Sincronizzare gruppi e utenti con un'origine identità di Cloud Search

Google Cloud Search utilizza un'origine identità per mappare le identità degli utenti provenienti da repository di terze parti. Le identità degli utenti possono essere archiviate in un server LDAP (Lightweight Directory Access Protocol), ad esempio Microsoft Active Directory. Per sincronizzare i gruppi di Active Directory con la tua origine identità, puoi utilizzare Google Cloud Directory Sync (GCDS).

Nota: se gli ID utente che intendi sincronizzare sono definiti attraverso regole di ricerca e di esclusione specifiche, applica il nuovo schema personalizzato a un insieme di utenti. In caso contrario, applicalo a tutti gli account utente.

Prima di iniziare

• Configurare GCDS per sincronizzare i dati provenienti da Active Directory.
• Creare un account di servizio e le relative credenziali.
• Creare una origine identità nella Console di amministrazione e copiare il relativo ID origine entità.

Passaggio 1: attiva i gruppi con mappatura delle identità

1. Nella riga di comando, inserisci uno dei seguenti comandi:
   • Linux (dalla directory di installazione): $ ./config-manager --enable-img 
   • Microsoft Windows: > config-manager.exe --enable-img
2. Apri Configuration Manager.
3. Nel riquadro sinistro, fai clic su General Settings (Impostazioni generali).
4. Seleziona la casella di controllo Identity Mapped Groups (Gruppi con mapping di identità).

   Nel riquadro a sinistra viene visualizzata l'opzione Identity Mapped Groups (Gruppi con mappatura delle identità).

Passaggio 2: aggiungi i gruppi da sincronizzare

1. Apri Configuration Manager.
2. Nel riquadro sinistro, fai clic su Identity Mapped Groups (Gruppi con mappatura delle identità).
3. Nella scheda Search Rules (Regole di ricerca), inserisci le seguenti informazioni:
   • Identity source ID (ID origine identità): includi la porzione "identitysources/" della stringa
   • Service account file path (Percorso del file dell'account di servizio)
4. Fai clic su Add Search Rule (Aggiungi regola di ricerca) e inserisci le seguenti informazioni:
   • Scope (Ambito)
   • Rule (Regola)
   • Group attributes (Attributi del gruppo)
5. Fai clic su OK.

Passaggio successivo… 

• Per provare la regola di ricerca dopo averla aggiunta, fai clic su Test LDAP Query (Verifica query LDAP).
• Puoi aggiungere più regole di ricerca: GDCS le sincronizzerà tutte. Scopri di più su come aggiungere regole di ricerca LDAP per sincronizzare i dati.
• Per escludere gruppi restituiti dalle regole di ricerca, fai clic sulla scheda Exclusion Rules (Regole di esclusione). Scopri come utilizzare le regole di esclusione con GCDS.

Passaggio 3: sincronizza le identità degli utenti con Cloud Search

1. Nel riquadro a sinistra, fai clic su Custom Schemas (Schemi personalizzati).
2. Fai clic su Add Schema (Aggiungi schema).
3. Seleziona Define custom search rules (Definisci regole di ricerca personalizzate) oppure User rules defined in "User Accounts" (Regole utente definite in "User Accounts"). Per maggiori dettagli, vedi Sincronizzare i campi utente personalizzati mediante uno schema personalizzato.
4. Nel campo Schema name (Nome schema), inserisci l'ID origine identità. Non includere "identitysources" nell'ID.
5. In LDAP field name (Nome del campo LDAP), inserisci il campo LDAP che contiene l'identificatore dell'utente esterno. Questo identificatore viene utilizzato nelle entità utente di Cloud Search con il formato identitysources/source-id/users/user-identifier.
6. In Google field name (Nome campo Google), inserisci l'ID origine identità seguito da "_identifier". Ad esempio, se l'ID origine identità è 02b392ce3a23, inserisci 02b392ce3a23_identifier.
7. In Google field type (Tipo di campo Google), seleziona String (Stringa) e assicurati che il campo contenga un solo valore.
8. Fai clic su OK.

Per saperne di più, vai a Creare un'origine identità.

Passaggio 4: pianifica la sincronizzazione

1. Apri Configuration Manager.
2. Nel riquadro a sinistra, fai clic su Sync (Sincronizza).

Puoi simulare una sincronizzazione o salvare le tue impostazioni. Scopri di più su come automatizzare il processo di sincronizzazione.

Codificare gli attributi binari

Se utilizzi un attributo binario (ad esempio objectSid o objectGUID) come attributo group name (nome del gruppo) o user email (email utente), verrà convertito in stringa mediante uno schema di codifica. Gli schemi di codifica supportati sono:

• Base 16 (esadecimale)
• Base 32
• Base 32 Hex
• Base 64
• Base 64 URL

Se vuoi cambiare lo schema di codifica, aggiorna manualmente il file di configurazione:

1. Apri il file di configurazione e, sotto il tag <identityMappedGroupBasicConfig>, individua <binaryAttributesEncoding>.

2. Se non trovi <binaryAttributesEncoding>, stai utilizzando lo schema di codifica base 64 legacy. Sotto <identityMappedGroupBasicConfig>, aggiungi <binaryAttributesEncoding>.

3. Aggiorna <binaryAttributesEncoding> con una delle opzioni seguenti:

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

Esempio:

<identityMappedGroupBasicConfig>

    <identitySourceId>identitysources/...</identitySourceId>

    <serviceAccountFilePath>....</serviceAccountFilePath>

    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>

</identityMappedGroupBasicConfig>