Najczęstsze pytania związane z GCDS

Google Cloud Directory Sync

Domena Google  |  Synchronizowanie kont użytkowników, grup i jednostek organizacyjnych  |  Ogólne  |  Cloud Platform

Otwórz wszystko   |   Zamknij wszystko

Domena Google

Co się dzieje w przypadku zmiany w domenie Google, która nie jest odzwierciedlona w Active Directory ani w katalogu LDAP?

Może minąć nawet osiem dni, zanim zobaczysz zmianę w domenie Google. 

Aby zrozumieć, dlaczego tak się dzieje, musisz poznać sposób buforowania danych przez GCDS. Dane usługi Google są przechowywane w pamięci podręcznej GCDS przez maksymalnie osiem dni. Częstotliwość czyszczenia pamięci podręcznej przez GCDS zależy od rozmiaru znajdujących się w niej danych. Dopóki pamięć podręczna nie zostanie wyczyszczona, GCDS nie identyfikuje aktualizacji w domenie Google. 

Gdy pamięć podręczna zostanie wyczyszczona, GCDS identyfikuje zmianę w domenie Google i porównuje ją z danymi źródłowymi w katalogu LDAP. Jeśli dane nie są zgodne, GCDS cofnie zmiany w domenie Google. 

Pamiętaj, że zalecamy najpierw zaktualizowanie danych LDAP, a następnie zsynchronizowanie ich z domeną Google. 

Jak ręcznie wyczyścić pamięć podręczną:

  • Uruchom synchronizację w menedżerze konfiguracji i wybierz opcję wyczyszczenia pamięci podręcznej podczas synchronizacji.
  • Użyj flagi wiersza polecenia „-f”, aby wymusić wyczyszczenie pamięci podręcznej.
  • Edytuj plik konfiguracji XML, aby zmienić wartość maxCacheLifetime na 0.

Ważne: wyczyszczenie pamięci podręcznej może znacznie wydłużyć czas synchronizacji.

W jaki sposób GCDS uzyskuje dostęp do danych profilu użytkownika w domenie Google?

Profile użytkownika, w tym dodatkowe atrybuty użytkownika, są zapisywane na koncie użytkownika Google i są widoczne w katalogu globalnym domeny. GCDS uzyskuje dostęp do katalogu globalnego w Kontaktach Google. 

W jaki sposób GCDS określa aliasy adresów e-mail, które są dodawane do konta Google?

W konfiguracji GCDS możesz określić atrybuty sprawdzane przez GCDS. GCDS ocenia dane przechowywane w atrybucie tylko wtedy, gdy ten atrybut odpowiada prawidłowemu adresowi SMTP.

W przypadku elementu „proxyAddresses” w Microsoft® Active Directory® GCDS usuwa podczas synchronizacji prefiks smtp:, dlatego ten prefiks nie jest widoczny w domenie Google. 

Synchronizowanie kont użytkowników, grup i jednostek organizacyjnych

Czy GCDS może synchronizować członkostwa cykliczne w grupach?

Członkostwo cykliczne to co najmniej dwie grupy, które są wzajemnie swoimi członkami. Na przykład grupa A jest członkiem grupy B, a grupa B jest członkiem grupy A. Członkostwa cykliczne w grupach są obsługiwane przez LDAP i Microsoft® Active Directory®, ale nie są obsługiwane przez Grupy dyskusyjne Google. Jeśli spróbujesz zsynchronizować członkostwo cykliczne w Google Cloud Directory Sync (GCDS), pojawi się komunikat o błędzie: „Cyclic memberships not allowed” (Członkostwo cykliczne jest niedozwolone).

Dlaczego GCDS zwraca błąd, gdy pamięć podręczna jest wyłączona?

Przyczyną może być problem w konfiguracji, na przykład nieprawidłowo ustawiona reguła wykluczania. Takie błędy w konfiguracji mogą być niewidoczne, gdy włączona jest pamięć podręczna GCDS. 

GCDS przechowuje dane usługi Google (na przykład G Suite lub Cloud Identity) w pamięci podręcznej przez maksymalnie osiem dni. Częstotliwość czyszczenia pamięci podręcznej przez GCDS zależy od rozmiaru znajdujących się w niej danych. Dopóki pamięć podręczna nie zostanie wyczyszczona, aktualizacje nie są stosowane (może to potrwać do ośmiu dni). 

Możesz ręcznie wyczyścić pamięć podręczną:

  • Uruchom synchronizację w menedżerze konfiguracji i wybierz opcję wyczyszczenia pamięci podręcznej podczas synchronizacji.
  • Użyj flagi wiersza polecenia „-f”, aby wymusić wyczyszczenie pamięci podręcznej.
  • Edytuj plik konfiguracji XML, aby zmienić wartość maxCacheLifetime na 0.

Ważne: wyczyszczenie pamięci podręcznej może znacznie wydłużyć czas synchronizacji.

Przykład: po zsynchronizowaniu danych LDAP została dodana nowa grupa w usłudze Google (takiej jak G Suite lub Cloud Identity). Jeśli następnie utworzysz regułę wykluczania, która zapobiega synchronizowaniu tej grupy w przyszłości, to ta reguła spowoduje powstanie błędu w konfiguracji, przez co nie zostanie zastosowana. Kolejne synchronizacje korzystają z danych w pamięci podręcznej, więc nowa grupa pozostaje dostępna w usłudze Google. Gdy natomiast pamięć podręczna zostanie wyczyszczona, błąd konfiguracji spowoduje usunięcie tej grupy z usługi Google.

Jak skonfigurować GCDS do obsługi administracyjnej tylko podzbioru użytkowników z Active Directory lub katalogu LDAP? 

Jeśli chcesz zsynchronizować z domeną Google tylko niewielki podzbiór użytkowników, użyj pojedynczej grupy Active Directory lub katalogu LDAP. Ograniczy to liczbę użytkowników, których obsługa administracyjna odbywa się w domenie Google.

Przykład:

Zapytanie użytkownika
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

To zapytanie zwraca wszystkich użytkowników należących do grupy identyfikowanej przez nazwę wyróżniającą, mających adres e-mail oraz włączone konto.

Jak zagwarantować, że GCDS nie usunie ani nie zmodyfikuje istniejących grup, które zostały utworzone przeze mnie? 

Narzędzie GCDS możesz skonfigurować tak, aby wykluczało grupę, definiując regułę wykluczania Group Email Address (Adres e-mail grupy) w konfiguracji domeny Google. 

Przykład:

Reguła wykluczania
Type (Typ): Group Email Address (Adres e-mail grupy)
Match type (Typ dopasowania): Exact Match (Dopasowanie ścisłe)
Rule (Reguła): GCP_Projekt1@domena.com

Uwaga: zalecamy utworzenie takich grup i zarządzanie nimi w katalogu LDAP. Członkostwa w grupach są aktualizowane w domenie Google podczas synchronizowania danych przez GCDS.

Jak wykluczyć jednostkę organizacyjną w usłudze Google tak, aby nie była synchronizowana przez GCDS?

Narzędzie GCDS możesz skonfigurować tak, aby wykluczało jednostkę organizacyjną, definiując regułę wykluczania Organization Complete Path (Pełna ścieżka organizacji) w konfiguracji domeny Google. 

Przykład:

Reguła wykluczania
Type (Typ): Organization Complete Path (Pełna ścieżka organizacji)
Match type (Typ dopasowania): Exact Match (Dopasowanie ścisłe)
Rule (Reguła): /ścieżka jednostki organizacyjnej/wykluczona jednostka organizacyjna

Czy GCDS synchronizuje grupy utworzone przez użytkowników?

Użytkownicy mogą tworzyć własne grupy w Grupach dyskusyjnych Google dla Firm. Jeśli grupa LDAP odpowiada grupie utworzonej przez użytkownika, GCDS traktuje tę grupę tak, jakby istniała dla niej reguła wykluczania, i ignoruje tę grupę. W rezultacie grupa nie zostanie usunięta, jeśli nie jest zgodna z danymi LDAP. 

Jeśli dodasz członków do danego obiektu/wystąpienia w LDAP, GCDS doda te osoby do grupy. Jeśli dodasz użytkowników do grupy Google, która nie jest zgodna z danymi LDAP, te osoby nie zostaną usunięte podczas synchronizacji. 

Więcej informacji o grupach tworzonych przez użytkowników zawiera artykuł dla administratorów Grup dyskusyjnych z najczęstszymi pytaniami na temat tej usługi

Czy GCDS może synchronizować członkostwa w zagnieżdżonych grupach? 

Tak. GCDS synchronizuje członkostwa w zagnieżdżonych grupach. Istnieją jednak ograniczenia związane z zagnieżdżonymi grupami oraz dostarczaniem poczty e-mail w przypadku Grup dyskusyjnych Google dla Firm. 

W niektórych sytuacjach nie wszyscy członkowie zagnieżdżonej grupy otrzymują treść e-maila wysłanego do grupy. Są to między innymi te sytuacje:  

  • Włączone uprawnienie moderacji – e-mail nie jest automatycznie kierowany do członków grupy lub innych zagnieżdżonych grup, dopóki nie zostanie zatwierdzony przez moderatora grupy. 
  • Grupy nadrzędne – te grupy mogą nie mieć uprawnień do publikowania umożliwiających wysyłanie wiadomości do zagnieżdżonych grup. 

Więcej informacji znajdziesz w artykułach Dodawanie grupy do innej grupy oraz Określanie, kto może wyświetlać, publikować i moderować posty

Ogólne

Dlaczego muszę skonfigurować GCDS, aby móc synchronizować hasła?

Domyślne ustawienia synchronizacji haseł w GCDS są używane do definiowania sposobu, w jaki GCDS tworzy hasła dla nowych kont użytkowników. Jeśli nie chcesz dostosować początkowego hasła konta, nie musisz wykonywać żadnych czynności. Po prostu użyj ustawień domyślnych.

Jeśli korzystasz z Active Directory, to za pomocą Password Sync możesz zsynchronizować hasła użytkowników Active Directory z domeną Google. 

W jaki sposób GCDS rozwiązuje konflikty, gdy ma zastosowanie wiele reguł synchronizacji?

GCDS używa reguł według priorytetu (kolejności). 

Jeśli na przykład skonfigurujesz regułę synchronizacji User Accounts (Konta użytkowników) do tworzenia kont użytkowników w głównej jednostce organizacyjnej (która może być oznaczona jako „/”), a następnie utworzysz regułę o niższym priorytecie, aby utworzyć konta użytkowników w jednostce organizacyjnej /Wyjątki, to po zsynchronizowaniu użytkownicy pasujący do obu reguł otrzymają konta w głównej jednostce organizacyjnej, ponieważ ta reguła ma wyższy priorytet. 

Aby upewnić się, że użytkownicy zostali umieszczeniu w jednostce organizacyjnej /Wyjątki, upewnij się, że ta reguła ma wyższy priorytet niż inne reguły powodujące konflikt. Możesz też upewnić się, że jest to pierwsza reguła na liście uporządkowanej.

Jak kontrolować i przeglądać synchronizację GCDS? 

GCDS używa trzyetapowej autoryzacji OAuth 2.0. Ten proces przydziela GCDS token OAuth 2.0. Umożliwia on GCDS wykonywanie działań w imieniu administratora, który przeprowadza autoryzację.

Wszystkie zdarzenia inspekcji są posortowane według administratora, który autoryzował GCDS. Rozważ utworzenie dedykowanego konta administratora GCDS, aby uzyskać jasny wgląd w zmiany i inspekcje przeprowadzone przez GCDS. 

Jak autoryzować GCDS na komputerze bez graficznego interfejsu użytkownika? 

Aby skonfigurować GCDS na serwerze bez środowiska graficznego:

  1. Otwórz wiersz polecenia i ustaw dane logowania LDAP przez wpisanie:

    ./upgrade-config -ldapuser nazwa_użytkownika_LDAP -ldappassword hasło_LDAP -c nazwa_pliku_konfiguracji

  2. Autoryzuj domenę Google, wpisując: 

    ./upgrade-config -Oauth nazwa_domeny_Google -c nazwa_pliku_konfiguracji

  3. Aby przetestować połączenie LDAP, wpisz:

    ./upgrade-config -testldap -c nazwa_pliku_konfiguracji

  4. Aby przetestować połączenie z Google, wpisz:

    ./upgrade-config -testgoogleapps -c nazwa_pliku_konfiguracji

Cloud Platform

Jak zsynchronizować grupy zabezpieczeń z Active Directory lub katalogu LDAP i użyć ich w Cloud IAM? 

GCDS możesz skonfigurować tak, aby grupy zabezpieczeń były synchronizowane przy użyciu reguł wyszukiwania LDAP. 

Przykład 1: wyszukanie wszystkich grup zabezpieczeń

Ten przykład obejmuje wyszukanie w LDAP wszystkich grup zabezpieczeń z adresem e-mail:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Przykład 2: wyszukanie podzbioru grup zabezpieczeń

Aby zsynchronizować podzbiór grup zabezpieczeń, możesz użyć elementu extensionAttribute1 i ustawić określoną wartość, na przykład GoogleCloudPlatform. Możesz następnie doprecyzować zapytanie GCDS, aby włączyć obsługę administracyjną tylko określonego podzbioru grup zabezpieczeń:

Ten przykład przedstawia wyszukiwanie w LDAP wszystkich grup zabezpieczeń, które mają adres e-mail i atrybut GoogleCloudPlatform:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloudPlatform))


Ważne:

  • Wszystkie grupy w domenie Google mają adres e-mail. Upewnij się, że wszystkie grupy zabezpieczeń, które chcesz zsynchronizować, mają zdefiniowany prawidłowy atrybut pocztowy.
  • Grupa utworzona w domenie Google nie ma automatycznie przyznanej roli Google Cloud Identity and Access Management (IAM). Po jej utworzeniu musisz użyć Cloud IAM, aby przypisać do grupy określone role.
Jak dodać użytkowników, którzy potrzebują konta tylko dla projektów Google Cloud Platform?

Możesz skonfigurować narzędzie GCDS, dodając regułę synchronizacji kont użytkowników Google Cloud Platform. Najprostszym sposobem jest utworzenie nowego zapytania na podstawie listy kont użytkowników, którzy są członkami grupy. Na przykład:

(&(memberof=cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Następnie możesz użyć poniższego filtra wyszukiwania, aby znaleźć użytkowników, którzy są członkami grupy, mają adres e-mail i włączone konto: 

group cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com

Rozważ umieszczenie tych użytkowników w pojedynczej jednostce administracyjnej. Aby to zrobić, zdefiniuj w regule nazwę jednostki organizacyjnej (na przykład Użytkownicy Cloud Platform). Utwórz jednostkę organizacyjną, jeśli jeszcze nie istnieje. 

Problemy z licencjami

Aby prawidłowo przypisać licencje na usługę do kont użytkowników, weź pod uwagę sposób skonfigurowania domeny. Jeśli automatyczne licencjonowanie jest włączone, zalecamy wykluczenie przypisywania licencji na usługę jednostce organizacyjnej Użytkownicy Cloud Platform. Szczegóły zawiera artykuł na temat ustawiania opcji automatycznego licencjonowania w organizacji.

W przypadku bardziej złożonych wymagań dotyczących licencjonowania możesz skonfigurować narzędzie GCDS tak, aby zsynchronizować wszystkie przypisania licencji użytkowników i zarządzać nimi. Szczegóły zawiera artykuł na temat synchronizowania licencji

Czy to było pomocne?
Jak możemy ją poprawić?