3. Организация данных LDAP

What is your primary domain?

Укажите домен Google, который вы хотите синхронизировать. Это необходимо при настройке GCDS.

Примечание : Синхронизация адресов-псевдонимов домена с помощью GCDS невозможна. Подробнее об основах работы с доменами можно узнать здесь.

Также можно использовать замену доменного имени . Замена доменного имени чаще всего используется для пилотного домена , но её также можно использовать, если вы используете GCDS для перехода в новый домен. Если вы укажете другой домен в Configuration Manager, вы сможете импортировать полный список пользователей в другой домен.

Настройте новый домен как основной . Затем в разделе «Конфигурация LDAP» в диспетчере конфигураций введите новый домен как ваш домен Google и укажите администратора для этого домена. В разделе «Конфигурация домена Google» настройте GCDS на замену доменных имен в адресах электронной почты LDAP этим доменным именем. Во время синхронизации GCDS изменит адреса электронной почты всех ваших пользователей на новый домен.

После завершения пилотного периода вы можете изменить доменное имя (и имя администратора Google) на свой основной домен, сохранив при этом все остальные параметры конфигурации без изменений.

What user data should be synchronized?

• Пользователи: Просмотрите свой каталог пользователей с помощью LDAP-браузера и убедитесь, что вы импортируете правильное количество пользователей. Если вы импортируете больше пользователей, чем у вас есть лицензий, во время синхронизации могут возникнуть ошибки. Узнайте больше о том, как управлять лицензиями пользователей .
• Профили пользователей: Если ваш LDAP-сервер каталогов содержит дополнительную информацию, такую ​​как адреса, номера телефонов или контактные данные, вы также можете синхронизировать эту информацию.
• Псевдонимы: Вы можете синхронизировать один или несколько атрибутов для псевдонимов из вашего LDAP-каталога с адресными псевдонимами Google.
• Уникальный идентификатор: Если ваши пользователи склонны менять имена пользователей (адреса электронной почты), настройте атрибут «Уникальный идентификатор» перед настройкой синхронизации, чтобы информация о пользователях не терялась при изменении ими адреса электронной почты.
• Пароли: GCDS поддерживает ограниченный набор операций с паролями. Если у вас есть сервер Microsoft Active Directory, вы можете синхронизировать пароли из каталога LDAP с вашей учетной записью Google с помощью функции синхронизации паролей .
• Удаленные и заблокированные пользователи: по умолчанию пользователи, не найденные в вашем LDAP-каталоге, удаляются из вашей учетной записи Google, а заблокированные пользователи игнорируются. Вы можете изменить настройку по умолчанию на странице учетных записей пользователей в Configuration Manager. Если вы настроите GCDS на блокировку пользователей вместо их удаления, у вас будет возможность просматривать и передавать ресурсы пользователей для восстановления данных. В качестве альтернативы вы можете удалить заблокированных пользователей, но только удалить или заблокировать, но не то и другое одновременно.

Как следует организовывать группы и списки рассылки?

В своем аккаунте Google вы можете организовать пользователей по списку рассылки или организационной структуре:

Список рассылки

Выберите, какие списки рассылки вы хотите синхронизировать с вашего LDAP-сервера каталогов в вашу учетную запись Google. Списки рассылки с вашего LDAP-сервера каталогов импортируются в учетную запись Google как группы.

Некоторые атрибуты списков рассылки содержат буквальный адрес и имеют формат, например, user@example.com . Другие содержат ссылку на отличительное имя (DN) и имеют следующий формат:
cn=Терри Смит,ou=Руководство,dc=example,dc=com.

Если вы хотите сохранить списки рассылки в учетной записи Google:

1. Выясните, какой атрибут содержит имена участников ваших списков рассылки. Обычно это атрибут member или mailAddress .
2. Узнайте, содержит ли атрибут LDAP для участников списка рассылки адрес электронной почты или отличительное имя пользователя.

Организационная структура

По умолчанию GCDS синхронизирует всех пользователей в единую плоскую структуру. Это хорошо подходит для небольших организаций или для случаев, когда необходимо, чтобы у всех пользователей были одинаковые настройки и права. Также это удобно для тестирования небольшой группы перед более масштабным внедрением.

Если вы хотите использовать иерархию организационных подразделений в своей учетной записи Google, вы можете синхронизировать иерархию организаций с вашего LDAP-сервера каталогов. В этом случае сначала проверьте свои организационные подразделения с помощью LDAP-браузера, чтобы убедиться, что вы синхронизируете правильную структуру. У вас могут быть специальные организационные подразделения, которые не должны переноситься в учетную запись Google, например, организационное подразделение для принтеров.

Если вы хотите создавать организационные подразделения вручную в своей учетной записи Google , вы можете настроить их в Google, а затем GCDS будет перемещать пользователей в эти организации без изменения существующих организаций. Выберите этот параметр на странице «Организационные подразделения» в диспетчере конфигураций. Для каждого правила поиска пользователей укажите организацию, которая должна содержать пользователей для этого правила, или атрибут LDAP, содержащий имя соответствующей организации.

Do you want to manage licenses with GCDS?

Для управления лицензиями с помощью GCDS необходимо создать и сгруппировать пользователей в определенные группы лицензий. В качестве альтернативы можно задать определенный атрибут для каждой учетной записи пользователя.

GCDS использует группу или атрибут для определения правильной лицензии, которую следует применить к учетной записи.

Вы хотите синхронизировать общие контакты и ресурсы календаря?

GCDS может синхронизировать другие ресурсы LDAP, такие как общие контакты и ресурсы календаря, с вашей учетной записью Google.

• Общие контакты: Информация об общих контактах видна каждому пользователю в списке контактов. Кроме того, если вы настроили общие контакты, автозаполнение адресов электронной почты в Gmail будет включено для каждого пользователя в списке. Чтобы импортировать адреса в свою учетную запись Google в качестве общих контактов, включите функцию «Общие контакты» на странице «Общие настройки» в Диспетчере конфигурации. После синхронизации общих контактов может потребоваться до 24 часов, чтобы изменения отобразились в вашем домене Google.

  Примечание : GCDS синхронизирует только общие контакты. Личные контакты не синхронизируются.

• Календарные ресурсы: Если вы хотите импортировать календарные ресурсы (например, конференц-залы) из вашего LDAP-каталога в вашу учетную запись Google, вам необходимо настроить синхронизацию календарных ресурсов таким образом, чтобы эти ресурсы были видны каждому пользователю.

• Необходимо указать формат именования для ресурсов календаря. Имейте в виду, что правила именования ресурсов календаря отличаются от правил именования другой синхронизируемой информации. Имена не могут содержать пробелы или специальные символы.

How will you synchronize passwords?

Tip : You can use Password Sync to keeps your users' Google Workspace passwords in sync with their Active Directory passwords.

GCDS поддерживает ограниченный набор операций с паролями. Он может импортировать пароли только в атрибуте LDAP, который хранит пароли в виде открытого текста, Base64, MD5 без соли или SHA-1 без соли. Другие зашифрованные пароли и хеши с солью не поддерживаются. Большинство серверов каталогов не поддерживают эти форматы изначально, и хранение паролей пользователей в таких форматах на почтовом сервере может иметь серьезные последствия для безопасности.

Для синхронизации паролей GCDS предоставляет следующие возможности:

• Implement single sign-on for your domain : Users have the same passwords and authorization for your Google Account and your LDAP directory server. You can set up a Security Assertion Markup Language (SAML) server for your account to manage single sign-on. GCDS creates random passwords during synchronization in this case.

  Note : Single sign-on only supports only web authentication. Other forms of authentication (such as IMAP, POP, and ActiveSync) do not support single sign-on and still require a Google password.

• Используйте атрибут LDAP в виде обычного текста для пароля по умолчанию для новых пользователей : используйте этот параметр, если хотите, чтобы у пользователей были отдельные одноразовые пароли. При использовании этого параметра пароли Google будут отделены от паролей на вашем сервере каталогов LDAP. Вы можете использовать этот метод для создания временного пароля из любого атрибута LDAP, содержащего данные в формате обычного текста.
• Используйте стороннюю утилиту для преобразования неподдерживаемых паролей в поддерживаемый формат : воспользуйтесь этим вариантом, если вам необходимо, чтобы Google использовал те же пароли, что и ваш сервер каталогов LDAP, но вы не можете настроить сервер SAML. Проверьте Google Workspace Marketplace на наличие сторонних инструментов для синхронизации паролей. Google не оказывает поддержку сторонним инструментам.
• Specify a default password for new users : With this option, every new user has the same password until they sign in and change it. Google passwords are kept separate from passwords on your LDAP directory server. To use this option, set a default password for new users and then set GCDS to synchronize passwords for new users and then force them to change their password.
  Поскольку пароль иногда могут угадать другие пользователи, этот вариант, как правило, не рекомендуется как безопасный.

How will you map your data?

You need to decide how your LDAP directory server data maps to your Google Account's data and have a clear picture of how every user, group, and resource should be synchronized. You can set up this mapping to a flat hierarchy, an automatic one-to-one synchronization, or a manual set of custom rules. For details, see What is synced?

Sample scenario

В качестве администратора Google для организации Example Organization вы решаете скопировать существующую иерархию организации на LDAP-сервере в учетную запись Google и определяете организационные подразделения, которые необходимо синхронизировать.

Вы решаете, что организации Example Organization необходимо синхронизировать:

• Организационные подразделения
• Пользователи
• Псевдонимы
• Groups (mailing lists)
• Общие контакты
• Календарные ресурсы

В списках рассылки на сервере каталогов LDAP для хранения информации о членах каждого списка рассылки используется атрибут member , который содержит полное отличительное имя (DN) членов списка рассылки, а не их адрес электронной почты. Как администратор GCDS, вы должны учитывать этот атрибут и то, что это ссылочный атрибут, а не буквальный атрибут.

Поскольку информация о профилях пользователей LDAP на сервере LDAP не имеет стандартного формата в разных организациях, вы, как администратор Google, можете принять решение не синхронизировать эту информацию.

На LDAP-сервере вы создаете пользовательский атрибут и заполняете его случайно сгенерированным одноразовым паролем. В своем аккаунте Google вы настраиваете рассылку паролей пользователям вместе с информацией о том, как активировать их учетные записи.

В организационном подразделении подрядчиков есть пользователи, которые больше не работают в организации Example Organization и не должны быть синхронизированы. Вы рассматриваете список и замечаете, что все они соответствуют регулярному выражению, поскольку адреса пользователей начинаются с "defunct". Наконец, вы создаете исключения для этих пользователей в домене Google.