คุณจะใช้กฎการค้นหา LDAP เพื่อซิงค์ข้อมูลจากเซิร์ฟเวอร์ไดเรกทอรี LDAP กับบัญชี Google ขององค์กรด้วย Google Cloud Directory Sync (GCDS) ได้ โดยเมื่อคุณเพิ่มกฎการค้นหา ระบบจะซิงค์ข้อมูลที่ตรงกับกฎการค้นหาระหว่างการซิงค์ครั้งถัดไป และจะนำข้อมูลที่ไม่ตรงกับกฎออก
ข้อสำคัญ: Google จะไม่แก้ไขข้อบกพร่องหรือให้การสนับสนุนการค้นหา LDAP
ไวยากรณ์การค้นหา LDAP พื้นฐาน
คุณจะสร้างคำค้นหา LDAP ที่กำหนดเองได้ตามต้องการ โดยต้องสอดคล้องกับข้อกำหนด RFC 2254
โอเปอเรเตอร์ | อักขระ | การใช้งาน |
---|---|---|
เท่ากับ | = | สร้างตัวกรองที่กำหนดให้ช่องหนึ่งมีค่าที่กำหนด |
ไม่จำกัด | * | หมายถึงช่องที่เท่ากับอะไรก็ได้ยกเว้น NULL |
เครื่องหมายวงเล็บ | ( ) | แยกตัวกรองเพื่อให้โอเปอเรเตอร์ทางตรรกะอื่นสามารถทำงานได้ |
และ | & | รวมตัวกรองเข้าด้วยกัน เงื่อนไขทั้งหมดในชุดจะต้องเป็นจริง |
หรือ | | | รวมตัวกรองเข้าด้วยกัน เงื่อนไขในชุดจะต้องเป็นจริงอย่างน้อย 1 เงื่อนไข |
ไม่ใช่ | ! | ยกเว้นออบเจ็กต์ทั้งหมดที่ตรงตามตัวกรอง |
เพิ่มกฎการค้นหา LDAP
คุณใช้ขั้นตอนต่อไปนี้กับกฎการค้นหาประเภทใดก็ได้
- ในเครื่องมือจัดการการกำหนดค่า ให้ไปที่บัญชีผู้ใช้กฎการค้นหา
- คลิกเพิ่มกฎการค้นหา
- เลือกตัวเลือกเพื่อกำหนดขอบเขตของกฎการค้นหาจากเมนู ดังนี้
- Sub-tree - กฎการค้นหาจะมีผลกับออบเจ็กต์ DN ฐานรวมถึงออบเจ็กต์ย่อยทั้งหมด
- One-level - กฎการค้นหาจะมีผลกับออบเจ็กต์ย่อยของออบเจ็กต์ Base DN ทันที แต่ไม่รวมออบเจ็กต์ Base DN เอง
- ออบเจ็กต์ - กฎการค้นหาจะมีผลกับออบเจ็กต์ Base DN เท่านั้น
- ในช่อง Rule ให้ป้อนกฎการค้นหาโดยใช้ไวยากรณ์คำค้นหาของ LDAP
โปรดดูตัวอย่างด้านล่าง
- สําหรับ Base DN ให้เลือกตัวเลือกต่อไปนี้
- ป้อน DN พื้นฐาน
- เว้นช่องนี้ว่างไว้เพื่อใช้ DN พื้นฐานที่ระบุในหน้าการเชื่อมต่อ LDAP
- คลิกทดสอบการค้นหาของ LDAP เพื่อดูผลลัพธ์ของคําค้นหา
คุณสามารถตรวจสอบจํานวนออบเจ็กต์ที่พบและผลลัพธ์ 5 รายการแรกได้ โดยผลลัพธ์จะไม่รวมผู้ใช้ที่ไม่มีอีเมล - คลิกตกลง
- (ไม่บังคับ) หากต้องการเพิ่มกฎการค้นหาอื่น ให้ทำตามขั้นตอนอีกครั้ง
ยกเว้นข้อมูลจากกฎการค้นหา
กฎการยกเว้น
คุณสามารถใช้กฎนี้เพื่อยกเว้นข้อมูลในเซิร์ฟเวอร์ไดเรกทอรี LDAP ที่คุณไม่ต้องการให้ซิงค์กับบัญชี Google ขององค์กรได้ เช่น คุณสามารถใช้กฎการค้นหา LDAP เพื่อระบุว่าควรซิงค์อีเมลทั้งหมด จากนั้นใช้กฎการยกเว้นเพื่อยกเว้นไม่ซิงค์กับอีเมลที่ขึ้นต้นด้วยสตริงที่กำหนดได้
คำค้นหาผู้ใช้
เมื่อใช้คำค้นหาผู้ใช้ เครื่องมือ GCDS จะระบุผู้ใช้ในบัญชี Google ที่ตรงกับผลการค้นหา หากผู้ใช้ Google ไม่ตรงกับผลการค้นหา GCDS จะทำการซิงค์เสมือนว่าไม่มีผู้ใช้ดังกล่าว
หากคุณใช้คำค้นหาผู้ใช้ โปรดตรวจสอบว่ากฎการค้นหา LDAP ไม่แสดงผลผู้ใช้ที่มีอยู่ใน Google แต่ก็ไม่ได้แสดงอยู่ในผลการค้นหาด้วย ไม่เช่นนั้น GCDS จะพยายามสร้างผู้ใช้ดังกล่าวในระหว่างการซิงค์ทุกครั้ง
ตัวอย่างเช่น yuri@altostrat.com มีอยู่ในบัญชี Google และระบบแสดงผู้ใช้ดังกล่าวในกฎการค้นหา LDAP ด้วย หากใช้ email:m* เป็นคำค้นหาผู้ใช้ GCDS จะพยายามสร้าง yuri@altostrat.com ระหว่างการซิงค์ทุกครั้งเนื่องจาก yuri@altostrat.com ไม่ได้ขึ้นต้นด้วยตัวอักษร m
โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อยกเว้นข้อมูลด้วยกฎการยกเว้นและการค้นหา
ตัวอย่างการค้นหาและกฎการค้นหา LDAP
ตัวอย่างต่อไปนี้เป็นตัวอย่างทั่วไปและอาจใช้กับระบบของคุณไม่ได้ ตัวแบ่งบรรทัดมีไว้เพื่อการจัดรูปแบบหน้าเท่านั้น
เปิดส่วน | ยุบทั้งหมดและกลับไปด้านบนสุด
การค้นหา LDAP พื้นฐาน- ออบเจ็กต์ทั้งหมด (อาจทำให้เกิดปัญหาในการโหลด)
objectClass=*
- ออบเจ็กต์ผู้ใช้ทั้งหมดที่กำหนดว่าเป็น "บุคคล"
(&(objectClass=user)(objectCategory=person))
- รายชื่ออีเมลเท่านั้น
(objectCategory=group)
- โฟลเดอร์สาธารณะเท่านั้น
(objectCategory=publicfolder)
- ออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีอีเมลหลักที่ขึ้นต้นด้วย "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- ออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีอีเมลหลักที่ลงท้ายด้วย "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- ออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีอีเมลหลักที่มีคำว่า "test"
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
- ออบเจ็กต์ผู้ใช้และชื่อแทนทั้งหมดที่กำหนดว่าเป็น "บุคคล" และเป็นส่วนหนึ่งของกลุ่มหรือรายชื่อการแจกจ่าย
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- ออบเจ็กต์ผู้ใช้ทั้งหมดที่กำหนดว่าเป็น "บุคคล" ออบเจ็กต์กลุ่มทั้งหมด และรายชื่อติดต่อทั้งหมด ยกเว้นรายการที่มีค่ากำหนดเป็น "extensionAttribute9"
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- ผู้ใช้ทั้งหมดที่เป็นสมาชิกของกลุ่มที่ระบุโดย DN "CN=Group,OU=Users,DC=Domain,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- แสดงผู้ใช้ทั้งหมด
- สำหรับ Active Directory: (&(objectCategory=person)(objectClass=user))
- สำหรับ OpenLDAP: (objectClass=inetOrgPerson)
- สำหรับ HCL Domino: (objectClass=dominoPerson)
- ออบเจ็กต์ทั้งหมดที่มีอีเมลกำหนดว่าเป็น "บุคคล" หรือ "กลุ่ม" (ในไดเรกทอรี LDAP ของ Domino)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- ผู้ใช้ที่ใช้งานอยู่ (ไม่ได้ปิดใช้งาน) ทั้งหมดที่มีอีเมลใน Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- ผู้ใช้ทั้งหมดที่เป็นสมาชิกของ Group_1 หรือ Group_2 ที่กำหนดด้วย Group DN
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- ผู้ใช้ทั้งหมดที่มีค่า extensionAttribute1 เป็น "Engineering" หรือ "Sales"
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- เรียกสมาชิกกลุ่มที่ซ้อนกันภายใต้กลุ่มที่ระบุใน Active Directory ซ้ำ
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.11356.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- การค้นหาการเป็นสมาชิกกลุ่มด้วย ObjectGUID ใน Active Directory ซึ่งค่าเลขฐานสิบหกของแอตทริบิวต์ ObjectGUID ของกลุ่มคือ 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
เพิ่มประสิทธิภาพกฎการค้นหา
คุณจะเพิ่มประสิทธิภาพกฎการค้นหาเพื่อปรับปรุงประสิทธิภาพการซิงค์ได้
ตัวอย่างที่ 1: แสดงผลผู้ใช้พร้อมด้วยอีเมล | กรณีการใช้งาน |
---|---|
กฎการค้นหาผู้ใช้: (&(objectClass=user)(objectCategory=person)(mail=*)) | ใช้คำค้นหา mail= เพื่อเพิ่มประสิทธิภาพกฎแทนการใช้กฎพื้นฐานเพื่อแสดงผู้ใช้ทั้งหมด
การซิงค์จะทำงานได้อย่างมีประสิทธิภาพมากขึ้นเนื่องจากเซิร์ฟเวอร์ LDAP และ GCDS ไม่ต้องประมวลผลรายการที่จะทิ้ง |
ตัวอย่างที่ 2: แสดงผลผู้ใช้ด้วยสตริงอีเมลที่ตรงกัน | กรณีการใช้งาน |
---|---|
กฎการค้นหาผู้ใช้: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | ใช้กฎที่เพิ่มประสิทธิภาพซึ่งมีสตริงที่ตรงกันแทนที่จะใช้กฎพื้นฐานและกฎการยกเว้นเพื่อแสดงผลผู้ใช้ทั้งหมดซึ่งไม่มี sales ในอีเมล
เซิร์ฟเวอร์ LDAP และ GCDS ไม่ต้องประมวลผลรายการที่จะทิ้ง และคุณไม่จำเป็นต้องตั้งค่ากฎการยกเว้นหรือพิจารณาลำดับความสำคัญ |
หัวข้อที่เกี่ยวข้อง
Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง