คุณต้องเลือกโดเมนหลัก ผู้ใช้ หน่วยขององค์กร และกลุ่มที่ต้องการซิงค์ข้อมูลกับบัญชี Google โดยใช้ Google Cloud Directory Sync (GCDS) รวมทั้งต้องตั้งรหัสผ่านและนึกถึงวิธีที่จะแมปข้อมูลเซิร์ฟเวอร์ไดเรกทอรีด้วย
คุณอยู่ที่ขั้นตอนที่ 3 จากทั้งหมด 5 ขั้นตอน
วิธีจัดระเบียบข้อมูล
โดเมนหลักของคุณคืออะไรระบุโดเมน Google ที่ต้องการซิงค์ข้อมูล ซึ่งคุณต้องนำไปใช้เมื่อกำหนดค่า GCDS
หมายเหตุ: คุณไม่สามารถซิงค์อีเมลของชื่อแทนโดเมนโดยใช้ GCDS ได้ โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับข้อมูลเบื้องต้นของโดเมน
นอกจากนั้น คุณยังใช้การแทนที่ชื่อโดเมนได้ด้วย การแทนที่ชื่อโดเมนมักใช้กับโดเมนนำร่องเป็นส่วนใหญ่ แต่ก็ใช้ได้ในกรณีที่คุณใช้ GCDS เพื่อย้ายไปยังโดเมนใหม่ หากระบุโดเมนอื่นในเครื่องมือจัดการการกำหนดค่า คุณก็จะนำเข้ารายชื่อผู้ใช้ทั้งหมดไปยังโดเมนอื่นได้
ตั้งค่าโดเมนใหม่เป็นโดเมนหลัก จากนั้นในการกำหนดค่า LDAP ของเครื่องมือจัดการการกำหนดค่า ให้ป้อนโดเมนใหม่เป็นโดเมน Google แล้วระบุผู้ดูแลระบบให้กับโดเมนนั้น ต่อมาในการกำหนดค่าโดเมน Google ให้ตั้งค่า GCDS ให้แทนที่ชื่อโดเมนในอีเมล LDAP ด้วยชื่อโดเมนนี้ โดย GCDS จะเปลี่ยนอีเมลของผู้ใช้ทุกคนเป็นโดเมนใหม่ในระหว่างการซิงค์
หลังจากสิ้นสุดช่วงเวลานำร่องแล้ว คุณสามารถเปลี่ยนชื่อโดเมน (และผู้ดูแลระบบ Google) เป็นโดเมนหลักตามจริง และคงตัวเลือกการกำหนดค่าอื่นๆ ไว้ตามเดิม
- ผู้ใช้: ดูไดเรกทอรีผู้ใช้ด้วยเบราว์เซอร์ LDAP และตรวจสอบว่าจำนวนผู้ใช้ที่นำเข้านั้นถูกต้อง หากนำเข้าผู้ใช้เกินจำนวนที่มอบหมายใบอนุญาต คุณอาจพบข้อผิดพลาดระหว่างการซิงค์ข้อมูล โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีจัดการใบอนุญาตของผู้ใช้
- โปรไฟล์ผู้ใช้: หากเซิร์ฟเวอร์ไดเรกทอรี LDAP มีข้อมูลเพิ่มเติม เช่น อีเมล หมายเลขโทรศัพท์ หรือข้อมูลติดต่อ คุณจะซิงค์ข้อมูลเหล่านี้ได้ด้วย
- ชื่อแทน: คุณสามารถซิงค์ข้อมูลแอตทริบิวต์สำหรับชื่อแทนจากไดเรกทอรี LDAP กับชื่อแทนของอีเมล Google ได้
- รหัสที่ไม่ซ้ำกัน: หากผู้ใช้มีแนวโน้มที่จะเปลี่ยนชื่อผู้ใช้ (อีเมล) ให้ตั้งค่าแอตทริบิวต์รหัสที่ไม่ซ้ำกันก่อนตั้งค่าการซิงค์ข้อมูลเพื่อให้ข้อมูลผู้ใช้ไม่สูญหายเมื่อผู้ใช้เปลี่ยนอีเมล
- รหัสผ่าน: GCDS รองรับการดำเนินการเกี่ยวกับรหัสผ่านบางประการเท่านั้น หากมีเซิร์ฟเวอร์ Microsoft Active Directory คุณก็กำหนดให้ซิงค์รหัสผ่านไดเรกทอรี LDAP กับบัญชี Google อยู่เสมอได้ด้วย Password Sync
- ผู้ใช้ที่ถูกลบและถูกระงับ: โดยค่าเริ่มต้น ผู้ใช้ที่คุณไม่พบในไดเรกทอรี LDAP คือผู้ที่ถูกลบออกจากบัญชี Google และระบบจะไม่ดำเนินการกับผู้ใช้ที่ถูกระงับ คุณจะเปลี่ยนการตั้งค่าเริ่มต้นได้ในหน้าบัญชีผู้ใช้ของเครื่องมือจัดการการกำหนดค่า ถ้าคุณตั้งค่า GCDS ให้ระงับผู้ใช้แทนที่จะลบ คุณจะสามารถดูและโอนข้อมูลของผู้ใช้ เพื่อใช้ประโยชน์จากการกู้คืนข้อมูล อีกวิธีหนึ่งคือ คุณสามารถลบผู้ใช้ที่ถูกระงับได้ แต่ต้องเลือกว่าจะลบหรือระงับ ไม่สามารถทำทั้ง 2 อย่างได้
วิธีจัดระเบียบผู้ใช้ในบัญชี Google ตามรายชื่ออีเมลหรือโครงสร้างองค์กรมีดังนี้
รายชื่ออีเมล
เลือกรายชื่ออีเมลที่ต้องการซิงค์ข้อมูลจากเซิร์ฟเวอร์ไดเรกทอรี LDAP กับบัญชี Google ระบบจะนำเข้ารายชื่ออีเมลในเซิร์ฟเวอร์ไดเรกทอรี LDAP เป็นกลุ่มในบัญชี Google
บางแอตทริบิวต์ของรายชื่ออีเมลจะมีอีเมลแบบลิเทอรัลและใช้รูปแบบ เช่น user@example.com บางแอตทริบิวต์มีการอ้างอิงชื่อเฉพาะ (DN) และใช้รูปแบบด้านล่างนี้
cn=Terri Smith,ou=Executive Team,dc=example,dc=com
หากต้องการเก็บรายชื่ออีเมลไว้ในบัญชี Google ให้ทำดังนี้
- ค้นหาแอตทริบิวต์ที่มีสมาชิกในรายชื่ออีเมลของคุณ โดยปกติแล้วจะเป็นแอตทริบิวต์ member หรือ mailAddress
- ดูว่าแอตทริบิวต์ LDAP สำหรับสมาชิกในรายชื่ออีเมลมีอีเมลหรือมีชื่อเฉพาะของผู้ใช้
โครงสร้างองค์กร
โดยค่าเริ่มต้น GCDS จะซิงค์ข้อมูลผู้ใช้ทั้งหมดไว้ในโครงสร้างเดียวที่มีระดับเดียว การทำเช่นนี้เหมาะสำหรับกรณีที่คุณมีองค์กรขนาดเล็กหรือต้องการให้ผู้ใช้ทุกคนมีการตั้งค่าและสิทธิ์เหมือนกัน นอกจากนี้ยังเหมาะกับกรณีที่คุณทดสอบกลุ่มขนาดเล็กก่อนเปิดตัวในวงกว้างด้วย
หากต้องการใช้ลำดับชั้นในหน่วยขององค์กรกับบัญชี Google คุณก็ซิงค์ข้อมูลลำดับชั้นขององค์กรได้จากเซิร์ฟเวอร์ไดเรกทอรี LDAP หากทำเช่นนั้น ให้ดูหน่วยขององค์กรด้วยเบราว์เซอร์ LDAP ก่อน เพื่อตรวจสอบว่าคุณกำลังซิงค์ข้อมูลโครงสร้างที่ถูกต้อง เนื่องจากคุณอาจมีหน่วยขององค์กรพิเศษที่ไม่ควรเข้าไปอยู่ในบัญชี Google เช่น หน่วยขององค์กรสำหรับเครื่องพิมพ์
หากต้องการสร้างหน่วยขององค์กรด้วยตนเองในบัญชี Google คุณก็สร้างหน่วยใน Google แล้วให้ GCDS ย้ายผู้ใช้ไปยังองค์กรเหล่านั้นโดยไม่ต้องเปลี่ยนองค์กรที่มีอยู่ได้ เลือกตัวเลือกนี้ในหน้า Org Units ในเครื่องมือจัดการการกำหนดค่า สำหรับกฎการค้นหาผู้ใช้ทุกกฎ ให้ระบุองค์กรที่ควรมีผู้ใช้สำหรับกฎนั้น หรือแอตทริบิวต์ LDAP ที่มีชื่อขององค์กรที่ถูกต้อง
หากต้องการจัดการใบอนุญาตโดยใช้ GCDS คุณต้องสร้างและจัดผู้ใช้เป็นกลุ่มใบอนุญาตเฉพาะ หรือจะกำหนดแอตทริบิวต์เฉพาะให้กับบัญชีผู้ใช้แต่ละบัญชีก็ได้
GCDS จะพิจารณาใบอนุญาตที่ถูกต้องสำหรับใช้กับบัญชีโดยดูจากกลุ่มหรือแอตทริบิวต์
GCDS สามารถซิงค์ทรัพยากร LDAP อื่นๆ เช่น รายชื่อติดต่อที่แชร์และทรัพยากรในปฏิทินกับบัญชี Google ได้
- รายชื่อติดต่อที่แชร์: ข้อมูลติดต่อที่แชร์จะปรากฏต่อผู้ใช้ทุกคนในข้อมูลรายชื่อติดต่อ และหากคุณสร้างรายชื่อติดต่อที่แชร์ ตัวเลือกการเติมอีเมลอัตโนมัติจะเปิดใช้ใน Gmail ให้กับผู้ใช้ทุกคนในรายชื่อ หากต้องการนำเข้าอีเมลไปยังโดเมน Google ของคุณเป็นรายชื่อติดต่อที่แชร์ ให้เปิดใช้ รายชื่อติดต่อที่แชร์ ในหน้า การตั้งค่าทั่วไป ในเครื่องมือจัดการการกำหนดค่า หลังจากซิงค์ข้อมูลรายชื่อติดต่อที่แชร์ ระบบอาจใช้เวลาถึง 24 ชั่วโมงก่อนที่การเปลี่ยนแปลงจะปรากฏในโดเมน Google
หมายเหตุ: GCDS จะซิงค์ข้อมูลเฉพาะรายชื่อติดต่อที่แชร์ แต่จะไม่ซิงค์รายชื่อติดต่อส่วนบุคคล
- ทรัพยากรในปฏิทิน: หากต้องการนำเข้าทรัพยากรในปฏิทิน (เช่น ห้องประชุม) จากไดเรกทอรี LDAP ไปยังบัญชี Google คุณต้องกำหนดค่าการซิงค์ทรัพยากรในปฏิทินเพื่อให้ผู้ใช้ทุกคนเห็นทรัพยากร
-
คุณต้องระบุรูปแบบการตั้งชื่อทรัพยากรในปฏิทิน โปรดทราบว่ากฎสำหรับชื่อทรัพยากรในปฏิทินแตกต่างจากข้อมูลอื่นๆ ที่ซิงค์ โดยชื่อต้องไม่มีการเว้นวรรคหรือสัญลักษณ์พิเศษ
GCDS รองรับการดำเนินการเกี่ยวกับรหัสผ่านบางประการเท่านั้น โดยสามารถนำเข้ารหัสผ่านเฉพาะในแอตทริบิวต์ LDAP ที่เก็บรหัสผ่านในรูปแบบข้อความธรรมดา, Base64, MD5 ที่ไม่ใส่ข้อมูลสุ่ม หรือ SHA-1 ที่ไม่ใส่ข้อมูลสุ่ม ระบบไม่รองรับรหัสแฮชอื่นๆ ที่เข้ารหัสด้วยรหัสผ่านและใช้ Salt เซิร์ฟเวอร์ไดเรกทอรีส่วนใหญ่ไม่รองรับรูปแบบเหล่านี้อยู่แล้ว และการเก็บรหัสผ่านของผู้ใช้ในรูปแบบดังกล่าวในเซิร์ฟเวอร์อีเมลอาจมีผลกระทบด้านความปลอดภัยร้ายแรง
สำหรับการซิงค์ข้อมูลรหัสผ่าน GCDS มีตัวเลือกดังต่อไปนี้
- ใช้การลงชื่อเพียงครั้งเดียวกับโดเมน: ผู้ใช้มีรหัสผ่านและสิทธิ์เดียวกันสำหรับบัญชี Google และเซิร์ฟเวอร์ไดเรกทอรี LDAP คุณสามารถตั้งค่าเซิร์ฟเวอร์ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) ให้กับบัญชีเพื่อจัดการการลงชื่อเพียงครั้งเดียวได้ โดย GCDS จะสุ่มรหัสผ่านขึ้นมาระหว่างการซิงค์ข้อมูลในกรณีนี้
หมายเหตุ: การลงชื่อเพียงครั้งเดียวรองรับการตรวจสอบสิทธิ์ผ่านเว็บเท่านั้น การตรวจสอบสิทธิ์ในรูปแบบอื่น (เช่น IMAP, POP และ ActiveSync) ไม่รองรับการลงชื่อเพียงครั้งเดียวและยังต้องใช้รหัสผ่าน Google อยู่
- ใช้แอตทริบิวต์ LDAP ที่เป็นข้อความธรรมดาสำหรับรหัสผ่านเริ่มต้นของผู้ใช้ใหม่: ใช้ตัวเลือกนี้หากต้องการให้ผู้ใช้มีรหัสผ่านที่ใช้งานได้เพียงครั้งเดียวแยกต่างหาก เมื่อใช้ตัวเลือกนี้ รหัสผ่าน Google จะแยกต่างหากจากรหัสผ่านในเซิร์ฟเวอร์ไดเรกทอรี LDAP ของคุณ คุณสามารถใช้วิธีการนี้เพื่อสร้างรหัสผ่านชั่วคราวจากแอตทริบิวต์ LDAP ใดก็ได้ที่เก็บรักษาข้อมูลในรูปแบบข้อความธรรมดา
- ใช้ยูทิลิตีของบุคคลที่สามเพื่อแปลงรหัสผ่านที่ไม่รองรับเป็นรูปแบบที่รองรับ: ใช้ตัวเลือกนี้หากต้องการให้ Google ใช้รหัสผ่านเดียวกับเซิร์ฟเวอร์ไดเรกทอรี LDAP แต่คุณจะตั้งค่าเซิร์ฟเวอร์ SAML ไม่ได้ ไปที่ Google Workspace Marketplace เพื่อหาเครื่องมือของบุคคลที่สามช่วยซิงค์ข้อมูลรหัสผ่านได้ ทั้งนี้ Google ไม่มีบริการสนับสนุนสำหรับเครื่องมือของบุคคลที่สาม
- ระบุรหัสผ่านเริ่มต้นสำหรับผู้ใช้ใหม่: เมื่อใช้ตัวเลือกนี้ ผู้ใช้ใหม่ทุกคนจะมีรหัสผ่านเหมือนกัน จนกว่าจะลงชื่อเข้าใช้และเปลี่ยนรหัสผ่าน รหัสผ่าน Google จะแยกต่างหากจากรหัสผ่านในเซิร์ฟเวอร์ไดเรกทอรี LDAP ของคุณ หากต้องการใช้ตัวเลือกนี้ ให้ตั้งค่ารหัสผ่านเริ่มต้นสำหรับผู้ใช้ใหม่ แล้วตั้งค่า GCDS ให้ซิงค์ข้อมูลรหัสผ่านสำหรับผู้ใช้ใหม่ จากนั้นบังคับให้ผู้ใช้เปลี่ยนรหัสผ่าน
เนื่องจากบางครั้งผู้ใช้อื่นอาจคาดเดารหัสผ่านได้ ตามปกติเราจึงไม่แนะนำให้ใช้เป็นตัวเลือกที่ปลอดภัย
คุณต้องเลือกวิธีแมปข้อมูลเซิร์ฟเวอร์ไดเรกทอรี LDAP กับข้อมูลบัญชี Google และเข้าใจอย่างชัดเจนแล้วว่าควรซิงค์ข้อมูลผู้ใช้ กลุ่ม และทรัพยากรทั้งหมดอย่างไร คุณอาจตั้งค่าการแมปนี้สำหรับลำดับชั้นที่มีระดับเดียว การซิงค์แบบหนึ่งต่อหนึ่งโดยอัตโนมัติ หรือชุดกฎที่กำหนดเองก็ได้ สำหรับรายละเอียด โปรดดูที่ซิงค์ข้อมูลอะไรบ้าง
ในฐานะผู้ดูแลระบบ Google ขององค์กรแห่งหนึ่ง คุณตัดสินใจว่าควรคัดลอกลำดับชั้นขององค์กรที่มีอยู่ในเซิร์ฟเวอร์ LDAP ไปยังบัญชี Google และระบุหน่วยขององค์กรที่ควรซิงค์
คุณกำหนดให้องค์กรต้องซิงค์ข้อมูลต่อไปนี้
- หน่วยขององค์กร
- ผู้ใช้
- ชื่อแทน
- กลุ่ม (รายชื่ออีเมล)
- รายชื่อติดต่อที่แชร์
- ทรัพยากรในปฏิทิน
รายชื่ออีเมลในเซิร์ฟเวอร์ไดเรกทอรี LDAP ใช้แอตทริบิวต์ member เพื่อเก็บข้อมูลสมาชิกในรายชื่ออีเมลแต่ละรายชื่อ และแอตทริบิวต์ member มีชื่อเฉพาะ (DN) แบบเต็มของสมาชิกในรายชื่ออีเมล แทนที่จะเป็นอีเมล ในฐานะผู้ดูแลระบบ GCDS คุณควรทราบเกี่ยวกับแอตทริบิวต์นี้และทราบว่าเป็นแอตทริบิวต์อ้างอิง ไม่ใช่แอตทริบิวต์แบบลิเทอรัล
เนื่องจากข้อมูลโปรไฟล์ผู้ใช้ LDAP ในเซิร์ฟเวอร์ LDAP ไม่ได้อยู่ในรูปแบบมาตรฐานทั้งองค์กร ในฐานะผู้ดูแลระบบ Google คุณจึงเลือกที่จะไม่ซิงค์ข้อมูลนี้
ในเซิร์ฟเวอร์ LDAP คุณสร้างแอตทริบิวต์ที่กำหนดเองและเติมข้อมูลรหัสผ่านที่ใช้งานได้เพียงครั้งเดียวซึ่งสร้างแบบสุ่มขึ้นมาให้กับแอตทริบิวต์ ในบัญชี Google คุณสร้างจดหมายเวียนเพื่อส่งรหัสผ่านให้ผู้ใช้พร้อมกับข้อมูลเกี่ยวกับวิธีเปิดใช้งานบัญชีได้
มีผู้ใช้บางคนในหน่วยขององค์กรผู้รับเหมาที่ไม่ได้ทำงานกับองค์กรอีกต่อไปและไม่ควรซิงค์ข้อมูล คุณพิจารณารายชื่อและสังเกตว่าผู้ใช้ทุกคนตรงกับนิพจน์ทั่วไปเนื่องจากอีเมลของผู้ใช้ทั้งหมดขึ้นต้นด้วย "defunct" จากนั้นคุณจึงสร้างข้อยกเว้นสำหรับผู้ใช้เหล่านี้ในโดเมน Google
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง