Du kan använda LDAP-sökregler för att synkronisera data från din LDAP-katalogserver till organisationens Google-konto med Google Cloud Directory Sync (GCDS). När du lägger till en sökregel synkroniseras data som matchar sökregeln vid nästa synkronisering. Data som inte matchar sökregeln tas bort.
Viktigt : Google felsöker inte eller tillhandahåller support för LDAP-frågor.
Grundläggande LDAP-frågesyntax
Du kan skapa vilken anpassad LDAP-sökfråga som helst så länge den följer RFC 2254 .
| Operatör | Karaktär | Använda |
|---|---|---|
| Lika med | = | Skapar ett filter som kräver att ett fält har ett givet värde. |
| Några | * | Representerar ett fält som kan vara lika med vad som helst utom NULL. |
| Parentes | ( ) | Separerar filter för att tillåta att andra logiska operatorer fungerar. |
| Och | & | Kopplar ihop filter. Alla villkor i serien måste vara sanna. |
| Eller | | | Kopplar ihop filter. Minst ett villkor i serien måste vara sant. |
| Inte | ! | Exkluderar alla objekt som matchar filtret. |
Lägg till en LDAP-sökregel
Du kan använda dessa steg för alla typer av sökregler.
- I Konfigurationshanteraren går du till Användarkonton
Sökregler . - Klicka på Lägg till sökregel .
- Välj ett alternativ från menyn för att välja sökregelns omfattning:
- Underträd — Sökregeln gäller för bas-DN-objektet och alla dess underobjekt.
- En nivå — Sökregeln gäller för de omedelbara underordnade objekten till bas-DN-objektet men exkluderar själva bas-DN:et.
- Objekt — Sökregeln gäller endast för bas-DN-objektet.
För Regel anger du sökregeln med hjälp av LDAP-sökfrågesyntax.
Se exempel nedan.
För Bas-DN , välj ett alternativ:
- Ange bas-DN.
- Lämna fältet tomt om du vill använda bas-DN:et som anges på sidan LDAP-anslutning .
Klicka på Testa LDAP-fråga för att kontrollera resultatet av din fråga.
Du kan granska antalet hittade objekt och de första 5 resultaten. Resultaten inkluderar inte användare utan e-postadress.
Klicka på OK .
(Valfritt) Upprepa stegen om du vill lägga till ytterligare en sökregel.
Exkludera data från en sökregel
Uteslutningsregler
Du kan använda undantagsregler för att exkludera data på LDAP-katalogservern som du inte vill ska synkroniseras med organisationens Google-konto. Du kan till exempel använda en LDAP-sökregel för att ange att alla e-postadresser ska synkroniseras. Använd sedan en undantagsregel för att ignorera e-postadresser som börjar med en viss sträng.
Användares sökfrågor
Med en användares sökfråga identifierar GCDS de användare i ditt Google-konto som matchar sökresultaten. Om en Google-användare inte matchar resultaten utför GCDS synkroniseringen som om användaren inte existerar.
Om du använder en sökfråga för användare, se till att LDAP-sökreglerna inte returnerar användare som finns i Google men inte ingår i sökresultaten. Annars försöker GCDS skapa användarna under varje synkronisering.
Till exempel finns yuri@altostrat.com i ditt Google-konto och returneras även i LDAP-sökregeln. Om du använder email:m* som användarens sökfråga försöker GCDS skapa yuri@altostrat.com under varje synkronisering eftersom yuri@altostrat.com inte börjar med bokstaven m.
För mer information, gå till Utelämna data med undantagsregler och frågor .
Exempel på LDAP-fråge- och sökregler
Följande exempel är allmänna och kanske inte gäller din miljö. Eventuella radbrytningar är endast för sidformatering.
Grundläggande LDAP-frågor
- Alla objekt (kan orsaka belastningsproblem)
objektklass=*
- Alla användarobjekt som är betecknade som "person"
(&(objektklass=användare)(objektkategori=person))
- Endast e-postlistor
(objektkategori=grupp)
- Endast offentliga mappar
(objektkategori=offentlig mapp)
- Alla användarobjekt förutom de med primära e-postadresser som börjar med "test"
(&(&(objektklass=användare)(objektkategori=person))(!(post=test*)))
- Alla användarobjekt förutom de med primära e-postadresser som slutar på "test"
(&(&(objektklass=användare)(objektkategori=person))(!(post=*test)))
- Alla användarobjekt förutom de med primära e-postadresser som innehåller ordet "test"
&(&(objektklass=användare)(objektkategori=person))(!(post=*test*)))
Specifika LDAP-frågor
- Alla användar- och aliasobjekt som är betecknade som "person" och ingår i en grupp eller distributionslista
(|(&(objektklass=användare)(objektkategori=person))(objektkategori=grupp))
- Alla användarobjekt som är betecknade som en "person", alla gruppobjekt och alla kontakter förutom de med ett värde definierat som "extensionAttribute9"
(&(|(|(&(objektklass=användare)(objektkategori=person))(objektkategori=grupp))(objektklass=kontakt))(!(extensionAttribute9=*)))
- Alla användare som är medlemmar i gruppen identifierade av DN:et "CN=Grupp,OU=Användare,DC=Domän,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Grupp,OU=Användare,DC=Domän,DC=com))
- Returnerar alla användare
- För Active Directory: (&(objektkategori=person)(objektklass=användare))
- För OpenLDAP: (objektklass=inetOrgPerson)
- För HCL Domino: (objektklass=dominoPerson)
- Alla objekt med e-postadressen markerad som "person" eller "grupp" (i en Domino LDAP-katalog)
(&(|(objektklass=dominoPerson)(objektklass=dominogrupp)(objektklass=dominoserverE-postIdatabas))(e-post=*))
- Alla aktiva (ej inaktiverade) användare som har e-postadresser i Active Directory
(&(objektkategori=person)(objektklass=användare)(post=*)(!(användarkontokontroll:1.2.840.113556.1.4.803:=2)))
- Alla användare som är medlemmar i antingen Grupp_1 eller Grupp_2 enligt definitionen av grupp-DN
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Grupp_1,cn=Användare,DC=Domän,DC=com)(memberof=CN=Grupp_2,cn=Användare,DC=Domän,DC=com)))
- Alla användare som har extensionAttribute1-värdet "Teknik" eller "Försäljning"
(&(objektkategori=användare)(|(extensionAttribute1=Teknik)(extensionAttribute1=Försäljning)))
- Hämta rekursivt gruppmedlemmarna som är kapslade under den angivna gruppen i Active Directory
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MinGrupp,CN=Användare,DC=domän,DC=com))
- Gruppmedlemskapsfråga med ObjectGUID i Active Directory. Det hexadecimala värdet för ObjectGUID-attributet för en grupp är 4e542fe785b1bb274e542fe785b1bb27
(&(objektkategori=person)(objektklass=användare)(medlemAv=GUID=4e542fe785b1bb274e542fe785b1bb27))
Optimera dina sökregler
Du kan optimera sökregler för att förbättra synkroniseringsprestanda.
| Exempel 1: Returnera användare med e-postadress | Användningsfall |
|---|---|
| Regel för användarsökning: (&(objectClass=user)(objectCategory=person)(mail=*)) | Istället för att använda en grundläggande regel för att returnera alla användare, optimera din regel genom att använda frågan mail= . Synkroniseringen fungerar mer effektivt eftersom LDAP-servern och GCDS inte behöver bearbeta poster som annars skulle kasseras. |
| Exempel 2: Returnera användare med matchande e-postadresssträng | Användningsfall |
|---|---|
| Regel för användarsökning: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | Istället för att använda en grundläggande regel och en undantagsregel för att returnera alla användare med en e-postadress som inte har sales , använd en optimerad regel med en matchande sträng. LDAP-servern och GCDS behöver inte bearbeta poster som annars skulle ignoreras. Och du behöver inte konfigurera en undantagsregel eller ta hänsyn till prioritetsnivån. |
Relaterat ämne
Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.