Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

3. ארגון נתוני LDAP

צריך להחליט אילו דומיינים ראשיים, משתמשים, יחידות ארגוניות וקבוצות רוצים לסנכרן עם חשבון Google באמצעות Google Cloud Directory Sync‏ (GCDS). צריך גם לחשוב על סיסמאות ועל האופן שבו רוצים למפות את הנתונים של שרת הספרייה.

שלב 3 מתוך 5

איך מארגנים את הנתונים

מה הדומיין הראשי שלך?

מזהים את דומיין Google שרוצים לסנכרן. תצטרכו את זה כשאתם מגדירים את GCDS.

הערה: אי אפשר לסנכרן כתובות של דומיין חלופי באמצעות GCDS. מידע נוסף על דומיינים

אפשר גם להשתמש בהחלפת שם דומיין. החלפת שם דומיין משמשת לרוב לדומיין פיילוט, אבל אפשר להשתמש בה גם אם אתם משתמשים ב-GCDS כדי לעבור לדומיין חדש. אם מציינים דומיין אחר בכלי Configuration Manager, אפשר לייבא רשימה מלאה של משתמשים לדומיין אחר.

מגדירים את הדומיין החדש כדומיין ראשי. לאחר מכן, באשף ההגדרות, בקטע הגדרת LDAP, מזינים את הדומיין החדש כדומיין Google ומציינים אדמין לדומיין הזה. בקטע הגדרת הדומיין של Google, מגדירים את GCDS כך ששמות הדומיין בכתובות אימייל של LDAP יוחלפו בשם הדומיין הזה. במהלך הסנכרון, GCDS משנה את כתובות האימייל של כל המשתמשים לדומיין החדש.

אחרי שתקופת הפיילוט תסתיים, תוכלו לשנות את שם הדומיין (ואת האדמין ב-Google) לדומיין הראשי האמיתי שלכם, ולהשאיר את כל שאר אפשרויות ההגדרה ללא שינוי.

אילו נתוני משתמשים צריך לסנכרן?

משתמשים: מעיינים בספריית המשתמשים באמצעות דפדפן LDAP ומוודאים שמייבאים את מספר המשתמשים הנכון. אם מייבאים יותר משתמשים ממספר הרישיונות שיש לכם, יכול להיות שתיתקלו בשגיאות במהלך הסנכרון. מידע נוסף על ניהול רישיונות משתמשים
פרופילי משתמשים: אם שרת ספריית ה-LDAP שלכם כולל מידע נוסף, כמו כתובות, מספרי טלפון או פרטים ליצירת קשר, אתם יכולים לסנכרן גם את המידע הזה.
כינויים: אתם יכולים לסנכרן מאפיין אחד או יותר של כינויים מהספרייה שלכם ב-LDAP לכינויים של כתובות ב-Google.
מזהה ייחודי: אם סביר שהמשתמשים שלכם ישנו את שמות המשתמש (כתובות האימייל), כדאי להגדיר מאפיין של מזהה ייחודי לפני שמגדירים סנכרון, כדי שפרטי המשתמש לא יאבדו כשהמשתמש ישנה את כתובת האימייל שלו.
סיסמאות: GCDS תומך בקבוצה מוגבלת של פעולות שקשורות לסיסמאות. אם יש לכם שרת Microsoft Active Directory, אתם יכולים לסנכרן את הסיסמאות בספריית LDAP עם חשבון Google באמצעות סנכרון סיסמאות.
משתמשים שנמחקו ומשתמשים מושעים: כברירת מחדל, משתמשים שלא נמצאים בספריית LDAP שלכם נמחקים מחשבון Google, ומשתמשים מושעים לא נכללים בסנכרון. אתם יכולים לשנות את הגדרת ברירת המחדל בדף חשבונות המשתמשים בכלי Configuration Manager. אם תגדירו את GCDS להשעות משתמשים במקום למחוק אותם, תוכלו לראות את הנכסים של המשתמשים ולהעביר אותם כדי לנצל את האפשרות לשחזור נתונים. לחלופין, תוכלו למחוק משתמשים מושעים, אבל אתם יכולים רק למחוק או להשעות, ולא גם וגם.

איך כדאי לארגן את הקבוצות ואת רשימות התפוצה?

אתם יכולים לארגן את המשתמשים בחשבון Google שלכם לפי רשימת תפוצה או לפי המבנה הארגוני:

רשימת תפוצה

מחליטים אילו רשימות תפוצה רוצים לסנכרן משרת ה-LDAP אל חשבון Google. רשימות תפוצה בשרת ה-LDAP מיובאות כקבוצות בחשבון Google.

חלק מהמאפיינים של רשימות התפוצה מכילים כתובת מילולית ובפורמט כמו user@example.com. חלק מהמאפיינים מכילים הפניה לשם ייחודי (DN) ובפורמט הבא:
cn=Terri Smith,ou=Executive Team,dc=example,dc=com.

אם רוצים לשמור את רשימות התפוצה בחשבון Google:

בודקים באיזה מאפיין מופיעים החברים ברשימות התפוצה. בדרך כלל זה המאפיין member או mailAddress.
בודקים אם מאפיין ה-LDAP של חברי רשימת התפוצה מכיל כתובת אימייל או שם ייחודי של משתמש.

מבנה ארגוני

כברירת מחדל, GCDS מסנכרן את כל המשתמשים למבנה שטוח יחיד. השיטה הזו מתאימה לארגונים קטנים או אם רוצים שכל המשתמשים יקבלו את אותן הגדרות ואותן הרשאות. השיטה הזו מתאימה גם אם אתם בודקים קבוצה קטנה לפני השקה רחבה יותר.

אם רוצים להשתמש בהיררכיה של יחידות ארגוניות בחשבון Google, אפשר לסנכרן את ההיררכיה הארגונית משרת ספריית ה-LDAP. אם כן, כדאי לעיין ביחידות הארגוניות באמצעות דפדפן LDAP כדי לוודא שאתם מסנכרנים את המבנה הנכון. יכול להיות שיש לכם יחידות ארגוניות מיוחדות שלא צריכות לעבור לחשבון Google, כמו יחידה ארגונית למדפסות.

אם רוצים ליצור יחידות ארגוניות באופן ידני בחשבון Google, אפשר להגדיר אותן ב-Google ואז להשתמש ב-GCDS כדי להעביר משתמשים לארגונים האלה בלי לשנות את הארגונים הקיימים. בוחרים באפשרות הזו בדף יחידות ארגוניות בכלי לניהול הגדרות. לכל כלל חיפוש משתמשים, מציינים את הארגון שאמור להכיל משתמשים עבור הכלל הזה, או מאפיין LDAP שמכיל את השם של הארגון המתאים.

רוצים לנהל רישיונות באמצעות GCDS?

אם רוצים לנהל רישיונות באמצעות GCDS, צריך ליצור קבוצות משתמשים ספציפיות ולהקצות להן רישיונות. לחלופין, אפשר להגדיר מאפיין ספציפי בכל חשבון משתמש.

מערכת GCDS משתמשת בקבוצה או במאפיין כדי לקבוע את הרישיון הנכון להחלה על חשבון.

רוצה לסנכרן את אנשי הקשר המשותפים ואת משאבי היומן?

‫GCDS יכול לסנכרן משאבי LDAP אחרים, כמו אנשי קשר משותפים ומשאבי יומן, עם חשבון Google שלכם.

אנשי קשר משותפים: פרטי הקשר המשותפים גלויים לכל משתמש ברשימת אנשי הקשר. בנוסף, אם מגדירים אנשי קשר משותפים, ההשלמה האוטומטית של כתובות אימייל מופעלת ב-Gmail לכל משתמש ברשימה. כדי לייבא כתובות לחשבון Google כאנשי קשר משותפים, צריך להפעיל את האפשרות אנשי קשר משותפים בדף הגדרות כלליות בכלי לניהול הגדרות. אחרי שמסנכרנים את אנשי הקשר המשותפים, יכולות לחלוף עד 24 שעות עד שהשינויים יופיעו בדומיין שלכם ב-Google.
הערה: GCDS מסנכרן רק אנשי קשר משותפים. אנשי קשר אישיים לא מסונכרנים

משאבים ביומן: אם רוצים לייבא משאבים ביומן (כמו חדרי ישיבות) מספריית ה-LDAP לחשבון Google, צריך להגדיר סנכרון של משאבים ביומן כדי שהמשאבים יהיו גלויים לכל משתמש.
צריך לציין פורמט שמות למשאבים לתזמון ביומן. חשוב לזכור שהכללים לשמות של משאבים ביומן שונים מהכללים לגבי מידע מסונכרן אחר. השמות לא יכולים להכיל רווחים או תווים מיוחדים.

איך מתבצע הסנכרון של הסיסמאות

טיפ: אפשר להשתמש ב-סנכרון סיסמאות כדי לשמור על סנכרון בין הסיסמאות של המשתמשים ב-Google Workspace לבין הסיסמאות שלהם ב-Active Directory.

‫GCDS תומך בקבוצה מוגבלת של פעולות שקשורות לסיסמאות. אפשר לייבא סיסמאות רק במאפיין LDAP שמאחסן סיסמאות בפורמט טקסט ללא הצפנה, Base64,‏ MD5 ללא מלח או SHA-1 ללא מלח. אין תמיכה בגיבובים אחרים שמוצפנים באמצעות סיסמה ומוגנים באמצעות מלח. רוב שרתי הספריות לא תומכים בפורמטים האלה באופן מובנה, ואחסון הסיסמאות של המשתמשים בפורמטים האלה בשרת הדואר עלול להוביל לבעיות אבטחה חמורות.

לסנכרון סיסמאות, GCDS מספק את האפשרויות הבאות:

הטמעת כניסה יחידה לדומיין: למשתמשים יש את אותן סיסמאות והרשאות לחשבון Google ולשרת ספריית ה-LDAP. אפשר להגדיר שרת Security Assertion Markup Language‏ (SAML) לחשבון כדי לנהל כניסה יחידה. במקרה הזה, GCDS יוצר סיסמאות אקראיות במהלך הסנכרון.
הערה: כניסה יחידה נתמכת רק באימות אינטרנט. צורות אימות אחרות (כמו IMAP,‏ POP ו-ActiveSync) לא תומכות בכניסה יחידה ועדיין דורשות סיסמה לחשבון Google.
שימוש במאפיין LDAP של טקסט רגיל לסיסמה שמוגדרת כברירת מחדל למשתמשים חדשים: משתמשים באפשרות הזו אם רוצים שלמשתמשים יהיו סיסמאות חד-פעמיות נפרדות. באפשרות הזו, הסיסמאות ב-Google נפרדות מהסיסמאות בשרת ספריית ה-LDAP. אפשר להשתמש בשיטה הזו כדי ליצור סיסמה זמנית מכל מאפיין LDAP שמכיל נתונים בפורמט של טקסט רגיל.
שימוש בכלי של צד שלישי להמרת סיסמאות לא נתמכות לפורמט נתמך: משתמשים באפשרות הזו אם רוצים ש-Google תשתמש באותן סיסמאות כמו שרת ספריית ה-LDAP, אבל אין אפשרות להגדיר שרת SAML. אפשר לבדוק ב-Google Workspace Marketplace אם יש כלי צד שלישי שיכולים לעזור בסנכרון הסיסמאות. ‫Google לא מספקת תמיכה בכלים של צד שלישי.
הגדרת סיסמה שמוגדרת כברירת מחדל למשתמשים חדשים: באפשרות הזו, לכל משתמש חדש יש את אותה סיסמה עד שהוא נכנס לחשבון ומשנה אותה. הסיסמאות של Google נשמרות בנפרד מהסיסמאות בשרת ספריית ה-LDAP. כדי להשתמש באפשרות הזו, צריך להגדיר סיסמת ברירת מחדל למשתמשים חדשים, ואז להגדיר את GCDS כך שיסנכרן את הסיסמאות של משתמשים חדשים ויחייב אותם לשנות את הסיסמה.
לפעמים משתמשים אחרים יכולים לנחש את הסיסמה, ולכן בדרך כלל לא מומלץ להשתמש בהגדרה הזו כאפשרות מאובטחת.

איך תמפה את הנתונים?

צריך להחליט איך נתוני שרת ספריית ה-LDAP ימופו לנתונים בחשבון Google, ולוודא שיש תמונה ברורה של האופן שבו כל משתמש, קבוצה ומשאב צריכים להסתנכרן. אפשר להגדיר את המיפוי הזה להיררכיה שטוחה, לסנכרון אוטומטי של אחד לאחד או להגדיר באופן ידני כללים מותאמים אישית. פרטים נוספים זמינים במאמר בנושא מה מסונכרן?

תרחיש לדוגמה

אתם האדמינים של Google בארגון Example Organization, ואתם מחליטים שההיררכיה הארגונית הקיימת בשרת LDAP תועתק לחשבון Google, ומזהים את היחידות הארגוניות שצריך לסנכרן.

אתם מחליטים שצריך לסנכרן את הארגון לדוגמה:

יחידות ארגוניות
משתמשים
כינויים
קבוצות (רשימות דיוור)
אנשי קשר משותפים
משאבים לתזמון ביומן

רשימות התפוצה בשרת ספריית ה-LDAP משתמשות במאפיין member כדי לאחסן את החברים בכל רשימת תפוצה, ומאפיין החבר מכיל את השם המובחן (DN) המלא של החברים ברשימת התפוצה, ולא את כתובת האימייל שלהם. בתור האדמין של GCDS, אתם שמים לב למאפיין הזה, ומבינים שהוא מאפיין הפניה ולא מאפיין מילולי.

מכיוון שפרטי פרופיל המשתמש ב-LDAP בשרת ה-LDAP לא נמצאים בפורמט סטנדרטי בכל הארגונים, אתם, בתור אדמינים ב-Google, מחליטים לא לסנכרן את המידע הזה.

בשרת ה-LDAP, יוצרים מאפיין בהתאמה אישית ומאכלסים אותו בסיסמה חד-פעמית שנוצרה באופן אקראי. בחשבון Google, מגדירים מיזוג אימיילים כדי לשלוח למשתמשים את הסיסמאות שלהם יחד עם מידע על הפעלת החשבונות.

יש כמה משתמשים ביחידה הארגונית של הקבלנים שכבר לא עובדים ב-Example Organization, ולא צריך לסנכרן אותם. אתם בודקים את הרשימה ורואים שכולם תואמים לביטוי רגולרי, כי כל כתובות המשתמשים מתחילות במילה defunct. לבסוף, אתם יוצרים חריגים למשתמשים האלה בדומיין של Google.

‫Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.

3. ארגון נתוני LDAP קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.