Anda dapat menggunakan aturan penelusuran LDAP untuk menyinkronkan data dari server direktori LDAP ke Akun Google organisasi Anda dengan Google Cloud Directory Sync (GCDS). Saat Anda menambahkan aturan penelusuran, data yang cocok dengan aturan penelusuran itu akan disinkronkan pada sinkronisasi berikutnya. Data yang tidak cocok dengan aturan penelusuran akan dihapus.
Penting: Google tidak melakukan debug atau memberikan dukungan untuk kueri LDAP.
Sintaksis kueri LDAP dasar
Anda dapat membuat kueri penelusuran LDAP kustom apa saja asalkan mematuhi RFC 2254.
| Operator | Karakter | Fungsi |
|---|---|---|
| Sama dengan | = | Membuat filter yang mengharuskan sebuah kolom memiliki nilai tertentu. |
| Semua | * | Melambangkan kolom yang bisa sama dengan apa pun kecuali NULL. |
| Tanda kurung | ( ) | Memisahkan filter sehingga operator logika lainnya bisa berfungsi. |
| Dan | & | Menggabungkan filter. Semua ketentuan dalam rangkaian harus dipenuhi. |
| Atau | | | Menggabungkan filter. Setidaknya satu ketentuan dalam rangkaian harus dipenuhi. |
| Bukan | ! | Mengecualikan semua objek yang cocok dengan filter. |
Menambahkan aturan penelusuran LDAP
Anda dapat menggunakan langkah-langkah ini untuk jenis aturan penelusuran apa pun.
- Di Configuration Manager, buka User Accounts
Search Rules.
- Klik Add Search Rule.
- Dari menu, pilih opsi untuk memilih cakupan aturan penelusuran:
- Sub-tree—Aturan penelusuran berlaku untuk objek DN dasar dan semua objek turunannya.
- One-level—Aturan penelusuran berlaku untuk turunan langsung objek DN dasar tetapi mengecualikan DN dasar itu sendiri.
- Object—Aturan penelusuran hanya berlaku untuk objek DN dasar.
- Untuk Rule, masukkan aturan penelusuran menggunakan sintaksis kueri penelusuran LDAP.
Lihat contohnya di bawah.
- Untuk Base DN, pilih salah satu opsi:
- Masukkan DN dasar.
- Biarkan kolom ini kosong untuk menggunakan DN dasar yang ditentukan di halaman LDAP Connection.
- Klik Test LDAP Query untuk memeriksa hasil kueri Anda.
Anda dapat meninjau jumlah objek yang ditemukan dan 5 hasil pertama. Hasil tidak menampilkan pengguna tanpa alamat email. - Klik OK.
- (Opsional) Untuk menambahkan aturan penelusuran lain, ulangi langkah-langkah tadi.
Mengecualikan data dari aturan penelusuran
Aturan pengecualian
Anda dapat menggunakan aturan pengecualian untuk mengecualikan data di server direktori LDAP yang tidak ingin disinkronkan ke Akun Google organisasi Anda. Misalnya, Anda dapat menggunakan aturan penelusuran LDAP untuk menentukan bahwa semua alamat email harus disinkronkan. Kemudian, gunakan aturan pengecualian untuk mengabaikan alamat email yang dimulai dengan string tertentu.
Kueri penelusuran pengguna
Dengan kueri penelusuran pengguna, GCDS mengidentifikasi pengguna di Akun Google Anda yang cocok dengan hasil kueri. Jika pengguna Google tidak cocok dengan hasilnya, GCDS akan melakukan sinkronisasi seolah-olah pengguna tersebut tidak ada.
Jika Anda menggunakan kueri penelusuran pengguna, pastikan aturan penelusuran LDAP tidak menampilkan pengguna yang ada di Google, tetapi tidak disertakan dalam hasil kueri. Jika tidak, GCDS akan mencoba membuat pengguna setiap sinkronisasi dilakukan.
Misalnya, yana@altostrat.com ada di Akun Google Anda dan juga ditampilkan di aturan penelusuran LDAP. Jika Anda menggunakan email:m* sebagai kueri penelusuran pengguna, GCDS akan mencoba membuat yana@altostrat.com setiap sinkronisasi dilakukan karena yana@altostrat.com tidak dimulai dengan huruf m.
Untuk mengetahui detail selengkapnya, buka Menghapus data dengan aturan pengecualian & kueri.
Contoh aturan penelusuran dan kueri LDAP
Contoh berikut bersifat umum dan mungkin tidak berlaku untuk lingkungan Anda. Setiap pemisah baris hanya untuk tujuan pemformatan halaman.
Buka bagian | Ciutkan semua & ke bagian atas
Kueri LDAP dasar- Semua objek (dapat menyebabkan masalah pemuatan)
objectClass=*
- Semua objek pengguna yang ditetapkan sebagai "person"
(&(objectClass=user)(objectCategory=person))
- Hanya milis
(objectCategory=group)
- Hanya folder publik
(objectCategory=publicfolder)
- Semua objek pengguna, kecuali yang alamat email primernya diawali dengan "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Semua objek pengguna, kecuali yang alamat email primernya diakhiri dengan "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Semua objek pengguna kecuali yang alamat email utamanya berisi kata "test"
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
- Semua objek pengguna dan alias yang ditetapkan sebagai "person" dan tergabung dalam grup atau daftar distribusi
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Semua objek pengguna yang ditetapkan sebagai "person", semua objek grup, dan semua kontak kecuali objek dengan nilai yang ditetapkan sebagai "extensionAttribute9"
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Semua pengguna yang merupakan anggota grup yang ditandai oleh DN "CN=Group,OU=Users,DC=Domain,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Menampilkan semua pengguna
- Untuk Active Directory: (&(objectCategory=person)(objectClass=user))
- Untuk OpenLDAP: (objectClass=inetOrgPerson)
- Untuk HCL Domino: (objectClass=dominoPerson)
- Semua objek dengan alamat email yang ditetapkan sebagai "person" atau "group" (dalam direktori LDAP Domino)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Semua pengguna aktif (tidak dinonaktifkan) yang memiliki alamat email di Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Semua pengguna yang merupakan anggota Group_1 atau Group_2 seperti yang ditetapkan oleh DN grup
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Semua pengguna yang memiliki nilai extensionAttribute1 "Engineering" atau "Sales"
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Mengambil anggota grup bertingkat secara berulang pada grup tertentu di Active Directory
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Kueri keanggotaan grup dengan ObjectGUID di Active Directory. Nilai heksadesimal atribut ObjectGUID grup adalah 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Mengoptimalkan aturan penelusuran
Anda dapat mengoptimalkan aturan penelusuran untuk meningkatkan performa sinkronisasi.
| Contoh 1: Menampilkan pengguna dengan alamat email | Kasus penggunaan |
|---|---|
| Aturan penelusuran pengguna: (&(objectClass=user)(objectCategory=person)(mail=*)) | Sebagai ganti menggunakan aturan dasar untuk menampilkan semua pengguna, optimalkan aturan Anda menggunakan kueri mail=.
Sinkronisasi berjalan lebih efisien karena server LDAP dan GCDS tidak perlu memproses entri yang seharusnya dihapus. |
| Contoh 2: Menampilkan pengguna dengan string pencocokan alamat email | Kasus penggunaan |
|---|---|
| Aturan penelusuran pengguna: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | Sebagai ganti menggunakan aturan dasar dan aturan pengecualian untuk menampilkan semua pengguna dengan alamat email yang tidak memiliki penjualan, gunakan aturan yang dioptimalkan dengan string yang cocok.
Server LDAP dan GCDS tidak perlu memproses entri yang seharusnya dihapus. Selain itu, Anda tidak perlu menyiapkan aturan pengecualian atau mempertimbangkan tingkat prioritas. |
Topik terkait
Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.