Сохранение разных атрибутов пользователя во время синхронизации

Если у пользователя разные атрибуты в домене Google и на сервере LDAP и вы хотите сохранить их, необходимо сделать так, чтобы приложение Google Cloud Directory Sync (GCDS) не изменило их во время синхронизации. 

Для этого нужно создать два правила исключения: одно для данных LDAP, а другое – для атрибутов в домене Google.

Возможный сценарий

Предположим, пользователь ivan@solarmora.com существует как на сервере LDAP, так и в домене Google.

  • Домен Google: Иван зарегистрирован в дочерней организации "Тестирование".
  • Сервер LDAP: Иван входит в состав подразделения "Финансы".
  • Правило поиска: в GCDS настроено правило поиска, которое добавляет пользователей из подразделения "Финансы" в одноименную дочернюю организацию домена Google.
  • Правило исключения: в домене Google задано правило, полностью исключающее из синхронизации путь "/Тестирование", к которому относится Иван.

Согласно правилу исключения, при синхронизации GCDS игнорирует аккаунт ivan@solarmora.com в домене Google. Однако приложение видит Ивана в результатах с сервера LDAP и пытается создать этого пользователя на сервере. Поскольку аккаунт Ивана уже есть в домене Google, GCDS может просто внести изменения в его атрибуты, например добавить его в дочернюю организацию "Финансы".

Чтобы избежать этого, необходимо исключить данного пользователя из синхронизации на сервере LDAP и в домене Google. Для этого нужно создать правило исключения для LDAP, которое будет применяться вместе с исключением в системе G Suite. В случае с Иваном потребуется исключить его адрес электронной почты. Подробнее о правилах исключения

Синхронизация нескольких пользователей

Настроить синхронизацию нескольких пользователей через GCDS удобнее всего на сервере LDAP.

Вы можете перенести группу сотрудников в определенную организацию в домене Google, не учитывая их подразделение на сервере LDAP. Для этого сделайте следующее:

  • На сервере LDAP создайте для этих сотрудников общий настраиваемый атрибут или группу.
  • Создайте для них правило поиска, которое будет находить только пользователей с указанным атрибутом или только участников выбранной группы ("memberOf=название_группы").
  • Задайте путь к подразделению, в которое хотите переместить сотрудников.

    Примечание. Чтобы пользователи, отвечающие сразу нескольким поисковым правилам, были добавлены в нужное подразделение, повысьте приоритет соответствующего правила.

Эта информация оказалась полезной?
Как можно улучшить эту статью?