Vanliga frågor om GCDS

Hur auktoriserar jag GCDS på en maskin utan ett grafiskt gränssnitt?

1. Se till att du kör GCDS version 4.7.14 eller senare.

   För mer information, gå till Uppdatera GCDS .

2. Auktorisera GCDS på en dator som har ett grafiskt gränssnitt.

   För mer information, gå till Auktorisera ditt Google-konto .

3. Skapa och spara XML-filen.
4. På samma dator använder du kommandoraden för att köra verktyget upgrade-config med parametern -exportkeys .

   Exempel: upgrade-config -exportkeys krypteringsnyckelfil [ lösenord ]

   I det här exemplet exporteras nycklarna till en fil som heter krypteringsnyckelfil . Att använda ett lösenord är valfritt.

5. Kopiera krypteringsnyckelfilen och konfigurationsfilen till en dator utan ett grafiskt gränssnitt.
6. På datorn utan ett grafiskt gränssnitt, använd kommandoraden för att köra verktyget upgrade-config med parametern -importkeys .

   Exempel: filnamn för upgrade-config -importkeys

   Viktigt : Parametern -importkeys tar bort alla auktoriserade GCDS-konfigurationer som du kan ha på din dator.

7. Om det behövs, ange lösenordet du angav i steg 4.

   Du bör få en bekräftelse på att nycklarna har importerats.

Tips : För fler alternativ, ange kommandot upgrade-config -help från kommandoraden.

Hur flyttar jag GCDS till en annan server?

1. Om du tror att du har, eller om du är osäker på om du har väntande ändringar av användarnas e-postadress (användarbyten), välj ett alternativ:
   • Kör en synkronisering på den gamla servern.
   • Kopiera filerna med tabbavgränsade värden (TSV) till den nya servern.

     Du kan hitta namnet och platsen för TSV-filerna i konfigurationsfilen genom att söka efter .tsv .

   • Installera GCDS på den nya servern. För instruktioner, gå till Ladda ner och installera GCDS .
2. Kopiera konfigurationsfilen till den nya servern.
3. Öppna konfigurationsfilen i Konfigurationshanteraren på den nya servern.
4. Auktorisera GCDS igen för ditt Google-konto. För instruktioner, gå till Auktorisera ditt Google-konto .
5. Uppdatera LDAP-lösenordet på sidan LDAP-konfiguration . För instruktioner, gå till LDAP-anslutningsinställningar .
6. Uppdatera SMTP-lösenordet på sidan Aviseringar . För instruktioner, se Aviseringsattribut .
7. Kör en simulerad synkronisering.
8. Granska synkroniseringen för att se till att det inte finns några oväntade ändringar.
9. Kör en fullständig synkronisering.

   Efter synkroniseringen uppdateras TSV-filerna från den gamla servern. Om du inte överförde TSV-filerna skapas nya filer.

Vad kan jag göra om jag har problem med certifikat?

Om du upplever problem med certifikat när du kör GCDS kan du läsa Felsöka certifikatrelaterade problem .

Vilka API:er använder GCDS?

GCDS använder Google Workspace API:er för att synkronisera dina katalogdata med ditt Google-konto. API:erna använder OAuth, inte ett administratörslösenord, för autentisering. Den här metoden gör att funktioner som tvåstegsverifiering (2SV) kan förbli aktiva utan att GCDS-funktionaliteten påverkas.

GCDS använder följande API:er:

• Katalog-API
• Cloud Identity API
• Gruppinställningar API
• API för företagslicenshantering
• Domändelade kontakter API

Varför ser jag inte de förväntade ändringarna i mitt Google-konto?

Det kan ta upp till åtta dagar innan du ser en förändring i ditt Google-konto. För att förstå varför måste du förstå hur GCDS cachar data.

GCDS lagrar en cache med data för ditt Google-konto i högst 8 dagar. GCDS kan rensa cachen oftare, beroende på storleken på den cachade datan. Om cachen inte rensas kan det dock ta upp till 8 dagar innan ändringar som gjorts direkt på ditt Google-konto (med administratörskonsolen eller en annan API-klient) visas.

När cachen har rensats identifierar GCDS ändringen i Google-kontot och jämför den med källdata i LDAP-katalogen. Om informationen inte stämmer överens ångrar GCDS ändringen som gjorts i Google-kontot.

Så här rensar du cachen manuellt:

• Kör en synkronisering från Konfigurationshanteraren och välj att rensa cachen när du utför en synkronisering.
• Använd kommandoradsflaggan -f för att tvinga fram en tömning av cachen.
• Ändra XML-konfigurationsfilen för att ställa in maxCacheLifetime- värdet till 0 .

Viktigt : Att tömma cachen kan öka synkroniseringstiden avsevärt.

Hur får GCDS åtkomst till användarprofildata i mitt Google-konto?

Användarprofiler, inklusive ytterligare användarattribut, skrivs till Google-användarkontot och är synliga i kontots katalog. GCDS öppnar katalogen i Google Kontakter. Mer information finns i Översikt: Konfigurera och hantera katalogen .

Hur avgör GCDS vilka alias-e-postadresser som läggs till i ett Google-konto?

I GCDS-konfigurationen kan du ange de attribut som GCDS utvärderar. GCDS utvärderar endast data som lagras i attributet om det matchar en giltig SMTP-adress.

När du använder Microsoft Active Directory proxyAddresses tar GCDS bort smtp: -prefixet under synkroniseringen så att prefixet inte visas på din Google-domän.

Kan jag synkronisera med fler än ett Google-konto samtidigt?

Ja. Du kan använda GCDS för att synkronisera från en LDAP-katalog till flera Google-konton genom att använda mer än en konfigurationsfil. Om du kör flera synkroniseringar samtidigt, se till att konfigurationsfilerna sparas med unika namn.

Om du vill klona en befintlig konfigurationsfil använder du alternativet Spara som i Konfigurationshanteraren och sparar filen med ett nytt namn.

Hur löser GCDS konflikter i konton?

GCDS följer de inställningar för hantering av konfliktkonton som du konfigurerar i Googles administratörskonsol. Mer information finns i Hantera konfliktkonton med GCDS .

Hur konfigurerar jag GCDS för att endast provisionera en delmängd av användare?

Om du vill synkronisera en delmängd av användare till ditt Google-konto kan du använda en enda Active Directory- eller LDAP-kataloggrupp som källa. Att använda en grupp begränsar antalet användare som administreras i ditt Google-konto.

Exempel:

Användarfråga
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Den här frågan returnerar alla användare som är medlemmar i gruppen som identifieras av gruppens DN, har e-postadresser och vars konton inte är inaktiverade.

Hur kan jag undanta en organisationsenhet i mitt Google-konto från en synkronisering?

Du kan konfigurera GCDS för att exkludera en organisationsenhet som har konfigurerats i ditt Google-konto genom att definiera en exkluderingsregel för organisationens fullständiga sökväg i Google Domain-konfigurationen.

Exempel:

Exkluderingsregel
Typ: Organisationens kompletta sökväg
Matchningstyp: Exakt matchning
Regel: /OUPath/MyExcludedOU

Kan jag synkronisera användare till en sekundär domän?

Om du har lagt till en ytterligare (sekundär) domän kan du använda GCDS för att synkronisera användare till den domänen. För att synkronisera användare till din sekundära domän, se till att användarnas e-postadresser på din LDAP-server matchar ditt sekundära domännamn. GCDS skapar användarna i ditt Google-konto med din sekundära domän som primär e-postadress.

Om du inte vill göra ändringar i ditt befintliga LDAP-e-postattribut, tilldela ett annat attribut för att synkronisera dina sekundära domänanvändares e-postadresser. Mer information om sekundära domäner finns i Lägga till en användaraliasdomän eller sekundär domän .

Kan jag använda jokertecken med LDAP-användarsökningar?

Ja, så länge LDAP-servern stöder jokertecken.

LDAP-kataloger stöder inte jokertecken i DN-attribut (distinguished name) när du utför en användarsökning. Du kan till exempel använda (mail=user*) , men inte (distinguishedName=*,DC=domain,DC=com) .

Kan jag använda en rekursiv sökning i memberOf för användarnas sökfrågor?

Ja, om du använder en LDAP-server som stöder rekursiva memberOf-sökningar. De stöds av Active Directory, men inte av OpenLDAP.

Varför stängs mitt Google Workspace-användarkonto av efter att jag kört GCDS?

Om ett Google Workspace-användarkonto stängs av efter att GCDS har körts får du ett felmeddelande som förklarar varför detta hände. För att undvika att upprepa det specifika felet vid efterföljande synkroniseringar kan du implementera en av följande lösningar beroende på orsaken till problemet:

• Problem: Användaren finns inte på LDAP-servern.

  Lösning: Eftersom användaren inte finns på LDAP-servern bör kunden ställa in en Google-regel för användaruteslutning för att förhindra att GCDS stänger av användaren i Google Workspace.

• Problem: Användaren har inte en giltig e-postadress på LDAP-servern.

  Lösning: Du bör konfigurera en e-postadress för den här användaren eller ange en Google-användarundantagsregel för att förhindra att GCDS stänger av användaren i Google Workspace.

  Du kan också ändra GCDS-konfigurationen så att den använder användarens e-postadressattribut som finns på LDAP-servern. Använd till exempel attributet userPrincipalName (UPN) istället för attributet mail .

• Problem: Användaren hoppas över av undantagsregler på LDAP-servern.

  Lösning: Du bör korrigera uteslutningsreglerna om du inte vill stänga av den här användaren.

• Problem: Användaren hittas och stängs av i sökreglerna eftersom alternativet Stäng av dessa användare i Google-domänen är markerat.

  Lösning: Användaren kan behöva stängas av.

• Problem: Användaren har blivit avstängd på LDAP-servern.

  Lösning: Användaren kan behöva stängas av.

Kan GCDS synkronisera cykliska gruppmedlemskap?

I en cyklisk grupptillhörighet är två (eller fler) grupper medlemmar i varandra. Till exempel är Grupp A medlem i Grupp B och Grupp B är medlem i Grupp A.

Cykliska gruppmedlemskap stöds av LDAP och Microsoft Active Directory. De stöds dock inte av Google Grupper. Om du försöker synkronisera ett cykliskt medlemskap ser du felmeddelandet "Cykliska medlemskap tillåts inte".

Hur kan jag säkerställa att GCDS inte tar bort eller ändrar befintliga grupper som jag skapat?

Du kan konfigurera GCDS för att exkludera en grupp genom att definiera en exkluderingsregel för gruppens e-postadress i Googles domänkonfiguration. Mer information finns i Använd regler för Google-data .

Exempel:

Exkluderingsregel
Typ: Gruppens e-postadress
Matchningstyp: Exakt matchning
Regel: GCP_Projekt1@example.com

Obs ! Vi rekommenderar att du skapar och hanterar dessa grupper i din LDAP-katalog. Gruppmedlemskap hålls uppdaterade i ditt Google-konto när GCDS synkroniserar data.

För att behålla befintliga grupper som inte finns i LDAP kan du aktivera inställningen Ta inte bort Google-grupper som inte hittades i LDAP . Mer information finns i policyn för borttagning av Google-grupper .

Synkroniserar GCDS användarskapade grupper?

En användarskapad grupp är en grupp som skapats i Google Groups for Business . Om en LDAP-grupp matchar en användarskapad grupp ignorerar GCDS gruppen som om det finns en GCDS-undantagsregel för den specifika gruppen. Gruppen tas inte bort om den inte matchar LDAP-data.

Om du har lagt till medlemmar i motsvarande objekt eller entitet i LDAP lägger GCDS till dessa medlemmar i gruppen. Om du har lagt till användare i Google-gruppen som inte matchar dina LDAP-data kommer dessa medlemmar inte att tas bort under synkroniseringsprocessen.

För mer information om användarskapade grupper, gå till Vanliga frågor och svar för gruppadministratörer .

Kan GCDS synkronisera kapslade gruppmedlemskap?

Ja, GCDS synkroniserar kapslade gruppmedlemskap. Det finns dock vissa begränsningar gällande kapslade grupper och e-postleverans med Google Groups for Business. Inte alla kapslade gruppmedlemmar får e-postinnehåll som skickas till gruppen när:

• Modereringsbehörighet är aktiverad. Ett e-postmeddelande skickas inte automatiskt till gruppmedlemmar eller andra kapslade grupper förrän gruppens moderator ger godkännande.
• En föräldergrupp har inte behörighet att skicka meddelandet till de kapslade grupperna.

Relaterade ämnen

• Lägg till en grupp i en annan grupp
• Se vem som kan visa, posta och moderera

Kan GCDS söka i kapslade gruppmedlemskap?

Ja. GCDS synkroniserar medlemmar i grupper, oavsett om medlemmen är en användare eller en grupp. GCDS stöder dock inte en sökregel för att utöka medlemmar i kapslade grupper om den sökregeln inte stöds av din LDAP-server.

Hur kan jag bara synkronisera giltiga gruppmedlemmar?

Du vill bara synkronisera medlemmar som är aktiva användare på LDAP-servern. Till exempel har du Grupp 1 på LDAP-servern, som har två medlemmar, användare1 och användare2. Användare1 har dock stängts av på LDAP-servern. Efter en synkronisering bör Grupp 1 i ditt Google-konto innehålla användare2 som enda medlem, medan användare1 är avstängd (eller borttagen, baserat på dina GCDS-inställningar).

Så här synkroniserar du giltiga gruppmedlemmar:

1. Leta reda på konfigurationsfilen. Det här är samma XML-fil som du använder för att ladda din GCDS-konfiguration.
2. Öppna konfigurationsfilen med en textredigerare.
3. Hitta och ta bort alternativet INDEPENDENT_GROUP_SYNC .
4. Sök efter alternativet ADD_VALID_GROUP_MEMBERS_ONLY .

   Om den inte finns, lägg till den i filen.

5. Se till att synkroniseringen av användarkonton är aktiverad.

   För mer information, gå till Definiera din användarlista .

6. Kör simuleringen för att verifiera resultaten innan du kör en fullständig synkronisering.

Varför synkroniserar inte GCDS säkerhetsgrupper?

Om egenskapen adminCreated i Directory API är inställd på falskt för grupper som skapats av administratörer i Googles administratörskonsol kan GCDS hoppa över dessa grupper under en synkronisering. Så här ser du till att GCDS synkroniserar en ny säkerhetsgrupp:

1. Använd Googles administratörskonsol eller Directory API för att skapa den nya gruppen som en e-postgrupp.
2. Ändra gruppens inställningar för att ändra den till en säkerhetsgrupp.

GCDS synkroniserar inte heller säkerhetsgrupper som finns på din LDAP-server men inte i Google. Dessa grupper synkroniseras som vanliga grupper.

Hur lägger jag till en valfri funktionsflagga i GCDS-konfigurationsfilen?

Innan du börjar : Se till att GCDS stöder funktionen.

1. Leta reda på konfigurationsfilen. Det här är samma XML-fil som du använder för att ladda din GCDS-konfiguration.
2. Öppna konfigurationsfilen med en textredigerare.
3. Leta reda på <features> -taggen i XML-filen och infoga en ny rad inuti taggen.
4. På den nya raden lägger du till en ny <optional> -tagg med namnet på funktionen inuti.
5. Spara och stäng filen.

Exempel

Följande exempel visar hur man lägger till funktionen DONT_RESOLVE_USER_CONFLICT_ACCOUNTS.

<funktioner>

<valfritt>LÖS_ANVÄNDARKONFLIKT_KONTON INTE</valfritt>

</funktioner>

Varför returnerar GCDS ett felmeddelande när cachen rensas?

Felet kan orsakas av ett konfigurationsproblem, till exempel en felaktig konfiguration av en undantagsregel. Felkonfigurationen kan döljas av GCDS-cachning.

GCDS lagrar en cache med data för din Google-tjänst (som Google Workspace eller Cloud Identity) i högst 8 dagar. GCDS kan rensa cachen oftare, beroende på storleken på den cachade datan. Om cachen inte rensas kan det dock ta upp till 8 dagar innan ändringar som gjorts direkt på ditt Google-konto (med administratörskonsolen eller en annan API-klient) visas.

Så här rensar du cachen manuellt:

• Kör en synkronisering från Konfigurationshanteraren och välj att rensa cachen när du utför en synkronisering.
• Använd kommandoradsflaggan -f för att tvinga fram en tömning av cachen.
• Ändra XML-konfigurationsfilen för att ställa in maxCacheLifetime- värdet till 0 .

Viktigt : Att tömma cachen kan öka synkroniseringstiden avsevärt.

Exempel: Du har en grupp som finns på både din LDAP-server och ditt Google-konto. Du skapar en Google-undantagsregel för den här gruppen i hopp om att förhindra att GCDS ändrar gruppen under en synkronisering.

Denna regel gör dock att GCDS beter sig som om gruppen inte finns på ditt Google-konto. GCDS försöker skapa gruppen, men eftersom gruppen redan finns visas ett felmeddelande och GCDS lägger till den i cachen. Efterföljande synkroniseringar använder cachen och GCDS känner igen att gruppen redan finns. När cachen har rensats beter sig GCDS återigen som om gruppen inte finns.

Varför måste jag konfigurera GCDS för att synkronisera lösenord?

Standardinställningarna för lösenordssynkronisering i GCDS används för att definiera hur GCDS skapar lösenord för nya användarkonton. Om du inte vill anpassa ett initialt kontolösenord krävs ingen åtgärd. Använd bara standardinställningarna.

Om du använder Active Directory kan du använda lösenordssynkronisering för att synkronisera användarlösenord från Active Directory till din Google-domän.

Hur löser GCDS konflikter när flera synkroniseringsregler gäller?

GCDS behandlar reglerna i ordning, från högsta till lägsta.

Du konfigurerar till exempel en synkroniseringsregel för användarkonton för att skapa användare i rotorganisationsenheten eller /. Sedan skapar du en lägre regel för att skapa användare i organisationsenheten /Exceptions. Efter en synkronisering skapas användare som matchar båda reglerna i rotorganisationsenheten eftersom den regeln har högre prioritet.

För att säkerställa att användarna placeras korrekt i /Exceptions, se till att regeln listas högre upp än alla andra motstridiga regler. Eller se till att det är den första regeln i den ordnade listan.

Hur kan jag granska och granska en GCDS-synkronisering?

GCDS använder 3-legged OAuth 2.0 för auktorisering. Denna process ger GCDS en OAuth 2.0-token. Token gör det möjligt för GCDS att vidta åtgärder å administratörens vägnar som utförde auktoriseringen.

Alla granskningshändelser listas av administratören som auktoriserade GCDS. Överväg att skapa ett dedikerat GCDS-administratörskonto så att du tydligt kan se de ändringar och granskningar som utförs av GCDS.

Relaterat ämne

Auktorisera ditt Google-konto

Tar GCDS bort mina scheman om jag aktiverar schemasynkronisering?

Under en synkronisering tar GCDS hänsyn till den aktuella LDAP-konfigurationen för att avgöra om ett anpassat schema ska behållas eller tas bort i ditt Google-konto.

Dessutom har GCDS-konfigurationsfilen en schemaHistory- inställning som innehåller information om anpassade scheman som har synkroniserats tidigare. Om ett anpassat schema har synkroniserats av GCDS läggs det automatiskt till i schemaHistory. Om du manuellt tar bort schemaHistory-inställningarna i konfigurationsfilen och om det anpassade schemat inte finns i din LDAP-katalog hoppar GCDS över och tar inte bort det anpassade schemat i ditt Google-konto.

För att manuellt radera din schemaHistory i din konfigurationsfil, leta efter:

<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>

Kan jag synkronisera GCDS från flera LDAP-kataloger?

Hur genererar och lagrar GCDS den symmetriska nyckeln på ett säkert sätt?

Den symmetriska nyckeln som krypterar GCDS-uppdateringstoken genereras av standard Java-krypteringsnyckelgeneratorn med AES 128.

Den symmetriska nyckellagringen hanteras av metoden userNodeForPackage i klassen Preferences i Java. Nyckelns exakta plats styrs inte av GCDS och är beroende av operativsystemet.

I Windows lagras inställningsdata i registerhive för användaren. I Linux lagras den i användarens hemkatalog.

Vi rekommenderar att kunder följer bästa praxis för att säkerställa att nyckeln är korrekt skyddad genom att både använda ett krypterat filsystem och säkerställa restriktiva åtkomstkontrollistor (ACL:er).

Vad är det unika ID:t?

Det unika ID:t (även kallat den icke-adressbaserade primärnyckeln) används internt av GCDS och synkroniseras inte med Google Workspace. GCDS lagrar det unika ID:t i en TSV-fil på datorn där GCDS är installerat. Du hittar TSV-filnamnet och dess fullständiga sökväg i XML-konfigurationsfilen.

Om en användare byter namn på LDAP-servern men inte i Google Workspace använder GCDS det unika ID:t för att förhindra att användarens uppgifter raderas eller dupliceras.

Obs! Du kan orsaka synkroniseringsproblem om du manuellt ändrar användarens e-postadresser på både LDAP-servern och Google Workspace. För att undvika problemet, ta bort motsvarande användarposter från TSV-filen innan du kör GCDS.

Hur kan jag synkronisera säkerhetsgrupper från Active Directory eller min LDAP-katalog och använda dem i Cloud IAM?

Du kan konfigurera GCDS för att synkronisera säkerhetsgrupper med hjälp av LDAP-sökregler.

Exempel 1: Sök efter alla säkerhetsgrupper

Det här exemplet visar en LDAP-sökning efter alla säkerhetsgrupper som har en e-postadress:

(&(objektkategori=grupp)(grupptyp:1.2.840.113556.1.4.803:=-2147483648)(post=*))

Exempel 2: Sök efter en delmängd av säkerhetsgrupper

Om du vill synkronisera en delmängd av säkerhetsgrupper kan du överväga att använda extensionAttribute1 och ange ett specifikt värde, till exempel GoogleCloud. Du kan sedan förfina GCDS-frågan för att endast etablera den specifika delmängden av säkerhetsgrupper.

Det här exemplet visar en LDAP-sökning efter alla säkerhetsgrupper som har en e-postadress och GoogleCloud-attributet:

(&(objektkategori=grupp)(grupptyp:1.2.840.113556.1.4.803:=-2147483648)(post=*)(tilläggsattribut1=GoogleCloud))

Viktig:

• Alla grupper i en Google-domän refereras av en e-postadress. Du måste se till att alla säkerhetsgrupper du vill synkronisera har ett giltigt e-postattribut definierat.
• En grupp som skapas på en Google-domän har inte automatiskt en explicit roll i Google Cloud Identity and Access Management (IAM). När en grupp har skapats måste du använda Cloud IAM för att tilldela en grupp specifika roller.

Hur kan jag lägga till användare som bara behöver ett konto för Google Cloud-projekt?

Du kan konfigurera GCDS genom att lägga till en regel för användarsynkronisering för Google Cloud-användare. Det enklaste sättet är att skapa en ny fråga baserat på att användarna är medlemmar i en grupp, till exempel:

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Sedan kan du använda följande sökfilter för att hitta användare som är medlemmar i gruppen, har en e-postadress och vars konton inte är avstängda:

grupp cn=Molnanvändare, cn=användare, dc=företag, dc=domän, dc=com

Överväg att placera dessa användare i en enda organisationsenhet. För att göra detta, definiera ett organisationsenhetsnamn (till exempel molnanvändare) i regeln. Skapa organisationsenheten om den inte redan finns.

Licensfrågor

Tänk på hur din domän är konfigurerad så att du kan tilldela produktlicenser till användarkonton på lämpligt sätt. Om automatisk licensiering är aktiverad kanske du vill undanta organisationsenheten Cloud Users från att tilldelas en produktlicens. Mer information finns i Ange alternativ för automatisk licensiering för en organisation .

För mer komplexa licenskrav kan du konfigurera GCDS för att synkronisera och hantera alla dina användarlicenstilldelningar. För mer information, gå till Synkronisera licenser .