Najczęstsze pytania związane z GCDS

Google Cloud Directory Sync

Konfiguracja GCDS | Konto Google użytkownika | Synchronizowanie kont użytkowników i jednostek organizacyjnych | Synchronizowanie grup | Google Cloud Platform | Ogólne

Konfiguracja GCDS

Jak autoryzować GCDS na komputerze bez graficznego interfejsu użytkownika?

Aby skonfigurować GCDS na serwerze bez środowiska graficznego:

  1. Otwórz wiersz polecenia i ustaw dane logowania LDAP przez wpisanie:

    ./upgrade-config -ldapuser nazwa_użytkownika_LDAP -ldappassword hasło_LDAP -c nazwa_pliku_konfiguracji

  2. Autoryzuj domenę Google, wpisując: 

    ./upgrade-config -Oauth nazwa_domeny_Google -c nazwa_pliku_konfiguracji

  3. Aby przetestować połączenie LDAP, wpisz:

    ./upgrade-config -testldap -c nazwa_pliku_konfiguracji

  4. Aby przetestować połączenie z Google, wpisz:

    ./upgrade-config -testgoogleapps -c nazwa_pliku_konfiguracji

Jak zmienić serwer GCDS?

Jeśli chcesz przenieść GCDS na inny serwer, wykonaj następujące czynności:

  1. Jeśli sądzisz, że masz lub możesz mieć oczekujące zmiany adresu e-mail użytkownika (zmiany nazwy użytkownika), wybierz opcję:
    • Uruchom synchronizację na starym serwerze.
    • Skopiuj pliki z wartościami rozdzielonymi znakami tabulacji (TSV) na nowy serwer.

      Nazwy i lokalizacje plików TSV znajdują się w pliku konfiguracji. Aby znaleźć te informacje, w pliku konfiguracji wyszukaj .tsv.

  2. Zainstaluj GCDS na nowym serwerze. Instrukcje znajdziesz w artykule Pobieranie i instalowanie GCDS.
  3. Skopiuj plik konfiguracji na nowy serwer.
  4. Na nowym serwerze w Menedżerze konfiguracji otwórz plik konfiguracji.
  5. Ponownie autoryzuj GCDS dla swojego konta Google. Instrukcje znajdziesz w artykule Autoryzowanie swojego konta Google.
  6. Na stronie konfiguracji LDAP zaktualizuj hasło LDAP. Instrukcje znajdziesz w sekcji Ustawienia połączenia LDAP.
  7. Na stronie Powiadomienia zaktualizuj hasło SMTP. Instrukcje znajdziesz w sekcji Atrybuty powiadomień.
  8. Uruchom symulowaną synchronizację.
  9. Sprawdź synchronizację, aby upewnić się, że nie ma w niej żadnych nieoczekiwanych zmian.
  10. Uruchom pełną synchronizację.

    Po synchronizacji pliki TSV ze starego serwera zostaną zaktualizowane. Jeśli plików TSV nie przeniesiono, utworzone zostaną nowe.

↑ powrót do początku

Konto Google użytkownika

Z jakich interfejsów API korzysta GCDS?

GCDS używa interfejsów API do przesyłania danych i wysyłania żądań na Twoje konto Google. Do uwierzytelniania interfejsów API GCDS używa protokołu OAuth. Korzysta też z protokołu SMTP do wysyłania raportów dotyczących synchronizacji. GCDS używa następujących interfejsów API:

Dlaczego nie widzę oczekiwanych zmian na koncie Google?

Zanim zmiany pojawią się na koncie Google, może upłynąć do 8 dni. Aby zrozumieć, dlaczego tak się dzieje, musisz poznać sposób buforowania danych przez GCDS.

Dane konta Google są przechowywane w pamięci podręcznej GCDS przez maksymalnie 8 dni. Częstotliwość czyszczenia pamięci podręcznej przez GCDS zależy od rozmiaru znajdujących się w niej danych. Jeśli pamięć podręczna nie zostanie wyczyszczona, może minąć nawet 8 dni, zanim zmiany wprowadzone bezpośrednio na Twoim koncie Google (za pomocą konsoli administracyjnej lub innego klienta interfejsu API) staną się widoczne.

Gdy pamięć podręczna zostanie wyczyszczona, GCDS identyfikuje zmianę na koncie Google i porównuje ją z danymi źródłowymi w katalogu LDAP. Jeśli dane nie są zgodne, GCDS cofa zmiany na koncie Google.

Aby ręcznie wyczyścić pamięć podręczną:

  • Uruchom synchronizację w Menedżerze konfiguracji i wybierz opcję wyczyszczenia pamięci podręcznej podczas synchronizacji.
  • Użyj flagi wiersza polecenia -f, by wymusić wyczyszczenie pamięci podręcznej.
  • Edytuj plik konfiguracji XML, by zmienić wartość maxCacheLifetime na 0.

Ważne: wyczyszczenie pamięci podręcznej może znacznie wydłużyć czas synchronizacji.

W jaki sposób GCDS uzyskuje dostęp do danych z profilu użytkownika mojego konta Google?

Profile użytkowników wraz z dodatkowymi atrybutami są zapisywane na koncie użytkownika Google i można zobaczyć je w katalogu konta. GCDS uzyskuje dostęp do katalogu w Kontaktach Google.

W jaki sposób GCDS określa aliasy adresów e-mail, które są dodawane do konta Google?

W konfiguracji GCDS możesz określić atrybuty sprawdzane przez GCDS. GCDS ocenia dane przechowywane w atrybucie tylko wtedy, gdy ten atrybut odpowiada prawidłowemu adresowi SMTP.

W przypadku korzystania z elementu proxyAddresses w Microsoft Active Directory narzędzie GCDS usuwa podczas synchronizacji prefiks smtp:, dlatego nie jest on widoczny w domenie Google.

Czy mogę synchronizować dane z więcej niż jednym kontem G Suite jednocześnie?

Tak. GCDS umożliwia synchronizowanie danych z jednego katalogu LDAP z wieloma kontami G Suite przy użyciu więcej niż jednego pliku konfiguracji. W przypadku przeprowadzania wielu synchronizacji w tym samym czasie upewnij się, że pliki konfiguracji są zapisane pod unikalnymi nazwami.

Aby sklonować istniejący plik konfiguracji, użyj opcji Zapisz jako w Menedżerze konfiguracji i zapisz plik pod nową nazwą.

↑ powrót do początku

Synchronizowanie kont użytkowników i jednostek organizacyjnych

Jak skonfigurować GCDS do obsługi administracyjnej tylko określonej grupy użytkowników?

Jeśli chcesz zsynchronizować z kontem Google tylko określony podzbiór użytkowników, użyj pojedynczej grupy Active Directory lub katalogu LDAP. Użycie grupy ogranicza liczbę użytkowników, których obsługa administracyjna odbywa się na Twoim koncie Google.

Przykład:

Zapytanie użytkownika
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

To zapytanie zwraca wszystkich użytkowników należących do grupy identyfikowanej przez nazwę wyróżniającą, mających adres e-mail oraz włączone konto.

Jak wykluczyć jednostkę organizacyjną w usłudze Google z synchronizacji?

Narzędzie GCDS możesz skonfigurować tak, aby wykluczało jednostkę organizacyjną skonfigurowaną na Twoim koncie Google, poprzez zdefiniowanie reguły wykluczania Organization Complete Path (Pełna ścieżka organizacji) w konfiguracji domeny Google.

Przykład:

Reguła wykluczania
Type (Typ): Organization Complete Path (Pełna ścieżka organizacji)
Match type (Typ dopasowania): Exact Match (Dopasowanie ścisłe)
Rule (Reguła): /OUPath/MyExcludedOU

Czy mogę zsynchronizować użytkowników z domeną dodatkową?

Jeśli masz domenę dodatkową, możesz użyć GCDS, by zsynchronizować z nią użytkowników. Aby można było zsynchronizować użytkowników z domeną dodatkową, adresy e-mail użytkowników na serwerze LDAP muszą być zgodne z nazwą domeny dodatkowej. GCDS tworzy konta użytkowników na Twoim koncie Google, używając domeny dodatkowej jako podstawowego adresu e-mail.

Jeśli nie chcesz zmieniać istniejących atrybutów poczty LDAP, przypisz inny atrybut, by synchronizować adresy e-mail użytkowników domeny dodatkowej. Szczegółowe informacje o domenach dodatkowych znajdziesz w artykule Dodawanie domen lub aliasów domen.

↑ powrót do początku

Synchronizowanie grup

Czy GCDS może synchronizować członkostwa cykliczne w grupach?

Członkostwo cykliczne to co najmniej dwie grupy, które są wzajemnie swoimi członkami. Na przykład grupa A jest członkiem grupy B, a grupa B jest członkiem grupy A.

Członkostwa cykliczne w grupach są obsługiwane przez LDAP i Microsoft Active Directory, ale nie są obsługiwane przez Grupy dyskusyjne Google. Jeśli spróbujesz zsynchronizować członkostwo cykliczne, pojawi się komunikat o błędzie: „Cyclic memberships not allowed” (Członkostwo cykliczne jest niedozwolone).

Jak zagwarantować, że GCDS nie usunie ani nie zmodyfikuje istniejących grup, które zostały utworzone przeze mnie? 

Narzędzie GCDS możesz skonfigurować tak, by wykluczało grupę, definiując regułę wykluczania Group Email Address (Adres e-mail grupy) w konfiguracji domeny Google. 

Przykład:

Reguła wykluczania
Type (Typ): Group Email Address (Adres e-mail grupy)
Match type (Typ dopasowania): Exact Match (Dopasowanie ścisłe)
Rule (Reguła): GCP_Project1@domain.com

Uwaga: zalecamy utworzenie takich grup i zarządzanie nimi w katalogu LDAP. Członkostwa w grupach są aktualizowane na koncie Google podczas synchronizowania danych przez GCDS.

Czy GCDS może synchronizować członkostwa w zagnieżdżonych grupach?

Tak. GCDS synchronizuje członkostwa w zagnieżdżonych grupach. Istnieją jednak ograniczenia związane z zagnieżdżonymi grupami oraz dostarczaniem poczty e-mail w przypadku Grup dyskusyjnych Google dla Firm. 

W niektórych sytuacjach nie wszyscy członkowie zagnieżdżonej grupy otrzymują treść e-maila wysłanego do grupy:

  • Włączone uprawnienie moderacji – e-mail nie jest automatycznie kierowany do członków grupy ani innych zagnieżdżonych grup, dopóki nie zostanie zatwierdzony przez moderatora grupy. 
  • Grupa nadrzędna może nie mieć uprawnień do publikowania umożliwiających wysyłanie wiadomości do zagnieżdżonych grup. 

Powiązane artykuły

Czy GCDS synchronizuje grupy utworzone przez użytkowników?

Użytkownicy mogą tworzyć własne grupy w Grupach dyskusyjnych Google dla Firm. Jeśli grupa LDAP odpowiada grupie utworzonej przez użytkownika, GCDS traktuje tę grupę tak, jakby istniała dla niej reguła wykluczania, i ignoruje tę grupę. W rezultacie grupa nie zostanie usunięta, jeśli nie jest zgodna z danymi LDAP. 

Jeśli dodasz członków do danego obiektu/wystąpienia w LDAP, GCDS doda te osoby do grupy. Jeśli dodasz użytkowników do grupy Google, która nie jest zgodna z danymi LDAP, te osoby nie zostaną usunięte podczas synchronizacji. 

Więcej informacji o grupach tworzonych przez użytkowników znajdziesz w artykule Najczęstsze pytania dla administratorów grup.

↑ powrót do początku

Google Cloud Platform

Jak zsynchronizować grupy zabezpieczeń z Active Directory lub katalogu LDAP i użyć ich w Cloud IAM?

GCDS możesz skonfigurować tak, by grupy zabezpieczeń były synchronizowane przy użyciu reguł wyszukiwania LDAP. 

Przykład 1: wyszukanie wszystkich grup zabezpieczeń

Ten przykład obejmuje wyszukanie w LDAP wszystkich grup zabezpieczeń z adresem e-mail:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Przykład 2: wyszukanie podzbioru grup zabezpieczeń

Aby zsynchronizować podzbiór grup zabezpieczeń, możesz użyć elementu extensionAttribute1 i ustawić określoną wartość, na przykład GoogleCloudPlatform. Możesz następnie doprecyzować zapytanie GCDS, aby włączyć obsługę administracyjną tylko określonego podzbioru grup zabezpieczeń:

Ten przykład przedstawia wyszukiwanie w LDAP wszystkich grup zabezpieczeń, które mają adres e-mail i atrybut GoogleCloudPlatform:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloudPlatform))

Ważne:

  • Wszystkie grupy w domenie Google mają adres e-mail. Upewnij się, że wszystkie grupy zabezpieczeń, które chcesz zsynchronizować, mają zdefiniowany prawidłowy atrybut pocztowy.
  • Grupa utworzona w domenie Google nie ma automatycznie przyznanej roli Google Cloud Identity and Access Management (IAM). Po jej utworzeniu musisz użyć Cloud IAM, aby przypisać do grupy określone role.
Jak dodać użytkowników, którzy potrzebują konta tylko dla projektów Google Cloud Platform?

Możesz skonfigurować narzędzie GCDS, dodając regułę synchronizacji kont użytkowników Google Cloud Platform. Najprostszym sposobem jest utworzenie nowego zapytania na podstawie listy kont użytkowników, którzy są członkami grupy. Przykład:

(&(memberof=cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Następnie możesz użyć poniższego filtra wyszukiwania, by znaleźć użytkowników, którzy są członkami grupy, mają adres e-mail i włączone konto: 

group cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com

Rozważ umieszczenie tych użytkowników w pojedynczej jednostce administracyjnej. Aby to zrobić, zdefiniuj w regule nazwę jednostki organizacyjnej (na przykład Użytkownicy Cloud Platform). Utwórz jednostkę organizacyjną, jeśli jeszcze nie istnieje. 

Problemy z licencjami

Aby prawidłowo przypisać licencje na usługę do kont użytkowników, weź pod uwagę sposób skonfigurowania domeny. Jeśli automatyczne licencjonowanie jest włączone, zalecamy wykluczenie przypisywania licencji na usługę jednostce organizacyjnej Użytkownicy Cloud Platform. Szczegóły zawiera artykuł na temat ustawiania opcji automatycznego licencjonowania w organizacji.

W przypadku bardziej złożonych wymagań dotyczących licencjonowania możesz skonfigurować narzędzie GCDS tak, aby zsynchronizować wszystkie przypisania licencji użytkowników i zarządzać nimi. Więcej informacji znajdziesz w sekcji Synchronizowanie licencji.

↑ powrót do początku

Ogólne

Dlaczego GCDS zwraca błąd po wyczyszczeniu pamięci podręcznej?

Przyczyną może być problem w konfiguracji, na przykład nieprawidłowo ustawiona reguła wykluczania. Błędy w konfiguracji mogą być niewidoczne, gdy włączona jest pamięć podręczna GCDS. 

GCDS przechowuje dane usługi Google (na przykład G Suite lub Cloud Identity) w pamięci podręcznej przez maksymalnie 8 dni. Częstotliwość czyszczenia pamięci podręcznej przez GCDS zależy od rozmiaru znajdujących się w niej danych. Dopóki pamięć podręczna nie zostanie wyczyszczona, zmiany wprowadzone bezpośrednio w domenie Google (przy użyciu konsoli administracyjnej lub innego klienta API) mogą pojawić się nawet po 8 dniach. 

Aby ręcznie wyczyścić pamięć podręczną:

  • Uruchom synchronizację w Menedżerze konfiguracji i wybierz opcję wyczyszczenia pamięci podręcznej podczas synchronizacji.
  • Użyj flagi wiersza polecenia -f, by wymusić wyczyszczenie pamięci podręcznej.
  • Edytuj plik konfiguracji XML, by zmienić wartość maxCacheLifetime na 0.

Ważne: wyczyszczenie pamięci podręcznej może znacznie wydłużyć czas synchronizacji.

Przykład: masz grupę, która istnieje zarówno na serwerze LDAP, jak i na Twoim koncie Google. Tworzysz regułę wykluczania Google dla tej grupy, mając nadzieję, że GCDS nie zmieni tej grupy podczas synchronizacji.

Reguła ta jednak powoduje, że GCDS zachowuje się tak, jakby grupa nie istniała na Twoim koncie Google. GCDS próbuje utworzyć grupę, ale ponieważ ona już istnieje, pojawia się błąd, a GCDS dodaje ją do pamięci podręcznej. Kolejne synchronizacje korzystają z pamięci podręcznej, a GCDS rozpoznaje, że grupa już istnieje. Następnie po wyczyszczeniu pamięci podręcznej GCDS ponownie zachowuje się tak, jakby grupa nie istniała.

Dlaczego muszę skonfigurować GCDS, aby móc synchronizować hasła?

Domyślne ustawienia synchronizacji haseł w GCDS są używane do definiowania sposobu, w jaki GCDS tworzy hasła dla nowych kont użytkowników. Jeśli nie chcesz dostosować początkowego hasła konta, nie musisz wykonywać żadnych czynności. Po prostu użyj ustawień domyślnych.

Jeśli korzystasz Active Directory, to za pomocą Password Sync możesz zsynchronizować hasła użytkowników Active Directory z domeną Google. 

W jaki sposób GCDS rozwiązuje konflikty, gdy ma zastosowanie wiele reguł synchronizacji?

GCDS używa reguł według priorytetu (kolejności). 

Na przykład możesz skonfigurować regułę synchronizacji User Accounts (Konta użytkowników) do tworzenia kont użytkowników w głównej jednostce organizacyjnej (która może być oznaczona jako „/”), a następnie utworzyć regułę o niższym priorytecie, aby utworzyć konta użytkowników w jednostce organizacyjnej /Wyjątki. Po zsynchronizowaniu użytkownicy pasujący do obu reguł otrzymają konta w głównej jednostce organizacyjnej, ponieważ ta reguła ma wyższy priorytet. 

Aby użytkownicy zostali umieszczeni w jednostce organizacyjnej /Wyjątki, upewnij się, że ma ona wyższy priorytet niż inne reguły powodujące konflikt. Możesz też sprawdzić, czy jest to pierwsza reguła na liście uporządkowanej.

Jak kontrolować i przeglądać synchronizację GCDS?

GCDS używa trzyetapowej autoryzacji OAuth 2.0. Ten proces przydziela GCDS token OAuth 2.0. Umożliwia on GCDS wykonywanie działań w imieniu administratora, który przeprowadza autoryzację.

Wszystkie zdarzenia kontroli są posortowane według administratora, który autoryzował GCDS. Rozważ utworzenie dedykowanego konta administratora GCDS, aby uzyskać jasny wgląd w zmiany i kontrole przeprowadzone przez GCDS.

Powiązane artykuły

Autoryzowanie swojego konta Google

↑ powrót do początku

Google, G Suite oraz powiązane znaki i logo są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.
Czy to było pomocne?
Jak możemy ją poprawić?