Questions fréquentes concernant Directory Sync

Si vous ne synchronisez que des utilisateurs et des groupes, Directory Sync peut répondre à vos besoins.

Si vous synchronisez des objets en plus des utilisateurs et groupes d'utilisateurs (licences Google Workspace ou contacts partagés, par exemple), nous vous recommandons d'utiliser Directory Sync pour synchroniser les utilisateurs et les groupes, et GCDS pour les autres objets. Toutefois, si vous synchronisez à la fois des utilisateurs et des groupes, vous devez utiliser le même outil de synchronisation.

Pour en savoir plus, consultez Comparer Directory Sync avec GCDS.

Oui. Directory Sync vous permet de synchroniser des utilisateurs et des groupes, tandis que GCDS vous permet de synchroniser d'autres objets tels que les contacts partagés. Nous vous recommandons de n'utiliser qu'un seul outil pour synchroniser les utilisateurs et les groupes.

Oui, vous pouvez modifier le nom d'un groupe d'annuaires externes. Vous devez effectuer des étapes supplémentaires si vous avez effectué la synchronisation après avoir ajouté le groupe dans la section Champ d'application des utilisateurs deDirectory Sync et coché l'option Suspendre l'utilisateur dans l'annuaire Google. Dans ce scénario, suivez les instructions ci-dessous pour modifier le nom du groupe.

Remarque : Si le scénario ci-dessus ne s'applique pas à votre configuration, vous pouvez renommer le groupe d'annuaires externes sans suivre ces étapes supplémentaires.

1. Désactivez la synchronisation.

   Pour en savoir plus, consultez Activer ou désactiver une synchronisation.

2. Sur la page Détails de l'annuaire, à côté de Synchronisation des utilisateurs, cliquez sur Modifier .
3. Saisissez le nouveau nom du groupe et enregistrez la configuration de la synchronisation.
4. Renommez le groupe dans votre annuaire externe.
5. Dans Directory Sync, sous Champ d'application des utilisateurs, supprimez l'ancien nom de groupe et enregistrez la configuration de la synchronisation.

Si un groupe défini dans le champ d'application d'un utilisateur est supprimé de l'annuaire externe, l'utilisateur reste actif ou suspendu dans l'annuaire Google Cloud après une synchronisation, selon votre paramètre Déprovisionnement. Cette action se poursuit jusqu'à ce que vous supprimiez le groupe du champ d'application de la synchronisation.

Si vous supprimez le groupe de l'annuaire externe et que vous l'ajoutez à nouveau avec le même nom, Directory Sync le synchronise comme s'il s'agissait d'un nouveau groupe (car il possède un nouvel ID de groupe).

Pour en savoir plus, consultez Suspendre des comptes utilisateur introuvables dans l'annuaire externe.

Non, Directory Sync ne peut pas synchroniser les mots de passe utilisateur à partir d'annuaires externes.

Oui, vous pouvez utiliser Directory Sync pour synchroniser les comptes utilisateur avec un domaine secondaire.

Assurez-vous que les adresses e-mail des utilisateurs dans votre annuaire externe correspondent à votre nom de domaine secondaire. Si vous ne souhaitez pas modifier l'attribut de messagerie existant, utilisez-en un autre et attribuez-le lors de la configuration de la synchronisation des utilisateurs. Lors d'une synchronisation, Directory Sync crée les comptes utilisateur dans votre annuaire Google Cloud en utilisant votre domaine secondaire comme adresse e-mail principale.

Pour en savoir plus, consultez Remplacer le nom de domaine pour les utilisateurs synchronisés.

Pour simplifier la configuration du réseau, nous vous recommandons de créer le connecteur d'accès au cloud privé virtuel (VPC) dans le même projet que Cloud VPN ou Cloud Interconnect. Si vous souhaitez créer le connecteur d'accès VPC dans un autre projet, utilisez un VPC partagé. Pour en savoir plus, consultez Présentation du VPC partagé.

Le serveur LDAP utilise le nom distinctif de base comme point de départ pour rechercher des objets d'annuaire (des utilisateurs ou des groupes, par exemple). Plus le champ d'application du nom distinctif de base est petit, plus il est efficace lors de la recherche.

Exemples

Nous vous recommandons d'utiliser les attributs objectClass et objectQuery pour affiner votre requête. Pour en savoir plus, consultez Filter on objectCategory and objectClass.

Articles associés

• LDAP considerations in ADDS performance tuning
• What Makes a Fast Query?

Oui, vous pouvez créer jusqu'à 50 connexions AD. Le domaine AD doit être unique pour chaque connexion.

Pour améliorer les performances de recherche :

• Nom distinctif de base : ajustez le nom distinctif de base pour qu'il soit aussi spécifique que possible. Par exemple, si vos utilisateurs ou groupes figurent dans une hiérarchie d'unités organisationnelles, utilisez la requête de recherche pour pointer vers le parent de la hiérarchie plutôt que vers l'unité organisationnelle racine. Cela permet de garantir que la recherche LDAP s'effectue dans la hiérarchie des unités organisationnelles spécifiques et non dans l'annuaire complet.
• Champ d'application : prenez en compte le niveau de hiérarchie inclus dans votre requête LDAP.

  Dans cet exemple, la hiérarchie de vos unités organisationnelles est divisée en régions (1er niveau) et en pays (2e niveau). Si vos utilisateurs et groupes font partie de l'unité organisationnelle APAC, définissez le champ d'application de la requête LDAP sur Un niveau afin que la requête ne porte que sur l'unité APAC (et non sur les unités de deuxième niveau). Si vous souhaitez inclure les unités organisationnelles de deuxième niveau dans la recherche, définissez le champ d'application sur Sous-arborescence.

Articles associés

• LDAP considerations in ADDS performance tuning
• What Makes a Fast Query?

Oui, vous ne pouvez ajouter qu'une seule connexion Microsoft Azure Active Directory.

• Champ d'application d'un utilisateur : 2 000 groupes (limite de 100 000 caractères au total pour tous les groupes)
• Champ d'application d'un groupe : 400 groupes (limite de 17 000 caractères au total pour tous les groupes)