FAQ GCDS

Google Cloud Directory Sync

Menyiapkan GCDS  |  Akun Google Anda  |  Menyinkronkan pengguna & unit organisasi  |  Menyinkronkan grup |  Google Cloud Platform  |  Umum

Menyiapkan GCDS

Bagaimana cara melakukan otorisasi GCDS pada mesin tanpa Graphical User Interface (GUI)?

Untuk menyiapkan GCDS pada server tanpa lingkungan GUI:

  1. Buka baris perintah (command prompt), dan untuk menyetel kredensial LDAP Anda, masukkan:

    ./upgrade-config -ldapuser LDAP_username -ldappassword LDAP_password -c config_file_name

  2. Otorisasi domain Google Anda dengan memasukkan: 

    ./upgrade-config -Oauth Google_domain_name -c config_file_name

  3. Untuk menguji koneks LDAP, masukkan:

    ./upgrade-config -testldap -c config_file_name

  4. Untuk menguji koneksi Google, masukkan:

    ./upgrade-config -testgoogleapps -c config_file_name

Bagaimana cara mengubah server GCDS saya?

Ikuti langkah-langkah berikut jika Anda perlu memindahkan GCDS ke server lain:

  1. Jika Anda merasa atau tidak yakin ada perubahan alamat email pengguna yang tertunda (perubahan nama pengguna), pilih salah satu opsi:
    • Jalankan sinkronisasi di server lama.
    • Salin file nilai yang dipisahkan tab (TSV) ke server baru.

      Anda dapat menemukan nama dan lokasi file TSV di file konfigurasi. Dalam file konfigurasi, telusuri .tsv untuk menemukan informasi ini.

  2. Instal GCDS di server baru. Untuk mengetahui petunjuknya, lihat Mendownload dan menginstal GCDS.
  3. Salin file konfigurasi ke server baru.
  4. Di server baru, di Configuration Manager, buka file konfigurasi. 
  5. Lakukan otorisasi ulang GCDS untuk Akun Google Anda. Untuk mengetahui petunjuk, lihat Mengotorisasi Akun Google
  6. Di halaman LDAP Configuration, perbarui sandi LDAP. Untuk mengetahui petunjuknya, lihat Setelan koneksi LDAP
  7. Di halaman Notifications, perbarui sandi SMTP. Untuk mengetahui petunjuknya, lihat Atribut notifikasi.
  8. Jalankan simulasi sinkronisasi.
  9. Tinjau sinkronisasi untuk memastikan bahwa tidak ada perubahan yang tidak diharapkan.
  10. Jalankan sinkronisasi penuh

    Setelah sinkronisasi, file TSV dari server lama akan diperbarui. Jika Anda tidak mentransfer file TSV, file baru akan dibuat.

↑ kembali ke atas

Akun Google Anda

API apakah yang digunakan GCDS?

GCDS menggunakan API untuk mengupload data dan membuat permintaan ke Akun Google Anda. GCDS menggunakan OAuth untuk mengautentikasi API. GCDS juga menggunakan SMTP untuk mengirim laporan sinkronisasi. GCDS menggunakan API berikut:

Mengapa perubahan yang diharapkan tidak muncul di Akun Google saya?

Dibutuhkan waktu hingga 8 hari sampai perubahan di Akun Google Anda muncul. Untuk memahami alasannya, Anda perlu memahami cara GCDS menyimpan cache data.

GCDS menyimpan cache data untuk Akun Google Anda selama maksimum 8 hari. GCDS dapat lebih sering menghapus cache, bergantung pada ukuran data cache Namun, jika cache tidak dihapus, kemungkinan diperlukan waktu hingga 8 hari sampai perubahan yang dibuat langsung di Akun Google Anda muncul (menggunakan konsol Admin atau klien API lainnya). 

Setelah cache dihapus, GCDS mengidentifikasi perubahan di Akun Google dan membandingkannya dengan data sumber di direktori LDAP. Jika data tidak cocok, GCDS akan mengurungkan perubahan yang dibuat di Akun Google. 

Cara menghapus cache secara manual:

  • Jalankan sinkronisasi dari Pengelola Konfigurasi, lalu pilih untuk menghapus cache saat melakukan sinkronisasi.
  • Gunakan flag command line -f untuk memaksa pembersihan cache.
  • Ubah file konfigurasi XML untuk menetapkan nilai maxCacheLifetime menjadi 0.

Penting: Pembersihan cache dapat membuat waktu sinkronisasi menjadi jauh lebih lama.

Bagaimana cara GCDS mengakses data profil pengguna di Akun Google saya?

Profil pengguna, termasuk atribut pengguna tambahan, ditulis ke akun pengguna Google dan terlihat di Direktori akun. GCDS mengakses Direktori di Google Kontak. 

Bagaimana cara GCDS menentukan alamat email alias yang ditambahkan ke Akun Google?

Dalam konfigurasi GCDS, Anda dapat menentukan atribut yang dievaluasi GCDS. GCDS mengevaluasi data yang disimpan dalam atribut hanya jika data tersebut cocok dengan alamat SMTP yang valid.

Saat menggunakan proxyAddresses Microsoft Active Directory , GCDS menghapus awalan smtp: selama sinkronisasi sehingga awalan tersebut tidak muncul di domain Google Anda. 

Dapatkah saya menyinkronkan ke lebih dari satu akun G Suite sekaligus?

Ya. Anda dapat menggunakan GCDS untuk menyinkronkan dari satu direktori LDAP ke beberapa akun G Suite menggunakan lebih dari satu file konfigurasi. Jika lebih dari satu sinkronisasi dijalankan bersamaan, pastikan file konfigurasi disimpan dengan nama yang berbeda antara satu dengan lainnya.

Untuk meng-clone file konfigurasi yang ada, gunakan opsi Simpan sebagai di Pengelola Konfigurasi, lalu simpan file dengan nama baru.

↑ kembali ke atas

Menyinkronkan pengguna & unit organisasi

Bagaimana cara mengonfigurasi GCDS sehingga hanya bisa melakukan penyediaan bagi sebagian pengguna? 

Jika ingin menyinkronkan sebagian pengguna ke Akun Google, Anda dapat menggunakan satu Active Directory atau grup direktori LDAP sebagai sumber. Menggunakan grup akan membatasi jumlah pengguna yang mendapatkan penyediaan di Akun Google Anda.

Contoh:

Kueri Pengguna
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Kueri ini menampilkan semua pengguna yang merupakan anggota grup yang diidentifikasi oleh DN grup, yang memiliki alamat email, dan yang akunnya tidak dinonaktifkan.

Bagaimana cara mengecualikan unit organisasi di layanan Google saya dari proses sinkronisasi?

Anda dapat mengonfigurasi GCDS untuk mengecualikan unit organisasi yang telah disiapkan di Akun Google dengan menentukan aturan pengecualian Organization Complete Path di konfigurasi domain Google.

Contoh:

Aturan Pengecualian
Type: Organization Complete Path
Match Type: Exact Match
Rule: /OUPath/MyExcludedOU

Dapatkah saya menyinkronkan pengguna ke domain sekunder?

Jika domain tambahan (sekunder) sudah ditambahkan, Anda dapat menggunakan GCDS untuk menyinkronkan pengguna ke domain tersebut. Untuk menyinkronkan pengguna ke domain sekunder, pastikan alamat email pengguna di server LDAP Anda cocok dengan nama domain sekunder. GCDS membuat pengguna di Akun Google Anda menggunakan domain sekunder sebagai alamat email utama.

Jika tidak ingin mengubah atribut email LDAP Anda yang ada, tetapkan atribut lain untuk menyinkronkan alamat email pengguna domain sekunder Anda. Untuk mengetahui detail tentang domain sekunder, lihat Menambahkan beberapa domain atau alias domain.

↑ kembali ke atas

Menyinkronkan grup

Dapatkah GCDS menyinkronkan keanggotaan grup siklik?

Dalam keanggotaan grup siklik, 2 grup (atau lebih) menjadi anggota satu sama lain. Misalnya, Grup A adalah anggota Grup B dan Grup B adalah anggota Grup A.

Keanggotaan grup siklik didukung oleh LDAP dan Microsoft Active Directory, tetapi tidak didukung oleh Google Grup. Jika Anda mencoba menyinkronkan keanggotaan siklik, Anda akan mendapatkan pesan error "Keanggotaan siklik tidak diizinkan".

Bagaimana cara memastikan GCDS tidak akan menghapus atau mengubah grup buatan saya yang ada? 

Anda dapat mengonfigurasi GCDS untuk mengecualikan grup dengan menentukan aturan pengecualian Alamat Email Grup dalam konfigurasi domain Google. 

Contoh:

Aturan Pengecualian
Type: Group Email Address
Match Type: Exact Match
Rule: GCP_Project1@domain.com

Catatan: Sebaiknya Anda membuat dan mengelola grup ini di direktori LDAP Anda. Keanggotaan grup tetap diperbarui di Akun Google saat GCDS menyinkronkan data.

Dapatkah GCDS menyinkronkan keanggotaan grup bertingkat? 

Ya, GCDS menyinkronkan keanggotaan grup bertingkat. Namun, ada beberapa batasan terkait grup bertingkat dan pengiriman email dengan Google Grup untuk Bisnis. 

Dalam situasi tertentu, tidak semua anggota grup bertingkat menerima konten email yang dikirim ke grup:

  • Jika izin moderasi diaktifkan—Email tidak akan otomatis masuk ke anggota grup atau grup bertingkat lain sampai moderator grup memberikan persetujuan. 
  • Grup induk mungkin tidak memiliki izin memposting untuk mengirimkan pesan ke grup bertingkat. 

Topik terkait

Apakah GCDS menyinkronkan grup yang dibuat pengguna?

Grup yang dibuat pengguna adalah grup yang dibuat di Google Grup untuk Bisnis. Jika grup LDAP cocok dengan grup yang dibuat pengguna, GCDS mengabaikan grup seolah-olah ada aturan pengecualian GCDS untuk grup tertentu. GCDS tidak akan menghapus grup jika grup tersebut tidak cocok dengan data LDAP. 

Jika Anda menambahkan anggota ke objek/entitas yang sesuai di LDAP, GCDS menambahkan anggota tersebut ke grup. Jika Anda menambahkan pengguna ke Google Grup yang tidak cocok dengan data LDAP Anda, anggota tersebut tidak akan dihapus selama proses sinkronisasi. 

Untuk informasi selengkapnya mengenai grup yang dibuat pengguna, lihat FAQ administrator grup

↑ kembali ke atas

Google Cloud Platform

Bagaimana cara menyinkronkan grup keamanan dari Active Directory atau direktori LDAP saya, lalu menggunakannya di Cloud IAM? 

Anda dapat mengonfigurasi GCDS untuk menyinkronkan grup keamanan menggunakan aturan penelusuran LDAP. 

Contoh 1: Menelusuri semua grup keamanan

Contoh ini menunjukkan penelusuran LDAP untuk semua grup keamanan yang memiliki alamat email:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Contoh 2: Menelusuri sebagian grup keamanan

Jika Anda ingin menyinkronkan sebagian grup keamanan, pertimbangkan untuk menggunakan extensionAttribute1 dan tetapkan nilai khusus, seperti GoogleCloudPlatform. Anda kemudian dapat mempersempit kueri GCDS hanya untuk menyediakan sebagian grup keamanan tertentu saja:

Contoh ini menunjukkan penelusuran LDAP untuk semua grup keamanan yang memiliki alamat email dan atribut GoogleCloudPlatform:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloudPlatform))

Penting:

  • Semua grup di domain Google direferensikan oleh alamat email. Anda harus memastikan bahwa semua grup keamanan yang ingin disinkronkan memiliki atribut email valid yang ditentukan.
  • Grup yang dibuat di domain Google tidak secara otomatis memiliki peran Google Cloud Identity and Access Management (IAM) eksplisit. Setelah grup dibuat, Anda perlu menggunakan Cloud IAM untuk menetapkan grup ke peran tertentu.
Bagaimana cara menambahkan pengguna yang hanya memerlukan akun untuk project Google Cloud Platform?

Anda dapat mengonfigurasi GCDS dengan menambahkan aturan sinkronisasi pengguna untuk pengguna Google Cloud Platform. Cara termudah adalah membuat kueri baru berdasarkan pengguna yang menjadi anggota grup. Contoh:

(&(memberof=cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Selanjutnya, Anda dapat menggunakan filter penelusuran berikut untuk menampilkan pengguna yang merupakan anggota grup, memiliki alamat email, dan akunnya tidak dinonaktifkan: 

group cn=CloudPlatformUsers,cn=users,dc=corp,dc=domain,dc=com

Pertimbangkan untuk menempatkan pengguna tersebut ke satu unit organisasi. Untuk melakukannya, tetapkan Nama Unit Org (misalnya, Pengguna Cloud Platform) dalam aturan. Buat unit organisasi jika belum ada. 

Masalah pemberian lisensi

Pertimbangkan cara domain Anda dikonfigurasi, sehingga Anda dapat menetapkan lisensi produk dengan tepat ke akun pengguna. Jika pemberian lisensi otomatis diaktifkan, sebaiknya kecualikan unit organisasi Pengguna Cloud Platform agar tidak diberi lisensi produk. Untuk mengetahui detailnya, lihat Menetapkan opsi pemberian lisensi otomatis untuk organisasi.

Untuk persyaratan pemberian lisensi yang lebih kompleks, Anda dapat mengonfigurasi GCDS untuk menyinkronkan dan mengelola semua penetapan lisensi pengguna Anda. Untuk mengetahui detailnya, lihat Menyinkronkan lisensi

↑ kembali ke atas

Umum

Mengapa GCDS terus menampilkan error ketika cache dihapus?

Error tersebut mungkin karena masalah konfigurasi, seperti kesalahan konfigurasi aturan pengecualian Kesalahan konfigurasi dapat disembunyikan dengan penyimpanan cache GCDS. 

GCDS menyimpan cache data untuk layanan Google Anda (seperti G Suite atau Cloud Identity) selama maksimum 8 hari. GCDS dapat lebih sering menghapus cache, bergantung pada ukuran data cache Namun, jika cache tidak dihapus, mungkin dibutuhkan waktu hingga 8 hari hingga perubahan yang dibuat langsung di domain Google Anda muncul (menggunakan konsol Admin atau klien API lain). 

Cara menghapus cache secara manual:

  • Jalankan sinkronisasi dari Pengelola Konfigurasi, lalu pilih untuk menghapus cache saat melakukan sinkronisasi.
  • Gunakan flag command line -f untuk memaksa pembersihan cache.
  • Ubah file konfigurasi XML untuk menetapkan nilai maxCacheLifetime menjadi 0.

Penting: Pembersihan cache dapat membuat waktu sinkronisasi menjadi jauh lebih lama.

Contoh: Anda memiliki grup di server LDAP dan Akun Google Anda. Anda membuat aturan pengecualian Google untuk grup ini agar GCDS tidak mengubah grup selama sinkronisasi.

Namun, aturan ini justru menyebabkan GCDS berperilaku seolah-olah grup tidak ada di Akun Google Anda. GCDS mencoba membuat grup, tetapi karena grup tersebut sudah ada, muncul pesan error dan GCDS menambahkannya ke cache. Sinkronisasi berikutnya menggunakan cache tersebut, dan GCDS menganggap grup tersebut sudah ada. Kemudian, begitu cache dihapus, GCDS kembali berperilaku seolah-olah grup tersebut tidak ada.

Mengapa saya harus mengonfigurasi GCDS untuk menyinkronkan sandi?

Setelan sinkronisasi sandi default di GCDS digunakan untuk menentukan cara GCDS membuat sandi bagi akun pengguna baru. Jika Anda tidak ingin menyesuaikan sandi akun awal, tidak ada tindakan yang diperlukan. Cukup gunakan setelan default.

Jika menggunakan Active Directory, Anda dapat menggunakan Sinkronisasi Sandi untuk menyinkronkan sandi pengguna dari Active Directory ke domain Google Anda. 

Bagaimana cara GCDS menangani konflik ketika beberapa aturan sinkronisasi diterapkan?

GCDS menerapkan aturan sesuai urutan, dari yang tertinggi hingga yang terendah. 

Misalnya, Anda mengonfigurasi aturan sinkronisasi Akun Pengguna untuk membuat pengguna di unit organisasi root atau /. Anda kemudian membuat aturan yang lebih rendah untuk membuat pengguna di unit organisasi /Exceptions. Setelah sinkronisasi, pengguna yang cocok dengan kedua aturan tersebut akan dibuat di unit organisasi root karena aturan tersebut memiliki prioritas yang lebih tinggi. 

Untuk memastikan bahwa pengguna ditempatkan dengan benar di /Exceptions, pastikan aturan berada di tingkat lebih tinggi dari aturan lain yang bertentangan. Atau, pastikan bahwa aturan itu adalah aturan pertama dalam daftar yang diurutkan.

Bagaimana cara mengaudit dan meninjau sinkronisasi GCDS? 

GCDS menggunakan 3-legged OAuth 2.0 untuk otorisasi. Proses ini memberikan GCDS token OAuth 2.0. Token ini memungkinkan GCDS melakukan tindakan atas nama administrator yang melakukan otorisasi.

Semua peristiwa audit dicantumkan oleh administrator yang memiliki otorisasi atas GCDS. Pertimbangkan membuat akun administrator GCDS khusus. Dengan begitu, Anda dapat dengan jelas mendeteksi perubahan dan audit yang dilakukan oleh GCDS. 

Topik terkait

Mengotorisasi Akun Google Anda

↑ kembali ke atas

Google, G Suite, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.
Apakah ini membantu?
Bagaimana cara meningkatkannya?