Sincronizar grupos e usuários com uma origem de identidade do Cloud Search

Com o Google Cloud Search, é possível mapear identidades de usuários de repositórios de terceiros usando uma origem de identidade. É possível armazenar identidades de usuários em um servidor LDAP, como o Microsoft Active Directory. Para sincronizar os grupos do Active Directory com sua origem de identidade, você pode usar o Google Cloud Directory Sync (GCDS).

Se os IDs dos usuários que você está sincronizando forem definidos por regras específicas de pesquisa e exclusão, aplique um esquema personalizado a um conjunto de usuários usando, por exemplo, o setor em que eles trabalham ou o tipo de trabalho.

• Antes de começar
• Etapa 1: ativar os grupos com identidades mapeadas
• Etapa 2: adicionar grupos para sincronizar
• Etapa 3: sincronizar identidades de usuário com o Cloud Search
• Etapa 4: programar sua sincronização
• Etapa 5: selecionar o esquema de codificação dos atributos binários (opcional)

Antes de começar

• Para sincronizar dados do Active Directory, acesse Sobre o Google Cloud Directory Sync.
• Para criar uma conta de serviço e as credenciais de acesso, acesse Criar credenciais de acesso.
• Para criar uma origem de identidade no Google Admin Console, copie o ID da origem de identidade. Confira mais detalhes em Mapear identidades de usuários no Cloud Search.
• Confira informações sobre o uso de regras de pesquisa, regras de exclusão e esquemas personalizados.

Etapa 1: ativar os grupos com identidades mapeadas

1. Se você estiver usando o Linux, digite o seguinte comando no diretório da instalação:
   $ ./config-manager --enable-img
2. Se você estiver usando o Windows, digite o seguinte comando:
   > config-manager.exe --enable-im
3. Abra o Gerenciador de configuração.
4. No lado, clique em Configurações gerais.
5. Marque a caixa Grupos mapeados por identidade.

Etapa 2: adicionar grupos para sincronizar

1. Abra o Gerenciador de configuração.
2. Na lateral, clique em Grupos com identidades mapeadas.
3. Na guia Regras de pesquisa, insira:
   • Em Identity source ID, digite o ID da origem de identidade (inclusive a parte "identitysources/").
   • Em Service account file path, digite o caminho do arquivo da conta de serviço.
4. Clique em Add Search Rule e digite estas informações:
   • Scope
   • Regra
   • Em Group attributes, digite os atributos do grupo.
5. Clique em OK.
6. (Opcional) Para testar sua regra de pesquisa após adicioná-la, clique em Test LDAP Query.
7. (Opcional) Para adicionar mais regras de pesquisa, siga as etapas em Adicionar uma regra de pesquisa LDAP. Veja detalhes em Usar regras de pesquisa LDAP para sincronizar dados.
8. (Opcional) Para excluir grupos, clique na guia Regras de exclusão e adicione uma nova regra. Conheça mais detalhes em Omitir dados com regras de exclusão e consultas.

Etapa 3: sincronizar identidades de usuário com o Cloud Search

1. Abra o Gerenciador de configuração.
2. No lado, clique em Esquemas personalizados.
3. Clique em Adicionar esquema e selecione uma opção:
   • Definir regras de pesquisa personalizadas
   • Regras de usuário definidas em "Contas de usuário"
     Para mais detalhes, acesse Sincronizar campos de usuário personalizados usando um esquema personalizado.
4. Em Schema name, digite o ID da origem de identidade. Não inclua "identitysources" no ID.
5. Em LDAP field name, digite o campo LDAP que contém seu identificador de usuário externo. Por exemplo, este é o identificador usado nos principais recursos do usuário do Cloud Search, usando o formulário:
   identitysources/source-id/users/user-identifier
6. Em Nome do campo do Google, digite o ID da origem de identidade e acrescente _identifier. Por exemplo, se o ID da origem de identidade for 02b392ce3a23, digite 02b392ce3a23_identifier.
7. Em Google field type, selecione String e confirme que o campo tem apenas um valor.
8. Clique em OK.

Para saber mais, acesse Criar uma origem de identidade.

Etapa 4: programar sua sincronização

1. Abra o Gerenciador de configuração.
2. No lado, clique em Sincronizar.

Você pode simular uma sincronização ou salvar suas configurações. Aprenda a automatizar a sincronização.

Etapa 5: selecionar o esquema de codificação dos atributos binários (opcional)

Caso você use um atributo binário (por exemplo, objectSid ou objectGUID) como o atributo group name ou user email, ele será convertido em uma string usando um esquema de codificação. Esquemas de codificação compatíveis:

• Base16 (hexadecimal)
• Base32
• Base32 (hexadecimal)
• Base64
• URL do Base64

Se você quiser mudar o esquema de codificação, atualize manualmente o arquivo de configuração:

1. Abra o arquivo de configuração e encontre <binaryAttributesEncoding> na tag <identityMappedGroupBasicConfig>.

2. Se você não encontrar <binaryAttributesEncoding>, está usando o esquema de codificação legado Base64. Em <identityMappedGroupBasicConfig>, adicione <binaryAttributesEncoding>.

3. Atualize <binaryAttributesEncoding> com uma destas opções:

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

Exemplo:

<identityMappedGroupBasicConfig>

    <identitySourceId>identitysources/...</identitySourceId>

    <serviceAccountFilePath>....</serviceAccountFilePath>

    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>

</identityMappedGroupBasicConfig>