คำถามที่พบบ่อยเกี่ยวกับการใช้งาน Google Cloud Directory Sync มีดังนี้
ตั้งค่า GCDS
เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด
ฉันจะให้สิทธิ์ GCDS ในเครื่องที่ไม่มี GUI ได้อย่างไร- ตรวจสอบว่าคุณเรียกใช้ GCDS เวอร์ชัน 4.7.14 ขึ้นไป
โปรดดูรายละเอียดที่หัวข้ออัปเดต GCDS
- ให้สิทธิ์ GCDS ในคอมพิวเตอร์ที่มี GUI
โปรดดูรายละเอียดที่หัวข้อให้สิทธิ์บัญชี Google ของคุณ
- สร้างและบันทึกไฟล์ XML
- ในคอมพิวเตอร์เดียวกัน ให้ใช้บรรทัดคำสั่งเพื่อเรียกใช้เครื่องมือการกำหนดค่าการอัปเกรดโดยใช้พารามิเตอร์ -exportkeys
ตัวอย่าง: upgrade-config -exportkeys encryption key file [password]
ในตัวอย่างนี้ ระบบจะส่งออกคีย์เป็นไฟล์ชื่อไฟล์คีย์การเข้ารหัส โดยที่คุณจะใช้รหัสผ่านหรือไม่ก็ได้
- คัดลอกไฟล์คีย์การเข้ารหัสและไฟล์การกำหนดค่าไปยังคอมพิวเตอร์ที่ไม่มี GUI
- ในคอมพิวเตอร์ที่ไม่มี GUI ให้ใช้บรรทัดคำสั่งเพื่อเรียกใช้เครื่องมือการกำหนดค่าการอัปเกรดโดยใช้พารามิเตอร์ -importkeys
ตัวอย่าง: upgrade-config -importkeys ชื่อไฟล์
สําคัญ: พารามิเตอร์ -importkeys จะนําการกําหนดค่า GCDS ที่ได้รับอนุญาตที่อาจมีอยู่ในคอมพิวเตอร์ออก
- หากจำเป็น ให้ป้อนรหัสผ่านที่คุณตั้งไว้ในขั้นตอนที่ 4
คุณควรได้รับการยืนยันว่านำเข้าคีย์เรียบร้อยแล้ว
เคล็ดลับ: หากต้องการดูตัวเลือกเพิ่มเติม ให้ป้อนคำสั่ง upgrade-config -help จากบรรทัดคำสั่ง
- หากคุณมีการเปลี่ยนแปลงอีเมลผู้ใช้ที่รอดำเนินการ (การเปลี่ยนชื่อผู้ใช้) หรือไม่แน่ใจว่ามีหรือไม่ ให้เลือกตัวเลือกดังต่อไปนี้
- เรียกใช้การซิงค์ข้อมูลในเซิร์ฟเวอร์เก่า
- คัดลอกไฟล์ค่าที่คั่นด้วยแท็บ (TSV) ไปยังเซิร์ฟเวอร์ใหม่
คุณจะหาชื่อและตำแหน่งของไฟล์ TSV ได้ในไฟล์การกำหนดค่าโดยการค้นหา .tsv
- ติดตั้ง GCDS ในเซิร์ฟเวอร์ใหม่ โปรดดูวิธีการที่หัวข้อดาวน์โหลดและติดตั้ง GCDS
- คัดลอกไฟล์การกำหนดค่าไปยังเซิร์ฟเวอร์ใหม่
- เปิดไฟล์การกำหนดค่าในเครื่องมือจัดการการกำหนดค่าในเซิร์ฟเวอร์ใหม่
- ให้สิทธิ์ GCDS สำหรับบัญชี Google ของคุณอีกครั้ง โปรดดูวิธีการที่หัวข้อให้สิทธิ์บัญชี Google ของคุณ
- อัปเดตรหัสผ่าน LDAP ในหน้าการกำหนดค่า LDAP โปรดดูวิธีการที่หัวข้อการตั้งค่าการเชื่อมต่อ LDAP
- อัปเดตรหัสผ่าน SMTP ในหน้าการแจ้งเตือน โปรดดูวิธีการที่หัวข้อแอตทริบิวต์การแจ้งเตือน
- เรียกใช้การซิงค์จำลอง
- ตรวจสอบการซิงค์เพื่อให้แน่ใจว่าไม่มีการเปลี่ยนแปลงที่ไม่คาดคิด
- เรียกใช้การซิงค์แบบเต็ม
หลังจากการซิงค์ ระบบจะอัปเดตไฟล์ TSV จากเซิร์ฟเวอร์เก่า หากคุณไม่ได้โอนไฟล์ TSV ระบบจะสร้างไฟล์ใหม่
หากคุณมีปัญหาเกี่ยวกับใบรับรองเมื่อเรียกใช้ GCDS โปรดดูหัวข้อแก้ปัญหาเกี่ยวกับใบรับรอง
บัญชี Google ของคุณ
เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด
GCDS ใช้ API ใดGCDS ใช้ Google Workspace API เพื่อซิงค์ข้อมูลไดเรกทอรีกับบัญชี Google API ใช้ OAuth ไม่ใช่รหัสผ่านของผู้ดูแลระบบในการตรวจสอบสิทธิ์ วิธีนี้จะทำให้ฟีเจอร์ต่างๆ เช่น การยืนยันแบบ 2 ขั้นตอน (2SV) ทำงานได้ต่อไปโดยไม่ส่งผลกระทบต่อฟังก์ชันของ GCDS
GCDS ใช้ API ต่อไปนี้
ระบบอาจใช้เวลาดำเนินการถึง 8 วันก่อนที่คุณจะเห็นการเปลี่ยนแปลงในบัญชี Google หากต้องการทราบเหตุผล คุณต้องเข้าใจวิธีแคชข้อมูลที่ GCDS ใช้ก่อน
GCDS จะเก็บแคชของข้อมูลสำหรับบัญชี Google ไว้นานสูงสุด 8 วัน แต่จะล้างแคชบ่อยกว่านี้ได้ โดยขึ้นอยู่กับขนาดข้อมูลที่แคชไว้ แต่หากไม่มีการล้างแคช ระบบอาจใช้เวลาดำเนินการถึง 8 วันกว่าคุณจะเห็นการเปลี่ยนแปลงที่ทำในบัญชี Google โดยตรง (โดยใช้คอนโซลผู้ดูแลระบบหรือไคลเอ็นต์ API อื่น)
หลังจากล้างแคชแล้ว GCDS จะระบุการเปลี่ยนแปลงในบัญชี Google และเปรียบเทียบกับข้อมูลต้นฉบับในไดเรกทอรี LDAP หากข้อมูลไม่ตรงกัน GCDS จะยกเลิกการเปลี่ยนแปลงที่ทำในบัญชี Google
วิธีล้างแคชด้วยตัวเอง
- ซิงค์จากเครื่องมือจัดการการกำหนดค่า แล้วเลือกล้างแคชเมื่อซิงค์
- ใช้ Flag บรรทัดคำสั่ง -f เพื่อบังคับให้ล้างแคช
- แก้ไขไฟล์การกำหนดค่า XML เพื่อตั้ง maxCacheLifetime เป็น 0
ข้อมูลสำคัญ: การล้างแคชอาจทำให้การซิงค์ใช้เวลานานขึ้นอย่างมาก
ระบบจะบันทึกโปรไฟล์ผู้ใช้ ซึ่งรวมถึงแอตทริบิวต์เพิ่มเติมของผู้ใช้ไว้ในบัญชีผู้ใช้ Google ซึ่งดูได้ในไดเรกทอรีของบัญชี โดย GCDS จะเข้าถึงไดเรกทอรีนี้จาก Google Contacts โปรดดูรายละเอียดที่หัวข้อภาพรวม: ตั้งค่าและจัดการไดเรกทอรี
คุณสามารถระบุแอตทริบิวต์ที่ต้องการให้ GCDS ประเมินได้ในการกำหนดค่า GCDS ซึ่ง GCDS จะประเมินข้อมูลที่เก็บไว้ในแอตทริบิวต์ก็ต่อเมื่อตรงกับที่อยู่ SMTP ที่ถูกต้องเท่านั้น
เมื่อใช้ proxyAddresses ของ Microsoft Active Directory ระบบของ GCDS จะตัดส่วนนำหน้า smtp: ออกขณะซิงค์ เพื่อไม่ให้ส่วนนำหน้านี้ปรากฏในโดเมน Google
ได้ คุณใช้ GCDS เพื่อซิงค์จากไดเรกทอรี LDAP หนึ่งไปยังบัญชี Google หลายบัญชีได้ โดยใช้ไฟล์การกำหนดค่ามากกว่า 1 ไฟล์ หากมีการซิงค์หลายรายการพร้อมกัน ให้ตรวจสอบว่าระบบได้บันทึกไฟล์การกำหนดค่าด้วยชื่อที่ไม่ซ้ำกัน
หากต้องการโคลนไฟล์การกำหนดค่าที่มีอยู่ ให้ใช้ตัวเลือกบันทึกเป็นในเครื่องมือจัดการการกำหนดค่า และบันทึกไฟล์ในชื่อใหม่
GCDS จะดำเนินการตามการตั้งค่าการจัดการบัญชีที่ทับซ้อนกันที่คุณตั้งค่าไว้ในคอนโซลผู้ดูแลระบบของ Google โปรดดูรายละเอียดที่หัวข้อจัดการบัญชีที่ทับซ้อนกันด้วย GCDS
การซิงค์ผู้ใช้และหน่วยขององค์กร
เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด
ฉันจะกำหนดค่า GCDS เพื่อจัดสรรเฉพาะผู้ใช้บางส่วนได้อย่างไรหากต้องการซิงค์ผู้ใช้บางส่วนกับบัญชี Google คุณจะใช้กลุ่ม Active Directory หรือไดเรกทอรี LDAP เดียวเป็นแหล่งที่มาได้ โดยการใช้กลุ่มจะจำกัดจำนวนผู้ใช้ที่ได้รับการจัดสรรในบัญชี Google
ตัวอย่าง
คำค้นหาของผู้ใช้
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
คำค้นหานี้จะแสดงผู้ใช้ทุกคนที่เป็นสมาชิกกลุ่มที่ระบุโดย DN ของกลุ่ม รวมไปถึงผู้ใช้ที่มีอีเมลและยังเปิดใช้บัญชีอยู่
คุณจะกำหนดค่า GCDS ให้ยกเว้นหน่วยขององค์กรที่ตั้งค่าในบัญชี Google ได้โดยการกำหนดกฎการยกเว้นเส้นทางแบบเต็มขององค์กรในการกำหนดค่าโดเมน Google
ตัวอย่าง
กฎการยกเว้น
ประเภท: เส้นทางแบบเต็มขององค์กร
ประเภทการจับคู่: ตรงทั้งหมด
กฎ: /OUPath/MyExcludedOU
หากคุณเพิ่มโดเมน (รอง) เพิ่มเติม คุณก็ใช้ GCDS เพื่อซิงค์ผู้ใช้กับโดเมนนั้นได้ หากต้องการซิงค์ผู้ใช้กับโดเมนรอง ให้ตรวจสอบว่าอีเมลของผู้ใช้ในเซิร์ฟเวอร์ LDAP ตรงกับชื่อโดเมนรอง GCDS จะสร้างผู้ใช้ในบัญชี Google โดยใช้โดเมนรองเป็นอีเมลหลัก
หากไม่ต้องการเปลี่ยนแปลงแอตทริบิวต์อีเมล LDAP ที่มีอยู่ ให้กำหนดแอตทริบิวต์อื่นเพื่อซิงค์อีเมลของผู้ใช้ในโดเมนรอง โปรดดูรายละเอียดเกี่ยวกับโดเมนรองในหัวข้อเพิ่มโดเมนชื่อแทนผู้ใช้หรือโดเมนรอง
ได้ ตราบเท่าที่เซิร์ฟเวอร์ LDAP รองรับไวลด์การ์ด
ไดเรกทอรี LDAP ไม่รองรับไวลด์การ์ดในแอตทริบิวต์ DN ขณะดําเนินการค้นหาผู้ใช้ เช่น คุณใช้ (mail=user*) ได้ แต่ใช้ (distinguishedName=*,DC=domain,DC=com) ไม่ได้
ได้ หากคุณใช้เซิร์ฟเวอร์ LDAP ที่รองรับการค้นหา memberOf แบบเรียกซ้ำ โดย Active Directory จะรองรับการค้นหาดังกล่าว แต่ OpenLDAP จะไม่รองรับ
หากบัญชีผู้ใช้ Google Workspace ถูกระงับหลังจากเรียกใช้ GCDS คุณจะได้รับการแจ้งข้อผิดพลาดที่อธิบายสาเหตุที่บัญชีถูกระงับ หากต้องการหลีกเลี่ยงไม่ให้เกิดข้อผิดพลาดซ้ำในการซิงค์ครั้งถัดไป คุณสามารถใช้วิธีแก้ปัญหาวิธีใดวิธีหนึ่งต่อไปนี้ โดยขึ้นอยู่กับสาเหตุของปัญหา
- ปัญหา: ผู้ใช้ไม่อยู่ในเซิร์ฟเวอร์ LDAP
วิธีแก้: เนื่องจากผู้ใช้ไม่อยู่ในเซิร์ฟเวอร์ LDAP ลูกค้าจึงควรตั้งกฎการยกเว้นผู้ใช้ Google เพื่อป้องกันไม่ให้ GCDS ระงับผู้ใช้รายนี้ใน Google Workspace
-
ปัญหา: ผู้ใช้ไม่มีอีเมลที่ถูกต้องในเซิร์ฟเวอร์ LDAP
วิธีแก้ปัญหา: คุณควรกำหนดค่าอีเมลสำหรับผู้ใช้รายนี้ หรือตั้งกฎการยกเว้นผู้ใช้ Google เพื่อป้องกันไม่ให้ GCDS ระงับผู้ใช้ใน Google Workspace
คุณยังสามารถเปลี่ยนการกำหนดค่า GCDS เพื่อให้ใช้แอตทริบิวต์อีเมลของผู้ใช้ที่อยู่ในเซิร์ฟเวอร์ LDAP ได้อีกด้วย เช่น ใช้แอตทริบิวต์ userPrincipalName (UPN) แทนแอตทริบิวต์ userPrincipalName
-
ปัญหา: กฎการยกเว้นไม่สนใจผู้ใช้ในเซิร์ฟเวอร์ LDAP
วิธีแก้: คุณควรแก้ไขกฎการยกเว้น หากไม่ต้องการระงับผู้ใช้ดังกล่าว
-
ปัญหา: ระบบพบและระงับผู้ใช้ในกฎการค้นหา เนื่องจากมีการเลือกตัวเลือกระงับผู้ใช้เหล่านี้ในโดเมน Google
วิธีแก้: ผู้ใช้รายนี้อาจต้องถูกระงับ
-
ปัญหา: ผู้ใช้ถูกระงับในเซิร์ฟเวอร์ LDAP
วิธีแก้: ผู้ใช้รายนี้อาจต้องถูกระงับ
การซิงค์กลุ่ม
เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด
GCDS จะซิงค์การเป็นสมาชิกกลุ่มแบบวนซ้ำได้ไหมในการเป็นสมาชิกกลุ่มแบบวนซ้ำ จะมีกลุ่ม 2 กลุ่ม (หรือมากกว่า) ที่เป็นสมาชิกของกันและกัน เช่น กลุ่ม A เป็นสมาชิกของกลุ่ม B และกลุ่ม B เป็นสมาชิกของกลุ่ม A
LDAP และ Microsoft Active Directory รองรับการเป็นสมาชิกกลุ่มแบบวนซ้ำ แต่ Google Groups จะไม่รองรับ หากคุณพยายามซิงค์ข้อมูลการเป็นสมาชิกแบบวนซ้ำ คุณจะเห็นข้อผิดพลาด "ไม่อนุญาตให้เป็นสมาชิกแบบวนซ้ำ"
คุณสามารถกำหนดค่า GCDS ให้ไม่รวมกลุ่มได้ โดยการกำหนดกฎการยกเว้นอีเมลกลุ่มในการกำหนดค่าโดเมน Google โปรดดูรายละเอียดที่หัวข้อใช้กฎสำหรับข้อมูลใน Google
ตัวอย่าง
กฎการยกเว้น
ประเภท: อีเมลกลุ่ม
ประเภทการจับคู่: ตรงทั้งหมด
กฎ: GCP_Project1@example.com
หมายเหตุ: เราขอแนะนำให้คุณสร้างและจัดการกลุ่มเหล่านี้ในไดเรกทอรี LDAP ข้อมูลการเป็นสมาชิกของกลุ่มจะอัปเดตอยู่เสมอในบัญชี Google เมื่อ GCDS ซิงค์ข้อมูล
หากต้องการเก็บกลุ่มปัจจุบันที่ไม่ได้อยู่ใน LDAP เอาไว้ คุณสามารถเปิดการตั้งค่าไม่ลบ Google Groups ที่ไม่พบใน LDAP โปรดดูรายละเอียดที่หัวข้อนโยบายการลบกลุ่ม Google Groups
กลุ่มที่ผู้ใช้สร้างคือกลุ่มที่สร้างใน Google Groups for Business หากกลุ่ม LDAP ตรงกับกลุ่มที่ผู้ใช้สร้างไว้ GCDS จะไม่สนใจกลุ่มนั้น แม้จะมีกฎการยกเว้นของ GCDS สำหรับกลุ่มนั้นอยู่ก็ตาม และจะไม่นำกลุ่มนั้นออกหากกลุ่มดังกล่าวไม่ตรงกับข้อมูล LDAP
หากคุณเพิ่มสมาชิกเข้าไปในออบเจ็กต์/เอนทิตีที่ตรงกันใน LDAP แล้ว GCDS จะเพิ่มสมาชิกเหล่านั้นเข้าไปในกลุ่ม หากคุณเพิ่มผู้ใช้เข้าไปในกลุ่ม Google Groups ที่ไม่ตรงกับข้อมูล LDAP ระบบจะไม่นำสมาชิกเหล่านั้นออกในระหว่างขั้นตอนการซิงค์
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับกลุ่มที่ผู้ใช้สร้างในหัวข้อคำถามที่พบบ่อยสำหรับผู้ดูแลระบบ Groups
ได้ GCDS ซิงค์การเป็นสมาชิกกลุ่มที่ซ้อนกันได้ แต่มีข้อจำกัดบางประการเกี่ยวกับกลุ่มที่ซ้อนกันและการส่งอีเมลด้วย Google Groups for Business สมาชิกของกลุ่มที่ซ้อนกันบางรายจะไม่ได้รับเนื้อหาอีเมลที่ส่งถึงกลุ่ม ในกรณีดังต่อไปนี้
- เมื่อเปิดใช้สิทธิ์ในการตรวจสอบ ระบบจะไม่ส่งอีเมลถึงสมาชิกกลุ่มหรือกลุ่มที่ซ้อนกันอื่นๆ โดยอัตโนมัติ จนกว่าผู้ตรวจสอบของกลุ่มจะอนุมัติ
- กลุ่มระดับบนไม่มีสิทธิ์โพสต์เพื่อส่งข้อความไปยังกลุ่มที่ซ้อนกัน
หัวข้อที่เกี่ยวข้อง
ได้ GCDS จะซิงค์สมาชิกกลุ่มโดยไม่คํานึงว่าจะเป็นผู้ใช้หรือกลุ่ม แต่ GCDS จะไม่รองรับกฎการค้นหาเพื่อขยายสมาชิกของกลุ่มที่ซ้อนกันอยู่หากเซิร์ฟเวอร์ LDAP ไม่รองรับกฎการค้นหาดังกล่าว
ทั่วไป
เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด
ฉันจะเพิ่มแฟล็กฟีเจอร์ที่ไม่บังคับลงในไฟล์การกําหนดค่า GCDS ได้อย่างไรก่อนเริ่มต้น: ตรวจสอบว่า GCDS รองรับฟีเจอร์นี้
- ค้นหาไฟล์การกําหนดค่า ซึ่งเป็นไฟล์ XML เดียวกับที่คุณใช้โหลดการกําหนดค่า GCDS
- เปิดไฟล์การกําหนดค่าด้วยเครื่องมือแก้ไขข้อความ
- ในไฟล์ XML ให้ค้นหาแท็ก <features> แล้วแทรกบรรทัดใหม่ภายในแท็ก
- ในบรรทัดใหม่ ให้เพิ่มแท็ก <optional> ใหม่ที่มีชื่อของฟีเจอร์อยู่ภายใน
- บันทึกและปิดไฟล์
ตัวอย่าง
ตัวอย่างต่อไปนี้แสดงวิธีเพิ่มฟีเจอร์ DONT_RESOLVE_USER_CONFLICT_ACCOUNTS
<features>
<optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>
</features>
ข้อผิดพลาดอาจเกิดจากปัญหาด้านการกำหนดค่า เช่น การกำหนดค่ากฎการยกเว้นไม่ถูกต้อง ซึ่งการแคชของ GCDS จะซ่อนการกำหนดค่าที่ไม่ถูกต้องดังกล่าวเอาไว้
GCDS จะเก็บแคชของข้อมูลสำหรับบริการของ Google (เช่น Google Workspace หรือ Cloud Identity) ไว้นานสูงสุด 8 วัน แต่จะล้างแคชบ่อยกว่านี้ได้ โดยขึ้นอยู่กับขนาดข้อมูลที่แคชไว้ แต่หากไม่มีการล้างแคช ระบบอาจใช้เวลาดำเนินการถึง 8 วันกว่าคุณจะเห็นการเปลี่ยนแปลงที่ทำในบัญชี Google โดยตรง (โดยใช้คอนโซลผู้ดูแลระบบหรือไคลเอ็นต์ API อื่น)
วิธีล้างแคชด้วยตัวเอง
- ซิงค์จากเครื่องมือจัดการการกำหนดค่า แล้วเลือกล้างแคชเมื่อซิงค์
- ใช้แฟล็กบรรทัดคำสั่ง -f เพื่อบังคับให้ล้างแคช
- แก้ไขไฟล์การกำหนดค่า XML เพื่อตั้ง maxCacheLifetime เป็น 0
ข้อมูลสำคัญ: การล้างแคชอาจทำให้การซิงค์ใช้เวลานานขึ้นอย่างมาก
ตัวอย่างเช่น คุณมีกลุ่มที่อยู่ทั้งในเซิร์ฟเวอร์ LDAP และบัญชี Google คุณสร้างกฎการยกเว้นของ Google สำหรับกลุ่มนี้ โดยหวังว่าจะป้องกันไม่ให้ GCDS เปลี่ยนกลุ่มในระหว่างการซิงค์
แต่กฎนี้กลับทำให้ GCDS ทำงานเสมือนว่าไม่มีกลุ่มอยู่ในบัญชี Google GCDS จะพยายามสร้างกลุ่ม แต่เนื่องจากมีกลุ่มนี้อยู่แล้ว คุณจึงเห็นข้อผิดพลาดและ GCDS จะเพิ่มกลุ่มนั้นลงในแคช เมื่อการซิงค์ครั้งถัดไปใช้แคชดังกล่าว GCDS ก็จะทราบว่ามีกลุ่มนั้นอยู่แล้ว จากนั้น เมื่อล้างแคชแล้ว GCDS จะทำงานอีกครั้งเสมือนว่าไม่มีกลุ่มอยู่
การตั้งค่าการซิงค์รหัสผ่านเริ่มต้นใน GCDS จะใช้ในการกำหนดวิธีที่ GCDS สร้างรหัสผ่านให้กับบัญชีผู้ใช้ใหม่ หากไม่ต้องการตั้งรหัสผ่านของบัญชีเริ่มแรกขึ้นมาเอง คุณไม่จำเป็นต้องดำเนินการใดๆ และใช้การตั้งค่าเริ่มต้นได้เลย
หากกำลังใช้ Active Directory อยู่ คุณจะใช้ Password Sync เพื่อซิงค์รหัสผ่านของผู้ใช้จาก Active Directory ไปยังโดเมน Google ได้
GCDS จะพิจารณากฎตามลำดับจากระดับบนสุดไปล่างสุด
ตัวอย่างเช่น คุณกำหนดค่ากฎการซิงค์บัญชีผู้ใช้เพื่อสร้างผู้ใช้ในหน่วยขององค์กรระดับสูงสุดหรือ / จากนั้นจึงสร้างกฎระดับล่างลงมาเพื่อสร้างผู้ใช้ในหน่วยขององค์กร /Exceptions หลังจากซิงค์แล้ว ระบบจะสร้างผู้ใช้ที่ตรงตามกฎทั้ง 2 ข้อในหน่วยขององค์กรระดับสูงสุดเนื่องจากกฎดังกล่าวมีความสำคัญสูงกว่า
คุณต้องทำให้กฎดังกล่าวอยู่ในลำดับที่สูงกว่ากฎข้ออื่นๆ ที่ขัดแย้งกัน เพื่อให้ระบบสร้างผู้ใช้ไว้ใน /Exceptions อย่างถูกต้อง หรือตั้งกฎนั้นเป็นกฎแรกในรายการตามลำดับ
GCDS ใช้ OAuth 2.0 แบบ 3 ทางในการให้สิทธิ์ ซึ่งกระบวนการนี้จะให้โทเค็น OAuth 2.0 กับ GCDS โดยโทเค็นนี้ทำให้ GCDS ทำงานในนามของผู้ดูแลระบบที่ให้สิทธิ์ได้
ผู้ดูแลระบบที่ให้สิทธิ์ GCDS จะเป็นผู้จัดทำรายการกิจกรรมการตรวจสอบทั้งหมด คุณควรสร้างบัญชีผู้ดูแลระบบ GCDS ขึ้นโดยเฉพาะเพื่อให้เห็นได้อย่างชัดเจนว่า GCDS เปลี่ยนแปลงและตรวจสอบสิ่งใดบ้าง
หัวข้อที่เกี่ยวข้อง
GCDS จะพิจารณาการตั้งค่า LDAP ปัจจุบันในระหว่างการซิงค์เพื่อตัดสินว่าควรเก็บรักษาหรือลบสคีมาที่กําหนดเองในบัญชี Google ของคุณ
นอกจากนี้ ไฟล์การกําหนดค่า GCDS ยังมีการตั้งค่า schemaHistory ซึ่งมีข้อมูลเกี่ยวกับสคีมาที่กําหนดเองที่เคยซิงค์ด้วย หาก GCDS เคยซิงค์สคีมาที่กำหนดเองแล้ว ระบบจะเพิ่มสคีมาดังกล่าวไปยัง schemaHistory โดยอัตโนมัติ หากคุณลบการตั้งค่า schemaHistory ในไฟล์การกําหนดค่าเอง และหากไม่มีสคีมาที่กำหนดเองในไดเรกทอรี LDAP ของคุณ GCDS จะข้ามและไม่ลบสคีมาที่กำหนดเองในบัญชี Google ของคุณ
หากต้องการลบ schemaHistory ในไฟล์การกําหนดค่าเอง ให้มองหาข้อมูลต่อไปนี้
<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>
คีย์แบบสมมาตรที่เข้ารหัสโทเค็นการรีเฟรชของ GCDS จะสร้างขึ้นด้วย Java crypto KeyGenerator ค่าเริ่มต้นโดยใช้ AES 128
การจัดเก็บคีย์แบบสมมาตรจะได้รับการจัดการโดยเมธอด userNodeForPackage ในคลาส "ค่ากำหนด" ใน Java ตำแหน่งที่แน่นอนของคีย์จะไม่อยู่ภายใต้การควบคุมของ GCDS แต่จะขึ้นอยู่กับ OS
ใน Windows ข้อมูลค่ากำหนดจะจัดเก็บไว้ในคลังรีจิสทรีของผู้ใช้ ใน Linux ข้อมูลดังกล่าวจะจัดเก็บไว้ที่ไดเรกทอรีหน้าหลักของผู้ใช้
เราขอแนะนำให้ลูกค้าทำตามแนวทางปฏิบัติแนะนำเพื่อให้คีย์ได้รับการจัดเก็บไว้อย่างปลอดภัยด้วยระบบไฟล์ที่เข้ารหัสและมี ACL ที่เข้มงวด
รหัสที่ไม่ซ้ำกัน (หรือที่เรียกอีกอย่างว่าคีย์หลักที่ไม่มีที่อยู่) คือรหัสที่ใช้ภายในระบบ GCDS ซึ่งจะไม่มีการซิงค์ไปยัง Google Workspace โดย GCDS จะจัดเก็บรหัสที่ไม่ซ้ำกันในไฟล์ TSV บนคอมพิวเตอร์ที่ติดตั้ง GCDS ไว้ คุณสามารถดูชื่อไฟล์ TSV และเส้นทางแบบเต็มของไฟล์ได้ในไฟล์การกำหนดค่า XML
หากผู้ใช้ได้รับการเปลี่ยนชื่อในเซิร์ฟเวอร์ LDAP แต่ไม่ใช่ใน Google Workspace ในกรณีนี้ GCDS จะใช้รหัสที่ไม่ซ้ำกันเพื่อป้องกันไม่ให้ระบบลบหรือทำซ้ำรายละเอียดของผู้ใช้รายนี้
หมายเหตุ: คุณอาจทำให้เกิดปัญหาการซิงค์หากเปลี่ยนอีเมลของผู้ใช้ด้วยตนเองทั้งในเซิร์ฟเวอร์ LDAP และ Google Workspace เพื่อป้องกันไม่ให้เกิดปัญหานี้ โปรดนำบันทึกข้อมูลของผู้ใช้รายนั้นออกจากไฟล์ TSV ก่อนเรียกใช้ GCDS
Google Cloud
เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด
ฉันจะซิงค์ข้อมูลกลุ่มความปลอดภัยจาก Active Directory หรือจากไดเรกทอรี LDAP ของฉัน และใช้ใน Cloud IAM ได้อย่างไรคุณสามารถกำหนดค่า GCDS ให้ซิงค์กลุ่มความปลอดภัยโดยใช้กฎการค้นหาของ LDAP
ตัวอย่างที่ 1: ค้นหากลุ่มความปลอดภัยทั้งหมด
ตัวอย่างนี้แสดงการค้นหาของ LDAP ที่ค้นหากลุ่มความปลอดภัยทั้งหมดที่มีอีเมล ดังนี้
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))
ตัวอย่างที่ 2: ค้นหากลุ่มย่อยของกลุ่มความปลอดภัย
หากต้องการซิงค์กลุ่มย่อยของกลุ่มความปลอดภัย คุณควรใช้ extensionAttribute1 แล้วกำหนดค่าเฉพาะ เช่น GoogleCloud จากนั้นปรับคำค้นหา GCDS ให้จัดสรรให้เฉพาะกลุ่มย่อยของกลุ่มความปลอดภัยนั้น
ตัวอย่างนี้แสดงการค้นหาของ LDAP ที่ค้นหากลุ่มความปลอดภัยทั้งหมดที่มีอีเมลและแอตทริบิวต์ GoogleCloud ดังนี้
(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))
สำคัญ
- การอ้างอิงกลุ่มทุกกลุ่มในโดเมน Google จะใช้ที่อยู่อีเมล ดังนั้นจะต้องตรวจสอบว่ากลุ่มความปลอดภัยทั้งหมดที่คุณต้องการซิงค์ข้อมูลนั้นมีการกำหนดแอตทริบิวต์อีเมลที่ถูกต้อง
- กลุ่มที่สร้างในโดเมน Google จะไม่มีบทบาท Google Cloud Identity and Access Management (IAM) มาให้โดยอัตโนมัติ ดังนั้นหลังจากสร้างกลุ่มแล้ว คุณต้องใช้ Cloud IAM เพื่อกำหนดบทบาทให้กลุ่ม
คุณสามารถกำหนดค่า GCDS ได้โดยการเพิ่มกฎการซิงค์ผู้ใช้ให้กับผู้ใช้ Google Cloud วิธีที่ง่ายที่สุดคือการสร้างคำค้นหาใหม่โดยใช้ข้อมูลของผู้ใช้ที่เป็นสมาชิกกลุ่ม เช่น
(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
จากนั้นคุณจะใช้ตัวกรองการค้นหาต่อไปนี้ได้เพื่อแสดงผู้ใช้ที่เป็นสมาชิกกลุ่ม ผู้มีอีเมล และผู้ใช้ที่บัญชีไม่ถูกระงับ
group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com
คุณควรจัดผู้ใช้เหล่านี้ให้อยู่ในหน่วยขององค์กรเดียวกัน ซึ่งทำได้โดยการตั้งชื่อหน่วยขององค์กร (เช่น Cloud Users) ไว้ในกฎ จากนั้นสร้างหน่วยขององค์กร หากยังไม่มี
ปัญหาการให้ใบอนุญาต
พิจารณารูปแบบการกำหนดค่าโดเมนเพื่อมอบหมายใบอนุญาตผลิตภัณฑ์ให้กับบัญชีผู้ใช้ได้อย่างเหมาะสม หากเปิดใช้ใบอนุญาตอัตโนมัติไว้ คุณอาจต้องยกเว้นหน่วยขององค์กร Cloud Users ไม่ให้มีการมอบหมายใบอนุญาตผลิตภัณฑ์ โปรดดูรายละเอียดที่หัวข้อตั้งค่าตัวเลือกการอนุญาตให้ใช้สิทธิโดยอัตโนมัติสำหรับองค์กร
ในส่วนข้อกำหนดการอนุญาตที่ซับซ้อนยิ่งขึ้น คุณสามารถกำหนดค่า GCDS ให้ซิงค์และจัดการการมอบหมายใบอนุญาตให้ผู้ใช้ทั้งหมดได้ โปรดดูรายละเอียดที่หัวข้อซิงค์ใบอนุญาต
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง
