Nedan följer vanliga frågor om att använda Google Cloud Directory Sync.
Konfigurera GCDS | Ditt Google-konto | Synkronisera användare och organisationsenheter | Synkronisera grupper | Allmänt | Google Cloud
Konfigurera GCDS
Öppna avsnitt | Komprimera alla och gå högst upp
Hur auktoriserar jag GCDS på en dator utan GUI?- Kontrollera att du kör GCDS-version 4.7.14 eller senare.
Mer information finns i Uppdatera GCDS.
- Auktorisera GCDS på en dator som har ett grafiskt användargränssnitt.
Mer information finns i Auktorisera ditt Google-konto.
- Skapa och spara XML-filen.
- Använd kommandoraden på samma dator till att köra verktyget upgrade-config med parametern -exportkeys.
Exempel: upgrade-config -exportkeys krypteringsnyckelfil [lösenord]
I det här exemplet exporteras nycklarna till en fil kallad krypteringsnyckelfil. Det är valfritt att använda lösenord.
- Kopiera krypteringsnyckelfilen och konfigurationsfilen till en dator utan grafiskt gränssnitt.
- Använd kommandoraden på datorn utan grafiskt gränssnitt till att köra verktyget upgrade-config med parametern -importkeys.
Exempel: upgrade-config -importkeys filnamn
Viktigt! Parametern -importkeys tar bort alla auktoriserade GCDS-konfigurationer som du kanske har på datorn.
- Vid behov skriver du in lösenordet du angav i steg 4.
Du får en bekräftelse på att nycklarna har importerats.
Tips! Om du vill ha fler alternativ anger du kommandot upgrade-config -help från kommandoraden.
- Om du tror att du har eller inte är säker på om du har väntande ändringar av användarens e-postadress (användarnamn) väljer du ett alternativ:
- Kör en synkronisering på den gamla servern.
- Kopiera de tabbavgränsade värdena (TSV) till den nya servern.
Du kan hitta namnet och platsen för TSV-filerna i konfigurationsfilen genom att söka efter .tsv.
- Installera GCDS på den nya servern. Anvisningar finns i Ladda ned och installera GCDS.
- Kopiera konfigurationsfilen till den nya servern.
- Öppna konfigurationsfilen i Konfigurationshanteraren på den nya servern.
- Auktorisera om GCDS för ditt Google-konto. Anvisningar finns i Auktorisera ditt Google-konto.
- Uppdatera LDAP-lösenordet på sidan LDAP-konfiguration. Anvisningar finns i LDAP-anslutningsinställningarna.
- Uppdatera SMTP-lösenordet på sidan Aviseringar. Anvisningar finns i Aviseringsattribut.
- Kör en simulerad synkronisering.
- Granska synkroniseringen och se till att det inte finns några oväntade ändringar.
- Kör en fullständig synkronisering.
Efter synkroniseringen uppdateras TSV-filerna från den gamla servern. Om du inte överförde TSV-filerna skapas nya filer.
Gå till Felsöka certifikatrelaterade problem om du får problem med certifikat när du kör GCDS.
Ditt Google-konto
Öppna avsnitt | Komprimera alla och gå högst upp
Vilka API:er använder GCDS?GCDS använder API:er för att ladda upp data och göra begäranden till Google-kontot. GCDS använder OAuth för att autentisera API:erna. Dessutom används SMTP för att skicka synkroniseringsrapporter. GCDS använder följande API:er:
- Directory API – hanterar Google Chrome-enheter, grupper, gruppalias, medlemmar, organisationsenheter, användare och användaralias.
- Domain Shared Contacts API – skapar, tar bort och uppdaterar delad kontaktinformation för externa kontakter.
Det kan ta upp till åtta dagar innan du ser en ändring på Google-kontot. För att förstå varför måste du förstå hur GCDS cachelagrar data.
GCDS lagrar en cache med data för Google-kontot i högst åtta dagar. GCDS kan rensa cachen oftare, beroende på storleken på cachelagrad data. Om cacheminnet inte rensas kan det dock ta upp till åtta dagar innan ändringar som gjorts direkt på Google-kontot visas (via administratörskonsolen eller en annan API-klient).
När cachen har rensats identifierar GCDS ändringen på Google-kontot och jämför den med källdata i LDAP-katalogen. Om uppgifterna inte stämmer överens ångrar GCDS ändringen som gjorts på Google-kontot.
Så här rensar du cacheminnet manuellt:
- Kör en synkronisering från konfigurationshanteraren och välj att rensa cachen när du utför en synkronisering.
- Använd kommandoradsflaggan -f och tvinga fram en tömning av cacheminnet.
- Ändra XML-konfigfilen och ställ in värdet för maxCacheLifetime på 0.
Viktigt! En rensning av cacheminnet kan öka synkroniseringstiden avsevärt.
Användarprofiler, inklusive ytterligare användarattribut, skrivs till Google-användarkontot och visas i kontots katalog. GCDS får åtkomst till katalogen i Google Kontakter. Mer information finns i Översikt: Konfigurera och hantera katalogen.
I GCDS-konfigurationen kan du ange de attribut som GCDS utvärderar. GCDS utvärderar enbart data i attributet om det matchar en giltig SMTP-adress.
När du använder proxyAddresses i Microsoft Active Directory raderar GCDS prefixet smtp: under synkroniseringen så att prefixet visas inte på Google-domänen.
Ja. Du kan använda GCDS för att synkronisera från en LDAP-katalog till flera Google-konton genom att använda mer än en konfigurationsfil. Om flera synkroniseringar körs samtidigt kontrollerar du att konfigurationsfilerna sparas med unika namn.
Om du vill klona en befintlig konfigurationsfil använder du alternativet Spara som i konfigurationshanteraren och sparar filen med ett nytt namn.
Om du har aktiverat inställningar för hantering av konfliktkonto på Googles administratörskonsol ignorerar GCDS inställningarna under en synkronisering.
Om ett konfliktkonto uppstår i GCDS skapas ett nytt Google Workspace-konto och det befintliga personliga kontot byter namn till användarnamn%googleworkspacedomain@gtempaccount.com.
Synkronisera användare och organisationsenheter
Öppna avsnitt | Komprimera alla och gå högst upp
Hur konfigurerar jag GCDS för att endast tillhandahålla en delmängd användare?Om du vill synkronisera en delmängd användare till Google-kontot kan du använda en Active Directory- eller LDAP-kataloggrupp som källa. Om du använder en grupp begränsas antalet användare som administreras på Google-kontot.
Exempel:
Användarsökfråga
(&(medlemsof=cn=appsUsers,cn=Users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))
Den här sökningen returnerar alla användare som är medlemmar i gruppen identifierat av grupp-DN, som har e-postadresser och vars konton inte är inaktiverade.
Du kan konfigurera GCDS för att utesluta en organisationsenhet som har konfigurerats på Google-kontot genom att definiera en undantagsregel för en organisations fullständiga sökväg i konfigurationen för Google-domänen.
Exempel:
Exkluderingsregel
Type: Organization Complete Path
Match Type: Exact Match
Rule: /OUPath/MyExcludedOU
Om du har lagt till en ytterligare (sekundär) domän kan du använda GCDS för att synkronisera användare med den domänen. Om du vill synkronisera användare med din sekundära domän, kontrollerar du att användarens e-postadresser på LDAP-servern matchar det sekundära domännamnet. GCDS skapar användarna på Google-kontot med din sekundära domän som primär e-postadress.
Om du inte vill ändra ditt befintliga e-postattribut för LDAP tilldelar du ett annat attribut som synkroniserar de sekundära domänanvändarnas e-postadresser. Mer information om sekundära domäner finns i Lägg till en användaraliasdomän eller en sekundär domän.
Ja, så länge LDAP-servern har stöd för jokertecken.
LDAP-kataloger har inte stöd för jokertecken i DN-attribut när du gör en användarsökfråga. Du kan till exempel använda (mail=användare*) men inte (distinguishedName=*,DC=domain,DC=com).
Ja, om du använder en LDAP-server som har stöd för rekursiva memberOf-sökningar. De stöds av Active Directory, men inte av OpenLDAP.
Om ett Google Workspace-användarkonto stängs av efter körning av GCDS får du ett felmeddelande som förklarar varför detta hänt. Undvik att upprepa det specifika felet vid efterföljande synkroniseringar genom att implementera en av följande lösningar beroende på vad som orsakat problemet:
- Problem: Användaren finns inte på LDAP-servern.
Lösning: Eftersom användaren inte finns på LDAP-servern ska kunden ställa in en exkluderingsregel för Google-användare för att förhindra att GCDS stänger av denna användare i Google Workspace.
-
Problem: Användaren har ingen giltig e-postadress på LDAP-servern.
Lösning: Konfigurera en e-postadress för användaren eller ange en Uteslutningsregel för Google-användare för att förhindra att GCDS stänger av användaren iGoogle Workspace längst upp till vänster.
Du kan även ändra GCDS-konfigurationen så att den använder användarens e-postadressattribut som finns på LDAP-servern. Använd exempelvis attributet userPrincipalName (UPN) istället för attributet mail.
-
Problem: Användaren hoppas över av exkluderingsregler på LDAP-servern.
Lösning: Du ska korrigera exkluderingsreglerna om du inte vill stänga av användaren.
-
Problem: Användaren hittas och stängs av i sökreglerna eftersom alternativet Stäng av dessa användare på Google-domänen har markerats.
Lösning: Användaren måste kanske stängas av.
-
Problem: Användaren har stängts av på LDAP-servern.
Lösning: Användaren måste kanske stängas av.
Synkronisera grupper
Öppna avsnitt | Komprimera alla och gå högst upp
Kan GCDS synkronisera cykliska gruppmedlemskap?I ett cykliskt gruppmedlemskap är två (eller flera) grupper medlemmar i varandra. Grupp A är till exempel medlem i Grupp B och Grupp B är medlem i Grupp A.
Cykliska gruppmedlemskap stöds av LDAP och Microsoft Active Directory. De stöds dock inte av Google Grupper. Om du försöker synkronisera ett cykliskt medlemskap visas felmeddelandet Cykliska medlemskap är inte tillåtna.
Du kan konfigurera GCDS att utesluta en grupp genom att definiera en undantagsregel för e-postadress i domänkonfigurationen av Google. Mer information finns i Använda regler för Google-data.
Exempel:
Exkluderingsregel
Type: Group Email Address
Match Type: Exact Match
Rule: GCP_Project1@example.com
Obs! Vi rekommenderar att du skapar och hanterar dessa grupper i LDAP-katalogen. Gruppmedlemskap hålls uppdaterade på Google-kontot när GCDS synkroniserar data.
Om du vill behålla befintliga grupper som inte finns i LDAP kan du aktivera inställningen Radera inte Google-grupper som inte finns i LDAP. Mer information finns i Policy för borttagning av Google-grupp.
En användarskapad grupp är en grupp som skapats i Google Groups for Business. Om en LDAP-grupp matchar en användarskapad grupp, ignorerar GCDS gruppen som om det fanns en GCDS-exkluderingsregel för den specifika gruppen. Den tar inte bort gruppen om den inte matchar LDAP-data.
Om du har lagt till medlemmar i motsvarande objekt/enhet i LDAP, lägger GCDS till dessa medlemmar i gruppen. Om du har lagt till användare i Google-gruppen som inte matchar dina LDAP-data tas dessa medlemmar inte bort under synkroniseringen.
Mer information om användarskapade grupper finns i Vanliga frågor för gruppadministratörer.
Ja, GCDS synkroniserar kapslade gruppmedlemskap. Det finns dock vissa begränsningar när det gäller kapslade grupper och e-postleverans i Google Groups for Business. Alla kapslade gruppmedlemmar får inte e-postinnehåll som skickas till gruppen i följande fall:
- När modereringstillstånd har aktiverats. Ett e-postmeddelande skickas inte automatiskt till gruppmedlemmar eller andra kapslade grupper förrän moderatorn i gruppen ger sitt godkännande.
- När en överordnad grupp inte har behörighet att skicka meddelandet till de kapslade grupperna.
Relaterade ämnen
Ja. GCDS synkroniserar medlemmar i grupper, oavsett om medlemmen är en användare eller grupp. GCDS har inte stöd för en sökregel för att utöka medlemmar i kapslade grupper om sökregeln inte stöds av LDAP-servern.
Allmänt
Öppna avsnitt | Komprimera alla och gå högst upp
Varför returnerar GCDS ett fel när cacheminnet rensas?Felet kan bero på ett konfigurationsproblem, till exempel en felaktig konfiguration av uteslutningsregeln. Felkonfigurationen kan döljas med hjälp av CCD-cachelagring.
GCDS lagrar en cache med data för din Google-tjänst (exempelvis Google Workspace eller Cloud Identity) i maximalt åtta dagar. GCDS kan rensa cachen oftare, beroende på storleken på cachelagrad data. Om cacheminnet inte rensas kan det dock ta upp till åtta dagar innan ändringar som gjorts direkt på Google-kontot visas (via administratörskonsolen eller en annan API-klient).
Så här rensar du cacheminnet manuellt:
- Kör en synkronisering från konfigurationshanteraren och välj att rensa cachen när du utför en synkronisering.
- Använd kommandoradsflaggan -f och tvinga fram en tömning av cacheminnet.
- Ändra XML-konfigfilen och ställ in värdet för maxCacheLifetime på 0.
Viktigt! En rensning av cacheminnet kan öka synkroniseringstiden avsevärt.
Exempel: Du har en grupp som finns på både LDAP-servern och Google-kontot. Du skapar en Google-uteslutningsregel för gruppen och hoppas förhindra att GCDS ändrar gruppen under en synkronisering.
Den här regeln gör dock att GCDS fungerar som om gruppen inte finns i på Google-kontot. GCDS försöker skapa gruppen men eftersom gruppen redan finns visas ett fel och GCDS lägger till den i cacheminnet. Vid efterföljande synkroniseringar används cacheminnet och GCDS identifierar att gruppen redan finns. När sedan cacheminnet har rensats agerar GCDS som om gruppen inte finns.
Standardinställningen för synkronisering av lösenord i GCDS används för att definiera hur GCDS skapar lösenord för nya användarkonton. Om du inte vill anpassa ett initialt kontolösenord krävs ingen åtgärd. Använd bara standardinställningarna.
Om du använder Active Directory kan du använda lösenordssynkronisering och synkronisera användarlösenord från Active Directory till Google-domänen.
GCDS tillämpar reglerna i ordning från högsta till lägsta.
Du kan till exempel konfigurera en synkroniseringsregel för användarkonton för att skapa användare i rotorganisationsenheten eller /. Du skapar sedan en lägre regel för att skapa användare i /Exceptions-organisationsenheten. Efter en synkronisering skapas användare som matchar båda reglerna i rotorganisationsenheten eftersom denna regel har högre prioritet.
För att säkerställa att användarna är korrekt placerade i /Exceptions måste du se till att regeln är högre än någon annan regel i konflikt. Eller se till att det är den första regeln i den sorterade listan.
GCDS använder 3-OAuth 2.0 för auktorisering. Denna process ger GCDS en OAuth 2.0-token. Token tillåter GCDS att utföra åtgärder på uppdrag av administratören som genomförde auktoriseringen.
Alla granskningshändelser listas av administratören som auktoriserat GCDS. Överväg att skapa ett dedikerat GCDS-administratörskonto så att du tydligt kan se vilka ändringar och granskningar som utförts av GCDS.
Relaterat ämne
Under en synkronisering tar GCDS hänsyn till den aktuella LDAP-konfigurationen för att avgöra om ett anpassat schema ska behållas eller tas bort från ditt Google-konto.
Dessutom har GCDS-konfigurationsfilen en schemaHistory-inställning med information om anpassade scheman som har synkroniserats tidigare. Om ett anpassat schema har synkroniserats av GCDS läggs det automatiskt till i schemaHistory. Om du manuellt raderar schemaHistory-inställningarna i konfigurationsfilen, och om det anpassade schemat inte finns i LDAP-katalogen, hoppar GCDS över och tar inte bort det anpassade schemat från ditt Google-konto.
Om du vill ta bort schemaHistory i konfigurationsfilen manuellt söker du efter:
<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>
Den symmetriska nyckeln som krypterar GCDS-uppdateringstoken skapas med AES 128 av KeyGenerator för Java-standardkrypto.
Lagringsutrymmet för den symmetriska nyckeln hanteras av metoden userNodeForPackage method i Preferences-klassen i Java. Nyckelns exakta plats kontrolleras inte av GCDS och är OS-beroende.
I Windows lagras inställningsdata i användarens register-hive. I Linux lagras den i användarens hemkatalog.
Vi rekommenderar att kunderna följer metodtips för att säkerställa att nyckeln har rätt skydd med både ett krypterat filsystem och restriktiva ACL.
Det unika id:t (kallas även primärnyckel utan adress) används internt av GCDS och synkroniseras inte med Google Workspace. GCDS lagrar det unika id:t i en TSV-fil på den dator som GCDS är installerat på. Du hittar TSV-filnamnet och den fulla sökvägen i XML-konfigurationsfilen.
Om en användare byter namn på LDAP-servern men inte i Google Workspace, använder GCDS det unika id:t för att förhindra att användarens uppgifter raderas eller dupliceras.
Obs! Du kan orsaka synkroniseringsproblem om du ändrar användarens e-postadresser manuellt på både LDAP-servern och Google Workspace. Undvik problemet genom att ta bort motsvarande användarposter från TSV-filen innan du kör GCDS.
Google Cloud
Öppna avsnitt | Komprimera alla och gå högst upp
Hur synkroniserar jag säkerhetsgrupper från Active Directory eller min LDAP-katalog och använda dem i Cloud IAM?Du kan konfigurera GCDS att synkronisera säkerhetsgrupper med hjälp av LDAP-sökregler.
Exempel 1: Sök efter alla säkerhetsgrupper
Detta exempel visar en LDAP-sökning för alla säkerhetsgrupper som har en e-postadress:
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))
Exempel 2: Sök efter en underuppsättning av säkerhetsgrupper
Om du vill synkronisera en underuppsättning av säkerhetsgrupper kan du använda extensionAttribute1 och ange ett specifikt värde, som GoogleCloud. Du kan sedan förfina GCDS-sökningen att enbart tillhandahålla den specifika underuppsättningen av säkerhetsgrupper.
Detta exempel visar en LDAP-sökning för alla säkerhetsgrupper som har en e-postadress och GoogleCloud-attributet:
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))
Obs!
- Alla grupper på en Google-domän refereras av en e-postadress. Du måste se till att alla säkerhetsgrupper som du vill synkronisera har ett giltigt e-postattribut definierat.
- En grupp som skapats på en Google-domän har inte automatiskt en uttrycklig Google Cloud Identity and IAM-roll (Access Management). När en grupp har skapats måste du använda Cloud IAM för att tilldela en grupp till specifika roller.
Du kan konfigurera GCDS genom att lägga till en användares synkroniseringsregel för Google Cloud-användare. Det enklaste sättet är att skapa en ny fråga baserat på användarna som är medlemmar i en grupp, exempelvis:
(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Sedan kan du använda följande sökfilter för att returnera användare som är medlemmar i gruppen, har en e-postadress och vars konton inte är avstängda:
group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com
Överväg att placera dessa användare i en enda organisationsenhet. Gör detta genom att definiera ett namn på en organisationsenhet (till exempel Cloud-användare) i regeln. Skapa organisationsenheten om den inte redan finns.
Licensproblem
Tänk på hur domänen är konfigurerad så att du kan tilldela produktlicenser till användarkonton korrekt. Om automatisk licensiering har aktiverats vill du kanske utesluta Cloud-användare från att tilldelas en produktlicens. Mer information finns i Ange automatiska licensalternativ för en organisation.
För mer komplexa licenskrav kan du konfigurera GCDS att synkronisera och hantera alla dina användarlicensuppdrag. Mer information finns i Synkronisera licenser.
Google, Google Workspace och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.