Bạn có thể sử dụng quy tắc tìm kiếm LDAP để đồng bộ hoá dữ liệu từ máy chủ thư mục LDAP với Tài khoản Google của tổ chức bằng Google Cloud Directory Sync (GCDS). Khi bạn thêm một quy tắc tìm kiếm, dữ liệu khớp với quy tắc tìm kiếm sẽ được đồng bộ hoá trong lần đồng bộ hoá tiếp theo. Dữ liệu không khớp với quy tắc tìm kiếm sẽ bị xoá.
Quan trọng: Google không gỡ lỗi hoặc hỗ trợ cho các truy vấn LDAP.
Cú pháp truy vấn LDAP cơ bản
Bạn có thể tạo bất kỳ truy vấn tìm kiếm LDAP tuỳ chỉnh nào miễn là truy vấn đó tuân thủ RFC 2254.
| Toán tử | Ký tự | Sử dụng |
|---|---|---|
| Bằng | = | Tạo một bộ lọc yêu cầu một trường phải có một giá trị nhất định. |
| Bất kỳ | * | Đại diện cho một trường có thể bằng bất kỳ giá trị nào ngoại trừ NULL. |
| Dấu ngoặc đơn | ( ) | Phân tách các bộ lọc để cho phép các toán tử logic khác hoạt động. |
| Và | & | Kết hợp các bộ lọc. Tất cả điều kiện trong chuỗi phải đúng. |
| Hoặc | | | Kết hợp các bộ lọc. Ít nhất một điều kiện trong chuỗi phải đúng. |
| Không | ! | Loại trừ tất cả các đối tượng khớp với bộ lọc. |
Thêm quy tắc tìm kiếm LDAP
Bạn có thể sử dụng các bước này cho mọi loại quy tắc tìm kiếm.
- Trong Configuration Manager (Trình quản lý cấu hình), hãy chuyển đến User Accounts (Tài khoản người dùng)
Search Rules (Quy tắc tìm kiếm). - Nhấp vào Add Search Rule (Thêm quy tắc tìm kiếm).
- Trên trình đơn, hãy chọn một chế độ để chọn phạm vi của quy tắc tìm kiếm:
- Sub-tree (Cây con) – Quy tắc tìm kiếm áp dụng cho đối tượng DN cơ sở và tất cả các đối tượng con của đối tượng đó.
- Một cấp—Quy tắc tìm kiếm áp dụng cho các đối tượng con trực tiếp của đối tượng DN cơ sở nhưng không bao gồm chính DN cơ sở.
- Đối tượng – Quy tắc tìm kiếm chỉ áp dụng cho đối tượng DN cơ sở.
Đối với Rule (Quy tắc), hãy nhập quy tắc tìm kiếm bằng cú pháp truy vấn tìm kiếm LDAP.
Xem các ví dụ bên dưới.
Đối với Base DN (DN cơ sở), hãy chọn một chế độ:
- Nhập DN cơ sở.
- Để trống trường này nếu bạn muốn sử dụng DN cơ sở được chỉ định trên trang LDAP Connection (Kết nối LDAP).
Nhấp vào Test LDAP Query (Kiểm tra truy vấn LDAP) để kiểm tra kết quả của truy vấn.
Bạn có thể xem số lượng đối tượng được tìm thấy và 5 kết quả đầu tiên. Kết quả không bao gồm những người dùng không có địa chỉ email.
Nhấp vào OK.
(Không bắt buộc) Để thêm một quy tắc tìm kiếm khác, hãy lặp lại các bước.
Loại trừ dữ liệu khỏi quy tắc tìm kiếm
Quy tắc loại trừ
Bạn có thể sử dụng quy tắc loại trừ để loại trừ dữ liệu trên máy chủ thư mục LDAP mà bạn không muốn đồng bộ hoá với Tài khoản Google của tổ chức. Ví dụ: bạn có thể sử dụng quy tắc tìm kiếm LDAP để chỉ định rằng tất cả địa chỉ email đều phải được đồng bộ hoá. Sau đó, hãy sử dụng quy tắc loại trừ để bỏ qua mọi địa chỉ email bắt đầu bằng một chuỗi nhất định.
Truy vấn tìm kiếm người dùng
Với truy vấn tìm kiếm người dùng, GCDS sẽ xác định những người dùng trong Tài khoản Google của bạn khớp với kết quả của truy vấn. Nếu một người dùng Google không khớp với kết quả, thì GCDS sẽ thực hiện quá trình đồng bộ hoá như thể người dùng đó không tồn tại.
Nếu bạn đang sử dụng truy vấn tìm kiếm người dùng, hãy đảm bảo rằng các quy tắc tìm kiếm LDAP không trả về những người dùng tồn tại trong Google nhưng không có trong kết quả truy vấn. Nếu không, GCDS sẽ cố gắng tạo người dùng trong mỗi lần đồng bộ hoá.
Ví dụ: yuri@altostrat.com tồn tại trong Tài khoản Google của bạn và cũng được trả về trong quy tắc tìm kiếm LDAP. Nếu bạn sử dụng email:m* làm truy vấn tìm kiếm người dùng, thì GCDS sẽ cố gắng tạo yuri@altostrat.com trong mỗi lần đồng bộ hoá vì yuri@altostrat.com không bắt đầu bằng chữ m.
Để biết thêm thông tin, hãy xem bài viết Bỏ qua dữ liệu bằng quy tắc và truy vấn loại trừ.
Ví dụ về truy vấn LDAP và quy tắc tìm kiếm
Các ví dụ sau đây là chung và có thể không áp dụng cho môi trường của bạn. Mọi dấu ngắt dòng chỉ dành cho mục đích định dạng trang.
Truy vấn LDAP cơ bản
- Tất cả đối tượng (có thể gây ra vấn đề về tải)
objectClass=*
- Tất cả các đối tượng người dùng được chỉ định là "người"
(&(objectClass=user)(objectCategory=person))
- Chỉ danh sách gửi thư
(objectCategory=group)
- Chỉ thư mục công khai
(objectCategory=publicfolder)
- Tất cả các đối tượng người dùng ngoại trừ những đối tượng có địa chỉ email chính bắt đầu bằng "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Tất cả các đối tượng người dùng ngoại trừ những đối tượng có địa chỉ email chính kết thúc bằng "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Tất cả các đối tượng người dùng ngoại trừ những đối tượng có địa chỉ email chính chứa từ "test"
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
Truy vấn LDAP cụ thể
- Tất cả các đối tượng người dùng và email đại diện được chỉ định là "người" và thuộc một nhóm hoặc danh sách phân phối
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Tất cả các đối tượng người dùng được chỉ định là "người", tất cả các đối tượng nhóm và tất cả các danh bạ ngoại trừ những đối tượng có bất kỳ giá trị nào được xác định là "extensionAttribute9"
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Tất cả những người dùng là thành viên của nhóm được xác định bằng DN "CN=Group,OU=Users,DC=Domain,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Trả về tất cả người dùng
- Đối với Active Directory: (&(objectCategory=person)(objectClass=user))
- Đối với OpenLDAP: (objectClass=inetOrgPerson)
- Đối với HCL Domino: (objectClass=dominoPerson)
- Tất cả các đối tượng có địa chỉ email được chỉ định là "người" hoặc "nhóm" (trong thư mục LDAP Domino)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Tất cả những người dùng đang hoạt động (không bị vô hiệu hoá) có địa chỉ email trong Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Tất cả những người dùng là thành viên của Nhóm_1 hoặc Nhóm_2 như được xác định bằng DN nhóm
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Tất cả những người dùng có giá trị extensionAttribute1 là "Engineering" hoặc "Sales"
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Truy xuất đệ quy các thành viên nhóm được lồng trong nhóm đã chỉ định trong Active Directory
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Truy vấn tư cách thành viên trong nhóm bằng ObjectGUID trong Active Directory. Giá trị thập lục phân của thuộc tính ObjectGUID của một nhóm là 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Tối ưu hoá quy tắc tìm kiếm
Bạn có thể tối ưu hoá quy tắc tìm kiếm để cải thiện hiệu suất đồng bộ hoá.
| Ví dụ 1: Trả về người dùng có địa chỉ email | Trường hợp sử dụng |
|---|---|
| Quy tắc tìm kiếm người dùng: (&(objectClass=user)(objectCategory=person)(mail=*)) | Thay vì sử dụng quy tắc cơ bản để trả về tất cả người dùng, hãy tối ưu hoá quy tắc bằng cách sử dụng truy vấn mail=.
Quá trình đồng bộ hoá sẽ hoạt động hiệu quả hơn vì máy chủ LDAP và GCDS không phải xử lý các mục sẽ bị loại bỏ. |
| Ví dụ 2: Trả về người dùng có địa chỉ email khớp với chuỗi | Trường hợp sử dụng |
|---|---|
| Quy tắc tìm kiếm người dùng: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | Thay vì sử dụng quy tắc cơ bản và quy tắc loại trừ để trả về tất cả người dùng có địa chỉ email không có sales, hãy sử dụng quy tắc được tối ưu hoá với chuỗi khớp.
Máy chủ LDAP và GCDS không phải xử lý các mục sẽ bị loại bỏ. Ngoài ra, bạn không phải thiết lập quy tắc loại trừ hoặc cân nhắc mức độ ưu tiên. |
Chủ đề có liên quan
Google, Google Workspace và những nhãn hiệu cũng như biểu tượng có liên quan là nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.