Sincronizar grupos e usuários com uma origem de identidade do Cloud Search

O Google Cloud Search usa uma origem de identidade para mapear as identidades dos usuários de repositórios de terceiros. Elas podem ser armazenadas em um servidor Protocolo leve de acesso a diretórios (LDAP), como o Microsoft Active Directory. Para sincronizar os grupos do Active Directory com sua origem de identidade, você pode usar o Google Cloud Directory Sync (GCDS).

Observação: se os IDs dos usuários que você está sincronizando forem definidos por regras específicas de pesquisa e exclusão, aplique o novo esquema personalizado a um conjunto de usuários. Se esse não for o caso, aplique o novo esquema a todas as contas de usuário.

Antes de começar

• Configure o GCDS para sincronizar dados do Active Directory.
• Crie uma conta de serviço e as credenciais de acesso.
• Crie uma origem de identidade no Admin Console. Copie seu código de origem de identidade.

Etapa 1: ativar os grupos com identidades mapeadas

1. Na linha de comando, digite um destes comandos:
   • Linux (no diretório da instalação): $ ./config-manager --enable-img 
   • Microsoft Windows: > config-manager.exe --enable-img
2. Abra o Gerenciador de configuração.
3. No painel esquerdo, clique em Configurações gerais.
4. Marque a caixa de seleção Grupos mapeados por identidade.

   A opção Grupo com identidades mapeadas aparece no painel esquerdo.

Etapa 2: adicionar grupos para sincronizar

1. Abra o Gerenciador de configuração.
2. No painel esquerdo, clique em Identity Mapped Groups.
3. Na guia Search Rules, digite estas informações:
   • Em Identity source ID, digite o ID da origem de identidade (inclusive a parte "identitysources/").
   • Em Service account file path, digite o caminho do arquivo da conta de serviço.
4. Clique em Add Search Rule e digite estas informações:
   • Em Scope, digite o escopo.
   • Em Rule, digite a regra.
   • Em Group attributes, digite os atributos do grupo.
5. Clique em OK.

Próxima etapa

• Para testar sua regra de pesquisa após adicioná-la, clique em Test LDAP Query.
• Você pode adicionar mais regras de pesquisa, e O GDCS sincronizará todas elas. Saiba mais sobre como adicionar regras de pesquisa LDAP para sincronizar dados.
• Para excluir os grupos retornados nas regras de pesquisa, clique na guia Exclusion Rules. Saiba como usar regras de exclusão no GCDS.

Etapa 3: sincronizar identidades de usuário com o Cloud Search

1. No painel esquerdo, clique em Custom schemas.
2. Clique em Add schema.
3. Selecione Define custom search rules ou User rules defined in "User Accounts". Veja mais detalhes em Sincronizar campos de usuário personalizados usando um esquema personalizado.
4. Em Schema name, digite o ID da origem de identidade. Não inclua "identitysources" no ID.
5. Em LDAP field name, digite o campo LDAP que contém seu identificador de usuário externo. Esse identificador é usado nos principais recursos do usuário do Cloud Search no formato identitysources/source-id/users/user-identifier.
6. Em Google field name, digite o ID da origem de identidade e acrescente "_identifier". Por exemplo, se o ID da origem de identidade for 02b392ce3a23, digite 02b392ce3a23_identifier.
7. Em Google field type, selecione String e confirme que o campo tem apenas um valor.
8. Clique em OK.

Para saber mais, acesse Criar uma origem de identidade.

Etapa 4: programar sua sincronização

1. Abra o Gerenciador de configuração.
2. No painel esquerdo, clique em Sync.

Você pode simular uma sincronização ou salvar suas configurações. Aprenda a automatizar a sincronização.

Codificar atributos binários

Caso você use um atributo binário (por exemplo, objectSid ou objectGUID) como o atributo group name ou user email, ele será convertido em uma string usando um esquema de codificação. Esquemas de codificação compatíveis:

• Base16 (hexadecimal)
• Base32
• Base32 (hexadecimal)
• Base64
• URL do Base64

Se você quiser mudar o esquema de codificação, atualize manualmente o arquivo de configuração:

1. Abra o arquivo de configuração e encontre <binaryAttributesEncoding> na tag <identityMappedGroupBasicConfig>.

2. Se você não encontrar <binaryAttributesEncoding>, está usando o esquema de codificação legado Base64. Em <identityMappedGroupBasicConfig>, adicione <binaryAttributesEncoding>.

3. Atualize <binaryAttributesEncoding> com uma destas opções:

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

Exemplo:

<identityMappedGroupBasicConfig>

    <identitySourceId>identitysources/...</identitySourceId>

    <serviceAccountFilePath>....</serviceAccountFilePath>

    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>

</identityMappedGroupBasicConfig>