3. Organiser les données LDAP

Identifiez le domaine Google à synchroniser. Vous aurez besoin de cette information lorsque vous configurerez GCDS.

Remarque : Vous ne pouvez pas synchroniser les adresses d'alias de domaine avec GCDS. En savoir plus sur les principes de base des domaines

Vous pouvez également utiliser un remplacement de nom de domaine. La plupart du temps, un remplacement de nom de domaine est utilisé pour un domaine pilote, mais il peut également servir si vous passez à un autre domaine à l'aide de GCDS. Si vous spécifiez un autre domaine dans le gestionnaire de configuration, vous pouvez importer une liste complète d'utilisateurs dans un domaine différent.

Configurez le nouveau domaine en tant que domaine principal. Ensuite, dans la configuration LDAP du gestionnaire de configuration, saisissez le nouveau domaine en tant que domaine Google et affectez-lui un administrateur. Dans la configuration du domaine Google, configurez GCDS de manière à remplacer les noms de domaine dans les adresses e-mail LDAP par ce nom de domaine. Lors de la synchronisation, GCDS modifie les adresses e-mail de tous les utilisateurs afin qu'elles utilisent le nouveau nom de domaine.

Une fois la période pilote terminée, vous pouvez remplacer le nom de domaine (et l'administrateur Google) par le nom réel de votre domaine principal, sans avoir à modifier les autres options de configuration.

• Utilisateurs : explorez votre annuaire d'utilisateurs avec un navigateur LDAP et vérifiez que vous en importez le nombre voulu. Si vous importez plus d'utilisateurs que vous ne possédez de licences, des erreurs peuvent se produire lors de la synchronisation. En savoir plus sur la gestion des licences utilisateur
• Profils utilisateur : si votre serveur d'annuaire LDAP comprend des renseignements supplémentaires (adresses, numéros de téléphone ou autres coordonnées, par exemple), vous pouvez également les synchroniser.
• Alias : vous pouvez synchroniser un ou plusieurs attributs des alias de votre annuaire LDAP dans les alias d'adresses Google.
• ID unique : si vos utilisateurs sont susceptibles de changer de nom (adresse e-mail), définissez un attribut d'ID unique avant de configurer la synchronisation. De cette manière, les informations associées aux utilisateurs ne seront pas perdues si ces derniers changent d'adresse e-mail.
• Mots de passe : GCDS est compatible avec un nombre limité d'opérations concernant les mots de passe. Si vous utilisez un serveur Microsoft Active Directory, vous pouvez maintenir les mots de passe d'annuaire LDAP synchronisés avec votre compte Google à l'aide de Password Sync.
• Utilisateurs supprimés et suspendus : par défaut, les utilisateurs introuvables dans l'annuaire LDAP sont supprimés de votre compte Google, et les utilisateurs suspendus sont ignorés. Vous pouvez modifier ce paramètre par défaut sur la page des comptes utilisateur du gestionnaire de configuration. Si vous configurez GCDS de façon que les utilisateurs soient suspendus au lieu d'être supprimés, vous pouvez consulter et transférer leurs éléments pour tirer parti des fonctionnalités de récupération des données. Vous avez également la possibilité de supprimer les utilisateurs suspendus, mais vous devrez choisir entre l'une et l'autre action.

Vous pouvez organiser les utilisateurs dans votre compte Google par liste de diffusion ou structure organisationnelle :

Liste de diffusion

À partir de votre serveur d'annuaire LDAP, sélectionnez les listes de diffusion que vous souhaitez synchroniser avec votre compte Google. Les listes de diffusion de votre serveur d'annuaire LDAP sont importées en tant que groupes sur le compte Google.

Certains attributs de liste de diffusion contiennent une adresse littérale et se présentent sous la forme suivante : utilisateur@example.com. D'autres contiennent une référence de nom distinctif (DN) et utilisent le format suivant :
cn=Terri Smith,ou=Executive Team,dc=example,dc=com.

Si vous souhaitez conserver les listes de diffusion dans le compte Google :

1. Identifiez l'attribut contenant les membres de vos listes de diffusion. Il s'agit souvent de l'attribut member ou mailAddress.
2. Vérifiez si l'attribut LDAP associé aux membres des listes de diffusion contient une adresse e-mail ou un nom distinctif d'utilisateur.

Structure organisationnelle

Par défaut, GCDS synchronise tous les utilisateurs en une seule structure plate. Ce système fonctionne bien si votre organisation est de petite taille, ou si vous souhaitez que tous les utilisateurs aient les mêmes paramètres et les mêmes droits. Il conviendra également si vous effectuez un test à petite échelle avant de procéder à un déploiement plus important.

Si vous souhaitez utiliser une hiérarchie d'unités organisationnelles sur votre compte Google, vous pouvez synchroniser la hiérarchie organisationnelle de votre serveur d'annuaire LDAP. Si vous procédez ainsi, commencez par explorer vos unités organisationnelles avec un navigateur LDAP pour vous assurer que vous synchronisez la bonne structure. Il est possible que certaines unités organisationnelles spéciales ne doivent pas être transférées dans le compte Google (une unité associée aux imprimantes, par exemple).

Si vous souhaitez créer manuellement des unités organisationnelles dans votre compte Google, vous pouvez les configurer dans Google, puis laisser GCDS déplacer les utilisateurs vers ces organisations sans modifier les organisations existantes. Sélectionnez cette option sur la page consacrée aux unités organisationnelles du gestionnaire de configuration. Pour chaque règle de recherche d'utilisateurs, spécifiez l'organisation qui doit contenir les utilisateurs de cette règle, ou un attribut LDAP contenant le nom de l'organisation appropriée.

Pour gérer les licences à l'aide de GCDS, vous devez créer et regrouper des utilisateurs dans des groupes de licences spécifiques. Une autre possibilité consiste à définir un attribut spécifique sur chaque compte utilisateur.

GCDS utilisera alors le groupe ou l'attribut pour déterminer la licence correcte à appliquer à un compte.

GCDS peut synchroniser les autres ressources LDAP telles que les contacts partagés et les ressources d'agenda avec votre compte Google.

• Contacts partagés : tous les utilisateurs d'une liste de contacts peuvent voir les informations des contacts partagés. Si vous configurez des contacts partagés, la saisie semi-automatique des adresses e-mail est activée dans Gmail pour chaque utilisateur figurant dans la liste. Pour importer les adresses dans votre compte Google en tant que contacts partagés, activez Contacts partagés sur la page Paramètres généraux du gestionnaire de configuration. Une fois que vous avez synchronisé les contacts partagés, un délai de 24 heures peut être nécessaire avant que les modifications soient visibles dans votre domaine Google.

  Remarque : GCDS synchronise uniquement les contacts partagés. Les contacts personnels ne sont pas pris en compte.

• Ressources d'agenda : pour importer des ressources d'agenda (les salles de conférence, par exemple) de votre annuaire LDAP dans votre compte Google, vous devez configurer la synchronisation des ressources d'agenda de sorte que celles-ci soient visibles par tous les utilisateurs.

• Vous devez indiquer un format de nom pour vos ressources d'agenda. Gardez à l'esprit que les règles qui régissent les noms de ces ressources diffèrent des autres informations synchronisées. Les noms ne doivent pas contenir d'espaces ni de caractères spéciaux.

GCDS est compatible avec un nombre limité d'opérations concernant les mots de passe. Il peut uniquement importer des mots de passe dans un attribut LDAP stockant les mots de passe en texte brut ou dans les formats suivants : Base64, MD5 non salé ou SHA-1 non salé. Aucun autre chiffrement de mot de passe ni hachage avec sel n'est accepté. La plupart des serveurs d'annuaire n'acceptent pas ces formats en natif. Le stockage des mots de passe utilisateur dans ces formats sur votre serveur de messagerie risquerait donc de compromettre fortement la sécurité.

Pour la synchronisation des mots de passe, GCDS propose les options suivantes :

• Mettre en œuvre l'authentification unique pour votre domaine : les utilisateurs disposent de mots de passe et d'autorisations identiques pour votre compte Google et votre serveur d'annuaire LDAP. Pour gérer l'authentification unique, vous pouvez configurer un serveur SAML (Security Assertion Markup Language) pour votre compte. Dans ce cas, GCDS crée des mots de passe aléatoires pendant la synchronisation.

  Remarque : L'authentification unique (SSO) ne fonctionne que sur le Web. Les autres formes d'authentification (IMAP, POP et ActiveSync, par exemple) ne sont pas compatibles SSO. Un mot de passe Google reste nécessaire.

• Utiliser un attribut LDAP en texte brut pour le mot de passe par défaut des nouveaux utilisateurs : utilisez cette option si vous souhaitez que les utilisateurs disposent de mots de passe à usage unique distincts. Lorsque cette option est sélectionnée, les mots de passe Google sont différents de ceux figurant sur votre serveur d'annuaire LDAP. Cette méthode vous permet de créer un mot de passe temporaire à partir de n'importe quel attribut LDAP contenant des données au format texte brut.
• Utiliser un utilitaire tiers pour convertir les mots de passe incompatibles dans un format compatible : utilisez cette option si vous voulez que Google utilise les mêmes mots de passe que votre serveur d'annuaire LDAP, mais que vous ne pouvez pas configurer de serveur SAML. Sur Google Workspace Marketplace, vous pouvez chercher des outils tiers pour synchroniser plus facilement les mots de passe. Notez que Google ne propose pas d'assistance pour les outils tiers.
• Spécifier un mot de passe par défaut pour les nouveaux utilisateurs : lorsque cette option est sélectionnée, tous les nouveaux utilisateurs disposent du même mot de passe, jusqu'à ce qu'ils se connectent et le modifient. Les mots de passe Google sont séparés de ceux figurant sur votre serveur d'annuaire LDAP. Pour utiliser cette option, définissez un mot de passe par défaut pour les nouveaux utilisateurs, puis configurez GCDS afin qu'il synchronise les mots de passe de ces utilisateurs, puis les force à les modifier.
  Du point de vue de la sécurité, cette option n'est généralement pas conseillée. En effet, certains utilisateurs peuvent deviner le mot de passe des autres.

Vous devez décider de quelle façon votre serveur d'annuaire LDAP va mapper les données de votre compte Google, et prévoir précisément comment s'effectuera la synchronisation de tous les utilisateurs, groupes et ressources. Vous pouvez configurer le mappage dans une hiérarchie plate, une synchronisation individuelle automatique ou un ensemble manuel de règles personnalisées. Pour plus d'informations, consultez l'article Quelles sont les données synchronisées ?

En tant qu'administrateur Google de votre organisation fictive, c'est vous qui devez décider si la hiérarchie existant sur le serveur LDAP doit être copiée sur le compte Google, et identifier les unités organisationnelles à synchroniser.

Vous décidez que l'organisation fictive doit synchroniser les éléments suivants :

• Unités organisationnelles
• Utilisateurs
• Alias
• Groupes (listes de diffusion)
• Contacts partagés
• Ressources d'agenda

Les listes de diffusion du serveur d'annuaire LDAP utilisent l'attribut member pour enregistrer les membres de chaque liste. Cet attribut contient le nom distinctif (DN) complet des membres de la liste de diffusion, au lieu de leur adresse e-mail. En tant qu'administrateur GCDS, vous notez cet attribut, et vous savez qu'il s'agit d'un attribut de référence et pas d'un attribut littéral.

Dans la mesure où le format des informations du profil utilisateur LDAP sur le serveur LDAP n'est pas standard d'une organisation à l'autre, vous décidez, en tant qu'administrateur Google, de ne pas synchroniser ces informations.

Sur le serveur LDAP, vous créez un attribut personnalisé dans lequel vous indiquez un mot de passe à usage unique généré de façon aléatoire. Dans votre compte Google, vous configurez une fusion de courrier pour envoyer les mots de passe aux utilisateurs, avec les instructions d'activation de leur compte.

Certains comptes utilisateur de l'unité organisationnelle des fournisseurs n'appartiennent plus à l'organisation fictive et ne doivent donc pas être synchronisés. Vous étudiez la liste et vous remarquez qu'ils correspondent à une expression régulière, parce que les adresses des utilisateurs commencent toutes par "abandonnée". Pour terminer, vous créez des exceptions pour ces utilisateurs dans le domaine Google.