Vanliga frågor om GCDS

Google Cloud Directory Sync

Google-domänen | Synkronisera användare, grupper och organisationsenheter | Allmänt | Cloud-plattform

Öppna alla   |   Stäng alla

Din Google-domän

Vad händer när det sker en förändring på Google-domänen som inte återspeglas i Active Directory eller LDAP-katalogen?

Det kan ta upp till åtta dagar innan du ser ändringen på Google-domänen. 

För att förstå varför måste du förstå hur GCDS cachelagrar data. GCDS lagrar en cache med data i maximalt åtta dagar. GCDS kan rensa cachen oftare, beroende på storleken på cachelagrad data. Innan cachen har rensats identifierar GCDS inte uppdateringar av Google-domänen. 

När cachen har rensats identifierar GCDS ändringen på Google-domänen och jämför den med källdata i LDAP-katalogen. Om uppgifterna inte stämmer överens ångras ändringen på Google-domänen. 

Det är en god idé att uppdatera LDAP-data och sedan synkronisera med Google-domänen. 

Så här rensar du cachen manuellt:

  • Kör en synkronisering från konfigurationshanteraren och välj att rensa cachen när du utför en synkronisering.
  • Använd kommandoradsflaggan -f och tvinga fram en tömning av cacheminnet.
  • Ändra XML-konfigfilen och ställ in värdet för maxCacheLifetime på 0.

Viktigt! Om du tvingar fram en rensning av cacheminnet kan det öka synkroniseringstiden markant.

Hur får GCDS tillgång till användarprofildata på min Google-domän?

Användarprofiler, inklusive ytterligare användarattribut, skrivs till Google-användarkontot och är synliga i domänens globala katalog. GCDS får tillgång till den globala katalogen i Google Kontakter. 

Hur bestämmer GCDS vilka e-postadressalias som läggs till på ett Google-konto?

I GCDS-konfigurationen kan du ange de attribut som GCDS utvärderar. GCDS utvärderar enbart data i attributet om det matchar en giltig SMTP-adress.

När det gäller proxyAddresses i Microsoft® Active Directory® rensar GCDS bort smtp:-prefixet under synkroniseringen så att prefixet inte visas på din Google-domän. 

Synkronisera användare, grupper och organisationsenheter

Kan GCDS synkronisera cykliska gruppmedlemskap?

I ett cykliskt gruppmedlemskap är två (eller flera) grupper medlemmar i varandra. Grupp A är till exempel medlem i Grupp B och Grupp B är medlem i Grupp A. Även om cykliska gruppmedlemskap stöds av LDAP och Microsoft® Active Directory® stöds de inte av Google Grupper. Om du försöker synkronisera ett cykliskt medlemskap i Google Cloud Directory Sync (GCDS) visas felmeddelandet: "Cyclic memberships not allowed." ("Cykliska medlemskap är inte tillåtna.")

Varför returnerar GCDS fel när cachen är inaktiverad?

Detta kan vara ett konfigurationsproblem, som felaktig konfiguration av en uteslutningsregel. Den här typen av felaktig konfiguration kan döljas av GCDS-cachning. 

GCDS lagrar en cache med data för din Google-tjänst (exempelvis G Suite eller Cloud Identity) i maximalt åtta dagar. GCDS kan rensa cachen oftare, beroende på storleken på cachelagrad data. Om cachen inte har rensats ser du kanske inte dina uppdateringar i upp till åtta dagar. 

Du kan rensa cachen manuellt.

  • Kör en synkronisering från konfigurationshanteraren och välj att rensa cachen när du utför en synkronisering.
  • Använd kommandoradsflaggan -f och tvinga fram en tömning av cacheminnet.
  • Ändra XML-konfigfilen och ställ in värdet för maxCacheLifetime på 0.

Viktigt! Om du tvingar fram en rensning av cachen kan de öka synkroniseringstiden markant.

Du synkroniserar exempelvis dina LDAP-data och skapar en ny grupp för Google-tjänsten (som G Suite eller Cloud Identity). Sedan skapar du en uteslutningsregel som exkluderar gruppen från påföljande synkroniseringar. Uteslutningsregeln är felaktigt konfigurerad och kommer att misslyckas. Vid den efterföljande synkroniseringen anropas däremot cachelagrad data och gruppen finns kvar i Google-tjänsten. När du synkar igen med rensad cache gör den felaktiga konfigurationen att gruppen tas bort från Google-tjänsten.

Hur konfigurerar jag GCDS att enbart tillhandahålla en delmängd av användare från Active Directory eller LDAP-katalogen? 

Om du bara vill synkronisera en delmängd av användare till Google-domänen kan du använda en enda Active Directory- eller LDAP-kataloggrupp som källa. Detta begränsar de användare som administreras på Google-domänen.

Exempel:

Användarsökning
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Den här sökningen returnerar alla användare som är medlemmar i gruppen identifierat av grupp-DN, som har e-postadresser och vars konton inte är inaktiverade.

Hur kan jag se till att GCDS inte tar bort eller ändrar befintliga grupper som jag har skapat? 

Du kan konfigurera GCDS att utesluta en grupp genom att definiera en undantagsregel för e-postadress i domänkonfigurationen av Google. 

Exempel:

Uteslutningsregel
Typ: E-postadress för grupp
Matchningstyp: Exakt matchning
Regel: GCP_Project1@domain.com

Obs! Vi rekommenderar att du skapar och hanterar dessa grupper i LDAP-katalogen. Gruppmedlemskap hålls uppdaterade på din Google-domän när GCDS synkroniserar data.

Hur kan jag utesluta en organisationsenhet i Google-tjänsten från att synkroniseras av GCDS?

Du kan konfigurera GCDS att utesluta en organisationsenhet med Google-tjänsten (exempelvis G Suite eller Cloud Identity) genom att definiera en undantagsregel för en organisations fullständiga sökväg i konfigurationen för Google-domänen. 

Exempel:

Uteslutningsregel
Typ: Fullständig organisationssökväg
Matchningstyp: Exakt matchning
Regel: /OUPath/MyExcludedOU

Synkroniserar GCDS användarskapade grupper?

En användarskapad grupp är en grupp som skapats i Google Groups for Business. Om en LDAP-grupp matchar en användarskapad grupp, ignorerar GCDS gruppen som om det fanns en GCDS-exkluderingsregel för den specifika gruppen. Den tar inte bort gruppen om den inte matchar LDAP-data. 

Om du har lagt till medlemmar i motsvarande objekt/enhet i LDAP, lägger GCDS till dessa medlemmar i gruppen. Om du har lagt till användare i Google-gruppen som inte matchar dina LDAP-data tas dessa medlemmar inte bort under synkroniseringen. 

Mer information om användarskapade grupper finns i Vanliga frågor och svar för gruppadministratörer

Kan GCDS synkronisera kapslade gruppmedlemskap? 

Ja, GCDS synkroniserar kapslade gruppmedlemskap. Det finns dock vissa begränsningar när det gäller kapslade grupper och e-postleverans i Google Groups for Business. 

I vissa situationer får inte alla kapslade gruppmedlemmar e-postinnehåll som skickas till gruppen. Dessa situationer omfattar:  

  • När modereringstillstånd har aktiverats – ett e-postmeddelande skickas inte automatiskt till gruppmedlemmar eller andra kapslade grupper förrän moderatorn i gruppen ger sitt godkännande. 
  • Överordnade grupper – dessa grupper har kanske inte publiceringsbehörighet att skicka meddelandet till de kapslade grupperna. 

Mer information finns i Lägg till en grupp i en annan grupp och Se vilka som kan visa, publicera och moderera

Allmänt

Varför måste jag konfigurera GCDS att synkronisera lösenord?

Standardinställningen för synkronisering av lösenord i GCDS används för att definiera hur GCDS skapar lösenord för nya användarkonton. Om du inte vill anpassa ett initialt kontolösenord krävs ingen åtgärd. Använd bara standardinställningarna.

Om du använder Active Directory kan du använda lösenordssynkronisering och synkronisera användarlösenord från Active Directory till Google-domänen. 

Hur löser GCDS konflikter när flera synkroniseringsregler gäller?

GCDS tillämpar reglerna i ordning från högsta till lägsta. 

Exempelvis konfigurerar du en regel för synkronisering av användarkonton för att skapa användare i rotorganisationsenheten eller /. Sedan skapar du en lägre regel för att skapa användare i organisationsenheten /Exceptions. Efter en synkronisering skapas användare som matchar båda reglerna i rotorganisationsenheten eftersom denna regel har högre prioritet. 

För att säkerställa att användarna är rätt placerade i /Exceptions måste du se till att regeln är noterad högre än någon annan konfliktregel. Eller se till att det är den första regeln i den sorterade listan.

Hur kan jag granska en GCDS-synkronisering? 

GCDS använder 3-OAuth 2.0 för auktorisering. Denna process ger GCDS en OAuth 2.0-token. Token tillåter GCDS att utföra åtgärder på uppdrag av administratören som genomförde auktoriseringen.

Alla granskningshändelser listas av administratören som auktoriserat GCDS. Överväg att skapa ett dedikerat GCDS-administratörskonto så att du tydligt kan se vilka ändringar och granskningar som utförts av GCDS.A 

Hur auktoriserar jag GCDS på en dator utan grafiskt användargränssnitt (GUI)? 

Så här konfigurerar du GCDS på en server utan GUI-miljö:

  1. Öppna en kommandotolk och ange dina LDAP-autentiseringsuppgifterreferenser, ange:

    ./upgrade-config -ldapuser LDAP_användarnamn -ldappassword LDAP_lösenord -c konfigureringsfilens_namn

  2. Auktorisera Google-domänen genom att skriva: 

    ./upgrade-config -Oauth Google_domännamn -c konfigurationsfilens_namn

  3. Testa LDAP-anslutningen genom att skriva in:

    ./upgrade-config -testldap -c konfigurationsfilens_namn

  4. Testa Google-anslutningen genom att skriva:

    ./upgrade-config -testgoogleapps -c konfigurationsfilens_namn

Cloud-plattformen

Hur kan jag synkronisera säkerhetsgrupper från Active Directory eller min LDAP-katalog och använda dem i Cloud IAM? 

Du kan konfigurera GCDS att synkronisera säkerhetsgrupper med hjälp av LDAP-sökregler. 

Exempel 1: Sök efter alla säkerhetsgrupper

Detta exempel visar en LDAP-sökning för alla säkerhetsgrupper som har en e-postadress:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Exempel 2: Sök efter en underuppsättning av säkerhetsgrupper

Om du vill synkronisera en underuppsättning av säkerhetsgrupper kan du använda extensionAttribute1 och ange ett specifikt värde, såsom GoogleCloudPlatform. Du kan sedan förfina GCDS-sökningen att enbart tillhandahålla den specifika underuppsättningen av säkerhetsgrupper:

Detta exempel visar en LDAP-sökning för alla säkerhetsgrupper som har en e-postadress och GoogleCloudPlatform-attributet:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloudPlatform))


Viktigt!

  • Alla grupper på en Google-domän refereras av en e-postadress. Du måste se till att alla säkerhetsgrupper som du vill synkronisera har ett giltigt e-postattribut definierat.
  • En grupp som skapats på en Google-domän har inte automatiskt en uttrycklig Google Cloud Identity and IAM-roll (Access Management). När en grupp har skapats måste du använda Cloud IAM för att tilldela en grupp till specifika roller.
Hur lägger jag till användare som bara behöver ett konto för Google Cloud Platform-projekt?

Du kan konfigurera GCDS genom att lägga till en användares synkroniseringsregel för Google Cloud Platform-användare. Det enklaste sättet är att skapa en ny fråga baserat på användarna som är medlemmar i en grupp. Exempel:

(&(memberof=cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Sedan kan du använda följande sökfilter för att returnera användare som är medlemmar i gruppen, har en e-postadress och vars konton inte är inaktiverade: 

group cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com

Överväg att placera dessa användare i en enda organisationsenhet. Gör detta genom att definiera ett namn på en organisationsenhet (till exempel Cloud Platform-användare) i regeln. Skapa organisationsenhet om den inte redan finns. 

Licensproblem

Tänk på hur domänen är konfigurerad så att du kan tilldela produktlicenser till användarkonton korrekt. Om automatisk licensiering har aktiverats vill du kanske utesluta Cloud Platform-användare från att tilldelas en produktlicens. Mer information finns i Ställ in automatiska licensalternativ för en organisation.

För mer komplexa licenskrav kan du konfigurera GCDS att synkronisera och hantera alla dina användarlicensuppdrag. Mer information finns i Synkronisera licenser

Var det här till hjälp?
Hur kan vi förbättra den?