Puedes usar reglas de búsqueda de LDAP para sincronizar datos de tu servidor de directorio LDAP con la Cuenta de Google de tu organización con Google Cloud Directory Sync ( GCDS). Cuando agregas una regla de búsqueda, los datos que coinciden con ella se sincronizan durante la próxima sincronización. Los datos que no coinciden con la regla de búsqueda se quitan.
Importante: Google no depura ni brinda asistencia para las consultas de LDAP.
Sintaxis básica de las consultas de LDAP
Puedes crear cualquier consulta de búsqueda de LDAP personalizada, siempre que cumpla con RFC 2254.
| Operador | Carácter | Usa |
|---|---|---|
| Es igual que | = | Crea un filtro que requiere que un campo tenga un valor determinado. |
| Cualquiera | * | Representa un campo que puede ser igual a cualquier valor, excepto NULL. |
| Paréntesis | ( ) | Separa los filtros para permitir que funcionen otros operadores lógicos. |
| y | & | Une los filtros. Todas las condiciones de la serie deben ser verdaderas. |
| O | | | Une los filtros. Al menos una condición de la serie debe ser verdadera. |
| Not | ! | Excluye todos los objetos que coinciden con el filtro. |
Agrega una regla de búsqueda de LDAP
Puedes seguir estos pasos para cualquier tipo de regla de búsqueda.
- En el Administrador de configuración, ve a Cuentas de usuario
Buscar reglas. - Haz clic en Agregar regla de búsqueda.
- En el menú, elige una opción para seleccionar el alcance de la regla de búsqueda:
- Subárbol: La regla de búsqueda se aplica al objeto DN base y a todos sus objetos secundarios.
- Un nivel: La regla de búsqueda se aplica a los elementos secundarios inmediatos del objeto DN base, pero excluye el DN base en sí.
- Objeto: La regla de búsqueda se aplica solo al objeto DN base.
En Regla, ingresa la regla de búsqueda con la sintaxis de consulta de búsqueda de LDAP.
Consulta los ejemplos a continuación.
En DN base, elige una opción:
- Ingresa el DN base.
- Deja el campo en blanco para usar el DN base especificado en la página Conexión LDAP.
Haz clic en Probar consulta LDAP para verificar los resultados de la consulta.
Puedes revisar la cantidad de objetos encontrados y los primeros 5 resultados. Los resultados no incluyen a los usuarios sin una dirección de correo electrónico.
Haz clic en Aceptar.
(Opcional) Para agregar otra regla de búsqueda, repite los pasos.
Excluye datos de una regla de búsqueda
Reglas de exclusión
Puedes usar reglas de exclusión para excluir datos del servidor de directorio LDAP que no quieres que se sincronicen con la Cuenta de Google de tu organización. Por ejemplo, puedes usar una regla de búsqueda de LDAP para especificar que se deben sincronizar todas las direcciones de correo electrónico. Luego, usa una regla de exclusión para ignorar todas las direcciones de correo electrónico que comiencen con una cadena determinada.
Consultas de búsqueda de usuarios
Con una consulta de búsqueda de usuarios, GCDS identifica a los usuarios de tu Cuenta de Google que coinciden con los resultados de la consulta. Si un usuario de Google no coincide con los resultados, GCDS realiza la sincronización como si el usuario no existiera.
Si usas una consulta de búsqueda de usuarios, asegúrate de que las reglas de búsqueda de LDAP no muestren usuarios que existen en Google, pero que no se incluyen en los resultados de la consulta. De lo contrario, GCDS intentará crear los usuarios durante cada sincronización.
Por ejemplo, yuri@altostrat.com existe en tu Cuenta de Google y también se muestra en la regla de búsqueda de LDAP. Si usas email:m* como consulta de búsqueda de usuarios, GCDS intenta crear yuri@altostrat.com durante cada sincronización porque yuri@altostrat.com no comienza con la letra m.
Para obtener más información, consulta Omite datos con reglas y consultas de exclusión.
Ejemplos de consultas de LDAP y reglas de búsqueda
Los siguientes ejemplos son generales y es posible que no se apliquen a tu entorno. Los saltos de línea son solo para el formato de la página.
Consultas básicas de LDAP
- Todos los objetos (pueden causar problemas de carga)
objectClass=*
- Todos los objetos de usuario designados como "persona"
(&(objectClass=user)(objectCategory=person))
- Solo listas de distribución
(objectCategory=group)
- Solo carpetas públicas
(objectCategory=publicfolder)
- Todos los objetos de usuario, excepto aquellos con direcciones de correo electrónico principales que comienzan con "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Todos los objetos de usuario, excepto aquellos con direcciones de correo electrónico principales que terminan con "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Todos los objetos de usuario, excepto aquellos con direcciones de correo electrónico principales que contienen la palabra "test"
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
Consultas específicas de LDAP
- Todos los objetos de usuario y alias designados como "persona" y que forman parte de un grupo o una lista de distribución
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Todos los objetos de usuario designados como "persona", todos los objetos de grupo y todos los contactos, excepto aquellos con cualquier valor definido como "extensionAttribute9"
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Todos los usuarios que son miembros del grupo identificado por el DN "CN=Group,OU=Users,DC=Domain,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Muestra todos los usuarios
- Para Active Directory: (&(objectCategory=person)(objectClass=user))
- Para OpenLDAP: (objectClass=inetOrgPerson)
- Para HCL Domino: (objectClass=dominoPerson)
- Todos los objetos con la dirección de correo designada como "persona" o "grupo" (en un directorio LDAP de Domino)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Todos los usuarios activos (no inhabilitados) que tienen direcciones de correo electrónico en Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Todos los usuarios que son miembros del Grupo_1 o del Grupo_2, según lo define el DN del grupo
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Todos los usuarios que tienen el valor "Engineering" o "Sales" en extensionAttribute1
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Recupera de forma recursiva los miembros del grupo anidados en el grupo especificado en Active Directory
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Consulta de pertenencia a grupos con ObjectGUID en Active Directory. El valor hexadecimal del atributo ObjectGUID de un grupo es 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Optimiza tus reglas de búsqueda
Puedes optimizar las reglas de búsqueda para mejorar el rendimiento de la sincronización.
| Ejemplo 1: Muestra usuarios con dirección de correo electrónico | Caso de uso |
|---|---|
| Regla de búsqueda de usuarios: (&(objectClass=user)(objectCategory=person)(mail=*)) | En lugar de usar una regla básica para mostrar todos los usuarios, optimiza la regla con la consulta mail=.
La sincronización se realiza de manera más eficiente, ya que el servidor LDAP y GCDS no tienen que procesar entradas que, de lo contrario, se descartarían. |
| Ejemplo 2: Muestra usuarios con una dirección de correo electrónico que coincida con la cadena | Caso de uso |
|---|---|
| Regla de búsqueda de usuarios: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | En lugar de usar una regla básica y una regla de exclusión para mostrar todos los usuarios con una dirección de correo electrónico que no tenga sales, usa una regla optimizada con una cadena coincidente.
El servidor LDAP y GCDS no tienen que procesar entradas que, de lo contrario, se descartarían. Además, no tienes que configurar una regla de exclusión ni considerar el nivel de prioridad. |
Tema relacionado
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.