Veelgestelde vragen over GCDS

Hoe autoriseer ik GCDS op een machine zonder grafische gebruikersinterface?

1. Zorg ervoor dat u GCDS-versie 4.7.14 of later gebruikt.

   Ga voor meer informatie naar GCDS bijwerken .

2. Autoriseer GCDS op een computer met een grafische gebruikersinterface (GUI).

   Voor meer informatie ga naar Je Google-account autoriseren .

3. Maak en sla het XML-bestand op.
4. Gebruik op dezelfde computer de opdrachtregel om het upgrade-config-programma uit te voeren met de parameter -exportkeys .

   Voorbeeld: upgrade-config -exportkeys versleutelingssleutelbestand [ wachtwoord ]

   In dit voorbeeld worden de sleutels geëxporteerd naar een bestand met de naam 'encryptiesleutelbestand' . Het gebruik van een wachtwoord is optioneel.

5. Kopieer het encryptiesleutelbestand en het configuratiebestand naar een computer zonder grafische gebruikersinterface.
6. Gebruik op een computer zonder grafische gebruikersinterface de opdrachtregel om de upgrade-config tool uit te voeren met de parameter -importkeys .

   Voorbeeld: upgrade-config -importkeys bestandsnaam

   Belangrijk : De parameter -importkeys verwijdert alle geautoriseerde GCDS-configuraties die mogelijk op uw computer aanwezig zijn.

7. Voer indien nodig het wachtwoord in dat u in stap 4 hebt ingesteld.

   Je zou een bevestiging moeten ontvangen dat de sleutels succesvol zijn geïmporteerd.

Tip : Voor meer opties kunt u in de opdrachtregel de opdracht `upgrade-config -help` invoeren.

Hoe verplaats ik GCDS naar een andere server?

1. Als u denkt dat er openstaande wijzigingen in e-mailadressen van gebruikers zijn (gebruikersnaamswijzigingen), of als u het niet zeker weet, kies dan een optie:
   • Voer een synchronisatie uit op de oude server.
   • Kopieer de TSV-bestanden (tab-separated values) naar de nieuwe server.

     De naam en locatie van de TSV-bestanden kunt u vinden in het configuratiebestand door te zoeken naar .tsv .

   • Installeer GCDS op de nieuwe server. Ga voor instructies naar GCDS downloaden en installeren .
2. Kopieer het configuratiebestand naar de nieuwe server.
3. Open op de nieuwe server in Configuration Manager het configuratiebestand.
4. Autoriseer GCDS opnieuw voor uw Google-account. Ga naar Uw Google-account autoriseren voor instructies.
5. Werk op de pagina LDAP-configuratie het LDAP-wachtwoord bij. Raadpleeg de LDAP-verbindingsinstellingen voor instructies.
6. Werk op de pagina 'Meldingen' het SMTP-wachtwoord bij. Zie 'Meldingskenmerken' voor instructies.
7. Voer een gesimuleerde synchronisatie uit.
8. Controleer de synchronisatie om er zeker van te zijn dat er geen onverwachte wijzigingen zijn.
9. Voer een volledige synchronisatie uit.

   Na de synchronisatie worden de TSV-bestanden van de oude server bijgewerkt. Als u de TSV-bestanden niet hebt overgezet, worden er nieuwe bestanden aangemaakt.

Wat kan ik doen als ik problemen heb met certificaten?

Als u problemen ondervindt met certificaten tijdens het gebruik van GCDS, raadpleeg dan Problemen met certificaten oplossen .

Welke API's gebruikt GCDS?

GCDS gebruikt Google Workspace API's om uw adresgegevens te synchroniseren met uw Google-account. De API's gebruiken OAuth, en niet een beheerderswachtwoord, voor authenticatie. Deze aanpak zorgt ervoor dat functies zoals tweestapsverificatie (2SV) actief blijven zonder de functionaliteit van GCDS te beïnvloeden.

GCDS maakt gebruik van de volgende API's:

• Directory API
• Cloud Identity API
• Groepsinstellingen API
• Enterprise License Manager API
• API voor gedeelde contacten binnen een domein

Waarom zie ik de verwachte wijzigingen niet in mijn Google-account?

Het kan tot 8 dagen duren voordat je een wijziging in je Google-account ziet. Om te begrijpen waarom, moet je weten hoe GCDS gegevens in de cache opslaat.

GCDS bewaart een cache met gegevens voor uw Google-account gedurende maximaal 8 dagen. GCDS kan de cache vaker wissen, afhankelijk van de grootte van de opgeslagen gegevens. Als de cache echter niet wordt gewist, kan het tot 8 dagen duren voordat wijzigingen die rechtstreeks in uw Google-account zijn aangebracht (via de beheerdersconsole of een andere API-client) zichtbaar zijn.

Nadat de cache is gewist, identificeert GCDS de wijziging in het Google-account en vergelijkt deze met de brongegevens in de LDAP-directory. Als de gegevens niet overeenkomen, maakt GCDS de wijziging in het Google-account ongedaan.

Om de cache handmatig te wissen:

• Start een synchronisatie vanuit Configuration Manager en selecteer de optie om de cache te wissen tijdens de synchronisatie.
• Gebruik de opdrachtregeloptie -f om de cache geforceerd te legen.
• Wijzig het XML-configuratiebestand om de waarde van maxCacheLifetime op 0 in te stellen.

Belangrijk : Het legen van de cache kan de synchronisatietijd aanzienlijk verlengen.

Hoe krijgt GCDS toegang tot gebruikersprofielgegevens in mijn Google-account?

Gebruikersprofielen, inclusief aanvullende gebruikerskenmerken, worden opgeslagen in het Google-gebruikersaccount en zijn zichtbaar in de Directory van het account. GCDS heeft toegang tot de Directory in Google Contacten. Ga voor meer informatie naar Overzicht: De Directory instellen en beheren .

Hoe bepaalt GCDS welke alias-e-mailadressen aan een Google-account worden toegevoegd?

In de GCDS-configuratie kunt u de attributen specificeren die GCDS evalueert. GCDS evalueert de gegevens in het attribuut alleen als deze overeenkomen met een geldig SMTP-adres.

Bij gebruik van Microsoft Active Directory proxyAddresses verwijdert GCDS het smtp: -voorvoegsel tijdens de synchronisatie, zodat dit voorvoegsel niet wordt weergegeven bij uw Google-domein.

Kan ik met meer dan één Google-account tegelijk synchroniseren?

Ja. Je kunt GCDS gebruiken om vanuit één LDAP-directory te synchroniseren met meerdere Google-accounts door meerdere configuratiebestanden te gebruiken. Als je meerdere synchronisaties tegelijk uitvoert, zorg er dan voor dat de configuratiebestanden unieke namen hebben.

Om een ​​bestaand configuratiebestand te klonen, gebruikt u de optie 'Opslaan als ' in Configuratiebeheer en slaat u het bestand op met een nieuwe naam.

Hoe lost GCDS conflicterende accounts op?

GCDS volgt de instellingen voor het beheer van conflicterende accounts die u in de Google Admin-console hebt ingesteld. Ga naar Conflicterende accounts beheren met GCDS voor meer informatie.

Hoe kan ik GCDS zo configureren dat alleen een subset van gebruikers toegang krijgt?

Als u een subset van gebruikers wilt synchroniseren met uw Google-account, kunt u één Active Directory- of LDAP-directorygroep als bron gebruiken. Het gebruik van een groep beperkt het aantal gebruikers dat in uw Google-account wordt aangemaakt.

Voorbeeld:

Gebruikersquery
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Deze query retourneert alle gebruikers die lid zijn van de groep die wordt geïdentificeerd door de groeps-DN, een e-mailadres hebben en waarvan de accounts niet zijn uitgeschakeld.

Hoe kan ik een organisatie-eenheid in mijn Google-account uitsluiten van een synchronisatie?

U kunt GCDS zo configureren dat een organisatie-eenheid die in uw Google-account is ingesteld, wordt uitgesloten door een uitsluitingsregel voor het volledige pad van de organisatie te definiëren in de Google-domeinconfiguratie.

Voorbeeld:

Uitsluitingsregel
Type: Organisatie Volledig pad
Overeenkomsttype: Exacte overeenkomst
Regel: /OUPath/MyExcludedOU

Kan ik gebruikers synchroniseren met een secundair domein?

Als u een extra (secundair) domein hebt toegevoegd, kunt u GCDS gebruiken om gebruikers met dat domein te synchroniseren. Om gebruikers met uw secundaire domein te synchroniseren, moet u ervoor zorgen dat de e-mailadressen van de gebruikers in uw LDAP-server overeenkomen met de naam van uw secundaire domein. GCDS maakt de gebruikers in uw Google-account aan met uw secundaire domein als primair e-mailadres.

Als u geen wijzigingen wilt aanbrengen in uw bestaande LDAP-mailkenmerk, wijs dan een ander kenmerk toe om de e-mailadressen van gebruikers in uw secundaire domein te synchroniseren. Zie Een gebruikersaliasdomein of secundair domein toevoegen voor meer informatie over secundaire domeinen.

Kan ik jokertekens gebruiken in LDAP-gebruikerszoekopdrachten?

Ja, mits de LDAP-server wildcards ondersteunt.

LDAP-directory's ondersteunen geen jokertekens in distinguished name (DN)-attributen bij het uitvoeren van een zoekopdracht naar een gebruiker. U kunt bijvoorbeeld (mail=user*) gebruiken, maar niet (distinguishedName=*,DC=domain,DC=com) .

Kan ik een recursieve zoekopdracht met `memberOf` gebruiken voor zoekopdrachten van gebruikers?

Ja, als je een LDAP-server gebruikt die recursieve zoekopdrachten met 'memberOf' ondersteunt. Deze worden ondersteund door Active Directory, maar niet door OpenLDAP.

Waarom wordt mijn Google Workspace-gebruikersaccount geblokkeerd nadat ik GCDS heb uitgevoerd?

Als een Google Workspace-gebruikersaccount wordt opgeschort na het uitvoeren van GCDS, ontvangt u een foutmelding met een uitleg over de oorzaak. Om te voorkomen dat deze fout zich bij volgende synchronisaties herhaalt, kunt u, afhankelijk van de oorzaak van het probleem, een van de volgende oplossingen implementeren:

• Probleem: De gebruiker bestaat niet op de LDAP-server.

  Oplossing: Aangezien de gebruiker niet bestaat op de LDAP-server, moet de klant een uitsluitingsregel voor Google-gebruikers instellen om te voorkomen dat GCDS deze gebruiker in Google Workspace blokkeert.

• Probleem: De gebruiker heeft geen geldig e-mailadres op de LDAP-server.

  Oplossing: U moet een e-mailadres voor deze gebruiker configureren of een uitsluitingsregel voor Google-gebruikers instellen om te voorkomen dat GCDS de gebruiker in Google Workspace blokkeert.

  Je kunt de GCDS-configuratie ook aanpassen zodat deze het e-mailadreskenmerk van de gebruiker gebruikt dat op de LDAP-server staat. Gebruik bijvoorbeeld het kenmerk userPrincipalName (UPN) in plaats van het kenmerk mail .

• Probleem: De gebruiker wordt overgeslagen door uitsluitingsregels op de LDAP-server.

  Oplossing: U moet de uitsluitingsregels aanpassen als u deze gebruiker niet wilt schorsen.

• Probleem: De gebruiker wordt gevonden en geblokkeerd in de zoekregels omdat de optie ' Deze gebruikers blokkeren in het Google-domein' is aangevinkt.

  Oplossing: De gebruiker moet mogelijk worden geschorst.

• Probleem: De gebruiker is geblokkeerd op de LDAP-server.

  Oplossing: De gebruiker moet mogelijk worden geschorst.

Kan GCDS cyclische groepslidmaatschappen synchroniseren?

Bij een cyclisch groepslidmaatschap zijn 2 (of meer) groepen lid van elkaar. Groep A is bijvoorbeeld lid van Groep B, en Groep B is lid van Groep A.

Cyclische groepslidmaatschappen worden ondersteund door LDAP en Microsoft Active Directory. Ze worden echter niet ondersteund door Google Groepen. Als u een cyclisch lidmaatschap probeert te synchroniseren, krijgt u de foutmelding 'Cyclische lidmaatschappen niet toegestaan'.

Hoe kan ik ervoor zorgen dat GCDS bestaande groepen die ik heb aangemaakt niet verwijdert of wijzigt?

U kunt GCDS zo configureren dat een groep wordt uitgesloten door een uitsluitingsregel voor e-mailadressen van groepen te definiëren in de Google-domeinconfiguratie. Zie Regels gebruiken voor Google-gegevens voor meer informatie.

Voorbeeld:

Uitsluitingsregel
Type: Groeps-e-mailadres
Overeenkomsttype: Exacte overeenkomst
Regel: GCP_Project1@example.com

Opmerking : We raden u aan deze groepen aan te maken en te beheren in uw LDAP-directory. Groepslidmaatschappen worden in uw Google-account bijgewerkt wanneer GCDS gegevens synchroniseert.

Om bestaande groepen te behouden die niet in LDAP staan, kunt u de instelling ' Google-groepen die niet in LDAP worden gevonden niet verwijderen' inschakelen. Zie het verwijderingsbeleid van Google-groepen voor meer informatie.

Synchroniseert GCDS door gebruikers aangemaakte groepen?

Een door een gebruiker aangemaakte groep is een groep die is aangemaakt in Google Groepen voor Bedrijven . Als een LDAP-groep overeenkomt met een door een gebruiker aangemaakte groep, negeert GCDS de groep alsof er een GCDS-uitsluitingsregel voor die specifieke groep van kracht is. De groep wordt niet verwijderd als deze niet overeenkomt met de LDAP-gegevens.

Als u leden hebt toegevoegd aan het overeenkomstige object of de overeenkomstige entiteit in LDAP, voegt GCDS die leden toe aan de groep. Als u gebruikers aan de Google Groep hebt toegevoegd die niet overeenkomen met uw LDAP-gegevens, worden die leden niet verwijderd tijdens het synchronisatieproces.

Voor meer informatie over door gebruikers aangemaakte groepen, ga naar de veelgestelde vragen voor groepsbeheerders .

Kan GCDS geneste groepslidmaatschappen synchroniseren?

Ja, GCDS synchroniseert lidmaatschappen van geneste groepen. Er zijn echter enkele beperkingen met betrekking tot geneste groepen en e-mailbezorging met Google Groepen voor Bedrijven. Niet alle leden van een geneste groep ontvangen de e-mailinhoud die naar de groep wordt verzonden wanneer:

• De moderatierechten zijn ingeschakeld. Er wordt pas automatisch een e-mail verzonden naar groepsleden of andere subgroepen nadat de moderator van de groep hiervoor toestemming heeft gegeven.
• Een hoofdgroep heeft geen toestemming om berichten naar de onderliggende groepen te sturen.

Gerelateerde onderwerpen

• Een groep toevoegen aan een andere groep
• Bekijk wie berichten mag bekijken, plaatsen en modereren.

Kan GCDS zoeken naar lidmaatschappen binnen geneste groepen?

Ja. GCDS synchroniseert leden van groepen, ongeacht of het lid een gebruiker of een groep is. GCDS ondersteunt echter geen zoekregel om leden van geneste groepen uit te breiden als die zoekregel niet wordt ondersteund door uw LDAP-server.

Hoe kan ik alleen geldige groepsleden synchroniseren?

Je wilt alleen leden synchroniseren die actieve gebruikers zijn op de LDAP-server. Stel, je hebt Groep 1 op de LDAP-server met 2 leden, gebruiker1 en gebruiker2. Gebruiker1 is echter geblokkeerd op de LDAP-server. Na een synchronisatie zou Groep 1 in je Google-account alleen gebruiker2 als lid moeten bevatten, terwijl gebruiker1 geblokkeerd (of verwijderd, afhankelijk van je GCDS-instellingen) is.

Om geldige groepsleden te synchroniseren:

1. Zoek het configuratiebestand op. Dit is hetzelfde XML-bestand dat u gebruikt om uw GCDS-configuratie te laden.
2. Open het configuratiebestand met een teksteditor.
3. Zoek en verwijder de optie INDEPENDENT_GROUP_SYNC .
4. Zoek naar de optie ADD_VALID_GROUP_MEMBERS_ONLY .

   Als het bestand er niet in staat, voeg het er dan aan toe.

5. Zorg ervoor dat de synchronisatie van gebruikersaccounts is ingeschakeld.

   Voor meer informatie, ga naar Uw gebruikerslijst definiëren .

6. Voer een simulatie uit om de resultaten te controleren voordat u een volledige synchronisatie uitvoert.

Waarom synchroniseert GCDS de beveiligingsgroepen niet?

Als de eigenschap adminCreated in de Directory API is ingesteld op false voor door beheerders gemaakte groepen in de Google Admin-console, kan GCDS deze groepen overslaan tijdens een synchronisatie. Om ervoor te zorgen dat GCDS een nieuwe beveiligingsgroep synchroniseert:

1. Gebruik de Google Admin-console of de Directory API om de nieuwe groep als mailinglijst aan te maken.
2. Wijzig de instellingen van de groep om er een beveiligingsgroep van te maken.

GCDS synchroniseert ook geen beveiligingsgroepen die wel op uw LDAP-server, maar niet bij Google bestaan. Deze groepen worden gesynchroniseerd als gewone groepen.

Hoe voeg ik een optionele feature-vlag toe aan het GCDS-configuratiebestand?

Voordat u begint : controleer of GCDS de functie ondersteunt.

1. Zoek het configuratiebestand op. Dit is hetzelfde XML-bestand dat u gebruikt om uw GCDS-configuratie te laden.
2. Open het configuratiebestand met een teksteditor.
3. Zoek in het XML-bestand de tag <features> en voeg een nieuwe regel binnen die tag in.
4. Voeg op de nieuwe regel een nieuwe <optionele> tag toe met daarin de naam van de functie.
5. Sla het bestand op en sluit het.

Voorbeeld

Het volgende voorbeeld laat zien hoe u de functie DONT_RESOLVE_USER_CONFLICT_ACCOUNTS kunt toevoegen.

<functies>

<optioneel>LOS_GEBRUIKERSCONFLICTEN_NIET_OP</optioneel>

</functies>

Waarom blijft GCDS een foutmelding geven wanneer de cache wordt gewist?

De fout kan worden veroorzaakt door een configuratieprobleem, zoals een onjuiste configuratie van een uitsluitingsregel. Deze onjuiste configuratie kan worden gemaskeerd door GCDS-caching.

GCDS bewaart een cache met gegevens voor uw Google-service (zoals Google Workspace of Cloud Identity) gedurende maximaal 8 dagen. GCDS kan de cache vaker wissen, afhankelijk van de grootte van de opgeslagen gegevens. Als de cache echter niet wordt gewist, kan het tot 8 dagen duren voordat wijzigingen die rechtstreeks in uw Google-account zijn aangebracht (via de beheerdersconsole of een andere API-client) zichtbaar zijn.

Om de cache handmatig te wissen:

• Start een synchronisatie vanuit Configuration Manager en selecteer de optie om de cache te wissen tijdens het synchroniseren.
• Gebruik de opdrachtregeloptie -f om de cache geforceerd te legen.
• Wijzig het XML-configuratiebestand om de waarde van maxCacheLifetime op 0 in te stellen.

Belangrijk : Het legen van de cache kan de synchronisatietijd aanzienlijk verlengen.

Voorbeeld: U hebt een groep die zowel op uw LDAP-server als in uw Google-account bestaat. U maakt een uitsluitingsregel voor deze groep in Google, in de hoop te voorkomen dat GCDS de groep wijzigt tijdens een synchronisatie.

Deze regel zorgt er echter voor dat GCDS zich gedraagt ​​alsof de groep niet bestaat in je Google-account. GCDS probeert de groep aan te maken, maar omdat de groep al bestaat, krijg je een foutmelding en voegt GCDS deze toe aan de cache. Bij volgende synchronisaties wordt de cache gebruikt en herkent GCDS dat de groep al bestaat. Zodra de cache is gewist, gedraagt ​​GCDS zich opnieuw alsof de groep niet bestaat.

Waarom moet ik GCDS configureren om wachtwoorden te synchroniseren?

De standaardinstellingen voor wachtwoordsynchronisatie in GCDS bepalen hoe GCDS wachtwoorden aanmaakt voor nieuwe gebruikersaccounts. Als u het initiële wachtwoord van een account niet wilt aanpassen, hoeft u niets te doen. Gebruik gewoon de standaardinstellingen.

Als u Active Directory gebruikt, kunt u Password Sync gebruiken om gebruikerswachtwoorden van Active Directory naar uw Google-domein te synchroniseren.

Hoe lost GCDS conflicten op wanneer meerdere synchronisatieregels van toepassing zijn?

GCDS bekijkt de regels in volgorde, van hoog naar laag.

U configureert bijvoorbeeld een synchronisatieregel voor gebruikersaccounts om gebruikers aan te maken in de hoofdorganisatie-eenheid of /. Vervolgens maakt u een lagere regel aan om gebruikers aan te maken in de organisatie-eenheid /Exceptions. Na een synchronisatie worden gebruikers die aan beide regels voldoen, aangemaakt in de hoofdorganisatie-eenheid, omdat die regel een hogere prioriteit heeft.

Om ervoor te zorgen dat gebruikers correct in /Exceptions worden geplaatst, moet u ervoor zorgen dat de regel hoger in de lijst staat dan eventuele conflicterende regels. Of zorg ervoor dat het de eerste regel in de geordende lijst is.

Hoe kan ik een GCDS-synchronisatie controleren en beoordelen?

GCDS gebruikt 3-legged OAuth 2.0 voor autorisatie. Dit proces verleent GCDS een OAuth 2.0-token. Met dit token kan GCDS namens de beheerder die de autorisatie heeft uitgevoerd, actie ondernemen.

Alle auditgebeurtenissen worden weergegeven door de beheerder die GCDS heeft geautoriseerd. Overweeg een speciaal GCDS-beheerdersaccount aan te maken, zodat u duidelijk de wijzigingen en audits kunt zien die door GCDS worden uitgevoerd.

Gerelateerd onderwerp

Autoriseer je Google-account

Verwijdert GCDS mijn schema's als ik schemasynchronisatie inschakel?

Tijdens een synchronisatie gebruikt GCDS de huidige LDAP-configuratie om te bepalen of een aangepast schema in uw Google-account behouden of verwijderd moet worden.

Daarnaast bevat het GCDS-configuratiebestand een instelling genaamd `schemaHistory` met informatie over aangepaste schema's die eerder zijn gesynchroniseerd. Als een aangepast schema door GCDS is gesynchroniseerd, wordt het automatisch toegevoegd aan `schemaHistory`. Als u de `schemaHistory`-instellingen in het configuratiebestand handmatig verwijdert en het aangepaste schema niet in uw LDAP-directory bestaat, slaat GCDS dit over en verwijdert het het aangepaste schema niet uit uw Google-account.

Om uw schemaHistory handmatig te verwijderen in uw configuratiebestand, zoekt u naar:

<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>

Kan ik GCDS synchroniseren vanuit meerdere LDAP-directory's?

Hoe genereert en bewaart GCDS de symmetrische sleutel op een veilige manier?

De symmetrische sleutel waarmee het GCDS-verversingstoken wordt versleuteld, wordt gegenereerd door de standaard Java crypto KeyGenerator met behulp van AES 128.

De opslag van de symmetrische sleutel wordt afgehandeld door de `userNodeForPackage`-methode in de `Preferences`-klasse in Java. De exacte locatie van de sleutel wordt niet beheerd door GCDS en is afhankelijk van het besturingssysteem.

Op Windows worden de voorkeursgegevens opgeslagen in het register van de gebruiker. Op Linux worden ze opgeslagen in de thuismap van de gebruiker.

Wij raden klanten aan de beste werkwijzen te volgen om ervoor te zorgen dat de sleutel goed beveiligd is, zowel door gebruik te maken van een versleuteld bestandssysteem als door restrictieve ACL's in te stellen.

Wat is de unieke ID?

De unieke ID (ook wel de niet-adresgebonden primaire sleutel genoemd) wordt intern door GCDS gebruikt en wordt niet gesynchroniseerd met Google Workspace. GCDS slaat de unieke ID op in een TSV-bestand op de computer waarop GCDS is geïnstalleerd. U kunt de naam van het TSV-bestand en het volledige pad ernaartoe vinden in het XML-configuratiebestand.

Als een gebruiker op de LDAP-server, maar niet in Google Workspace, een andere naam krijgt, gebruikt GCDS de unieke ID om te voorkomen dat de gebruikersgegevens worden verwijderd of gedupliceerd.

Let op: het handmatig wijzigen van de e-mailadressen van gebruikers op zowel de LDAP-server als Google Workspace kan synchronisatieproblemen veroorzaken. Om dit te voorkomen, verwijdert u de bijbehorende gebruikersgegevens uit het TSV-bestand voordat u GCDS uitvoert.

Hoe kan ik beveiligingsgroepen synchroniseren vanuit Active Directory of mijn LDAP-directory en deze gebruiken in Cloud IAM?

Je kunt GCDS configureren om beveiligingsgroepen te synchroniseren met behulp van LDAP-zoekregels.

Voorbeeld 1: Zoek naar alle beveiligingsgroepen

Dit voorbeeld laat een LDAP-zoekopdracht zien naar alle beveiligingsgroepen die een e-mailadres hebben:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Voorbeeld 2: Zoeken naar een subset van beveiligingsgroepen

Als u een subset van beveiligingsgroepen wilt synchroniseren, kunt u extensionAttribute1 gebruiken en een specifieke waarde instellen, bijvoorbeeld GoogleCloud. U kunt de GCDS-query vervolgens verfijnen om alleen de specifieke subset van beveiligingsgroepen te configureren.

Dit voorbeeld laat een LDAP-zoekopdracht zien naar alle beveiligingsgroepen die een e-mailadres en het GoogleCloud-kenmerk bevatten:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

Belangrijk:

• Alle groepen binnen een Google-domein worden gekoppeld aan een e-mailadres. U moet ervoor zorgen dat alle beveiligingsgroepen die u wilt synchroniseren een geldig e-mailkenmerk hebben.
• Een groep die is aangemaakt in een Google-domein heeft niet automatisch een expliciete Google Cloud Identity and Access Management (IAM)-rol. Nadat een groep is aangemaakt, moet u Cloud IAM gebruiken om een ​​groep aan specifieke rollen toe te wijzen.

Hoe kan ik gebruikers toevoegen die alleen een account nodig hebben voor Google Cloud-projecten?

Je kunt GCDS configureren door een synchronisatieregel voor Google Cloud-gebruikers toe te voegen. De eenvoudigste manier is om een ​​nieuwe query te maken op basis van het feit of de gebruikers lid zijn van een groep, bijvoorbeeld:

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Vervolgens kunt u het volgende zoekfilter gebruiken om gebruikers te vinden die lid zijn van de groep, een e-mailadres hebben en waarvan de accounts niet zijn geblokkeerd:

groep cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

Overweeg om deze gebruikers in één organisatie-eenheid onder te brengen. Definieer hiervoor een naam voor de organisatie-eenheid (bijvoorbeeld 'Cloudgebruikers') in de regel. Maak de organisatie-eenheid aan als deze nog niet bestaat.

Licentieproblemen

Houd rekening met de configuratie van uw domein, zodat u productlicenties correct kunt toewijzen aan gebruikersaccounts. Als automatische licentieverlening is ingeschakeld, wilt u mogelijk de organisatie-eenheid Cloudgebruikers uitsluiten van het toewijzen van een productlicentie. Zie voor meer informatie Automatische licentieopties instellen voor een organisatie .

Voor complexere licentievereisten kunt u GCDS configureren om al uw gebruikerslicenties te synchroniseren en te beheren. Zie Licenties synchroniseren voor meer informatie.