3. Organisera LDAP-data

Vilken är din primära domän?

Identifiera den Google-domän du vill synkronisera. Du behöver detta när du konfigurerar GCDS.

Obs ! Du kan inte synkronisera domänaliasadresser med GCDS. Läs mer om domängrunderna .

Du kan också använda en domännamnsersättning . En domännamnsersättning används oftast för en pilotdomän , men den kan också användas om du använder GCDS för att flytta till en ny domän. Om du anger en annan domän i Configuration Manager kan du importera en fullständig lista över användare till en annan domän.

Konfigurera den nya domänen som en primär domän . Ange sedan den nya domänen som din Google-domän i LDAP-konfigurationen i konfigurationshanteraren och ange en administratör för den domänen. I Google-domänkonfiguration ställer du in GCDS för att ersätta domännamn i LDAP-e-postadresser med detta domännamn. GCDS ändrar e-postadresserna för alla dina användare till den nya domänen under synkroniseringen.

När din pilotperiod är klar kan du ändra domännamnet (och Google-administratören) till din faktiska primära domän och behålla alla andra konfigurationsalternativ desamma.

Vilka användardata ska synkroniseras?

• Användare: Titta igenom din användarkatalog med en LDAP-webbläsare och se till att du importerar rätt antal användare. Om du importerar fler användare än du har licensierat kan det uppstå fel under synkroniseringen. Läs mer om hur du hanterar användarlicenser .
• Användarprofiler: Om din LDAP-katalogserver innehåller ytterligare information, till exempel adresser, telefonnummer eller kontaktinformation, kan du även synkronisera denna information.
• Alias: Du kan synkronisera ett eller flera attribut för alias från din LDAP-katalog till Googles adressalias.
• Unikt ID: Om dina användare sannolikt kommer att ändra användarnamn (e-postadresser) bör du konfigurera ett unikt ID-attribut innan du konfigurerar en synkronisering så att användarinformation inte går förlorad när en användare ändrar sin e-postadress.
• Lösenord: GCDS stöder en begränsad uppsättning lösenordsåtgärder. Om du har en Microsoft Active Directory-server kan du hålla dina LDAP-kataloglösenord synkroniserade med ditt Google-konto med lösenordssynkronisering .
• Borttagna och avstängda användare: Som standard tas användare som inte hittas i din LDAP-katalog bort från ditt Google-konto och avstängda användare ignoreras. Du kan ändra standardinställningen på sidan för användarkonton i Configuration Manager. Om du ställer in GCDS för att stänga av användare istället för att ta bort dem kan du visa och överföra användartillgångar för att dra nytta av dataåterställning. Alternativt kan du ta bort avstängda användare, men du kan bara ta bort eller stänga av, inte båda.

Hur bör du organisera dina grupper och e-postlistor?

Du kan organisera dina användare i ditt Google-konto efter e-postlista eller organisationsstruktur:

E-postlista

Bestäm vilka e-postlistor du vill synkronisera från din LDAP-katalogserver till ditt Google-konto. E-postlistor på din LDAP-katalogserver importeras som grupper i Google-kontot.

Vissa attribut för e-postlistor innehåller en bokstavlig adress och följer ett format som användare@example.com . Vissa innehåller en referens för ett unikt namn (DN) och följer detta format:
cn=Terri Smith,ou=Executive Team,dc=example,dc=com.

Om du vill behålla e-postlistorna i Google-kontot:

1. Ta reda på vilket attribut som innehåller medlemmarna i dina e-postlistor. Vanligtvis är detta attributet medlem eller mailAddress .
2. Ta reda på om LDAP-attributet för medlemmar i e-postlistan innehåller en e-postadress eller ett unikt namn för användaren.

Organisationsstruktur

Som standard synkroniserar GCDS alla användare till en enda platt struktur. Det fungerar bra om du har en liten organisation eller om du vill att alla användare ska ha samma inställningar och rättigheter. Det fungerar också bra om du testar en liten grupp innan en större utrullning.

Om du vill använda en hierarki för organisationsenheter i ditt Google-konto kan du synkronisera organisationshierarkin från din LDAP-katalogserver. Om du gör det, titta igenom dina organisationsenheter med en LDAP-webbläsare först för att se till att du synkroniserar rätt struktur. Du kan ha särskilda organisationsenheter som inte ska överföras till Google-kontot, till exempel en organisationsenhet för skrivare.

Om du vill skapa organisationsenheter manuellt i ditt Google-konto kan du konfigurera dem i Google och sedan låta GCDS flytta användare till dessa organisationer utan att ändra de befintliga organisationerna. Välj det här alternativet på sidan Organisationsenheter i Konfigurationshanteraren. För varje användarsökregel anger du den organisation som ska innehålla användare för den regeln, eller ett LDAP-attribut som innehåller namnet på lämplig organisation.

Vill du hantera licenser med GCDS?

Om du vill hantera licenser med GCDS måste du skapa och gruppera användare i specifika licensgrupper. Alternativt kan du ange ett specifikt attribut för varje användarkonto.

GCDS använder gruppen eller attributet för att avgöra vilken licens som ska tillämpas på ett konto.

Vill du synkronisera delade kontakter och kalenderresurser?

GCDS kan synkronisera andra LDAP-resurser, till exempel delade kontakter och kalenderresurser, med ditt Google-konto.

• Delade kontakter: Delade kontaktuppgifter är synliga för alla användare i en kontaktlista. Om du konfigurerar delade kontakter aktiveras även automatisk ifyllning av e-postadresser i Gmail för alla användare i listan. Om du vill importera adresser till ditt Google-konto som delade kontakter aktiverar du Delade kontakter på sidan Allmänna inställningar i Konfigurationshanteraren. När du har synkroniserat delade kontakter kan det ta upp till 24 timmar innan ändringarna visas i din Google-domän.

  Obs : GCDS synkroniserar endast delade kontakter. Personliga kontakter synkroniseras inte.

• Kalenderresurser: Om du vill importera kalenderresurser (t.ex. konferensrum) från din LDAP-katalog till ditt Google-konto måste du konfigurera synkronisering av kalenderresurser så att resurserna är synliga för alla användare.

• Du måste ange ett namngivningsformat för dina kalenderresurser. Tänk på att reglerna för namn på kalenderresurser skiljer sig från annan synkroniserad information. Namn får inte innehålla mellanslag eller specialtecken.

Hur kommer du att synkronisera lösenord?

Tips : Du kan använda lösenordssynkronisering för att hålla användarnas Google Workspace-lösenord synkroniserade med deras Active Directory-lösenord.

GCDS stöder en begränsad uppsättning lösenordsåtgärder. Den kan endast importera lösenord i ett LDAP-attribut som lagrar lösenord i klartext, Base64, osaltat MD5 eller osaltat SHA-1-format. Andra lösenordskrypterade och saltade hashkoder stöds inte. De flesta katalogservrar stöder inte dessa format direkt, och att lagra dina användarlösenord i dessa format på din e-postserver kan ha allvarliga säkerhetskonsekvenser.

För lösenordssynkronisering erbjuder GCDS följande alternativ:

• Implementera enkel inloggning för din domän : Användare har samma lösenord och behörighet för ditt Google-konto och din LDAP-katalogserver. Du kan konfigurera en SAML-server (Security Assertion Markup Language) för ditt konto för att hantera enkel inloggning. GCDS skapar i det här fallet slumpmässiga lösenord under synkronisering.

  Obs ! Enkel inloggning stöder endast webbautentisering. Andra former av autentisering (som IMAP, POP och ActiveSync) stöder inte enkel inloggning och kräver fortfarande ett Google-lösenord.

• Använd ett LDAP-attribut i klartext som standardlösenord för nya användare : Använd det här alternativet om du vill att användare ska ha separata engångslösenord. Med det här alternativet är Googles lösenord separata från lösenorden på din LDAP-katalogserver. Du kan använda den här metoden för att skapa ett tillfälligt lösenord från valfritt LDAP-attribut som innehåller data i klartextformat.
• Använd ett tredjepartsverktyg för att konvertera lösenord som inte stöds till ett format som stöds : Använd det här alternativet om du behöver att Google använder samma lösenord som din LDAP-katalogserver, men du inte kan konfigurera en SAML-server. Kontrollera Google Workspace Marketplace för tredjepartsverktyg som kan hjälpa dig att synkronisera lösenord. Google tillhandahåller inte stöd för tredjepartsverktyg.
• Ange ett standardlösenord för nya användare : Med det här alternativet har alla nya användare samma lösenord tills de loggar in och ändrar det. Googles lösenord hålls separata från lösenord på din LDAP-katalogserver. För att använda det här alternativet, ange ett standardlösenord för nya användare och ställ sedan in GCDS för att synkronisera lösenord för nya användare och tvinga dem att ändra sina lösenord.
  Eftersom lösenordet ibland kan gissas av andra användare rekommenderas detta generellt sett inte som ett säkert alternativ.

Hur kommer du att kartlägga din data?

Du måste bestämma hur din LDAP-katalogserverdata mappas till ditt Google-kontos data och ha en tydlig bild av hur varje användare, grupp och resurs ska synkroniseras. Du kan konfigurera denna mappning till en platt hierarki, en automatisk en-till-en-synkronisering eller en manuell uppsättning anpassade regler. Mer information finns i Vad är synkroniserat?

Exempelscenario

Som Google-administratör för exempelorganisationen bestämmer du att den befintliga organisationshierarkin på LDAP-servern ska kopieras till Google-kontot och identifierar de organisationsenheter som ska synkroniseras.

Du bestämmer att exempelorganisationen behöver synkronisera:

• Organisationsenheter
• Användare
• Alias
• Grupper (e-postlistor)
• Delade kontakter
• Kalenderresurser

E-postlistorna i LDAP-katalogservern använder attributet member för att lagra medlemmarna i varje e-postlista, och attributet member innehåller det fullständiga unika namnet (DN) för medlemmarna i e-postlistan, snarare än deras e-postadress. Som GCDS-administratör noterar du detta attribut och att det är ett referensattribut, inte ett literalattribut.

Eftersom LDAP-användarprofilinformationen på LDAP-servern inte finns i ett standardformat mellan organisationer, väljer du som Google-administratör att inte synkronisera denna information.

I LDAP-servern skapar du ett anpassat attribut och fyller i attributet med ett slumpmässigt genererat engångslösenord. I ditt Google-konto konfigurerar du en koppling av e-post för att skicka lösenorden till användarna tillsammans med information om hur de aktiverar deras konton.

Det finns vissa användare i leverantörernas organisationsenhet som inte längre är med i exempelorganisationen och inte bör synkroniseras. Du tittar på listan och noterar att alla matchar ett reguljärt uttryck eftersom användaradresserna alla börjar med "defunct". Slutligen skapar du undantag för dessa användare i Google-domänen.