Настройте синхронизацию пользователей

1. В консоли администратора Google перейдите в меню. Каталог Синхронизация каталогов .
   Перейдите в раздел «Синхронизация каталогов».

   Для этого требуется наличие привилегии «Управление настройками синхронизации каталогов» .

2. Щелкните по названию вашей внешней директории.
3. Нажмите «Настроить синхронизацию пользователей» .

4. Введите имя внешней группы каталогов и нажмите Enter . Функция синхронизации каталогов синхронизирует участников группы с вашим облачным каталогом Google.

   Примечание: У каждой группы должен быть свой собственный адрес электронной почты во внешнем каталоге.

5. Введите любые дополнительные названия групп.

6. (Только для Active Directory) В поле «Базовое DN» введите базовое отличительное имя (DN). Группы, указанные в шагах 4 и 5, должны находиться непосредственно под базовым DN.

   Пример: ou=Sales, dc=example, dc=com . В этом примере синхронизация каталогов ищет группы в рамках организационного подразделения «Продажи».

7. Нажмите «Проверить» , чтобы убедиться, что группы существуют во внешнем каталоге.
8. Нажмите «Продолжить» .
9. Если вы хотите привязать пользователей к одному организационному подразделению, выберите это организационное подразделение. Сделанный .
10. (Необязательно) Чтобы гарантировать, что пользователь останется в организационной единице в вашем облачном каталоге Google, если его переместят во внешний каталог, снимите флажок « Принудительное сопоставление организационных единиц» .
11. Нажмите «Продолжить» .

1. Выберите вариант:
   • Чтобы объединить пользователей в одно организационное подразделение, нажмите «Выбрать организационное подразделение» , перейдите в раздел и выберите это организационное подразделение. Нажмите «Готово» .

   • Если вы хотите поместить пользователей в организационное подразделение, определенное в атрибуте во внешнем каталоге, для параметра «Поместить пользователей в организационное подразделение, хранящееся в качестве атрибута» введите атрибут пользователя во внешнем каталоге, содержащий полный путь к организационному подразделению.

     Чтобы узнать, как создать путь, перейдите к разделу «Добавление организационной единицы в качестве атрибута во внешний каталог» (см. ниже на этой странице).

2. (Необязательно) Чтобы гарантировать, что пользователь останется в организационной единице в вашем облачном каталоге Google, если его переместят во внешний каталог, снимите флажок « Принудительное сопоставление организационных единиц» .
3. Нажмите «Продолжить» .

Добавьте организационное подразделение в качестве атрибута во внешний каталог.

1. Настройте структуру организационных подразделений в консоли администратора Google. Подробности см. в разделе «Добавление организационного подразделения» .
2. В вашей внешней директории, используя стандартный или пользовательский атрибут, укажите предполагаемый путь к организационному подразделению для каждого пользователя. Используйте следующий формат:
   • Не включайте в расчет высшее организационное подразделение.
   • Разделяйте родительские и дочерние организационные единицы косой чертой (/).

Пример : Если вы хотите добавить пользователя yuri@example.com в организационное подразделение «Продажи» , которое входит в организационное подразделение «Финансы» , выполните следующие шаги:

1. Во внешней директории для адреса yuri@example.com установите атрибут Department в значение Finance/Sales .
2. При настройке синхронизации каталогов нажмите « Поместить пользователей в подразделение, сохраненное в качестве атрибута» и добавьте атрибут «Отдел» .

Настройте необходимые атрибуты.

Подтвердите или введите атрибуты внешнего каталога, которые соответствуют следующим атрибутам пользователей в вашем облачном каталоге Google:

• Имя
• Фамилия
• Основной адрес электронной почты

Если вы измените параметры, вы можете нажать кнопку «Установить значения по умолчанию». Затем сбросьте их до значений по умолчанию.

Сопоставьте любые необязательные атрибуты

Вы можете сопоставлять стандартные и пользовательские атрибуты пользователей из внешнего каталога с каталогом Google Cloud. Чтобы увидеть часто используемые сопоставления, перейдите в раздел «Распространенные сопоставления атрибутов пользователей» (ниже на этой странице).

1. В поле «Введите атрибут» введите пользовательский атрибут из вашей внешней директории.

   Если атрибут пользователя внешнего каталога является вложенным, разделите атрибут и податрибут точкой (например, employeeOrgData.division ).

2. Из списка выберите атрибут пользователя каталога Google Cloud.

   Вы можете сопоставить один атрибут внешнего каталога с несколькими атрибутами пользователей каталога Google Cloud. Однако вы не можете сопоставить один атрибут каталога Google Cloud с несколькими атрибутами внешнего каталога.

3. (Необязательно) Чтобы сопоставить дополнительные атрибуты пользователя, повторите шаги.

Общие сопоставления атрибутов пользователя

Вот несколько распространенных вариантов сопоставления атрибутов. Вам не обязательно следовать этим правилам. Вы можете изменить атрибут во внешнем каталоге и сопоставить его с другим атрибутом в вашем облачном каталоге Google.

Связанные темы

• атрибуты AD
• атрибуты Azure AD

1. Выберите вариант:

   • Отправка письма с активацией — Пользователи получают электронное сообщение об активации своей новой учетной записи и установке пароля.

     Если вы выберете этот вариант, укажите, на какой адрес электронной почты следует отправить письмо: на основной или резервный. Если вы выберете резервный адрес, убедитесь, что вы добавили сопоставление для этого адреса на шаге 3: Сопоставление атрибута пользователя (выше на этой странице).

     Для получения более подробной информации о том, что должны сделать пользователи, перейдите по ссылке «Что происходит, когда пользователь получает письмо с активацией?» (ниже на этой странице).

   • Не отправляйте письмо с активацией — пользователи не получают электронные письма.

     Используйте этот вариант, если вы хотите напрямую сообщать пользователям о новых учетных записях или если вы используете стороннего поставщика идентификационных данных (IdP) для аутентификации. (Если вы используете IdP, пользователям не нужно устанавливать пароль Google.)

2. Нажмите «Продолжить» .

Что происходит, когда пользователь получает письмо с активацией?

После синхронизации ваши пользователи получат электронное письмо с подробной информацией об активации их новой управляемой учетной записи Google. Когда они будут готовы впервые войти в новую учетную запись, им необходимо выполнить следующие шаги:

1. В исходном почтовом ящике откройте электронное письмо и нажмите «Войти». Следующий .
2. Нажмите «Отправить» , чтобы получить код подтверждения.
3. В своем первоначальном аккаунте откройте сообщение с кодом подтверждения и скопируйте код.
4. В своем новом аккаунте Google введите код подтверждения и нажмите «Далее» .
5. Примите условия предоставления услуг.
6. Создайте надежный пароль и нажмите «Изменить пароль» .

Если пользователь заблокирован или отсутствует во внешнем каталоге (например, группа пользователя удалена во внешнем каталоге), вы можете заблокировать его в своем облачном каталоге Google.

Чтобы приостановить работу пользователей, не найденных во внешнем каталоге:

1. Установите флажок «Приостановить действие учетной записи пользователя в Google» .

   Если вы не хотите блокировать пользователей, снимите флажок.

2. Нажмите «Продолжить» .

Важно : Синхронизация каталога синхронизирует состояние пользователя. Если вы приостанавливаете учетную запись пользователя, но учетная запись внешнего каталога активна, учетная запись пользователя будет активирована после синхронизации.

Установите условия, при которых синхронизация автоматически отменяется. Если синхронизация превышает установленные лимиты, она автоматически отменяется, и ни один пользователь не блокируется. Дальнейшая синхронизация не будет выполняться, пока вы вручную не включите синхронизацию. Для получения дополнительной информации о мерах безопасности перейдите к разделу «Как определяются меры безопасности» (в следующем разделе на этой странице).

Для обеспечения безопасности:

1. В разделе «Защита» выберите «Установить процент пользователей» или «Установить общее количество пользователей » и введите процент или число.
2. Нажмите «Имитировать синхронизацию» .

3. Если срабатывает защитная функция, вы получаете уведомление с подробной информацией о неудачной синхронизации. Дополнительные сведения также можно просмотреть в журнале аудита.

   Для получения дополнительной информации перейдите в разделы «Использование центра оповещений» и «Проверка событий журнала для синхронизации каталогов» .

Как определяются меры безопасности

Функция синхронизации каталогов вычисляет количество учетных записей пользователей во внешнем каталоге и сравнивает это число с количеством учетных записей, которые могут быть заблокированы после синхронизации. Если это число превышает указанный процент или количество, синхронизация автоматически отменяется, и никаких действий не предпринимается.

Примеры

У вас 100 внешних пользователей каталога. Во время синхронизации Directory Sync предлагает приостановить работу 12 учетных записей пользователей и добавить 3 новые.

Пример 1 : Вы устанавливаете числовое ограничение в 14 в качестве меры предосторожности. Поскольку количество учетных записей, которые предлагается приостановить (12), меньше установленного значения (14), синхронизация каталогов продолжает вносить предложенные изменения.

Пример 2 : Вы устанавливаете процентное ограничение в 10% в качестве меры предосторожности. Directory Sync сравнивает предложенные 12 кандидатов на приостановку с процентным ограничением. Поскольку процент кандидатов на приостановку (12%) превышает 10%, Directory Sync останавливает синхронизацию, не применяя никаких изменений.