3. Sắp xếp dữ liệu LDAP

Miền chính của bạn là gì?

Xác định miền Google mà bạn muốn đồng bộ hoá. Bạn cần thông tin này khi định cấu hình GCDS.

Lưu ý: Bạn không thể đồng bộ hoá địa chỉ bí danh miền bằng GCDS. Tìm hiểu thêm về các kiến thức cơ bản về miền.

Bạn cũng có thể sử dụng tính năng thay thế tên miền. Tính năng thay thế tên miền thường được dùng nhất cho miền thử nghiệm, nhưng bạn cũng có thể dùng tính năng này nếu đang sử dụng GCDS để chuyển sang một miền mới. Nếu chỉ định một miền khác trong Trình quản lý cấu hình, bạn có thể nhập danh sách đầy đủ người dùng vào một miền khác.

Thiết lập miền mới làm miền chính. Sau đó, trong phần Cấu hình LDAP của Trình quản lý cấu hình, hãy nhập miền mới làm miền Google của bạn và chỉ định một quản trị viên cho miền đó. Trong phần Cấu hình miền Google, hãy đặt GCDS thành thay thế tên miền trong địa chỉ email LDAP bằng tên miền này. GCDS sẽ thay đổi địa chỉ email của tất cả người dùng thành miền mới trong quá trình đồng bộ hoá.

Sau khi giai đoạn thử nghiệm hoàn tất, bạn có thể thay đổi tên miền (và quản trị viên Google) thành miền chính thực tế của mình và giữ nguyên tất cả các lựa chọn cấu hình khác.

Bạn nên đồng bộ hoá dữ liệu người dùng nào?

• Người dùng: Xem qua thư mục người dùng bằng trình duyệt LDAP và đảm bảo rằng bạn đang nhập đúng số lượng người dùng. Nếu nhập nhiều người dùng hơn số lượng giấy phép bạn có, bạn có thể gặp lỗi trong quá trình đồng bộ hoá. Tìm hiểu thêm về cách Quản lý giấy phép cho người dùng.
• Hồ sơ người dùng: Nếu máy chủ thư mục LDAP có thêm thông tin, chẳng hạn như địa chỉ, số điện thoại hoặc thông tin liên hệ, bạn cũng có thể đồng bộ hoá thông tin này.
• Bí danh: Bạn có thể đồng bộ hoá một hoặc nhiều thuộc tính cho bí danh từ thư mục LDAP vào bí danh địa chỉ Google.
• Mã nhận dạng duy nhất: Nếu người dùng có khả năng thay đổi tên người dùng (địa chỉ email), hãy thiết lập thuộc tính Mã nhận dạng duy nhất trước khi thiết lập quá trình đồng bộ hoá để thông tin người dùng không bị mất khi người dùng thay đổi địa chỉ email.
• Mật khẩu: GCDS hỗ trợ một số thao tác mật khẩu. Nếu có máy chủ Microsoft Active Directory, bạn có thể giữ cho mật khẩu thư mục LDAP được đồng bộ hoá với Tài khoản Google của mình bằng tính năng Đồng bộ hoá mật khẩu.
• Người dùng đã xoá và người dùng bị tạm ngưng: Theo mặc định, những người dùng không tìm thấy trong thư mục LDAP sẽ bị xoá khỏi Tài khoản Google và những người dùng bị tạm ngưng sẽ bị bỏ qua. Bạn có thể thay đổi chế độ cài đặt mặc định trên trang tài khoản người dùng của Trình quản lý cấu hình. Nếu bạn đặt Google Cloud Directory Sync (GCDS) thành tạm ngưng người dùng thay vì xoá họ, bạn có thể xem và chuyển tài sản của người dùng để tận dụng tính năng khôi phục dữ liệu. Ngoài ra, bạn có thể xoá người dùng bị tạm ngưng, nhưng bạn chỉ có thể xoá hoặc tạm ngưng, chứ không thể vừa xoá vừa tạm ngưng.

Bạn nên sắp xếp nhóm và danh sách gửi thư như thế nào?

Bạn có thể sắp xếp người dùng trong Tài khoản Google theo danh sách gửi thư hoặc cơ cấu tổ chức:

Danh sách gửi thư

Quyết định những danh sách gửi thư mà bạn muốn đồng bộ hoá từ máy chủ thư mục LDAP sang Tài khoản Google của mình. Danh sách gửi thư trong máy chủ thư mục LDAP được nhập dưới dạng nhóm trong Tài khoản Google.

Một số thuộc tính danh sách gửi thư chứa địa chỉ cố định và tuân theo định dạng như user@example.com. Một số thuộc tính chứa tham chiếu tên phân biệt (DN) và tuân theo định dạng này:
cn=Terri Smith,ou=Executive Team,dc=example,dc=com.

Nếu bạn muốn giữ lại danh sách gửi thư trong Tài khoản Google:

1. Tìm hiểu thuộc tính nào chứa các thành viên trong danh sách gửi thư. Thông thường, đây là thuộc tính member (thành viên) hoặc mailAddress (địa chỉ email).
2. Tìm hiểu xem thuộc tính LDAP cho thành viên danh sách gửi thư có chứa địa chỉ email hay Tên phân biệt của người dùng hay không.

Cơ cấu tổ chức

Theo mặc định, GCDS đồng bộ hoá tất cả người dùng vào một cấu trúc phẳng duy nhất. Việc này rất phù hợp nếu bạn có một tổ chức nhỏ hoặc nếu bạn muốn tất cả người dùng có cùng chế độ cài đặt và quyền. Việc này cũng phù hợp nếu bạn đang thử nghiệm một nhóm nhỏ trước khi triển khai trên quy mô lớn hơn.

Nếu muốn sử dụng hệ thống phân cấp đơn vị tổ chức trong Tài khoản Google, bạn có thể đồng bộ hoá hệ thống phân cấp tổ chức từ máy chủ thư mục LDAP. Nếu bạn làm như vậy, trước tiên, hãy xem qua các đơn vị tổ chức bằng trình duyệt LDAP để đảm bảo rằng bạn đang đồng bộ hoá đúng cấu trúc. Bạn có thể có những đơn vị tổ chức đặc biệt không nên chuyển sang Tài khoản Google, chẳng hạn như đơn vị tổ chức cho máy in.

Nếu bạn muốn tạo đơn vị tổ chức theo cách thủ công trong Tài khoản Google, bạn có thể thiết lập các đơn vị tổ chức đó trong Google, sau đó yêu cầu GCDS di chuyển người dùng vào các tổ chức đó mà không thay đổi các tổ chức hiện có. Chọn tuỳ chọn này trên trang Đơn vị tổ chức trong Trình quản lý cấu hình. Đối với mỗi quy tắc tìm kiếm người dùng, hãy chỉ định tổ chức chứa người dùng cho quy tắc đó hoặc một thuộc tính LDAP chứa tên của tổ chức thích hợp.

Bạn có muốn quản lý giấy phép bằng GCDS không?

Nếu muốn quản lý giấy phép bằng GCDS, bạn cần tạo và nhóm người dùng thành các nhóm giấy phép cụ thể. Ngoài ra, bạn có thể đặt một thuộc tính cụ thể trên mỗi tài khoản người dùng.

GCDS sử dụng nhóm hoặc thuộc tính để xác định giấy phép chính xác cần áp dụng cho một tài khoản.

Bạn có muốn đồng bộ hoá danh bạ dùng chung và tài nguyên trên Lịch không?

GCDS có thể đồng bộ hoá các tài nguyên LDAP khác, chẳng hạn như danh bạ dùng chung và tài nguyên trên Lịch với Tài khoản Google của bạn.

• Danh bạ dùng chung: Mọi người dùng trong danh sách liên hệ đều có thể xem thông tin chi tiết về danh bạ dùng chung. Ngoài ra, nếu bạn thiết lập danh bạ dùng chung, tính năng tự động hoàn thành địa chỉ email sẽ được bật trong Gmail cho mọi người dùng trong danh sách. Để nhập địa chỉ vào Tài khoản Google của bạn dưới dạng danh bạ dùng chung, hãy bật Danh bạ dùng chung trên trang Cài đặt chung trong Trình quản lý cấu hình. Sau khi bạn đồng bộ hoá danh bạ dùng chung, có thể mất đến 24 giờ thì các thay đổi mới xuất hiện trong miền Google của bạn.

  Lưu ý: GCDS chỉ đồng bộ hoá danh bạ dùng chung. Danh bạ cá nhân không được đồng bộ hoá

• Tài nguyên trên Lịch: Nếu bạn muốn nhập tài nguyên trên Lịch (chẳng hạn như phòng họp) từ thư mục LDAP vào Tài khoản Google của mình, bạn cần định cấu hình tính năng đồng bộ hoá tài nguyên trên Lịch để mọi người dùng đều có thể xem các tài nguyên đó.

• Bạn cần chỉ định định dạng đặt tên cho tài nguyên trên Lịch. Xin lưu ý rằng các quy tắc đặt tên cho tài nguyên trên Lịch khác với các thông tin được đồng bộ hoá khác. Tên không được chứa dấu cách hoặc ký tự đặc biệt.

Bạn sẽ đồng bộ hoá mật khẩu như thế nào?

Mẹo: Bạn có thể sử dụng Đồng bộ hoá mật khẩu để giữ cho mật khẩu Google Workspace của người dùng được đồng bộ hoá với mật khẩu Active Directory của họ.

GCDS hỗ trợ một số thao tác mật khẩu. GCDS chỉ có thể nhập mật khẩu trong một thuộc tính LDAP lưu trữ mật khẩu ở định dạng văn bản thuần tuý, Base64, MD5 không có salt hoặc SHA-1 không có salt. GCDS không hỗ trợ các hàm băm được mã hoá bằng mật khẩu và có salt khác. Hầu hết các máy chủ thư mục không hỗ trợ các định dạng này một cách tự nhiên và việc lưu trữ mật khẩu người dùng ở các định dạng này trên máy chủ thư có thể gây ra những vấn đề nghiêm trọng về bảo mật.

Đối với tính năng đồng bộ hoá mật khẩu, GCDS cung cấp các lựa chọn sau:

• Triển khai tính năng đăng nhập một lần cho miền của bạn: Người dùng có cùng mật khẩu và quyền uỷ quyền cho Tài khoản Google và máy chủ thư mục LDAP của bạn. Bạn có thể thiết lập một máy chủ Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) cho tài khoản của mình để quản lý tính năng đăng nhập một lần. Trong trường hợp này, GCDS sẽ tạo mật khẩu ngẫu nhiên trong quá trình đồng bộ hoá.

  Lưu ý: Tính năng đăng nhập một lần chỉ hỗ trợ xác thực trên web. Các hình thức xác thực khác (chẳng hạn như IMAP, POP và ActiveSync) không hỗ trợ tính năng đăng nhập một lần và vẫn yêu cầu mật khẩu Google.

• Sử dụng thuộc tính LDAP văn bản thuần tuý cho mật khẩu mặc định của người dùng mới: Sử dụng lựa chọn này nếu bạn muốn người dùng có mật khẩu dùng một lần riêng biệt. Với lựa chọn này, mật khẩu Google sẽ tách biệt với mật khẩu trên máy chủ thư mục LDAP của bạn. Bạn có thể sử dụng phương thức này để tạo mật khẩu tạm thời từ bất kỳ thuộc tính LDAP nào chứa dữ liệu ở định dạng văn bản thuần tuý.
• Sử dụng tiện ích của bên thứ ba để chuyển đổi mật khẩu không được hỗ trợ sang định dạng được hỗ trợ: Sử dụng lựa chọn này nếu bạn cần Google sử dụng cùng mật khẩu với máy chủ thư mục LDAP của bạn, nhưng bạn không thể thiết lập máy chủ SAML. Hãy kiểm tra Google Workspace Marketplace để tìm các công cụ của bên thứ ba giúp đồng bộ hoá mật khẩu. Google không hỗ trợ các công cụ của bên thứ ba.
• Chỉ định mật khẩu mặc định cho người dùng mới: Với lựa chọn này, mọi người dùng mới đều có cùng mật khẩu cho đến khi họ đăng nhập và thay đổi mật khẩu. Mật khẩu Google được tách biệt với mật khẩu trên máy chủ thư mục LDAP của bạn. Để sử dụng lựa chọn này, hãy đặt mật khẩu mặc định cho người dùng mới, sau đó đặt GCDS thành đồng bộ hoá mật khẩu cho người dùng mới và buộc họ thay đổi mật khẩu.
  Vì đôi khi người dùng khác có thể đoán được mật khẩu, nên đây thường không phải là lựa chọn an toàn.

Bạn sẽ ánh xạ dữ liệu như thế nào?

Bạn cần quyết định cách dữ liệu máy chủ thư mục LDAP ánh xạ đến dữ liệu Tài khoản Google của bạn và có hình dung rõ ràng về cách đồng bộ hoá từng người dùng, nhóm và tài nguyên. Bạn có thể thiết lập quá trình ánh xạ này thành hệ thống phân cấp phẳng, quá trình đồng bộ hoá tự động một-một hoặc một tập hợp quy tắc tuỳ chỉnh theo cách thủ công. Để biết thông tin chi tiết, hãy xem phần Những nội dung được đồng bộ hoá?

Tình huống mẫu

Là quản trị viên Google cho Tổ chức ví dụ, bạn quyết định rằng hệ thống phân cấp tổ chức hiện có trên máy chủ LDAP sẽ được sao chép vào Tài khoản Google và xác định những đơn vị tổ chức cần được đồng bộ hoá.

Bạn quyết định rằng Tổ chức ví dụ cần đồng bộ hoá:

• Đơn vị tổ chức
• Người dùng
• Bí danh
• Nhóm (danh sách gửi thư)
• Danh bạ dùng chung
• Tài nguyên trên Lịch

Danh sách gửi thư trong máy chủ thư mục LDAP sử dụng thuộc tính member (thành viên) để lưu trữ các thành viên của từng danh sách gửi thư và thuộc tính thành viên chứa tên phân biệt (DN) đầy đủ của các thành viên danh sách gửi thư, thay vì địa chỉ email của họ. Là quản trị viên GCDS, bạn lưu ý thuộc tính này và đây là thuộc tính tham chiếu, không phải thuộc tính cố định.

Vì thông tin hồ sơ người dùng LDAP trên máy chủ LDAP không ở định dạng tiêu chuẩn trên các tổ chức, nên với tư cách là quản trị viên Google, bạn quyết định không đồng bộ hoá thông tin này.

Trong máy chủ LDAP, bạn tạo một thuộc tính tùy chỉnh và điền thuộc tính đó bằng mật khẩu một lần được tạo ngẫu nhiên. Trong Tài khoản Google, bạn thiết lập tính năng hợp nhất thư để gửi mật khẩu cho người dùng cùng với thông tin về cách kích hoạt tài khoản của họ.

Có một số người dùng trong đơn vị tổ chức nhà thầu không còn làm việc cho Tổ chức ví dụ và không nên đồng bộ hoá. Bạn xem xét danh sách và lưu ý rằng tất cả người dùng đó đều khớp với một biểu thức chính quy vì địa chỉ người dùng đều bắt đầu bằng "defunct". Cuối cùng, bạn tạo các trường hợp ngoại lệ cho những người dùng này trong miền Google.