ใช้กฎการค้นหา LDAP เพื่อซิงค์ข้อมูล

คุณจะใช้กฎการค้นหา LDAP เพื่อซิงค์ข้อมูลจากเซิร์ฟเวอร์ไดเรกทอรี LDAP กับบัญชี Google ด้วย Google Cloud Directory Sync (GCDS) ได้ ระบบจะซิงค์ข้อมูลที่ตรงกับกฎการค้นหากับบัญชี Google และจะนำข้อมูลที่ไม่ตรงกับกฎออก

ข้อสำคัญ: Google จะไม่แก้ไขข้อบกพร่องหรือให้การสนับสนุนการค้นหา LDAP

ไวยากรณ์การค้นหา LDAP พื้นฐาน

โอเปอเรเตอร์ อักขระ การใช้งาน
เท่ากับ = สร้างตัวกรองที่กำหนดให้ช่องหนึ่งมีค่าที่กำหนด
ไม่จำกัด * หมายถึงช่องที่เท่ากับอะไรก็ได้ยกเว้น NULL
เครื่องหมายวงเล็บ ( ) แยกตัวกรองเพื่อให้โอเปอเรเตอร์ทางตรรกะอื่นสามารถทำงานได้
และ & รวมตัวกรองเข้าด้วยกัน เงื่อนไขทั้งหมดในชุดจะต้องเป็นจริง
หรือ | รวมตัวกรองเข้าด้วยกัน เงื่อนไขในชุดจะต้องเป็นจริงอย่างน้อย 1 เงื่อนไข
ไม่ใช่ ! ยกเว้นออบเจ็กต์ทั้งหมดที่ตรงตามตัวกรอง

คุณจะสร้างคำค้นหา LDAP ที่กำหนดเองได้ตามต้องการ โดยต้องสอดคล้องกับข้อกำหนด RFC 2254

วิธีเพิ่มกฎการค้นหา LDAP

คุณจะใช้ขั้นตอนต่อไปนี้กับกฎการค้นหาประเภทใดก็ได้

  1. ในเครื่องมือจัดการการกำหนดค่า ให้ไปที่บัญชีผู้ใช้จากนั้นกฎการค้นหา
  2. คลิกเพิ่มกฎการค้นหา
  3. เลือกตัวเลือกเพื่อกำหนดขอบเขตของกฎการค้นหาจากเมนู ดังนี้
    • Sub-tree - กฎการค้นหาจะมีผลกับออบเจ็กต์ DN ฐานรวมถึงออบเจ็กต์ย่อยทั้งหมด
    • One-level - กฎการค้นหาจะมีผลกับออบเจ็กต์ย่อยของออบเจ็กต์ DN ฐานทันที แต่ไม่รวมออบเจ็กต์ DN ฐานเอง
    • Object - กฎการค้นหาจะมีผลเฉพาะกับออบเจ็กต์ DN ฐานเท่านั้น
  4. ในช่อง Rule ให้กรอกกฎการค้นหาโดยใช้ไวยากรณ์คำค้นหาของ LDAP

    โปรดดูตัวอย่างด้านล่าง

  5. เลือกตัวเลือกดังนี้ในช่อง DN พื้นฐาน
    • กรอก DN พื้นฐาน
    • เว้นช่องนี้ว่างไว้เพื่อใช้ DN พื้นฐานที่ระบุในหน้าการเชื่อมต่อ LDAP
  6. คลิกตกลง
  7. (ไม่บังคับ) หากต้องการเพิ่มกฎการค้นหาอื่น ให้ทำตามขั้นตอนอีกครั้ง

กฎการค้นหาและกฎการยกเว้นของ LDAP

คุณจะระบุให้ละเว้นแอตทริบิวต์ของกฎการค้นหาบางรายการได้โดยใช้กฎการยกเว้น ใช้กฎนี้เพื่อยกเว้นข้อมูลในเซิร์ฟเวอร์ไดเรกทอรี LDAP ที่คุณไม่ต้องการให้ซิงค์กับบัญชี Google ตัวอย่างเช่น คุณใช้การค้นหา LDAP เพื่อระบุว่าควรซิงค์อีเมลทั้งหมด แล้วใช้กฎการยกเว้นเพื่อยกเว้นไม่ซิงค์กับอีเมลที่ขึ้นต้นด้วยสตริงที่กำหนดได้ โปรดดูรายละเอียดที่หัวข้อใช้กฎการยกเว้นกับ GCDS

ตัวอย่าง

ตัวอย่างต่อไปนี้เป็นตัวอย่างทั่วไปและอาจใช้กับระบบของคุณไม่ได้

การค้นหา LDAP โดยทั่วไป
ข้อมูลที่การค้นหาจะแสดงผล  คำค้นหา LDAP

ออบเจ็กต์ทั้งหมด

หมายเหตุ: อาจทำให้เกิดปัญหาด้านภาระงาน

objectClass=*
ออบเจ็กต์ผู้ใช้ทั้งหมดที่กำหนดว่าเป็น "บุคคล" (&(objectClass=user)(objectCategory=person))
รายชื่ออีเมลเท่านั้น (objectCategory=group)
โฟลเดอร์สาธารณะเท่านั้น (objectCategory=publicfolder)
ออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีอีเมลหลักที่ขึ้นต้นด้วย "test" (&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
ออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีอีเมลหลักที่ลงท้ายด้วย "test" (&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
ออบเจ็กต์ผู้ใช้ทั้งหมด ยกเว้นรายการที่มีอีเมลหลักที่มีคำว่า "test" (&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
ออบเจ็กต์ผู้ใช้และชื่อแทนทั้งหมดที่กำหนดว่าเป็น "บุคคล" และเป็นส่วนหนึ่งของกลุ่มหรือรายชื่อการแจกจ่าย (|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
ออบเจ็กต์ผู้ใช้ทั้งหมดที่กำหนดว่าเป็น "บุคคล", ออบเจ็กต์กลุ่มทั้งหมด และรายชื่อติดต่อทั้งหมด แต่ยกเว้นรายการที่มีค่ากำหนดเป็น "extensionAttribute9" (&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
ผู้ใช้ทั้งหมดที่เป็นสมาชิกของกลุ่มที่ระบุโดย DN "CN=Group,OU=Users,DC=Domain,DC=com" (&(objectClass=user)(objectCategory=person)(memberof=CN=Group,CN=Users,DC=Domain,DC=com)) 
แสดงผู้ใช้ทั้งหมด

สำหรับ Active Directory: (&(objectCategory=person)(objectClass=user))

สำหรับ OpenLDAP: (objectClass=inetOrgPerson)

สำหรับ HCL Domino: (objectClass=dominoPerson)

ออบเจ็กต์ทั้งหมดที่มีอีเมลกำหนดว่าเป็น "บุคคล" หรือ "กลุ่ม" (ในไดเรกทอรี LDAP ของ Domino) (&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
ผู้ใช้ที่ใช้งานอยู่ (ไม่ได้ปิดใช้งาน) ทั้งหมดที่มีอีเมลใน Active Directory (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
ผู้ใช้ทั้งหมดที่เป็นสมาชิกของ Group_1 หรือ Group_2 ที่กำหนดด้วย Group DN (&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
ผู้ใช้ทั้งหมดที่มีค่า extensionAttribute1 เป็น "Engineering" หรือ "Sales" (&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
การเพิ่มประสิทธิภาพกฎการค้นหา

คุณจะเพิ่มประสิทธิภาพกฎการค้นหาเพื่อปรับปรุงประสิทธิภาพการซิงค์ได้

ตัวอย่างที่ 1: จับคู่ผู้ใช้ กรณีการใช้งาน

กฎพื้นฐาน: จับคู่ผู้ใช้ทั้งหมด

แอตทริบิวต์อีเมลผู้ใช้: mail

กฎการค้นหาผู้ใช้: (&(objectClass=user)(objectCategory=person))
แสดงผู้ใช้ทั้งหมด รวมถึงผู้ใช้ที่ไม่มีอีเมล อย่างไรก็ตาม เนื่องจาก GCDS จะซิงค์เฉพาะผู้ใช้ที่มีอีเมล ระบบจะทิ้งผู้ใช้ที่ไม่มีอีเมลในภายหลัง

กฎที่เพิ่มประสิทธิภาพ: จับคู่ผู้ใช้ทั้งหมดที่มีอีเมล

กฎการค้นหาผู้ใช้: (&(objectClass=user)(objectCategory=person)(mail=*))

แสดงเฉพาะผู้ใช้ที่มีอีเมล การซิงค์จะทำงานได้อย่างมีประสิทธิภาพมากขึ้นเนื่องจากเซิร์ฟเวอร์ LDAP และ GCDS ไม่ต้องประมวลผลรายการที่จะทิ้ง

 

ตัวอย่างที่ 2: จับคู่ผู้ใช้โดยใช้อีเมล กรณีการใช้งาน

กฎพื้นฐาน: จับคู่ผู้ใช้ทั้งหมดที่มีอีเมล 

กฎการค้นหาผู้ใช้: (&(objectClass=user)(objectCategory=person)(mail=*))

รายละเอียดกฎการยกเว้นผู้ใช้:

  • ประเภทการยกเว้น: อีเมลของผู้ใช้
  • ประเภทการจับคู่: นิพจน์ทั่วไป
  • กฎการยกเว้น: ^test
แสดงผลผู้ใช้ทั้งหมดที่มีอีเมล จากนั้น GCDS จะใช้กฎการยกเว้นเพื่อยกเว้นผู้ใช้ที่มีอีเมลที่ขึ้นต้นด้วย test

กฎที่เพิ่มประสิทธิภาพ: จับคู่ผู้ใช้ทั้งหมดที่มีอีเมลที่ตรงกับสตริง

กฎการค้นหาผู้ใช้: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=test*)))

แสดงผู้ใช้ที่อีเมลไม่ได้ขึ้นต้นด้วย test เซิร์ฟเวอร์ LDAP และ GCDS จึงไม่ต้องประมวลผลรายการที่จะทิ้ง

หัวข้อที่เกี่ยวข้อง

เตรียมเซิร์ฟเวอร์ไดเรกทอรี LDAP

Google, Google Workspace และเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง
ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร