Un utilisateur possède-t-il certains attributs dans le domaine Google et d'autres dans le serveur LDAP ? Souhaitez-vous conserver ces différents attributs ? Comment vous assurer que Google Cloud Directory Sync (GCDS) ne modifie pas les attributs de l'utilisateur lors d'une synchronisation ?
Pour cela, vous avez besoin de deux règles d'exclusion : une pour vos données LDAP et une pour les données de votre domaine Google.
Exemple de scénario
Voici un scénario dans lequel l'utilisateur fred@solarmora.com existe sur le serveur LDAP et le domaine Google :
- Domaine Google : Fred appartient à la sous-organisation "Comptes utilisateur test".
- Serveur LDAP : Fred appartient à l'unité organisationnelle "Finance".
- Règle de recherche : une règle de recherche place les utilisateurs de l'unité organisationnelle "Finance" dans la sous-organisation "Finance" du domaine Google.
- Règle d'exclusion : il existe une règle d'exclusion du chemin complet de l'organisation Google pour "/Comptes utilisateur test", dont Fred est membre.
Lors de la synchronisation, GCDS ignore l'existence de fred@solarmora.com sur le domaine Google en raison de la règle d'exclusion "/Comptes utilisateur test", mais le voit dans les résultats LDAP et tente donc de le créer. Comme Fred existe déjà dans le domaine Google, il n'est pas recréé, mais d'autres actions (qui dépendent de la création de Fred) se produisent. Par exemple, Fred est placé dans la sous-organisation "Finance".
Pour éviter ce scénario, vous devez exclure l'utilisateur du serveur LDAP et du domaine Google. Pour ce faire, ajoutez une règle d'exclusion LDAP qui fonctionne avec la règle d'exclusion du domaine Google. Dans cet exemple, vous ajouterez la règle d'exclusion LDAP par adresse e-mail. Pour en savoir plus, consultez la rubrique Utiliser des règles d'exclusion avec GCDS.
Meilleure conduite à tenir pour gérer plusieurs comptes utilisateur
Dans GCDS, il est plus simple de gérer plusieurs comptes utilisateur à l'aide d'un serveur LDAP.
Si vous souhaitez placer un groupe d'utilisateurs dans une unité organisationnelle spéciale de votre domaine Google, quelle que soit leur unité organisationnelle dans le serveur LDAP, la meilleure approche consiste à :
- marquer ces utilisateurs dans le serveur LDAP avec un attribut personnalisé ou avec une appartenance à un groupe ;
- créer une règle de recherche qui ne correspond qu'à ces utilisateurs. Par exemple, utilisez une règle qui recherche l'attribut personnalisé ou le nom d'appartenance au groupe ("memberOf=groupname") ;
relier la règle de recherche à l'unité organisationnelle en question.
Remarque : Vous pouvez définir une priorité plus élevée pour la règle de recherche. Ainsi, si les utilisateurs sont trouvés dans plusieurs règles de recherche, ils sont envoyés à l'unité organisationnelle spéciale .
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.