Vous trouverez ci-dessous des questions fréquemment posées sur la configuration et l'exécution d'une synchronisation avec la synchronisation d'annuaire.
Généralités | Synchronisation des utilisateurs et des groupes | Active Directory | Azure Active Directory
Configuration
Dois-je passer de Google Cloud Directory Sync à Directory Sync ?
Si vous ne synchronisez que des utilisateurs et des groupes, Directory Sync peut répondre à vos besoins.
Si vous synchronisez des objets en plus des utilisateurs et groupes d'utilisateurs (licences Google Workspace ou contacts partagés, par exemple), nous vous recommandons d'utiliser Directory Sync pour synchroniser les utilisateurs et les groupes, et GCDS pour les autres objets. Toutefois, si vous synchronisez à la fois des utilisateurs et des groupes, vous devez utiliser le même outil de synchronisation.
Pour en savoir plus, consultez Comparer Directory Sync et GCDS.
Puis-je utiliser Directory Sync pour synchroniser des utilisateurs et des groupes, et GCDS pour synchroniser des contacts partagés ?
Oui. Directory Sync vous permet de synchroniser des utilisateurs et des groupes, tandis que GCDS vous permet de synchroniser d'autres objets tels que les contacts partagés. Nous vous recommandons de n'utiliser qu'un seul outil pour synchroniser les utilisateurs et les groupes.
Puis-je configurer Directory Sync pour synchroniser des mots de passe ?
Non, Directory Sync ne peut pas synchroniser les mots de passe utilisateur à partir d'annuaires externes.
Pourquoi ai-je un compte de service ?
La première fois que vous accédez à la page "Synchronisation d'annuaire" dans la console d'administration Google, un compte de service avec un rôle de gestion de répertoire est automatiquement créé dans un projet Google Cloud interne.
Directory Sync utilise ce compte pour accéder aux données de votre annuaire Google Cloud. Vous ne pouvez pas consulter ni gérer le compte. Les visites ultérieures de la page "Synchronisation d'annuaire" ne créent pas de comptes supplémentaires.
Vous pouvez consulter les dates d'accès au compte dans l'outil d'investigation de sécurité. Pour en savoir plus, consultez Événements du journal d'administration.
Synchronisation des utilisateurs et des groupes
Que se passe-t-il si une synchronisation ne s'exécute pas automatiquement ?
Aucune action de votre part n'est requise.
La synchronisation d'annuaire relance le processus pendant au moins sept jours après la dernière synchronisation réussie. Il tente de redémarrer la synchronisation au moins neuf fois avant d'annuler le processus.
Puis-je renommer un groupe d'annuaires externes ?
Oui, vous pouvez modifier le nom d'un groupe d'annuaires externes. Vous devez effectuer des étapes supplémentaires si vous avez effectué la synchronisation après avoir ajouté le groupe dans la section Champ d'application des utilisateurs de la synchronisation d'annuaire et coché l'option Suspendre l'utilisateur dans l'annuaire Google. Dans ce scénario, suivez les instructions ci-dessous pour modifier le nom du groupe.
Remarque : Si le scénario ci-dessus ne s'applique pas à votre configuration, vous pouvez renommer le groupe d'annuaires externes sans suivre ces étapes supplémentaires.
- Désactivez la synchronisation.
Pour en savoir plus, consultez Activer ou désactiver une synchronisation.
- Sur la page Détails de l'annuaire, à côté de Synchronisation des utilisateurs, cliquez sur Modifier
. - Saisissez le nouveau nom du groupe et enregistrez la configuration de la synchronisation.
- Renommez le groupe dans votre annuaire externe.
- Dans la synchronisation d'annuaire, sous Champ d'application des utilisateurs, supprimez l'ancien nom de groupe et enregistrez la configuration de la synchronisation.
Qu'advient-il des utilisateurs si un groupe est supprimé de l'annuaire externe ?
Si un groupe défini dans le champ d'application d'un utilisateur est supprimé de l'annuaire externe, l'utilisateur reste actif ou suspendu dans l'annuaire Google Cloud après une synchronisation, selon votre paramètre Déprovisionnement. Cette action se poursuit jusqu'à ce que vous supprimiez le groupe du champ d'application de la synchronisation.
Si vous supprimez le groupe de l'annuaire externe et que vous l'ajoutez à nouveau avec le même nom, la synchronisation d'annuaire le synchronise comme s'il s'agissait d'un nouveau groupe (car il possède un nouvel ID de groupe).
Pour en savoir plus, consultez Suspendre des comptes utilisateur introuvables dans l'annuaire externe.
Puis-je synchroniser les comptes utilisateur avec un domaine secondaire ?
Oui, vous pouvez utiliser Directory Sync pour synchroniser les comptes utilisateur avec un domaine secondaire.
Assurez-vous que les adresses e-mail des utilisateurs dans votre annuaire externe correspondent à votre nom de domaine secondaire. Si vous ne souhaitez pas modifier l'attribut de messagerie existant, utilisez-en un autre et attribuez-le lors de la configuration de la synchronisation des utilisateurs. Lors d'une synchronisation, Directory Sync crée les comptes utilisateur dans votre annuaire Google Cloud en utilisant votre domaine secondaire comme adresse e-mail principale.
Pour en savoir plus, consultez Remplacer le nom de domaine pour les utilisateurs synchronisés.
Puis-je synchroniser les utilisateurs Google disposant de droits d'administrateur ?
Non. Directory Sync ne synchronise pas les données des comptes administrateur dans Google Workspace.
Si vous devez synchroniser des comptes administrateur, envisagez d'utiliser Google Cloud Directory Sync. Pour en savoir plus, consultez À propos de Google Cloud Directory Sync.
Puis-je synchroniser les groupes imbriqués ?
Oui, vous pouvez synchroniser les groupes imbriqués lorsque vous utilisez Directory Sync. Pour connaître la procédure à suivre, consultez Configurer la synchronisation des groupes.
Active Directory
Puis-je créer le connecteur d'accès VPC dans un projet distinct ?
Pour simplifier la configuration du réseau, nous vous recommandons de créer le connecteur d'accès au cloud privé virtuel (VPC) dans le même projet que Cloud VPN ou Cloud Interconnect. Si vous souhaitez créer le connecteur d'accès VPC dans un autre projet, utilisez un VPC partagé. Pour en savoir plus, consultez la présentation du VPC partagé.
Quel format dois-je appliquer au nom distinctif de base lors de la configuration d'une synchronisation ?
Votre serveur LDAP utilise le nom distinctif de base comme point de départ pour rechercher des objets d'annuaire (des utilisateurs ou des groupes, par exemple). Plus le champ d'application du nom distinctif de base est petit, plus il est efficace lors de la recherche.
Exemples
| Type de recherche basée sur le nom distinctif de base | Exemple | Remarques |
|---|---|---|
| Spécifier le nom distinctif de base de premier niveau | dc=example, dc=com | Recherche tous les objets de l'annuaire. Les performances de recherche peuvent être faibles. |
| Indiquer une unité organisationnelle | ou=sales, dc=example, dc=com |
Recherche tous les objets d'une unité organisationnelle. |
|
Spécifier la recherche d'un utilisateur |
cn=Users, dc=example, dc=com |
Recherche tous les utilisateurs dans l'annuaire. |
Nous vous recommandons d'utiliser les attributs objectClass et objectQuery pour affiner votre requête. Pour en savoir plus, consultez Filtrer sur objectCategory et objectClass.
Articles associés
Puis-je effectuer une synchronisation à partir de plusieurs connexions AD ?
Oui, vous pouvez créer jusqu'à 50 connexions AD. Le domaine AD doit être unique pour chaque connexion.
Comment améliorer les performances de recherche avec mes requêtes LDAP ?
Pour améliorer les performances de recherche :
- Nom distinctif de base : ajustez le nom distinctif de base pour qu'il soit aussi spécifique que possible. Par exemple, si vos utilisateurs ou groupes figurent dans une hiérarchie d'unités organisationnelles, utilisez la requête de recherche pour pointer vers le parent de la hiérarchie plutôt que vers l'unité organisationnelle racine. Cela permet de garantir que la recherche LDAP s'effectue dans la hiérarchie des unités organisationnelles spécifiques et non dans l'annuaire complet.
- Champ d'application : prenez en compte le niveau de hiérarchie inclus dans votre requête LDAP.
Dans cet exemple, la hiérarchie de vos unités organisationnelles est divisée en régions (1er niveau) et en pays (2e niveau). Si vos utilisateurs et groupes font partie de l'unité organisationnelle APAC, définissez le champ d'application de la requête LDAP sur Un niveau afin que la requête ne porte que sur l'unité APAC (et non sur les unités de deuxième niveau). Si vous souhaitez inclure les unités organisationnelles de deuxième niveau dans la recherche, définissez le champ d'application sur Sous-arborescence.
Articles associés
Azure Active Directory
Le nombre de connexions Azure Active Directory que je peux synchroniser est-il limité ?
Oui, vous ne pouvez ajouter qu'une seule connexion Microsoft Azure Active Directory.
Combien de groupes puis-je ajouter dans le champ d'application d'un utilisateur et d'un groupe ?
- Champ d'application d'un utilisateur : 2 000 groupes (limite de 100 000 caractères au total pour tous les groupes)
- Champ d'application d'un groupe : 400 groupes (limite de 17 000 caractères au total pour tous les groupes)
Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.