 그룹에만 프로비저닝할 수 있습니다.

이 예에서는 이메일 주소와 GoogleCloud 속성이 포함된 모든 보안 그룹의 LDAP 검색을 보여줍니다.

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

중요:

  • Google 도메인의 모든 그룹은 이메일 주소로 참조됩니다. 동기화할 모든 보안 그룹에 유효한 메일 속성이 정의되어 있는지 확인해야 합니다.
  • Google 도메인에서 만든 그룹에는 자동으로 명시적 Google 클라우드 ID 및 액세스 관리(IAM) 역할이 포함되지 않습니다. 그룹을 만든 후에 Cloud IAM을 사용하여 그룹에 특정 역할을 할당해야 합니다.
Google Cloud 프로젝트용 계정만 필요한 사용자를 추가하려면 어떻게 해야 하나요?

Google Cloud 사용자용 사용자 동기화 규칙을 추가하여 GCDS를 구성할 수 있습니다. 가장 간단한 방법은 그룹의 구성원인 사용자를 기반으로 한 새 쿼리를 만드는 것입니다. 다음 예를 살펴보세요.

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

그런 후 다음 검색 필터를 사용하여 그룹의 구성원인 사용자 중 이메일 주소를 가지고 있으며 계정이 정지되지 않은 사용자를 검색할 수 있습니다. 

group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

이 사용자를 단일 조직 단위에 배치해 보세요. 그러려면 규칙에 조직 단위 이름(예: Cloud 사용자)을 정의합니다. 아직 조직 단위가 없다면 조직 단위를 만듭니다. 

라이선스 문제

사용자 계정에 제품 라이선스를 적절하게 할당할 수 있도록 도메인을 구성하는 방법을 고려해 보세요. 자동 라이선스를 사용하는 경우 Cloud 사용자 조직 단위는 제품 라이선스 할당 대상에서 제외할 수 있습니다. 자세한 내용은 조직의 자동 라이선스 옵션 설정하기를 참고하세요.

더 복잡한 라이선스 요구사항의 경우 모든 사용자 라이선스 할당을 동기화하고 관리하도록 GCDS를 구성할 수 있습니다. 자세한 내용은 라이선스 동기화하기를 참고하세요. 


Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?
검색
검색어 지우기
검색 닫기
기본 메뉴
9214518919966655456
true
도움말 센터 검색
true
true
true
true
true
73010
false
false