Как настроить синхронизацию в Диспетчере конфигураций

Диспетчер конфигураций помогает создавать и проверять файлы конфигурации для приложения Google Cloud Directory Sync (GCDS). Чтобы открыть Диспетчер конфигураций, выберите его в меню Пуск.

Прежнее название инструмента GCDS – Google Apps Directory Sync (GADS). 

Развернуть все   |   Свернуть все

Шаг 1. Подготовка серверов

Задайте общие настройки

На странице General Settings (Общие настройки) укажите, какие данные вы хотите синхронизировать с LDAP-сервером:

  • Организационные подразделения
  • Аккаунты пользователей
  • Группы
  • Профили пользователей
  • Специальные схемы
  • Общие контакты
  • Ресурсы календаря
  • Лицензии
Настройте домен Google

В Диспетчере конфигураций откройте страницу Google Domain Configuration (Конфигурация домена Google) и укажите данные для подключения к вашему домену.

Укажите параметры прокси-сервера, используемого в сети. Если он не используется, пропустите эту вкладку.

Настройте исключения, чтобы указать, какие сведения из домена Google (например, данные пользователей) не нужно синхронизировать с LDAP. Подробнее…

  1. Connection settings (Настройки подключения).
    • Primary Domain Name (Основное доменное имя): укажите основное доменное имя вашего аккаунта G Suite.
    • Replace domain names in LDAP email addresses (Заменять доменные имена в адресах электронной почты LDAP): если вы не установите флажок для этого параметра, для имени пользователя LDAP будет использоваться тот же домен. Если установить флажок, во всех электронных адресах LDAP-сервера будет прописан домен, указанный в поле Primary Domain Name (Основное доменное имя). Например, если исходное имя пользователя LDAP – vasheimya@vasha-kompaniya.ru, а ваш домен G Suite – kompaniya.ru, и вы установите флажок для этого параметра, будет создан пользователь vasheimya@kompaniya.ru.
    • Alternate email domain (Дополнительный домен электронной почты): укажите другой домен, если вам необходимо импортировать в него полный список пользователей или если вы используете его как тестовый. В противном случае оставьте это поле пустым.
    • Authorize access using OAuth (Авторизация по протоколу OAuth):
      1. Нажмите Authorize Now (Авторизовать), чтобы настроить параметры авторизации и создать код подтверждения.
      2. Нажмите Sign In (Войти). Откроется окно браузера. Войдите в домен Google, указав учетные данные суперадминистратора.
      3. Если аутентификация пройдет успешно, вы увидите сообщение о том, что код подтверждения получен. Приложение GCDS авторизовано. 
  2. Proxy settings (Настройки прокси-сервера). 
    Укажите параметры прокси-сервера, используемого в сети. Если он не используется, пропустите эту вкладку.
  3. Exclusion rules (Правила исключения). 
    Настройте исключения, чтобы указать, какие сведения из домена Google (например, данные пользователей) не нужно синхронизировать с LDAP. Подробнее…
Укажите настройки LDAP-сервера

В Диспетчере конфигураций откройте страницу LDAP Configuration (Конфигурация LDAP) и укажите данные сервера LDAP. 

Сведения о полях на странице LDAP Configuration (Конфигурация LDAP) Диспетчера конфигураций приведена в разделе "Настройки подключения LDAP" статьи "Параметры Диспетчера конфигураций".

Если в качестве LDAP-сервера выбран OpenLDAP или Active Directory®, нажмите Use defaults (По умолчанию) внизу каждой страницы, чтобы быстро настроить конфигурацию с исходными параметрами. В дальнейшем вы сможете их изменить.

Завершив настройку аутентификации, нажмите Test Connection (Проверить соединение). Диспетчер конфигураций соединится с LDAP-сервером и выполнит тестовый вход для проверки настроек.

Шаг 2. Выбор синхронизируемых данных

Укажите категории, которые вы хотите синхронизировать

На странице General settings (Общие настройки) установите флажки рядом с типами объектов, которые нужно синхронизировать.

Настройте правила синхронизации организационных подразделений

На странице Org Units (Организационные подразделения) Диспетчера конфигураций сопоставьте подразделения на сервере LDAP с подразделениями своего домена Google.

На соответствующих вкладках введите следующую информацию:

  • LDAP Org Unit mappings (Сопоставление организационных подразделений LDAP): укажите сопоставления для организационных подразделений верхнего уровня на LDAP-сервере. После этого GCDS сопоставит подразделения более низких уровней на LDAP-сервере с одноименными подразделениями в Google.

    Если вы установили флажок Do not create or delete Google Organizations (Не создавать и не удалять организации Google), ваши организационные подразделения не будут синхронизироваться с LDAP-сервером. При этом вы сможете назначать пользователей в подразделения с помощью правил для пользовательских аккаунтов.

    Подробнее о том, как добавить сопоставление для организационного подразделения… 

  • Search rules (Поиск): укажите в форме запроса LDAP, какие организационные подразделения нужно импортировать или синхронизировать. Скорректировать работу правил поиска можно с помощью исключений. Подробнее…
  • Exclusion Rules (Правила исключения): если вы не хотите синхронизировать те или иные организационные подразделения на LDAP-сервере с доменом Google, создайте соответствующие правила исключения. Подробнее…

Пример. Предположим, иерархия организационной структуры на LDAP-сервере включает в себя два основных офиса: в Москве и Санкт-Петербурге. Иерархия подразделений домена Google будет ей соответствовать:

  • Первое правило
    • Для LDAP: уникальное имя – ou=moscow,dc=ad,dc=example,dc=com
    • Для домена Google: название – Moscow
  • Второе правило
    • Для LDAP: уникальное имя – ou=saintpetersburg,dc=ad,dc=example,dc=com
    • Для домена Google: название – Saint Petersburg
Создайте список пользователей

Откройте страницу User Accounts (Аккаунты пользователей) в Диспетчере конфигураций и укажите, каким образом GCDS будет формировать список пользователей LDAP.

Важно! Необходимо создать как минимум одно правило для пользователей, даже если GCDS синхронизирует только группы. В противном случае выполнить синхронизацию не удастся.

На соответствующих вкладках введите следующую информацию:

  • User attributes (Атрибуты пользователей): укажите атрибуты, с помощью которых GCDS будет формировать список пользователей LDAP.
  • Additional users attributes (Дополнительные атрибуты пользователей): укажите дополнительные атрибуты LDAP (например, пароли), которые понадобятся вам для импорта дополнительных сведений о пользователях Google.
  • Search rules (Поиск): укажите в форме запроса LDAP, каких пользователей нужно импортировать или синхронизировать. Скорректировать работу правил поиска можно с помощью исключений.
  • User exclusion rules (Правила исключения): если вы не хотите синхронизировать тех или иных пользователей на сервере LDAP с доменом Google, создайте соответствующие правила исключения. Подробнее…

Синхронизируйте пользователей с дополнительным доменом

Если у вас есть дополнительный домен, с помощью GCDS можно синхронизировать с ним пользователей. Для этого адрес электронной почты пользователя на сервере LDAP должен соответствовать имени дополнительного домена. При синхронизации GCDS создает пользователя в домене Google с дополнительным доменом в качестве основного адреса электронной почты.

Если вы не хотите изменять атрибуты электронной почты LDAP, назначьте новый атрибут для синхронизации почтовых адресов пользователей дополнительного домена.
Дополнительная информация

Сведения о полях на странице User Accounts (Аккаунты пользователей) Диспетчера конфигураций приведены в разделе "Настройки атрибутов пользователя" статьи "Параметры Диспетчера конфигураций". Дополнительную информацию можно найти в разделах Дополнительные атрибуты пользователей и Правила поиска пользователей.

Синхронизируйте списки рассылки с Google Группами

На странице Groups (Группы) Диспетчера конфигураций синхронизируйте списки рассылки на сервере LDAP с Google Группами. 

На соответствующих вкладках введите следующую информацию:

  • Search rules (Поиск): укажите в форме запроса LDAP, какие группы нужно импортировать или синхронизировать. Скорректировать работу правил поиска можно с помощью исключений. Подробнее… 
  • Exclusion rules (Правила исключения): укажите здесь объекты с LDAP-сервера, которые похожи на списки рассылки, но не являются ими (например, внутренний список, у которого нет внешнего электронного адреса). Подробнее…

Для новых групп задаются разрешения по умолчанию, перечисленные ниже.

  • Who can view (Кто может просматривать): все участники группы.
  • Listing (Перечень): эта группа не включается в список.
  • Who can view members (Кто может просматривать список участников): только администраторы и владельцы группы.
  • Who can join (Кто может присоединиться): все сотрудники организации могут отправить запрос на вступление.
  • Allow External Members (Разрешить участие внешних пользователей): нет.
  • Who can post messages (Кто может отправлять сообщения группе): все пользователи домена.
  • Allow posting from the web (Разрешить отправку сообщений из Интернета): да.
  • Who can invite new members (Кто может приглашать новых участников): только администраторы и владельцы.
  • Message moderation (Модерация сообщений): отсутствует.
  • Message archival (Архивация сообщений): отключена.
  • Allow External Email (Разрешить использование внешней электронной почты): нет.
Разрешения по умолчанию изменить нельзя, однако настройки группы можно скорректировать после ее создания.

Сведения о полях на странице Group search rules (Правила поиска для групп) Диспетчера конфигураций приведены в разделах Правила поиска для групп и Правила поиска для групп (префикс и суффикс) статьи "Параметры Диспетчера конфигураций".

Вы используете Google Группы для бизнеса?

Если в домене включен сервис Google Группы для бизнеса, сотрудники могут самостоятельно создавать группы. Ими управляют не администраторы, а пользователи. 

GCDS распознает такие группы автоматически и не удаляет и не перезаписывает их. Если в каталоге LDAP уже существует группа с таким же адресом электронной почты, система примет "щадящие" меры, например изменит ее название или описание либо добавит новых участников. При этом GCDS не станет удалять участников, которых вы удалили из каталога LDAP. Единственный способ передать управление группой от пользователя администратору – это удалить ее, а затем снова создать с помощью консоли администратора.

Выберите данные профиля пользователей для синхронизации

На странице User Profiles (Профили пользователей) в Диспетчере конфигураций укажите, какие данные должны включаться в профили. Как правило, профили содержат расширенную информацию о пользователях: контактные телефоны, должность и т. д.

На соответствующих вкладках введите следующую информацию:

  • User profile attributes (Атрибуты профиля): укажите атрибуты, с помощью которых GCDS будет создавать профили пользователей на LDAP-сервере.
  • Search rules (Поиск): укажите в форме запроса LDAP, какие данные профилей нужно импортировать или синхронизировать. Скорректировать работу правил поиска можно с помощью исключений.
  • Exclusion rules (Правила исключения): если вы не хотите синхронизировать те или иные профили пользователей на LDAP-сервере с доменом Google, создайте соответствующие правила исключения. Подробнее…

Сведения о полях на странице User Accounts (Аккаунты пользователей) Диспетчера конфигураций приведены в разделе "Атрибуты профиля" статьи "Параметры Диспетчера конфигураций".

Синхронизируйте пользовательские поля с помощью специальных схем

С помощью специальной схемы можно синхронизировать дополнительную информацию о пользователях из каталога LDAP с доменом Google. Несколько схем могут использоваться для синхронизации различных типов пользовательских данных, например сведений из финансового отдела или другого подразделения. Для этого в Диспетчере конфигураций откройте страницу Custom Schemas (Специальные схемы).

Подробнее об ограничениях в отношении специальных схем… 

Шаг 1. Выберите группу пользователей

Специальную схему можно применить к следующим группам:

  • Все пользователи, определенные правилами поиска LDAP и настройками в вашей конфигурации аккаунтов пользователей.
  • Различные группы пользователей в соответствии с настраиваемыми правилами поиска LDAP и исключениями.

Как применить специальную схему ко всем аккаунтам

  1. Нажмите Add Schema (Добавить схему).
  2. Выберите Apply to all user accounts (Применить ко всем аккаунтам).

Как применить специальную схему к определенной группе пользователей:

  1. Нажмите Add Schema (Добавить схему).
  2. Выберите Define custom search rules (Определить правила поиска).
  3. На вкладке Search Rules (Правила поиска) нажмите Add search rule (Добавить правило) и укажите следующую информацию:
    • Область применения
    • Правило
    • Уникальное имя (DN)

    Подробнее об использовании запросов LDAP в GCDS

  4. Нажмите ОК.
  5. На вкладке Exclusion Rules (Исключения) нажмите Add Exclusion rule (Добавить правило) и укажите следующую информацию: 
    • Тип исключения
    • Тип соответствия
    • Правило исключения

    Подробнее об использовании правил исключения в GCDS

  6. Нажмите ОК.

Шаг 2. Добавьте специальную схему к группе пользователей

Вы можете использовать стандартные поля схемы или создавать собственные.

Как использовать стандартные поля

  1. В поле Schema Name (Название) введите название схемы и нажмите Add Field (Добавить поле).
  2. В раскрывающемся списке Schema Field (Поле) выберите стандартное поле.
  3. В поле Google Field Name (Название поля Google) проверьте правильность выбранного поля.
  4. Проверьте правильность параметров Indexed (Индексирование) и Read Access Type (Тип доступа для чтения).
  5. Нажмите ОК.
  6. Повторите эти действия для всех стандартных полей, которые нужно включить в схему.
  7. При необходимости добавьте собственные поля (инструкции можно найти ниже). 
  8. Чтобы добавить специальную схему, нажмите ОК.

Как создать собственное поле

  1. В поле Schema Name (Название) введите название схемы и нажмите Add Field (Добавить поле)
  2. В раскрывающемся списке Schema Field (Поле) выберите Custom (Настраиваемые).
  3. В поле LDAP Field Name (Название поля LDAP) укажите название поля LDAP, которое должно синхронизироваться с доменом Google.
  4. В раскрывающемся списке LDAP Field Type (Тип поля LDAP) выберите тип поля.
  5. В поле Google Field Name (Название поля Google) введите название поля Google, с которым нужно сопоставить данные LDAP.
  6. В раскрывающемся списке Google Field Type (Тип поля Google) выберите тип поля. 
  7. Чтобы индексировать данные, установите флажок Indexed (Индексирование).
  8. В списке Read Access Type (Тип доступа для чтения) выберите способ контроля доступа к данным, определенным в полях схемы.
  9. Нажмите ОК.
  10. Чтобы добавить поля, повторите указанные выше действия.
  11. Чтобы добавить специальную схему, нажмите ОК.
Синхронизируйте общие контакты

На странице Shared Contacts (Общие контакты) в Диспетчере конфигураций настройте синхронизацию данных об общих контактах.

Общие контакты содержат следующую информацию: имя, адрес электронной почты, телефон и должность сотрудника. Они являются аналогом глобального списка адресов Microsoft Active Directory и других серверов каталогов.

Важно! Синхронизация общих контактов может занимать до 24 часов.

На соответствующих вкладках введите следующую информацию:

  • Shared contact attributes (Атрибуты общих контактов): укажите атрибуты, с помощью которых GCDS будет формировать список общих контактов LDAP.
  • Search rules (Поиск): укажите в форме запроса LDAP, какие контакты нужно импортировать или синхронизировать. Скорректировать работу правил поиска можно с помощью исключений.
  • Exclusion rules (Правила исключения): если вы не хотите синхронизировать те или иные контакты на LDAP-сервере с доменом Google, создайте соответствующие правила исключения. Подробнее…

Подробнее об устранении возможных проблем при синхронизации общих контактов

Сведения о полях на странице Shared Contacts (Общие контакты) Диспетчера конфигураций приведены в разделе "Атрибуты общих контактов" статьи "Параметры Диспетчера конфигураций".
Настройте календарь

На странице Calendar Resources (Ресурсы календаря) в Диспетчере конфигураций укажите, какие ресурсы календаря LDAP будут создаваться в GCDS.

На соответствующих вкладках введите следующую информацию:

  • Calendar resource attribute (Атрибуты ресурсов календаря): укажите атрибуты, с помощью которых GCDS будет создавать ресурсы календаря LDAP.

    Важно! GCDS не сможет синхронизировать атрибуты, которые содержат пробелы, двоеточия или символ @. Подробнее о том, как правильно называть ресурсы календаря

  • Search rules (Поиск): укажите в форме запроса LDAP, какие ресурсы календаря нужно импортировать или синхронизировать. Скорректировать работу правил поиска можно с помощью исключений.
  • Exclusion rules (Правила исключения): если вы не хотите синхронизировать те или иные ресурсы календаря на LDAP-сервере с доменом Google, создайте соответствующие правила исключения. Подробнее…

Сведения о полях на странице Calendar Resources (Ресурсы календаря) Диспетчера конфигураций приведены в разделе "Атрибуты ресурсов календаря" статьи "Параметры Диспетчера конфигураций".

Синхронизируйте лицензии

На странице Licenses (Лицензии) в Диспетчере конфигураций настройте синхронизацию лицензий в GCDS для пользователей в вашем домене Google.

Если вы приобрели продукты с различными товарными кодами, то можете отключить автоматическое назначение лицензий и использовать синхронизацию лицензий в GCDS. Выберите одну из схем управления лицензиями пользователей и придерживайтесь ее. Вы можете назначать лицензии и управлять ими с помощью консоли администратора или использовать функцию синхронизации лицензий в GCDS, которая описана в этой статье.

На соответствующих вкладках введите следующую информацию:

  • Email address attribute (Атрибут адреса электронной почты): укажите атрибут, с помощью которого GCDS будет сопоставлять электронный адрес аккаунта пользователя LDAP и пользователя в домене Google.
  • Чтобы добавить правило для лицензий LDAP: 
    • Нажмите Add Rule (Добавить правило).
    • В раскрывающемся меню License (Лицензия) выберите товарный код лицензии для пользователей, указанных в правиле.
    • В поле LDAP query (Запрос LDAP) с помощью запроса LDAP укажите, каким пользователям в каталоге LDAP нужно предоставить лицензию. Важно! Для одного товарного кода лицензии можно задать только одно правило лицензирования.

      Пример: (&(objectclass=user)(objectcategory=person)(memberof=CN=Group_1,CN=Users,DC=Domain,DC=com)) 

    • При необходимости установите флажок Remove this license from Google domain users that don’t match this rule (Удалить лицензию для пользователей домена Google, не соответствующих правилу).

      Примечание. После этого GCDS удалит в домене Google лицензии всех пользователей, которые не соответствуют указанному правилу. Если конфигурация LDAP задана неверно, число удаленных лицензий может быть очень велико. Поэтому прежде чем использовать эту функцию, проверьте настройки конфигурации.

    • Выберите один из следующих вариантов:
      • OK, чтобы добавить правило и вернуться к экрану лицензионных правил LDAP.
      • Apply (Применить), чтобы добавить правило и перейти к созданию нового.
      • Cancel (Отмена), чтобы отменить правило.
      • Test LDAP query (Проверить запрос LDAP), чтобы протестировать действительность запроса LDAP. 

Поддерживаемые идентификаторы продуктов и товарные коды

Идентификатор продукта Товарные коды
Google-Apps

Google-Apps-For-Business
Google-Apps-For-Postini
Google-Apps-Lite
Google-Apps-Unlimited

Google-Drive-storage Google-Drive-storage-20GB
Google-Drive-storage-50GB
Google-Drive-storage-200B
Google-Drive-storage-40GB
Google-Drive-storage-1TB
Google-Drive-storage-2TB
Google-Drive-storage-4TB
Google-Drive-storage-8TB
Google-Drive-storage-16TB
Google-Vault Google-Vault
Google-Vault-Former-Employee

 

Важно! 

Если вам нужно назначить лицензию Cloud Identity:

Шаг 3. Проверьте синхронизацию

Настройте уведомления

На странице Notifications (Уведомления) в Диспетчере конфигураций введите данные почтового сервера и укажите, кому должны приходить по электронной почте уведомления о синхронизации.

При каждой синхронизации GCDS будет отправлять уведомления на адреса, указанные в поле To addresses (Кому). Чтобы ввести дополнительный адрес, нажмите Add (Добавить).

Чтобы проверить, отправляются ли уведомления на указанные адреса электронной почты, нажмите Test Notification (Проверить уведомления).

Сведения о полях на странице Notifications (Уведомления) Диспетчера конфигураций приведены в разделе "Атрибуты оповещений" статьи "Параметры Диспетчера конфигураций".

Настройте параметры журнала

На странице Logging (Журнал) в Диспетчере конфигураций укажите название файла журнала и уровень детализации данных в нем.

Сведения о полях на странице Logging (Журнал) Диспетчера конфигураций приведены в разделе "Настройки журнала" статьи "Параметры Диспетчера конфигураций".

Проверьте настройки синхронизации

Чтобы протестировать настройки, на странице Sync (Синхронизация) в Диспетчере конфигураций нажмите Simulate sync (Моделировать синхронизацию).

Диспетчер конфигураций выполнит следующие действия:

  • Установит соединение с вашим доменом Google и сформирует списки пользователей, групп и общих контактов.
  • Установит соединение с LDAP-сервером и сформирует списки пользователей, групп и общих контактов.
  • Сравнив полученные данные, составит список несовпадений.
  • Запишет все события в журнал.

В случае отсутствия ошибок Диспетчер конфигураций сформирует отчет с изменениями, которые будут внесены в список пользователей Google при синхронизации.

Примечание. Проверка синхронизации используется только для тестирования и не вносит никакие изменения в данные на LDAP-сервере или пользовательские аккаунты G Suite.

Если вы уверены, что все параметры настроены правильно, нажмите Sync & apply changes (Синхронизировать и сохранить изменения), чтобы запустить синхронизацию.

Эта информация оказалась полезной?
Как можно улучшить эту статью?