Как настроить синхронизацию в Диспетчере конфигураций

Диспетчер конфигураций помогает создавать и проверять файлы конфигурации для приложения Google Cloud Directory Sync (GCDS). Чтобы открыть Диспетчер конфигураций, выберите его в меню Пуск.

Развернуть все   |   Свернуть все

Шаг 1. Подготовка серверов

Задайте общие настройки

На странице General Settings (Общие настройки) укажите, какие данные вы хотите синхронизировать с сервером LDAP. какие данные вы хотите синхронизировать с LDAP-сервером:

  • Организационные подразделения
  • Аккаунты пользователей
  • Группы
  • Профили пользователей
  • Специальные схемы
  • Общие контакты
  • Ресурсы календаря
  • Лицензии
Настройте домен Google

В Диспетчере конфигураций откройте страницу Google Domain Configuration (Конфигурация домена Google) и укажите данные для подключения к вашему домену.

Вкладка Connection settings (Настройки подключения)

  • Primary Domain Name (Имя основного домена). Укажите имя основного домена для своего аккаунта Google. Право собственности на основной домен необходимо подтвердить. Дополнительную информацию вы найдете здесь.
  • Replace domain names in LDAP email addresses (Заменять доменные имена в адресах электронной почты LDAP). Если установить этот флажок, во всех электронных адресах LDAP-сервера будет прописан домен, указанный в поле Alternate email domain (Дополнительный домен электронной почты).
  • Alternate email domain (Дополнительный домен электронной почты). Укажите другой домен (например, тестовый), если вам необходимо импортировать в него пользователей. В противном случае оставьте это поле пустым.
  • Authorize access using OAuth (Авторизация по протоколу OAuth). Чтобы выполнить авторизацию GCDS:
    1. Нажмите Authorize Now (Авторизовать)а затемSign In (Войти).
    2. Войдите в аккаунт Google с учетными данными суперадминистратора.

      Если аутентификация пройдет успешно, появится сообщение о том, что код подтверждения получен. Приложение GCDS теперь авторизовано.

Вкладка Proxy settings (Настройки прокси-сервера)

Укажите параметры прокси-сервера, используемого в сети. Если он не используется, пропустите эту вкладку.

Вкладка Exclusion rules (Правила исключения)

Настройте правила исключения, чтобы указать, какие сведения из домена Google (например, данные пользователей, которые добавлены только в аккаунт Google) не нужно синхронизировать с LDAP. Подробнее о правилах исключения в GCDS

Укажите настройки LDAP-сервера

В Диспетчере конфигураций откройте страницу LDAP Configuration (Конфигурация LDAP) и укажите данные сервера LDAP.

Если в качестве LDAP-сервера выбран OpenLDAP или Active Directory, нажмите Use defaults (По умолчанию) внизу каждой страницы, чтобы настроить конфигурацию с параметрами по умолчанию. В дальнейшем вы сможете их изменить.

Завершив настройку аутентификации, нажмите Test Connection (Проверить соединение). Диспетчер конфигураций соединится с LDAP-сервером и выполнит тестовый вход для проверки настроек.

Статьи по теме

Шаг 2. Выбор синхронизируемых данных

Укажите категории, которые вы хотите синхронизировать

На странице General settings (Общие настройки) установите флажки рядом с типами объектов, которые нужно синхронизировать.

Настройте правила синхронизации организационных подразделений

На странице Org Units (Организационные подразделения) Диспетчера конфигураций сопоставьте подразделения на сервере LDAP с подразделениями своего аккаунта Google.

На соответствующих вкладках введите следующую информацию:

  • LDAP Org Unit mappings (Сопоставление организационных подразделений LDAP): укажите сопоставления для организационных подразделений верхнего уровня на LDAP-сервере. После этого GCDS сопоставит дочерние подразделения на LDAP-сервере с одноименными подразделениями в Google.

    Примечание. В названиях организационных подразделений не разрешается использовать косую черту (/). При несоблюдении этого правила в консоли администратора отображается сообщение об ошибке. Если для создания или переименования организационного подразделения используются средства GCDS, G Suite Admin SDK или School Directory Sync, символ "/" заменяется символом подчеркивания "_".

    Если вы установили флажок Do not create or delete Google Organizations (Не создавать и не удалять организации Google), ваши организационные подразделения не будут синхронизироваться с LDAP-сервером. При этом вы сможете назначать пользователей в подразделения с помощью правил для аккаунтов пользователей.

    Подробнее о сопоставлении организационных подразделений

  • Search rules (Правила поиска): укажите в форме запроса LDAP, какие организационные подразделения нужно импортировать и синхронизировать.
    Скорректировать работу правил поиска можно с помощью исключений. Подробнее о правилах поиска для организационных подразделений
  • Exclusion Rules (Правила исключения): если на LDAP-сервере есть организационные подразделения, которые соответствуют правилам поиска, но вы не хотите добавлять их в аккаунт Google, создайте правило исключения. Подробнее о правилах исключения

Пример. Предположим, в иерархии организационной структуры на LDAP-сервере есть два офиса: в Москве и Санкт-Петербурге. Иерархия подразделений домена Google соответствует ей.

Первое правило

  • Для LDAP: уникальное имя – ou=moscow,dc=ad,dc=example,dc=com
  • Для домена Google: название – Moscow

Второе правило

  • Для LDAP: уникальное имя – ou=saintpetersburg,dc=ad,dc=example,dc=com
  • Для домена Google: название – Saint Petersburg
Создайте список пользователей

Откройте страницу User Accounts (Аккаунты пользователей) в Диспетчере конфигураций и укажите, каким образом GCDS будет формировать список пользователей LDAP. На соответствующих вкладках введите следующую информацию:

  • User attributes (Атрибуты пользователей): укажите атрибуты, с помощью которых GCDS будет создавать список пользователей на LDAP-сервере.
  • Additional users attributes (Дополнительные атрибуты пользователей): укажите необязательные атрибуты LDAP (например, пароли), которые понадобятся вам для импорта дополнительных сведений о пользователях Google.
  • Search rules (Правила поиска): укажите в форме запроса LDAP, данные каких пользователей нужно импортировать или синхронизировать. Скорректировать работу правил поиска можно с помощью исключений. Подробнее об использовании правил поиска LDAP для синхронизации данных
  • User exclusion rules (Правила исключения пользователей): если на LDAP-сервере есть пользователи, которые соответствуют правилам поиска, но вы не хотите добавлять их в аккаунт Google, создайте правило исключения. Подробнее о правилах исключения в GCDS

Статьи по теме

Синхронизируйте списки рассылки с Google Группами

На странице Groups (Группы) Диспетчера конфигураций синхронизируйте списки рассылки на LDAP-сервере с Google Группами.

На соответствующих вкладках введите следующую информацию:

  • Search rules (Правила поиска): укажите в форме запроса LDAP, какие группы нужно импортировать и синхронизировать.
    Скорректировать работу правил поиска можно с помощью исключений. Подробнее о правилах поиска для групп
  • Exclusion rules (Правила исключения): укажите здесь записи на LDAP-сервере, которые соответствуют правилам поиска списков рассылки, но не являются ими (например, внутренний список, у которого нет внешнего электронного адреса). Подробнее о правилах исключения

Для новых групп задаются разрешения по умолчанию, перечисленные ниже.

  • Who can view (Кто может просматривать): все участники группы.
  • Listing (Перечень): эта группа не включается в список.
  • Who can view members (Кто может просматривать список участников): только администраторы и владельцы группы.
  • Who can join (Кто может присоединиться): все сотрудники организации могут отправить запрос на вступление.
  • Allow External Members (Разрешить участие внешних пользователей): нет.
  • Who can post messages (Кто может отправлять сообщения группе): все пользователи домена.
  • Allow posting from the web (Разрешить отправку сообщений из Интернета): да.
  • Who can invite new members (Кто может приглашать новых участников): только администраторы и владельцы.
  • Message moderation (Модерация сообщений): отсутствует.
  • Message archival (Архивация сообщений): архивация отключена.
  • Allow External Email (Разрешить использование внешней электронной почты): нет.

Разрешения по умолчанию изменить нельзя, однако настройки группы можно скорректировать после ее создания.

Вы используете Google Группы для бизнеса?

Если в домене включены Группы для бизнеса, сотрудники могут самостоятельно создавать группы.
Этими группами управляют пользователи, а не администратор. Подробнее о том, как создать группу

GCDS распознает такие группы автоматически, не удаляет и не перезаписывает их. Если в каталоге LDAP уже существует группа с таким же адресом электронной почты, система примет "щадящие" меры, например изменит ее название или описание либо добавит новых участников. При этом GCDS не станет удалять участников, которых вы исключили из каталога LDAP. Единственный способ передать управление группой от пользователя администратору – это удалить ее, а затем снова создать с помощью консоли администратора.

Статьи по теме

Выберите данные профиля пользователей для синхронизации

На странице User Profiles (Профили пользователей) Диспетчера конфигураций определите, какие данные должны содержаться в профилях. Как правило, профили содержат расширенную информацию о пользователях: контактные телефоны, должность и т. д.

На соответствующих вкладках введите следующую информацию:

  • User profile attributes (Атрибуты профиля): укажите атрибуты, с помощью которых GCDS будет создавать профили пользователей на LDAP-сервере.
  • Search rules (Правила поиска): укажите в форме запроса LDAP, какие данные профилей нужно импортировать и синхронизировать.
    Скорректировать работу правил поиска можно с помощью исключений.
  • Exclusion rules (Правила исключения): если на LDAP-сервере есть профили пользователей, которые соответствуют правилам поиска, но вы не хотите добавлять их в аккаунт Google, создайте правило исключения. Подробнее о правилах исключения

Статьи по теме

Синхронизируйте пользовательские поля с помощью специальных схем

С помощью специальной схемы можно синхронизировать дополнительную информацию о пользователях из каталога LDAP с аккаунтом Google. Вы можете использовать несколько схем для синхронизации различных типов пользовательских данных, например сведений из финансового отдела или другого подразделения. Для этого в Диспетчере конфигураций откройте страницу Custom Schemas (Специальные схемы).

Сведения об ограничениях, которые применяются к специальным схемам, можно найти здесь.

Шаг 1. Выберите группу пользователей

Специальную схему можно применить к следующим группам:

  • Все пользователи, определенные правилами поиска LDAP и настройками в вашей конфигурации аккаунтов пользователей.
  • Различные группы пользователей в соответствии с настраиваемыми правилами поиска LDAP и исключениями.

Как применить специальную схему ко всем аккаунтам

  1. Нажмите Add Schema (Добавить схему).
  2. Выберите Apply to all user accounts (Применить ко всем аккаунтам).

Как применить специальную схему к определенной группе пользователей

  1. Нажмите Add Schema (Добавить схему).
  2. Выберите Define custom search rules (Определить правила поиска).
  3. На вкладке Search Rules (Правила поиска) нажмите Add search rule (Добавить правило) и укажите следующую информацию:
    • Область действия
    • Правило
    • Уникальное имя (DN)

    Подробнее об использовании запросов LDAP в GCDS

  4. Нажмите ОК.
  5. На вкладке Exclusion Rules (Правила исключения) нажмите Add Exclusion rule (Добавить правило) и укажите следующую информацию:
    • Тип исключения
    • Тип соответствия
    • Правило исключения

    Подробнее об использовании правил исключения в GCDS

  6. Нажмите ОК.

Шаг 2. Добавьте специальную схему к группе пользователей

Вы можете использовать стандартные поля схемы или создавать собственные.

Как использовать стандартные поля

  1. В поле Schema Name (Название) введите название схемы и нажмите Add Field (Добавить поле).
  2. В списке Schema Field (Поле) выберите стандартное поле.
  3. Проверьте предварительно заполненное название в поле Google Field Name (Название поля Google).
  4. Проверьте параметры Indexed (Индексирование) и Read Access Type (Тип доступа для чтения).
  5. Нажмите ОК.
  6. Повторите эти действия для всех стандартных полей, которые нужно включить в схему.
  7. При необходимости добавьте собственные поля (инструкции приведены ниже).
  8. Чтобы добавить специальную схему, нажмите ОК.

Как создать собственное поле

  1. В поле Schema Name (Название) введите название схемы и нажмите Add Field (Добавить поле).
  2. В списке Schema Field (Поле) выберите Custom (Настраиваемые).
  3. В поле LDAP Field Name (Название поля LDAP) укажите название поля LDAP, которое должно синхронизироваться с аккаунтом Google.
  4. В списке LDAP Field Type (Тип поля LDAP) выберите тип поля.
  5. В поле Google Field Name (Название поля Google) введите название поля Google, с которым нужно сопоставить данные LDAP.
  6. В списке Google Field Type (Тип поля Google) выберите тип поля.
  7. Чтобы индексировать данные, установите флажок Indexed (Индексирование).
  8. В списке Read Access Type (Тип доступа для чтения) выберите способ контроля доступа к данным, определенным в полях схемы.
  9. Нажмите ОК.
  10. Чтобы добавить поля, повторите указанные выше действия.
  11. Чтобы добавить специальную схему, нажмите ОК.
Синхронизируйте общие контакты

На странице Shared Contacts (Общие контакты) в Диспетчере конфигураций настройте синхронизацию данных об общих контактах. Общие контакты – это аналог глобального списка адресов Microsoft Active Directory и других серверов каталогов. Общие контакты содержат следующую информацию: имя, адрес электронной почты, телефон и должность сотрудника.

Важно!

  • Синхронизируйте общие контакты только внешних пользователей. Синхронизация контактов пользователей из вашего домена может привести к появлению повторяющихся записей в глобальном списке адресов.
  • Синхронизация общих контактов может занимать до 24 часов.

На соответствующих вкладках введите следующую информацию:

  • Shared contact attributes (Атрибуты общих контактов): укажите атрибуты, с помощью которых GCDS будет формировать список общих контактов LDAP.
  • Search rules (Правила поиска): укажите в форме запроса LDAP, какие контакты нужно импортировать и синхронизировать.
    Скорректировать работу правил поиска можно с помощью исключений.
  • Exclusion rules (Правила исключения): если на LDAP-сервере есть контакты, которые соответствуют правилам поиска, но вы не хотите добавлять их в аккаунт Google, создайте правило исключения. Подробнее о правилах исключения

Статьи по теме

Настройте календарь

На странице Calendar Resources (Ресурсы календаря) в Диспетчере конфигураций укажите, какие ресурсы календаря LDAP будут создаваться в GCDS.

На соответствующих вкладках введите следующую информацию:

  • Calendar resource attribute (Атрибут ресурсов календаря): укажите атрибуты, с помощью которых GCDS будет создавать ресурсы календаря LDAP.

    Важно! GCDS не синхронизирует в ресурсах календаря атрибуты, которые содержат пробел, двоеточие или символ @. Ознакомьтесь с рекомендациями по выбору названий для ресурсов в Google Календаре.

  • Search rules (Правила поиска): укажите в форме запроса LDAP, какие ресурсы календаря нужно импортировать и синхронизировать.
    Скорректировать работу правил поиска можно с помощью исключений.
  • Exclusion rules (Правила исключения): если на LDAP-сервере есть ресурсы календаря, которые соответствуют правилам поиска, но вы не хотите добавлять их в аккаунт Google, создайте правило исключения. Подробнее о правилах исключения

Статьи по теме

Синхронизируйте лицензии

На странице Licenses (Лицензии) в Диспетчере конфигураций настройте синхронизацию лицензий в GCDS для пользователей в вашем аккаунте Google. Если сотрудник покидает организацию, его аккаунт можно отправить в архив и назначить ему лицензию "Отправленный в архив аккаунт". Подробнее о том, как использовать лицензии "Отправленный в архив аккаунт"

Подготовка

Выберите одну из схем управления лицензиями пользователей и придерживайтесь ее. Вы можете назначать лицензии и управлять ими с помощью консоли администратора Google или использовать функцию синхронизации лицензий в GCDS, которая описана в этой статье. Подробнее о том, как назначать, переназначать и удалять лицензии с помощью консоли администратора…

Назначьте атрибут адреса электронной почты

  1. В разделе Email address attribute (Атрибут адреса электронной почты) укажите атрибут, с помощью которого GCDS сопоставляет электронный адрес аккаунта пользователя LDAP и пользователя в аккаунте Google.
  2. Перейдите к разделу "Предоставьте лицензии" или "Как отправить в архив или вернуть из архива пользователей с лицензиями" ниже.

Предоставьте лицензии

  1. Нажмите Add Rule (Добавить правило).
  2. В поле LDAP query (Запрос LDAP) с помощью формы запроса LDAP укажите, каким пользователям в каталоге LDAP нужно предоставить лицензию.

    Важно! Для товарного кода лицензии можно задать только одно правило лицензирования.

  3. Выберите Assign licenses to Google domain users (Назначить лицензии пользователям домена Google).
  4. Нажмите на список License (Лицензия) и выберите товарный код лицензии.

    Поддерживаемые идентификаторы продуктов и товарные коды указаны ниже.

  5. При необходимости установите флажок Remove this license from Google domain users that don't match this rule (Удалить лицензию у пользователей домена Google, не соответствующих этому правилу).
    Примечание. Если конфигурация LDAP задана неверно, это может привести к удалению лицензий у многих пользователей. Прежде чем использовать эту функцию, проверьте конфигурацию.
  6. Выберите один из следующих вариантов:
    • OK – добавление правила и возврат к экрану лицензионных правил LDAP.
    • Apply (Применить) – добавление правила и переход к созданию нового.
    • Cancel (Отмена) – отмена правила.
    • Test LDAP query (Проверить запрос LDAP) – проверка правильности запроса LDAP.

Как отправить в архив или вернуть из архива пользователей с лицензиями

  1. Нажмите Add Rule (Добавить правило).
  2. В поле LDAP query (Запрос LDAP) с помощью формы запроса LDAP укажите, каких пользователей в каталоге LDAP нужно отправить в архив.

    Важно! Для товарного кода лицензии можно задать только одно правило лицензирования.

  3. Выберите один из вариантов:
    • Archive Google domain users (Отправить в архив пользователей домена Google) – назначение пользователю лицензии "Отправленный в архив аккаунт".
    • Unarchive Google domain users (Вернуть из архива пользователей домена Google) – назначение пользователю лицензии, соответствующей версии лицензии для отправленного в архив аккаунта.
  4. Выберите один из следующих вариантов:
    • OK – добавление правила и возврат к экрану лицензионных правил LDAP.
    • Apply (Применить) – добавление правила и переход к созданию нового.
    • Cancel (Отмена) – отмена правила.
    • Test LDAP query (Проверить запрос LDAP) – проверка правильности запроса LDAP.

Поддерживаемые идентификаторы продуктов и товарные коды

Идентификатор продукта Товарные коды
G Suite или Google Workspace
  • Business Starter, Business Standard и Business Plus
  • Enterprise
  • Education и Enterprise for Education
  • G Suite Basic и Business
  • Essentials
Хранилище Google Диска
  • Google Диск: 20 ГБ
  • Google Диск: 50 ГБ
  • Google Диск: 200 ГБ
  • Google Диск: 400 ГБ
  • Google Диск: 1 ТБ
  • Google Диск: 2 ТБ
  • Google Диск: 4 ТБ
  • Google Диск: 8 ТБ
  • Google Диск: 16 ТБ
Cloud Identity
  • Cloud Identity
  • Cloud Identity Premium
Google Сейф
  • Google Сейф
  • Google Сейф для аккаунтов бывших сотрудников
Google Voice
  • Google Voice Starter
  • Google Voice Standard
  • Google Voice Premier

 

Важно!

Если вам нужно назначить лицензию Cloud Identity:

Шаг 3. Проверка синхронизации

Настройте уведомления

На странице Notifications (Уведомления) в Диспетчере конфигураций введите данные почтового сервера и укажите, кому должны приходить по электронной почте уведомления о синхронизации.

При каждой синхронизации GCDS будет отправлять уведомления на адреса, указанные в поле To addresses (Кому). Чтобы ввести дополнительный адрес, нажмите Add (Добавить).

Чтобы проверить, отправляются ли уведомления на указанные адреса электронной почты, нажмите Test Notification (Проверить уведомления).

Статьи по теме

Настройте параметры журнала

На странице Logging (Журнал) в Диспетчере конфигураций укажите имя файла журнала и установите уровень детализации для данных в нем.

Статьи по теме

Проверьте настройки синхронизации

Чтобы протестировать настройки, на странице Sync (Синхронизация) в Диспетчере конфигураций нажмите Simulate sync (Моделировать синхронизацию).

Проверка синхронизации используется только для тестирования и не вносит никаких изменений в данные на LDAP-сервере или пользовательские аккаунты в аккаунте Google. Диспетчер конфигураций выполнит следующие действия:

  • Установит соединение с вашим аккаунтом Google и сформирует списки пользователей, групп и общих контактов.
  • Установит соединение с LDAP-сервером и сформирует списки пользователей, групп и общих контактов.
  • Сравнив полученные данные, составит список несовпадений.
  • Запишет все события в журнал.

В случае отсутствия ошибок Диспетчер конфигураций сформирует отчет с изменениями, которые были бы внесены в список пользователей Google при синхронизации.

Если вы уверены, что все параметры настроены правильно, нажмите Sync & apply changes (Синхронизировать и сохранить изменения) и запустите синхронизацию вручную.

Google, Google Workspace и другие связанные товарные знаки и логотипы принадлежат компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.
Эта информация оказалась полезной?
Как можно улучшить эту статью?