将群组和用户同步到 Cloud Search 身份源

Google Cloud Search 使用身份源来映射来自第三方存储库的用户身份。用户身份可存储在轻量级目录访问协议 (LDAP) 服务器中，如 Microsoft Active Directory。要将 Active Directory 群组与您的身份源同步，您可以使用 Google Cloud Directory Sync (GCDS)。

注意：如果您要同步的用户 ID 由特定搜索和排除规则定义，那么请将新的自定义架构应用至特定的一组用户。如果不是由特定搜索和排除规则定义的，则请将该架构应用至所有用户帐号。

准备工作

• 设置 GCDS 以便从 Active Directory 同步数据。
• 创建一个服务帐号及其凭据。
• 在管理控制台中创建一个身份源。复制其身份源 ID。

第 1 步：开启身份映射群组

1. 在命令行中，根据需要输入以下命令之一：
   • Linux（从安装目录中）：$ ./config-manager --enable-img 
   • Microsoft Windows：> config-manager.exe --enable-img
2. 打开配置管理器。
3. 在左侧面板中，点击 General Settings（基本设置）。
4. 勾选 Identity Mapped Groups（身份映射群组）复选框。

   Identity Mapped Groups（身份映射群组）选项会显示在左侧的面板中。

第 2 步：添加要同步的群组

1. 打开配置管理器。
2. 在左侧面板中，点击 Identity Mapped Groups（身份映射群组）。
3. 在 Search Rules（搜索规则）标签页内，输入以下信息：
   • 身份源 ID（包括字符串的“identitysources/”部分）
   • 服务帐号文件路径
4. 点击 Add Search Rule（添加搜索规则）并输入以下信息：
   • 范围
   • 规则
   • 群组属性
5. ​点击 OK（确定）。

后续步骤…

• 要在添加搜索规则后对其进行测试，请点击 Test LDAP Query（测试 LDAP 查询）。
• 您可以添加更多搜索规则，GDCS 会同步所有规则。不妨详细了解如何添加 LDAP 搜索规则以同步数据。
• 要排除搜索规则返回的群组，请点击 Exclusion Rules（排除规则）标签页。具体可了解如何结合使用排除规则和 GCDS。

第 3 步：将用户身份同步到 Cloud Search

1. 在左侧面板中，点击 Custom schemas（自定义架构）。
2. 点击 Add schema（添加架构）。
3. 选择 Define custom search rules（定义自定义搜索规则）或 Use rules defined in "User Accounts"（使用“用户帐号”中定义的规则）。有关详情，请参阅使用自定义架构同步自定义用户字段。
4. 对于 Schema name（架构名称），请输入身份源 ID。请勿在 ID 中包含“identitysources”。
5. 对于 LDAP field name（LDAP 字段名称），请输入包含外部用户标识符的 LDAP 字段。此标识符在 Cloud Search 用户主帐号中使用，格式如下：identitysources/source-id/users/user-identifier。
6. 对于 Google field name（Google 字段名称），请输入身份源 ID 并在末尾添加“_identifier”。举例来说，如果身份源 ID 是 02b392ce3a23，则请输入 02b392ce3a23_identifier。
7. 对于 Google field type（Google 字段类型），请选择 String（字符串）并确保该字段只有一个值。
8. 点击 OK（确定）。

有关详情，请参阅创建身份源。

第 4 步：安排同步时间

1. 打开配置管理器。
2. 在左侧面板中，点击 Sync（同步）。

您可以模拟同步操作或保存设置。具体可了解如何自动执行同步程序。

二进制属性编码

如果您使用二进制属性（例如 objectSid 或 objectGUID）作为群组名称或用户电子邮件地址属性，那么系统会使用一种编码方案将其转换为字符串。支持的编码方案如下：

• Base 16（十六进制）
• Base 32
• Base 32 Hex
• Base 64
• Base 64 URL

如果您想更改编码方案，请手动更新配置文件：

1. 打开配置文件，在 <identityMappedGroupBasicConfig> 标记下找到 <binaryAttributesEncoding>。

2. 如有没有找到 <binaryAttributesEncoding>，则说明您使用的是旧式 Base 64 编码方案。在 <identityMappedGroupBasicConfig> 下，添加 <binaryAttributesEncoding>。

3. 使用以下可选方案之一更新 <binaryAttributesEncoding>：

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

示例：

<identityMappedGroupBasicConfig>

    <identitySourceId>identitysources/...</identitySourceId>

    <serviceAccountFilePath>....</serviceAccountFilePath>

    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>

</identityMappedGroupBasicConfig>