Deze pagina is voor Directory Sync. Als u Google Cloud Directory Sync (GCDS) gebruikt, ga dan naar GCDS . Directory Sync bevindt zich momenteel in de openbare bètafase.
Nu bent u klaar om de gebruikers in te stellen die u wilt synchroniseren. In Directory Sync voert u groepsnamen uit uw externe directory in om gebruikers te synchroniseren. De individuele gebruikers in de groep (niet de groep zelf) worden gesynchroniseerd met uw Google Cloud-directory.
Voordat je begint
Zorg ervoor dat u uw externe mapverbinding toevoegt aan en test deze met uw Google Cloud-map. Ga voor meer informatie naar Een externe map toevoegen, bewerken of verwijderen .
Stel de gebruikers in voor synchronisatie.
Stap 1: Selecteer de gebruikers
- Ga in de Google Admin-console naar Menu.
Directory Mappen synchroniseren .Hiervoor is de machtiging 'Directorysynchronisatie-instellingen beheren' vereist.
- Klik op de naam van uw externe map.
- Klik op Gebruikerssynchronisatie instellen .
- Voer de naam van de externe mapgroep in en druk op Enter .
Directory Sync synchroniseert de groepsleden met uw Google Cloud-directory.
Belangrijk: Directory Sync koppelt gebruikers via een unieke identificatiecode (ObjectGUID in Microsoft Active Directory en Object ID in Microsoft Azure Active Directory). Als u een gebruiker in uw Active Directory verwijdert en deze later opnieuw aanmaakt, wordt er ook een nieuwe gebruiker met een nieuwe identificatiecode aangemaakt, zelfs als u dezelfde gebruikersnaam en hetzelfde e-mailadres gebruikt. Als Workspace nog steeds een account heeft voor de verwijderde gebruiker, kan dit leiden tot foutmeldingen zoals 'Gebruiker bestaat al' .
Let op: Groepen moeten een eigen, bijbehorend e-mailadres in de externe directory hebben.
- Voer eventuele extra groepsnamen in.
- (Alleen Active Directory) Voer bij Basis-DN de basis-DN in.
De groepen die in stap 4 en 5 zijn gespecificeerd, moeten direct onder de basis-DN staan.
Voorbeeld: ou=Sales, dc=example, dc=com . In dit voorbeeld zoekt Directory Sync naar groepen onder de organisatie-eenheid Sales.
- Klik op 'Verifiëren' om te controleren of de groepen in uw externe map bestaan.
- Klik op Doorgaan .
- Als u gebruikers aan één specifieke organisatie-eenheid wilt koppelen, selecteert u de organisatie-eenheid. Klaar .
- (Optioneel) Om ervoor te zorgen dat de gebruiker in de organisatie-eenheid in uw Google Cloud-directory blijft als deze in de externe directory wordt verplaatst, schakelt u het selectievakje 'Organisatie-eenheidtoewijzing afdwingen' uit.
- Klik op Doorgaan .
Stap 2: Plaats gebruikers in een organisatie-eenheid.
- Kies een optie:
- Als u gebruikers in één organisatie-eenheid wilt plaatsen, klikt u op Organisatie-eenheid selecteren , gaat u naar de organisatie-eenheid en selecteert u deze. Klik op Klaar .
- Als u gebruikers wilt plaatsen in een organisatie-eenheid die is gedefinieerd in een attribuut in uw externe directory, voert u bij ' Gebruikers plaatsen in de OU die is opgeslagen als een attribuut' het gebruikersattribuut in uw externe directory in dat het volledige pad naar de organisatie-eenheid bevat.
Voor de stappen om het pad aan te maken, ga naar Een organisatie-eenheid toevoegen als attribuut in uw externe map (onderaan deze pagina).
- Als u gebruikers in één organisatie-eenheid wilt plaatsen, klikt u op Organisatie-eenheid selecteren , gaat u naar de organisatie-eenheid en selecteert u deze.
- (Optioneel) Om ervoor te zorgen dat de gebruiker in de organisatie-eenheid in uw Google Cloud-directory blijft als deze naar de externe directory wordt verplaatst, schakelt u het selectievakje 'Organisatie-eenheidtoewijzing afdwingen' uit.
- Klik op Doorgaan .
Voeg een organisatie-eenheid toe als attribuut in uw externe directory.
- Stel de organisatiestructuur in via uw Google Admin-console. Ga voor meer informatie naar Een organisatie-eenheid toevoegen .
- Definieer in uw externe directory, met behulp van een standaard- of aangepast attribuut, het beoogde pad naar de organisatie-eenheid voor elke gebruiker. Gebruik de volgende indeling:
- Sluit de hoogste organisatorische eenheid uit.
- Scheid de ouder- en kindorganisatie-eenheden met een schuine streep (/).
Voorbeeld : Als u de gebruiker yuri@example.com wilt toevoegen aan de organisatie-eenheid Verkoop , die onder de organisatie-eenheid Financiën valt, volgt u deze stappen:
- Stel in de externe map voor yuri@example.com het attribuut Afdeling in op Financiën/Verkoop .
- Wanneer u Directory Sync instelt, klikt u op 'Gebruikers in de OU plaatsen', 'Opgeslagen als kenmerk' en voegt u het kenmerk 'Afdeling' toe.
Stap 3: De gebruikerskenmerken in kaart brengen
Stel de vereiste attributen in.
Bevestig of voer de externe directorykenmerken in die overeenkomen met de volgende gebruikerskenmerken in uw Google Cloud-directory:
- Voornaam
- Achternaam
- Primair e-mailadres
Als u de kenmerken wijzigt, kunt u op 'Standaard instellen' klikken. Ga verder en zet ze terug naar hun standaardinstellingen.
Wijs eventuele optionele attributen toe.
U kunt standaard en aangepaste gebruikerskenmerken vanuit uw externe directory koppelen aan uw Google Cloud-directory. Voor veelgebruikte koppelingen gaat u naar Veelgebruikte gebruikerskenmerkkoppelingen (onderaan deze pagina).
- Voer bij 'Een attribuut invoeren ' het gebruikersattribuut uit uw externe map in.
Als het gebruikerskenmerk van de externe directory genest is, scheid dan het kenmerk en het subkenmerk met een punt (bijvoorbeeld employeeOrgData.division ).
- Selecteer in de lijst het gebruikerskenmerk Google Cloud Directory.
Je kunt één extern directorykenmerk koppelen aan meerdere gebruikerskenmerken van Google Cloud Directory. Je kunt echter geen enkel Google Cloud Directory-kenmerk koppelen aan meerdere externe directorykenmerken.
- (Optioneel) Om extra gebruikerskenmerken toe te voegen, herhaalt u de stappen.
Algemene toewijzingen van gebruikerskenmerken
Hieronder staan enkele veelvoorkomende attribuuttoewijzingen. U hoeft deze toewijzingen niet te volgen. U kunt het attribuut in de externe map wijzigen en toewijzen aan een ander attribuut in uw Google Cloud-map.
| Extern directorykenmerk in Active Directory (AD) of Azure AD | Dit komt meestal overeen met dit Google-gebruikerskenmerk... |
|---|---|
| givenName (AD & Azure AD) | Voornaam |
| sn (AD) achternaam (Azure AD) | Achternaam |
| mail (AD) userPrincipalName (Azure AD) | Primair e-mailadres |
| bedrijf (AD) bedrijfsnaam (Azure AD) | Bedrijfsnaam |
| assistent (AD) | E-mailadres van de assistent |
| afdeling (AD & Azure AD) | Afdeling |
| fysiekeBezorgkantoorNaam (AD) kantoorlocatie (Azure AD) | Kantoorlocatie |
| titel (AD) Jobtitel (Azure AD) | Functietitel |
| werknemers-ID (AD) employeeId (Azure AD) | Werknemers-ID |
| telefoonnummer (AD) | Werktelefoonnummer |
| homePhone (AD) | Telefoonnummer thuis |
| faxTelefoonnummer (AD) faxnummer (Azure AD) | Faxnummer |
| mobiel (AD) mobiele telefoon (Azure AD) | Mobiel telefoonnummer |
| pager (AD) | Mobiele telefoon van het werk |
| telefoonassistent (AD) | Nummer van de assistent |
straatadres (AD & Azure AD) | Straatadres |
| Postbus (AD) | Postbus |
| l (kleine letter l in AD) stad (Azure AD) | Stad |
| st (AD) status (Azure AD) | Staat/Provincie |
| postcode (AD & Azure AD) | Postcode |
| co (AD) land (Azure AD) | Land |
| voorkeurstaal (Azure AD) | Taal |
| aboutMe (Azure AD) | Over |
| employeeOrgData.costCenter (Azure AD) | Kostenplaats |
| uidNumber (AD) | POSIX UID |
primaire Groeps-ID (AD) | POSIX GID |
| sAMAccountName (AD) | POSIX-gebruikersnaam |
| unixHomeDirectory (AD) | POSIX-thuisdirectory |
Gerelateerde onderwerpen
Stap 4: Kies hoe gebruikers hun accounts activeren.
- Kies een optie:
- Activeringsmail verzenden — Gebruikers ontvangen een e-mailbericht over het activeren van hun nieuwe account en het instellen van een wachtwoord.
Als u deze optie selecteert, kiest u of u de e-mail wilt verzenden naar het primaire of het herstel-e-mailadres van de gebruiker. Als u het herstel-e-mailadres selecteert, zorg er dan voor dat u een koppeling voor dit adres hebt toegevoegd in stap 3: Gebruikerskenmerk koppelen (hierboven op deze pagina).
Voor meer informatie over wat gebruikers moeten doen, ga naar Wat gebeurt er als een gebruiker een activeringsmail ontvangt? (onderaan deze pagina).
- Verstuur geen activeringsmail — gebruikers ontvangen geen e-mail.
Gebruik deze optie als u rechtstreeks met uw gebruikers wilt communiceren over nieuwe accounts of als u een externe identiteitsprovider (IdP) gebruikt voor authenticatie. (Als u een IdP gebruikt, hoeven gebruikers geen Google-wachtwoord in te stellen.)
- Activeringsmail verzenden — Gebruikers ontvangen een e-mailbericht over het activeren van hun nieuwe account en het instellen van een wachtwoord.
- Klik op Doorgaan .
Wat gebeurt er als een gebruiker een activeringsmail ontvangt?
Na de synchronisatie ontvangen uw gebruikers een e-mailbericht met details over het activeren van hun nieuwe beheerde Google-account. Wanneer ze klaar zijn om voor de eerste keer in te loggen op het nieuwe account, moeten gebruikers de volgende stappen doorlopen:
- Open het e-mailbericht in hun oorspronkelijke e-mailaccount en klik op 'Inloggen'. Volgende .
- Klik op Verzenden om een verificatiecode te ontvangen.
- Open in je oorspronkelijke account het bericht met de verificatiecode en kopieer de code.
- Voer in hun nieuwe Google-account de verificatiecode in en klik op Volgende .
- Accepteer de gebruiksvoorwaarden.
- Maak een sterk wachtwoord aan en klik op Wachtwoord wijzigen .
Stap 5: Gebruikers die niet in de externe directory worden gevonden, schorsen (optioneel)
Als een gebruiker is geschorst of niet wordt gevonden in uw externe directory (bijvoorbeeld omdat de groep waartoe de gebruiker behoort is verwijderd in de externe directory), kunt u die gebruiker schorsen in uw Google Cloud-directory.
Om gebruikers te blokkeren die niet in de externe directory worden gevonden:
- Vink het vakje 'Gebruiker in Google schorsen' aan.
Als u gebruikers niet wilt schorsen, schakelt u het selectievakje uit.
- Klik op Doorgaan .
Belangrijk : Directory Sync synchroniseert de status van de gebruiker. Als u een gebruikersaccount opschort, maar het externe directoryaccount actief is, wordt het gebruikersaccount na een synchronisatie geactiveerd.
Stap 6: Stel beveiligingsmaatregelen in
Stel de voorwaarden in waaronder een synchronisatie automatisch wordt geannuleerd. Als de synchronisatie de beveiligingslimieten overschrijdt, wordt deze automatisch geannuleerd en worden er geen gebruikers geblokkeerd. Er worden geen verdere synchronisaties uitgevoerd totdat u de synchronisatie handmatig inschakelt. Voor meer informatie over beveiligingsmaatregelen, zie Hoe beveiligingsmaatregelen worden bepaald (in het volgende gedeelte op deze pagina).
Om een beveiliging in te stellen:
- Selecteer bij Beveiligingsmaatregelen de optie 'Een percentage gebruikers instellen' of 'Een totaal aantal gebruikers instellen ' en voer een percentage of getal in.
- Klik op Synchronisatie simuleren .
- Als een beveiligingsmaatregel wordt geactiveerd, ontvangt u een melding met details over de mislukte synchronisatie. U kunt ook aanvullende details bekijken in het auditlogboek.
Ga voor meer informatie naar Het waarschuwingscentrum gebruiken en Logboekgebeurtenissen controleren voor Directory Sync .
Hoe worden waarborgen bepaald?
Directory Sync berekent hoeveel gebruikersaccounts er in uw externe directory aanwezig zijn en vergelijkt dit met het aantal accounts dat mogelijk wordt geblokkeerd na een synchronisatie. Als het aantal groter is dan het opgegeven percentage of getal, wordt de synchronisatie automatisch geannuleerd en worden er geen verdere acties ondernomen.
Voorbeelden
U hebt 100 externe gebruikers in de directory. Tijdens een synchronisatie stelt Directory Sync voor om 12 gebruikersaccounts te blokkeren en 3 nieuwe accounts toe te voegen.
Voorbeeld 1 : U stelt een numerieke limiet van 14 in als beveiliging. Omdat het aantal accounts dat moet worden opgeschort (12) lager is dan de ingestelde limiet (14), gaat Directory Sync door met de voorgestelde wijzigingen.
Voorbeeld 2 : U stelt een percentagegrens van 10% in als beveiliging. Directory Sync vergelijkt de 12 voorgestelde kandidaten voor opschorting met de percentagegrens. Omdat het percentage kandidaten voor opschorting (12%) de limiet van 10% overschrijdt, stopt Directory Sync de synchronisatie zonder wijzigingen toe te passen.
Wat gebeurt er vervolgens?
Directory Sync simuleert een synchronisatie. Afhankelijk van de grootte van uw gegevens kan het proces tot een uur duren.
Bekijk de status van een simulatie
U kunt terugkeren naar de pagina met mapdetails om de status van de simulatie te bekijken. U kunt ook controleren of de simulatie is voltooid in de logboekgebeurtenissen van de mapsynchronisatie.
- Open de logboekgebeurtenissen van Directory Sync.
Raadpleeg de gebeurtenisgegevens van het Access Directory Sync-logboek voor meer informatie.
- Klik op ' Een filter toevoegen'. Evenement .
- Selecteer 'Synchronisatie voltooid' en klik op 'Toepassen' .
Een ' Ja' in de kolom 'Simulatie' geeft aan dat de simulatie is voltooid. Mogelijk moet u de kolom 'Simulatie' toevoegen om de resultaten te kunnen zien.
Controleer de resultaten van een gesimuleerde synchronisatie.
Wanneer de simulatie is voltooid, klikt u op de pagina met mapdetails op 'Simulatielogboek bekijken' .
Gerelateerd onderwerp
Vervang de domeinnaam voor gesynchroniseerde gebruikers.
Volgende stap
Groepssynchronisatie instellen
Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.