3. LDAP-gegevens ordenen

Wat is uw voornaamste vakgebied?

Identificeer het Google-domein dat u wilt synchroniseren. U hebt dit nodig bij het configureren van GCDS.

Let op : U kunt domeinaliasadressen niet synchroniseren met GCDS. Lees meer over de basisprincipes van domeinen .

U kunt ook een domeinnaamvervanging gebruiken . Een domeinnaamvervanging wordt meestal gebruikt voor een pilotdomein , maar kan ook worden gebruikt als u GCDS gebruikt om naar een nieuw domein te migreren. Als u een ander domein opgeeft in Configuration Manager, kunt u een volledige lijst met gebruikers importeren in een ander domein.

Stel het nieuwe domein in als primair domein . Voer vervolgens in de LDAP-configuratie van Configuration Manager het nieuwe domein in als uw Google-domein en geef een beheerder op voor dat domein. Stel in de Google-domeinconfiguratie GCDS in om domeinnamen in LDAP-e-mailadressen te vervangen door deze domeinnaam. GCDS wijzigt de e-mailadressen van al uw gebruikers tijdens de synchronisatie naar het nieuwe domein.

Na afloop van de pilotperiode kunt u de domeinnaam (en de Google-beheerder) wijzigen naar uw daadwerkelijke primaire domein. Alle andere configuratieopties blijven ongewijzigd.

Welke gebruikersgegevens moeten worden gesynchroniseerd?

• Gebruikers: Controleer uw gebruikersdirectory met een LDAP-browser en zorg ervoor dat u het juiste aantal gebruikers importeert. Als u meer gebruikers importeert dan waarvoor u een licentie hebt, kunnen er fouten optreden tijdens de synchronisatie. Lees meer over het beheren van gebruikerslicenties .
• Gebruikersprofielen: Als uw LDAP-directoryserver aanvullende informatie bevat, zoals adressen, telefoonnummers of contactgegevens, kunt u deze informatie ook synchroniseren.
• Aliassen: U kunt een of meer kenmerken voor aliassen uit uw LDAP-directory synchroniseren met Google-adresaliassen.
• Unieke ID: Als uw gebruikers waarschijnlijk hun gebruikersnaam (e-mailadres) wijzigen, stel dan een unieke ID in voordat u een synchronisatie instelt. Zo gaat er geen gebruikersinformatie verloren wanneer een gebruiker zijn of haar e-mailadres wijzigt.
• Wachtwoorden: GCDS ondersteunt een beperkt aantal wachtwoordbewerkingen. Als u een Microsoft Active Directory-server hebt, kunt u uw LDAP-directorywachtwoorden synchroniseren met uw Google-account met Password Sync .
• Verwijderde en geschorste gebruikers: Standaard worden gebruikers die niet in uw LDAP-directory worden gevonden, verwijderd uit uw Google-account en worden geschorste gebruikers genegeerd. U kunt deze standaardinstelling wijzigen op de pagina Gebruikersaccounts in Configuratiebeheer. Als u GCDS instelt om gebruikers te schorsen in plaats van te verwijderen, kunt u gebruikersgegevens bekijken en overdragen om gebruik te maken van gegevensherstel. U kunt geschorste gebruikers ook verwijderen, maar u kunt ze óf verwijderen óf schorsen, niet beide.

Hoe organiseer je je groepen en mailinglijsten?

Je kunt je gebruikers in je Google-account organiseren op basis van mailinglijsten of organisatiestructuren:

Mailinglijst

Bepaal welke mailinglijsten u wilt synchroniseren van uw LDAP-directoryserver naar uw Google-account. Mailinglijsten in uw LDAP-directoryserver worden als groepen in het Google-account geïmporteerd.

Sommige kenmerken van mailinglijsten bevatten een letterlijk adres en volgen een formaat zoals user@example.com . Andere bevatten een verwijzing naar een distinguished name (DN) en volgen dit formaat:
cn=Terri Smith,ou=Executief team,dc=voorbeeld,dc=com.

Als u de mailinglijsten in uw Google-account wilt behouden:

1. Ontdek welk attribuut de leden van uw mailinglijsten bevat. Meestal is dit het attribuut 'member' of 'mailAddress' .
2. Ontdek of het LDAP-attribuut voor leden van een mailinglijst een e-mailadres of een Distinguished Name van een gebruiker bevat.

Organisatiestructuur

Standaard synchroniseert GCDS alle gebruikers in één platte structuur. Dit werkt goed als je een kleine organisatie hebt of als je wilt dat alle gebruikers dezelfde instellingen en rechten hebben. Het is ook handig als je een kleine groep test voordat je een grotere uitrol uitvoert.

Als u een hiërarchie van organisatie-eenheden in uw Google-account wilt gebruiken, kunt u deze synchroniseren vanuit uw LDAP-directoryserver. Controleer in dat geval eerst uw organisatie-eenheden met een LDAP-browser om er zeker van te zijn dat u de juiste structuur synchroniseert. Mogelijk hebt u speciale organisatie-eenheden die niet naar het Google-account moeten worden overgezet, zoals een organisatie-eenheid voor printers.

Als u handmatig organisatie-eenheden wilt aanmaken in uw Google-account , kunt u deze instellen in Google. Vervolgens kan GCDS gebruikers naar deze organisaties verplaatsen zonder de bestaande organisaties te wijzigen. Selecteer deze optie op de pagina 'Organisatie-eenheden' in Configuration Manager. Geef voor elke zoekregel voor gebruikers de organisatie op die de gebruikers voor die regel moet bevatten, of een LDAP-kenmerk met de naam van de betreffende organisatie.

Wilt u licenties beheren met GCDS?

Als u licenties wilt beheren met GCDS, moet u gebruikers aanmaken en indelen in specifieke licentiegroepen. U kunt ook een specifiek kenmerk instellen voor elk gebruikersaccount.

GCDS gebruikt de groep of het kenmerk om te bepalen welke licentie aan een account moet worden toegewezen.

Wil je gedeelde contactpersonen en agenda-items synchroniseren?

GCDS kan andere LDAP-bronnen, zoals gedeelde contactpersonen en agenda-informatie, synchroniseren met uw Google-account.

• Gedeelde contacten: De contactgegevens van gedeelde contacten zijn zichtbaar voor elke gebruiker in een contactenlijst. Als u gedeelde contacten instelt, wordt de automatische aanvulling van e-mailadressen in Gmail ingeschakeld voor elke gebruiker in de lijst. Om adressen als gedeelde contacten in uw Google-account te importeren, schakelt u 'Gedeelde contacten' in op de pagina 'Algemene instellingen' in Configuration Manager. Nadat u gedeelde contacten hebt gesynchroniseerd, kan het tot 24 uur duren voordat de wijzigingen in uw Google-domein zichtbaar zijn.

  Let op : GCDS synchroniseert alleen gedeelde contacten. Persoonlijke contacten worden niet gesynchroniseerd.

• Agenda-informatie: Als u agenda-informatie (zoals vergaderruimtes) vanuit uw LDAP-directory naar uw Google-account wilt importeren, moet u de synchronisatie van agenda-informatie configureren, zodat deze voor elke gebruiker zichtbaar is.

• U moet een naamgevingsformaat opgeven voor uw agendabronnen. Houd er rekening mee dat de regels voor namen van agendabronnen afwijken van die voor andere gesynchroniseerde informatie. Namen mogen geen spaties of speciale tekens bevatten.

Hoe ga je de wachtwoorden synchroniseren?

Tip : Met Wachtwoordsynchronisatie kunt u de Google Workspace-wachtwoorden van uw gebruikers synchroniseren met hun Active Directory-wachtwoorden.

GCDS ondersteunt een beperkt aantal wachtwoordbewerkingen. Het kan wachtwoorden alleen importeren in een LDAP-attribuut dat wachtwoorden opslaat in platte tekst, Base64, MD5 zonder zout of SHA-1 zonder zout. Andere wachtwoordversleutelde en gehasde formaten met zout worden niet ondersteund. De meeste directoryservers ondersteunen deze formaten niet standaard, en het opslaan van uw gebruikerswachtwoorden in deze formaten op uw mailserver kan ernstige beveiligingsrisico's met zich meebrengen.

Voor wachtwoordsynchronisatie biedt GCDS de volgende opties:

• Implementeer single sign-on voor uw domein : gebruikers hebben dezelfde wachtwoorden en autorisatie voor uw Google-account en uw LDAP-directoryserver. U kunt een Security Assertion Markup Language (SAML)-server voor uw account instellen om single sign-on te beheren. GCDS genereert in dit geval willekeurige wachtwoorden tijdens de synchronisatie.

  Let op : Single sign-on ondersteunt alleen webauthenticatie. Andere authenticatiemethoden (zoals IMAP, POP en ActiveSync) ondersteunen geen single sign-on en vereisen nog steeds een Google-wachtwoord.

• Gebruik een LDAP-attribuut in platte tekst voor het standaardwachtwoord voor nieuwe gebruikers : Gebruik deze optie als u wilt dat gebruikers aparte eenmalige wachtwoorden hebben. Met deze optie zijn Google-wachtwoorden gescheiden van wachtwoorden op uw LDAP-directoryserver. U kunt deze methode gebruiken om een ​​tijdelijk wachtwoord te genereren op basis van elk LDAP-attribuut dat gegevens in platte tekst bevat.
• Gebruik een hulpprogramma van derden om niet-ondersteunde wachtwoorden naar een ondersteund formaat te converteren : Gebruik deze optie als u wilt dat Google dezelfde wachtwoorden gebruikt als uw LDAP-directoryserver, maar u geen SAML-server kunt instellen. Kijk in de Google Workspace Marketplace voor tools van derden die u kunnen helpen bij het synchroniseren van wachtwoorden. Google biedt geen ondersteuning voor tools van derden.
• Een standaardwachtwoord instellen voor nieuwe gebruikers : Met deze optie heeft elke nieuwe gebruiker hetzelfde wachtwoord totdat hij of zij zich aanmeldt en het wijzigt. Google-wachtwoorden worden gescheiden gehouden van wachtwoorden op uw LDAP-directoryserver. Om deze optie te gebruiken, stelt u een standaardwachtwoord in voor nieuwe gebruikers en configureert u GCDS vervolgens om wachtwoorden voor nieuwe gebruikers te synchroniseren en hen vervolgens te dwingen hun wachtwoord te wijzigen.
  Omdat het wachtwoord soms door andere gebruikers te raden is, wordt dit over het algemeen niet aanbevolen als een veilige optie.

Hoe ga je je data in kaart brengen?

U moet bepalen hoe de gegevens van uw LDAP-directoryserver worden gekoppeld aan de gegevens van uw Google-account en een duidelijk beeld hebben van hoe elke gebruiker, groep en resource moet worden gesynchroniseerd. U kunt deze koppeling instellen op een platte hiërarchie, een automatische één-op-één-synchronisatie of een handmatige set aangepaste regels. Zie Wat wordt er gesynchroniseerd? voor meer informatie.

Voorbeeldscenario

Als Google-beheerder voor Voorbeeldorganisatie besluit u dat de bestaande organisatiestructuur op de LDAP-server naar het Google-account moet worden gekopieerd en identificeert u de organisatie-eenheden die moeten worden gesynchroniseerd.

U besluit dat de voorbeeldorganisatie moet synchroniseren:

• Organisatie-eenheden
• Gebruikers
• Aliassen
• Groepen (mailinglijsten)
• Gedeelde contacten
• Kalenderbronnen

De mailinglijsten in de LDAP-directoryserver gebruiken het attribuut 'member' om de leden van elke mailinglijst op te slaan. Dit attribuut bevat de volledige distinguished name (DN) van de leden van de mailinglijst, in plaats van hun e-mailadres. Als GCDS-beheerder zult u dit attribuut opmerken, en dat het een referentieattribuut is, geen letterlijk attribuut.

Omdat de LDAP-gebruikersprofielinformatie op de LDAP-server niet in een standaardformaat is opgeslagen voor alle organisaties, besluit u als Google-beheerder deze informatie niet te synchroniseren.

In de LDAP-server maak je een aangepast attribuut aan en vul je dit attribuut met een willekeurig gegenereerd eenmalig wachtwoord. In je Google-account stel je een mailmerge in om de wachtwoorden naar gebruikers te verzenden, samen met informatie over hoe ze hun accounts kunnen activeren.

Er zijn enkele gebruikers in de organisatie-eenheid van aannemers die niet langer bij Voorbeeldorganisatie werken en niet gesynchroniseerd hoeven te worden. U bekijkt de lijst en constateert dat ze allemaal overeenkomen met een reguliere expressie, omdat de gebruikersadressen allemaal beginnen met "defunct". Ten slotte maakt u uitzonderingen voor deze gebruikers in het Google-domein.