3. Organizzare i dati LDAP

Identifica il dominio Google che vuoi sincronizzare. Ti servirà durante la configurazione di GCDS. 

Nota: non puoi sincronizzare gli indirizzi degli alias di dominio utilizzando GCDS. Scopri di più sulle nozioni di base sui domini.

Puoi utilizzare anche una sostituzione del nome di dominio. La sostituzione del nome di dominio viene utilizzata più spesso per un dominio pilota, ma puoi usarla anche se stai passando a un nuovo dominio con GCDS. Se specifichi un altro dominio in Configuration Manager, puoi importare un elenco completo di utenti in un dominio diverso.

Imposta il nuovo dominio come dominio principale. Quindi, nella configurazione LDAP di Configuration Manager, inserisci il nuovo dominio come dominio Google e specifica un amministratore. In Google Domain Configuration (Configurazione del dominio Google), imposta GCDS in modo che sostituisca i nomi di dominio negli indirizzi email LDAP con questo nome di dominio. GCDS modifica gli indirizzi email di tutti i tuoi utenti in base al nuovo dominio durante la sincronizzazione.

Al termine del periodo pilota, potrai sostituire il nome di dominio (e l'amministratore Google) con quello dell'attuale dominio principale e mantenere inalterate tutte le altre opzioni di configurazione.

• Utenti: esamina la directory con un browser LDAP e assicurati di importare il numero corretto di utenti. Se importi più utenti rispetto al numero di licenze a tua disposizione, possono verificarsi errori durante la sincronizzazione. Scopri di più su come gestire le licenze utente.
• Profili utente: se il tuo server di directory LDAP include informazioni aggiuntive, come indirizzi, numeri di telefono o dati dei contatti, puoi sincronizzare anche queste.
• Alias: puoi sincronizzare uno o più attributi per gli alias dalla tua directory LDAP negli alias di indirizzi Google.
• ID univoco: se è probabile che i tuoi utenti modificheranno i nomi utente (indirizzi email), imposta un attributo ID univoco prima di configurare una sincronizzazione, in modo tale che le informazioni utente non vadano perdute quando un utente modifica il proprio indirizzo email.
• Password: GCDS supporta un numero limitato di operazioni con password. Se hai un server Microsoft Active Directory, puoi mantenere sincronizzate le password della directory LDAP con il tuo Account Google con Password Sync.
• Utenti eliminati e sospesi: per impostazione predefinita, gli utenti non rilevati nella directory LDAP vengono eliminati dal tuo Account Google e gli utenti sospesi vengono ignorati. Puoi modificare l'impostazione predefinita nella pagina degli account utente di Configuration Manager. Se imposti GCDS in modo da sospendere gli utenti anziché eliminarli, hai la possibilità di visualizzare e trasferire gli asset degli utenti per usufruire del recupero dei dati. In alternativa, puoi eliminare gli utenti sospesi, ma puoi solo eliminare o sospendere, non eseguire entrambe le operazioni.

Puoi organizzare gli utenti nel tuo Account Google in base alle mailing list o alla struttura organizzativa:

Mailing list

Scegli le mailing list da sincronizzare dal tuo server di directory LDAP al tuo Account Google. Le mailing list nel tuo server di directory LDAP vengono importate come gruppi nell'Account Google.

Alcuni attributi di mailing list contengono un indirizzo letterale e hanno un formato del tipo utente@example.com. Alcuni contengono un riferimento al nome distinto (DN) e hanno questo formato:
cn=Mario Rossi,ou=Executive Team,dc=example,dc=com.

Se vuoi conservare le mailing list nell'Account Google:

1. Verifica quale attributo contiene i membri delle tue mailing list. Di solito, si tratta dell'attributo member o mailAddress.
2. Verifica se l'attributo LDAP per i membri delle mailing list contiene un indirizzo email o un nome distinto (DN) dell'utente.

Struttura organizzativa

Per impostazione predefinita, GCDS sincronizza tutti gli utenti in un'unica struttura flat. Questa operazione funziona bene se l'organizzazione è piccola o se tutti gli utenti devono avere le stesse impostazioni e gli stessi diritti. È indicata anche se vuoi testare un piccolo gruppo prima di effettuare un lancio più ampio.

Se vuoi utilizzare una gerarchia di unità organizzative nel tuo Account Google, puoi sincronizzare la gerarchia dell'organizzazione dal server di directory LDAP. In questo caso, sfoglia prima le unità organizzative con un browser LDAP per assicurarti di sincronizzare la struttura corretta. Potresti avere unità organizzative speciali che non devono essere trasferite all'Account Google, ad esempio un'unità organizzativa per le stampanti.

Se vuoi creare manualmente le unità organizzative nel tuo Account Google, puoi configurarle su Google e fare in modo che GCDS sposti gli utenti in queste organizzazioni senza modificare quelle già esistenti. Seleziona questa opzione nella pagina Org Units (Unità organizzative) di Configuration Manager. Per ogni regola di ricerca utenti, specifica l'organizzazione a cui devono appartenere gli utenti o indica un attributo LDAP che contenga il nome dell'organizzazione appropriata.

Se vuoi gestire le licenze utilizzando GCDS devi creare e raggruppare gli utenti in gruppi di licenze specifici. In alternativa, puoi impostare un attributo specifico per ogni account utente.

GCDS utilizza il gruppo o l'attributo per determinare la licenza corretta da applicare a un account.

GCDS è in grado di sincronizzare altre risorse LDAP, ad esempio i contatti condivisi e le risorse di calendario, con il tuo Account Google.

• Contatti condivisi: i dettagli dei contatti condivisi sono visibili a tutti gli utenti di un elenco di contatti. Inoltre, se imposti i contatti condivisi, in Gmail viene abilitato il completamento automatico degli indirizzi email per ogni utente dell'elenco. Per importare gli indirizzi nel tuo Account Google come contatti condivisi, attiva Shared Contacts (Contatti condivisi) nella pagina General Settings (Impostazioni generali) di Configuration Manager. Dopo la sincronizzazione dei contatti condivisi, potrebbero trascorrere fino a 24 ore prima che le modifiche vengano visualizzate nel tuo dominio Google.

  Nota: GCDS sincronizza solo i contatti condivisi; i contatti personali non vengono sincronizzati.

• Risorse di calendario: se vuoi importare le risorse di calendario (ad esempio le sale conferenze) dalla tua directory LDAP al tuo Account Google, devi configurarne la sincronizzazione per far sì che siano visibili a tutti gli utenti.

• Devi specificare un formato di denominazione per le risorse di calendario. Tieni presente che le regole per i nomi delle risorse di calendario sono diverse da quelle relative alle altre informazioni sincronizzate. I nomi non possono contenere spazi o caratteri speciali. 

GCDS supporta un numero limitato di operazioni relative alle password. È in grado di importare le password solo in un attributo LDAP che le archivia in formato testo normale, Base64, MD5 non salato o SHA-1 non salato. Non sono supportati altri hash di password crittografate e salati. La maggior parte dei server di directory non supporta questi formati in modo nativo e la memorizzazione delle password degli utenti in questi formati sul server di posta può avere gravi implicazioni per la sicurezza.

Per la sincronizzazione delle password, GCDS fornisce le seguenti opzioni:

• Implementare il Single Sign-On per il dominio: gli utenti utilizzano le stesse password e la stessa autorizzazione per l'Account Google e per il server di directory LDAP. Puoi configurare un server SAML (Security Assertion Markup Language) per il tuo account per gestire il Single Sign-On. In questo caso, GCDS crea password casuali durante la sincronizzazione.

  Nota: il Single Sign-On supporta solo l'autenticazione web. Altri metodi di autenticazione (come IMAP, POP e ActiveSync) non supportano il Single Sign-On e richiedono comunque una password di Google.

• Utilizzare un attributo LDAP di testo normale per la password predefinita per i nuovi utenti: utilizza questa opzione se vuoi che gli utenti abbiano password uniche separate. Con questa opzione, le password di Google vengono separate dalle password presenti sul server di directory LDAP. Puoi utilizzare questo metodo per creare una password temporanea da qualsiasi attributo LDAP che contenga dati in formato testo normale.
• Utilizzare un'utilità di terze parti per convertire le password non supportate in un formato supportato: utilizza questa opzione se vuoi fare in modo che Google utilizzi le stesse password del server di directory LDAP, ma non sei in grado di configurare un server SAML. Verifica se su Google Workspace Marketplace sono disponibili strumenti di terze parti che agevolano il processo di sincronizzazione delle password. Google non fornisce assistenza per strumenti di terze parti.
• Specificare una password predefinita per i nuovi utenti: con questa opzione, ogni nuovo utente ha la stessa password finché non accede e la cambia. Le password di Google sono tenute separate dalle password presenti sul server di directory LDAP. Per utilizzare questa opzione, imposta una password predefinita per i nuovi utenti e quindi imposta GCDS in modo che sincronizzi le password per i nuovi utenti e successivamente li obblighi a modificare la password.
  Poiché talvolta la password può essere indovinata da altri utenti, questa opzione in genere non è consigliata perché poco sicura.

Devi decidere in che modo mappare i dati del server di directory LDAP ai dati del tuo Account Google e sapere esattamente in che modo sincronizzare ogni utente, gruppo e risorsa. Puoi configurare la mappatura come gerarchia flat, sincronizzazione automatica individuale o insieme di regole personalizzate manualmente. Per i dettagli, vedi Che cosa viene sincronizzato?.

In qualità di amministratore di Google per Organizzazione di esempio, decidi che la gerarchia dell'organizzazione esistente sul server LDAP deve essere copiata nell'Account Google e identifichi le unità organizzative che devono essere sincronizzate.

Decidi che per Organizzazione di esempio è necessario sincronizzare:

• Unità organizzative
• Utenti
• Alias
• Gruppi (mailing list)
• Contatti condivisi
• Risorse del calendario

Le mailing list del server di directory LDAP utilizzano l'attributo member per archiviare i membri di ogni mailing list; questo attributo contiene il nome distinto (DN) completo dei membri delle mailing list anziché il loro indirizzo email. Come amministratore di GCDS, prendi nota di questo attributo che è un attributo di riferimento, non letterale.

Poiché le informazioni del profilo utente LDAP sul server LDAP non sono in formato standard in tutte le organizzazioni, come amministratore di Google decidi di non sincronizzare queste informazioni.

Sul server LDAP, crei un attributo personalizzato e lo completi con una password unica generata in modo casuale. Nel tuo Account Google, configuri una stampa unione per inviare le password agli utenti, insieme alle istruzioni per l'attivazione degli account.

Alcuni utenti dell'unità organizzativa dei collaboratori esterni non lavorano più con Organizzazione di esempio, quindi non devono essere sincronizzati. Esamini l'elenco e noti che tutti questi utenti corrispondono a un'espressione regolare, perché gli indirizzi utente iniziano tutti con "defunct" (inattivo). Infine, crei le eccezioni per questi utenti nel dominio Google.