您可以使用 Google Cloud Search 的識別資訊來源,對應第三方存放區的使用者識別資訊;並可將使用者身分資訊儲存在 LDAP 伺服器 (例如 Microsoft Active Directory) 中。如要將 Active Directory 群組與識別資訊來源保持同步,您可以使用 Google Cloud Directory Sync (GCDS)。
如果您要同步處理的使用者 ID 是由特定的搜尋與排除規則所定義,請根據使用者所屬的產業或職業類型等,將自訂結構定義套用至一組使用者。
- 事前準備
- 步驟 1:啟用識別資訊對應群組
- 步驟 2:新增要同步處理的群組
- 步驟 3:將使用者識別資訊同步至 Cloud Search
- 步驟 4:安排同步處理時程
- 步驟 5:為二進制屬性選取編碼架構 (選用)
事前準備
- 如要同步處理 Active Directory 中的資料,請參閱「關於 Google Cloud Directory Sync」。
- 如要建立服務帳戶和相關憑證,請參閱「建立存取憑證」。
- 如要在 Google 管理控制台中建立識別資訊來源,請複製識別資訊來源 ID。詳情請參閱「在 Cloud Search 中對應使用者識別資訊」。
- 查看搜尋規則、排除規則和自訂結構定義的使用資訊。
步驟 1:啟用識別資訊對應群組
- 如果使用 Linux,請在安裝目錄中輸入以下指令:
$ ./config-manager --enable-img - 如果使用 Windows,請輸入以下指令:
> config-manager.exe --enable-im - 開啟設定管理員。
- 按一下側邊的「一般設定」。
- 勾選「識別資訊對應群組」方塊。
步驟 2:新增要同步處理的群組
- 開啟設定管理員。
- 按一下側邊的「識別資訊對應群組」。
- 在「搜尋規則」分頁中輸入:
- 識別資訊來源 ID (包含字串的「identitysources/」部分)
- 服務帳戶檔案路徑
- 按一下 [新增搜尋規則] 並輸入下列資訊:
- 範圍
- 規則
- 群組屬性
- 按一下 [確定]。
- (選用) 如要在新增搜尋規則後進行測試,請按一下「測試 LDAP 查詢」。
- (選用) 如要新增更多搜尋規則,請按照新增 LDAP 搜尋規則的步驟操作。詳情請參閱「使用 LDAP 搜尋規則同步處理資料」。
- (選用) 如要排除群組,請按一下「排除規則」分頁標籤,然後新增排除規則。詳情請參閱「運用排除規則和查詢略過資料」。
步驟 3:將使用者識別資訊同步至 Cloud Search
- 開啟「設定管理員」。
- 按一下側邊的「自訂結構定義」。
- 按一下「新增結構定義」,然後選取下列任一選項:
- 定義自訂搜尋規則
- 「使用者帳戶」中定義的使用者規則
詳情請參閱「使用自訂結構定義同步處理自訂使用者欄位」。
- 在「Schema name」(架構名稱) 中輸入識別資訊來源 ID。請勿在 ID 中加入「identitysources」。
- 在「LDAP field name」(LDAP 欄位名稱) 中輸入含有外部使用者 ID 的 LDAP 欄位名稱。舉例來說,這是 Cloud Search 使用者主體中使用的 ID,格式如下:
identitysources/source-id/users/user-identifier - 在「Google field name」中輸入識別資訊來源 ID,並在結尾加上「_identifier」。舉例來說,如果識別資訊來源 ID 為 02b392ce3a23,請輸入 02b392ce3a23_identifier。
- 為「Google field type」(Google 欄位類型) 選取 [String] (字串),並確認該欄位只有一個值。
- 按一下 [確定]。
如需詳細資訊,請參閱建立識別資訊來源。
步驟 4:安排同步處理時程
- 開啟設定管理員。
- 按一下側邊的「同步處理」。
您可以模擬同步處理作業或儲存您的設定。瞭解如何自動執行同步處理程序。
步驟 5:為二進制屬性選取編碼架構 (選用)
如果您使用二進制屬性 (例如 objectSid 或 objectGUID) 做為群組名稱或使用者電子郵件的屬性,系統會利用編碼架構將該屬性轉換成字串。支援的編碼架構如下:
- Base 16 (十六進位)
- Base 32
- Base 32 (十六進位)
- Base 64
- Base 64 網址
如要變更編碼架構,請手動更新設定檔:
- 開啟要更新的設定檔,然後在「<identityMappedGroupBasicConfig>」標籤下方尋找「<binaryAttributesEncoding>」。
-
如果找不到「<binaryAttributesEncoding>」,表示您使用的是舊版 Base64 編碼架構。在「<identityMappedGroupBasicConfig>」下方,新增「<binaryAttributesEncoding>」。
-
將「<binaryAttributesEncoding>」更新成下列其中一個選項:
- BASE16
- BASE32_NOPADDING
- BASE32_HEX_NOPADDING
- BASE64_URL_NOPADDING
範例:
<identityMappedGroupBasicConfig>
<identitySourceId>identitysources/...</identitySourceId>
<serviceAccountFilePath>....</serviceAccountFilePath>
<binaryAttributesEncoding>BASE16</binaryAttributesEncoding>
</identityMappedGroupBasicConfig>
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。