Как синхронизировать данные групп и пользователей с источником идентификационной информации Cloud Search

Чтобы сопоставлять идентификационные данные пользователей из сторонних хранилищ, в Google Cloud Search используется источник идентификационной информации. Эти данные могут храниться на сервере LDAP, например в Microsoft Active Directory. Чтобы синхронизировать группы в Active Directory с источником идентификационной информации, можно использовать приложение Google Cloud Directory Sync (GCDS).

Примечание. Если в отношении идентификационных данных пользователей, которые вы синхронизируете, действуют определенные правила поиска и исключения, вам нужно применить новую специальную схему к группе пользователей. Если это не так, примените такую схему ко всем аккаунтам пользователей.

Подготовка

• Настройте GCDS для синхронизации данных из Active Directory.
• Создайте сервисный аккаунт и его учетные данные.
• Создайте источник идентификационной информации в консоли администратора. Скопируйте его идентификатор.

Шаг 1. Включите группы с сопоставлением идентификационной информации

1. В командной строке введите одну из приведенных ниже команд.
   • Linux (из каталога установки): $ ./config-manager --enable-img 
   • Microsoft Windows: > config-manager.exe --enable-img.
2. Откройте Диспетчер конфигураций.
3. На панели слева нажмите General Settings (Общие настройки).
4. Установите флажок Identity Mapped Groups (Группы с сопоставлением идентификационной информации).

   Параметр Identity Mapped Groups (Группы с сопоставлением идентификационной информации) появится на панели слева.

Шаг 2. Добавьте группы для синхронизации

1. Откройте Диспетчер конфигураций.
2. На панели слева нажмите Identity Mapped Groups (Группы с сопоставлением идентификационной информации).
3. На вкладке Search Rules (Правила поиска) введите следующие данные:
   • Identity source ID (Идентификатор источника идентификационной информации) (включите фрагмент строки identitysources/).
   • Service account file path (Путь к файлу сервисного аккаунта).
4. Нажмите Add Search Rule (Добавить правило поиска) и введите следующие данные:
   • Scope (Область действия);
   • Rule (Правило);
   • Group attributes (Атрибуты группы).
5. Нажмите ОК.

Дальнейшие действия

• Чтобы проверить добавленное правило поиска, нажмите Test LDAP Query (Проверить запрос LDAP).
• Вы можете добавить другие правила поиска, и GDCS выполнит синхронизацию по каждому из них. Подробнее о том, как использовать правила поиска LDAP для синхронизации данных…
• Чтобы исключить группы, найденные по правилам поиска, откройте вкладку Exclusion Rules (Правила исключения). Подробнее о правилах исключения в GCDS…

Шаг 3. Синхронизируйте идентификационные данные пользователей с Cloud Search

1. На панели слева нажмите Custom schemas (Специальные схемы).
2. Нажмите Add Schema (Добавить схему).
3. Выберите либо Define custom search rules (Определить собственные правила поиска), либо User rules defined in "User Accounts" (Правила, определенные в разделе "Аккаунты пользователей"). Подробнее о синхронизации пользовательских полей с помощью специальных схем…
4. Укажите идентификатор источника идентификационной информации в поле Schema name (Название схемы). Не включайте фрагмент строки "identitysources".
5. В поле LDAP Field Name (Название поля LDAP) укажите поле LDAP, которое содержит внешний идентификатор пользователя. Он будет использоваться в субъектах пользователей Cloud Search в формате identitysources/source-id/users/user-identifier.
6. В поле Google field name (Название поля Google) укажите идентификатор источника идентификационной информации и добавьте в конце "_identifier". Например, для идентификатора источника идентификационной информации 02b392ce3a23 нужно ввести 02b392ce3a23_identifier.
7. В поле Google field type (Тип поля Google) выберите String (Строка) и убедитесь, что у поля только одно значение.
8. Нажмите ОК.

Подробнее о создании источника идентификационной информации…

Шаг 4. Запланируйте синхронизацию

1. Откройте Диспетчер конфигураций.
2. На панели слева нажмите Sync (Синхронизировать).

Вы можете смоделировать синхронизацию или сохранить настройки. Подробнее о том, как автоматизировать процесс синхронизации…

Кодирование двоичных атрибутов

Если вы используете двоичные атрибуты (такие как objectSid или objectGUID) в качестве названия группы или адреса электронной почты пользователя, они преобразуются в строку с помощью схемы кодирования. Поддерживаются следующие схемы:

• Base 16 (Hexadecimal)
• Base 32
• Base 32 Hex
• Base 64
• Base 64 URL

Вы можете вручную изменить схему кодирования в файле конфигурации. Для этого:

1. Откройте файл конфигурации, внутри тега <identityMappedGroupBasicConfig> найдите тег <binaryAttributesEncoding>.

2. Если код <binaryAttributesEncoding> отсутствует, вы используете устаревшую схему кодирования base64. Внутри тега <identityMappedGroupBasicConfig> добавьте тег <binaryAttributesEncoding>.

3. Укажите для <binaryAttributesEncoding> один из вариантов:

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

Пример:

<identityMappedGroupBasicConfig>

    <identitySourceId>identitysources/...</identitySourceId>

    <serviceAccountFilePath>....</serviceAccountFilePath>

    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>

</identityMappedGroupBasicConfig>