将群组和用户同步到 Cloud Search 身份源

借助 Google Cloud Search，您可以使用身份源映射来自第三方代码库的用户身份。您可以将用户身份存储在 LDAP 服务器（例如 Microsoft Active Directory）中。要将 Active Directory 群组与您的身份源同步，您可以使用 Google Cloud Directory Sync (GCDS)。

如果您要同步的用户 ID 由特定搜索和排除规则定义，那么请根据用户所属的行业或工作类型等条件，将自定义架构应用于一组用户。

• 准备工作
• 第 1 步：开启身份映射群组
• 第 2 步：添加要同步的群组
• 第 3 步：将用户身份同步到 Cloud Search
• 第 4 步：安排同步时间
• 第 5 步：选择二进制属性的编码方案（可选）

准备工作

• 如需从 Active Directory 同步数据，请参阅 Google Cloud Directory Sync 简介。
• 如需创建服务账号及其凭据，请参阅创建访问凭据。
• 如需在 Google 管理控制台中创建身份源，请复制身份源 ID。如需了解详情，请参阅在 Cloud Search 中映射用户身份。
• 查看相关信息，了解如何使用搜索规则、排除规则和自定义架构。

第 1 步：开启身份映射群组

1. 如果您使用的是 Linux，请在安装目录中输入以下命令：
   $ ./config-manager --enable-img
2. 如果您使用的是 Windows，请输入以下命令：
   > config-manager.exe --enable-im
3. 打开配置管理器。
4. 点击侧边栏中的基本设置。
5. 勾选身份映射群组复选框。

第 2 步：添加要同步的群组

1. 打开配置管理器。
2. 点击侧边的身份映射群组。
3. 在搜索规则标签页中，输入以下信息：
   • 身份源 ID（包括字符串的“identitysources/”部分）
   • 服务账号文件路径
4. 点击 Add Search Rule（添加搜索规则）并输入以下信息：
   • 范围
   • 规则
   • 群组属性
5. ​点击 OK（确定）。
6. （可选）如需在添加搜索规则后对其进行测试，请点击测试 LDAP 查询。
7. （可选）如需添加更多搜索规则，请按照“添加 LDAP 搜索规则”中的步骤操作。如需了解详情，请参阅使用 LDAP 搜索规则同步数据。
8. （可选）如需排除群组，请点击排除规则标签页，然后添加新的排除规则。如需了解详情，请参阅使用排除规则和查询省略数据。

第 3 步：将用户身份同步到 Cloud Search

1. 打开配置管理器。
2. 点击侧边栏中的自定义架构。
3. 点击添加架构，然后选择一个选项：
   • 定义自定义搜索规则
   • “用户账号”中定义的用户规则
     如需了解详情，请参阅使用自定义架构同步自定义用户字段。
4. 对于 Schema name（架构名称），请输入身份源 ID。请勿在 ID 中包含“identitysources”。
5. 对于 LDAP field name（LDAP 字段名称），请输入包含外部用户标识符的 LDAP 字段。例如，以下是 Cloud Search 用户正文中使用的标识符，格式如下：
   identitysources/source-id/users/user-identifier
6. 对于 Google 字段名称，请输入身份源 ID 并在末尾添加 _identifier。举例来说，如果身份源 ID 是 02b392ce3a23，则请输入 02b392ce3a23_identifier。
7. 对于 Google field type（Google 字段类型），请选择 String（字符串）并确保该字段只有一个值。
8. 点击确定。

有关详情，请参阅创建身份源。

第 4 步：安排同步时间

1. 打开配置管理器。
2. 点击侧边栏中的同步。

您可以模拟同步操作或保存设置。具体可了解如何自动执行同步程序。

第 5 步：选择二进制属性的编码方案（可选）

如果您使用二进制属性（例如 objectSid 或 objectGUID）作为群组名称或用户电子邮件地址属性，那么系统会使用一种编码方案将其转换为字符串。支持的编码方案包括：

• Base 16（十六进制）
• Base 32
• Base 32（十六进制）
• Base 64
• Base 64 URL

如果您想更改编码方案，请手动更新配置文件：

1. 打开配置文件，在 <identityMappedGroupBasicConfig> 标记下找到 <binaryAttributesEncoding>。

2. 如有没有找到 <binaryAttributesEncoding>，则说明您使用的是旧式 Base 64 编码方案。在 <identityMappedGroupBasicConfig> 下，添加 <binaryAttributesEncoding>。

3. 使用以下可选方案之一更新 <binaryAttributesEncoding>：

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

示例：

<identityMappedGroupBasicConfig>

    <identitySourceId>identitysources/...</identitySourceId>

    <serviceAccountFilePath>....</serviceAccountFilePath>

    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>

</identityMappedGroupBasicConfig>