Synchronizowanie grup i użytkowników ze źródła tożsamości Cloud Search

Google Cloud Search wykorzystuje źródło tożsamości do mapowania tożsamości użytkowników z repozytoriów innych firm. Tożsamości użytkowników można przechowywać na serwerze LDAP, takim jak Microsoft Active Directory. Do synchronizowania grup Active Directory ze źródłem tożsamości możesz używać Google Cloud Directory Sync (GCDS).

Uwaga: jeśli identyfikatory użytkowników, które synchronizujesz, są zdefiniowane przez określone reguły wyszukiwania i wykluczania, zastosuj nowy schemat niestandardowy do konkretnego zestawu kont użytkowników. Jeśli nie, zastosuj go do wszystkich kont użytkowników.

Zanim zaczniesz

• Skonfiguruj GCDS do synchronizowania danych z Active Directory.
• Utwórz konto usługi wraz z danymi logowania.
• Utwórz źródło tożsamości w konsoli administracyjnej. Skopiuj identyfikator tego źródła tożsamości.

Krok 1. Włącz grupy z mapowaniem tożsamości

1. W wierszu poleceń wpisz jedno z tych poleceń:
   • Linux (w katalogu instalacji): $ ./config-manager --enable-img
   • Microsoft Windows: > config-manager.exe --enable-img
2. Otwórz Menedżera konfiguracji.
3. W panelu po lewej stronie kliknij General Settings (Ustawienia ogólne).
4. Zaznacz pole Identity Mapped Groups (Grupy z mapowaniem tożsamości).

   Opcja Identity Mapped Groups (Grupy z mapowaniem tożsamości) pojawi się w panelu po lewej stronie.

Krok 2. Dodaj grupy do synchronizacji

1. Otwórz Menedżera konfiguracji.
2. W panelu po lewej stronie kliknij Identity Mapped Groups (Grupy z mapowaniem tożsamości).
3. Na karcie Search Rules (Reguły wyszukiwania) wpisz te informacje:
   • Identity source ID (Identyfikator źródła tożsamości) – dołącz fragment „identitysources/”.
   • Service account file path (Ścieżka do pliku konta usługi).
4. Kliknij Add Search Rule (Dodaj regułę wyszukiwania) i wpisz te informacje:
   • Scope (Zakres),
   • Rule (Reguła),
   • Group attributes (Atrybuty grupy).
5. ​Kliknij OK.

Następne kroki

• Aby przetestować regułę wyszukiwania po jej dodaniu, kliknij Test LDAP Query (Przetestuj zapytanie LDAP).
• Możesz dodać więcej reguł wyszukiwania, a GDCS zsynchronizuje je wszystkie. Więcej informacji znajdziesz w artykule Synchronizowanie danych przy użyciu reguł wyszukiwania LDAP.
• Aby wykluczyć grupy, które są zwracane z reguł wyszukiwania, kliknij kartę Exclusion Rules (Reguły wykluczania). Dowiedz się, jak używać reguł wykluczania w GCDS.

Krok 3. Zsynchronizuj tożsamości użytkowników z Cloud Search

1. W panelu po lewej stronie kliknij Custom schemas (Schematy niestandardowe).
2. Kliknij Add schema (Dodaj schemat).
3. Wybierz Define custom search rules (Zdefiniuj niestandardowe reguły wyszukiwania) lub User rules defined in "User Accounts" (Reguły użytkowników określone w „Kontach użytkowników”). Więcej informacji znajdziesz w temacie Synchronizowanie niestandardowych pól użytkowników przy użyciu schematu niestandardowego.
4. W polu Schema name (Nazwa schematu) wpisz identyfikator źródła tożsamości. W identyfikatorze nie umieszczaj fragmentu „identitysources”.
5. W polu LDAP field name (Nazwa pola LDAP) wpisz nazwę pola LDAP, które zawiera Twój identyfikator użytkownika zewnętrznego. Ten identyfikator jest używany w przypadku podmiotów zabezpieczeń użytkowników Cloud Search w postaci identitysources/identyfikator_źródła/users/identyfikator_użytkownika.
6. W polu Google field name (Nazwa pola Google) wpisz identyfikator źródła tożsamości z przyrostkiem _identifier. Jeśli na przykład identyfikator źródła tożsamości to 02b392ce3a23, wpisz 02b392ce3a23_identifier.
7. Jako Google field type (Typ pola Google) wybierz String (Ciąg). To pole może mieć tylko 1 wartość.
8. Kliknij OK.

Dowiedz się, jak utworzyć źródło tożsamości.

Krok 4. Zaplanuj synchronizację

1. Otwórz Menedżera konfiguracji.
2. W panelu po lewej stronie kliknij Sync (Synchronizacja).

Możesz przeprowadzić symulację synchronizacji lub zapisać ustawienia. Dowiedz się, jak zautomatyzować proces synchronizacji.

Kodowanie atrybutów binarnych

Jeśli jako atrybutów nazwy grupy lub adresu e-mail użytkownika używasz atrybutów binarnych (takich jak objectSid lub objectGUID), są one przekształcane w ciąg znaków przy użyciu schematu kodowania. Obsługiwane schematy kodowania:

• Base 16 (szesnastkowy),
• Base 32,
• Base 32 Hex,
• Base 64,
• Base 64 URL.

Jeśli chcesz zmienić schemat kodowania, musisz ręcznie zaktualizować plik konfiguracji:

1. Otwórz plik konfiguracji i pod tagiem <identityMappedGroupBasicConfig> znajdź tag <binaryAttributesEncoding>.

2. Jeśli nie widzisz tagu <binaryAttributesEncoding>, oznacza to, że korzystasz ze starszego schematu kodowania base64. Pod tagiem <identityMappedGroupBasicConfig> dodaj tag <binaryAttributesEncoding>.

3. Zaktualizuj tag <binaryAttributesEncoding>, dodając do niego jedną z tych opcji:

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

Przykład:

<identityMappedGroupBasicConfig>

    <identitySourceId>identitysources/...</identitySourceId>

    <serviceAccountFilePath>....</serviceAccountFilePath>

    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>

</identityMappedGroupBasicConfig>