设置用户同步

现在,您可以设置要同步的用户了。在 Directory Sync 中,您可以输入外部目录中的群组名称来同步用户。群组中的个人用户(而非群组本身)会同步到您的 Google Cloud 目录。

准备工作

请务必添加并测试与 Google Cloud 目录的外部目录连接。有关详情,请参阅添加、修改或移除外部目录

设置要同步的用户

第 1 步:选择用户

  1. 在 Google 管理控制台中,依次点击“菜单”图标 目录 目录同步

    需要拥有“管理 Directory Sync 设置”特权

  2. 点击外部目录的名称。
  3. 点击设置用户同步

  4. 输入外部目录群组的名称,然后按 Enter 键。Directory Sync 会将群组成员同步到您的 Google Cloud 目录。

    注意:群组必须在外部目录中拥有自己的关联电子邮件地址。

  5. 输入任意其他群组名称。

  6. (仅限 Active Directory)对于基本 DN,输入基本标识名 (DN)。第 4 步和第 5 步中指定的群组应直接位于基本 DN 下。

    示例:ou=Sales, dc=example, dc=com。在此示例中,目录同步会搜索“销售”组织部门下的群组。

  7. 点击验证,检查这些群组是否存在于您的外部目录中。
  8. 点击继续
  9. 如果您想将用户映射到单个组织部门,请选择该组织部门 完成
  10. (可选)如要确保用户在外部目录中发生移动后仍保留在 Google Cloud 目录内的所选组织部门中,请取消选中强制执行组织部门映射复选框。
  11. 点击继续

第 2 步:将用户添加到单位部门中

  1. 根据需要选择相应选项:
    • 如果您想将用户放置在单个组织部门中,请点击选择组织部门,前往并选择相应组织部门 点击完成

    • 如果您要将用户放入由外部目录属性定义的组织部门,对于将用户置于以属性形式存储的组织部门中,请在包含组织部门完整路径的外部目录中输入用户属性。

      如需了解创建路径的步骤,请参阅将组织部门添加为外部目录中的属性(本页中的下文)。

  2. (可选)如要确保用户在外部目录中发生移动后仍保留在 Google Cloud 目录内的所选组织部门中,请取消选中强制执行组织部门映射复选框。
  3. 点击继续

将组织部门添加为外部目录中的属性

  1. 在 Google 管理控制台中设置组织部门结构。如需了解详情,请参阅添加组织部门
  2. 在外部目录中,使用标准属性或自定义属性为每位用户定义预期的组织部门路径。请使用以下格式:
    • 请勿包含顶级组织部门。
    • 使用正斜线 (/) 分隔父组织部门和子组织部门。

示例:如果您要将用户 yuri@example.com 添加到财务组织部门下的销售组织部门,请按以下步骤操作:

  1. 在外部目录中,对于 yuri@example.com,将部门属性设为财务/销售
  2. 设置目录同步时,请点击将用户放入存储在属性中的组织部门,然后添加部门属性。

第 3 步:映射用户属性

设置必需的属性

确认或输入映射到 Google Cloud 目录中的以下用户属性的外部目录属性:

  • 名字
  • 姓氏
  • 主电子邮件地址

如果您更改了属性,可以点击设置默认值继续,将其重置为默认值。

映射任何可选属性

您可以将外部目录中的标准用户属性和自定义用户属性映射到 Google Cloud 目录。如需查看常用映射,请参阅常用用户属性映射(本页面下方)。

  1. 对于输入属性,请输入外部目录中的用户属性。

    如果外部目录用户属性是嵌套属性,请使用英文句点分隔属性和子属性(例如,employeeOrgData.division)。

  2. 从列表中选择 Google Cloud 目录用户属性。

    您可以将单个外部目录属性映射到多个 Google Cloud 目录用户属性。不过,您无法将单个 Google Cloud 目录属性映射到多个外部目录属性。

  3. (可选)如需映射其他用户属性,请重复上述步骤。

常见用户属性映射

以下是一些常见的属性映射。您不必遵循这些映射。您可以更改外部目录中的属性,并将其映射到 Google Cloud 目录中的其他属性。

Active Directory (AD) 或 Azure AD 中的外部目录属性 通常映射到此 Google 用户属性…
givenName(AD 和 Azure AD) 名字
sn (AD)
surname (Azure AD)		 姓氏
mail (AD)
userPrincipalName (Azure AD)		 主要电子邮件地址
公司 (AD)
companyName (Azure AD)		 公司名称
助理 (AD) 助理的电子邮件地址
department(AD 和 Azure AD)
physicalDeliveryOfficeName (AD)
officeLocation (Azure AD)		 办公地点
title (AD)
jobTitle (Azure AD)		 职位
employeeID (AD)
employeeId (Azure AD)		 员工 ID
telephoneNumber (AD) 工作电话号码
homePhone (AD) 住宅电话号码
facsimileTelephoneNumber (AD)
faxNumber (Azure AD)		 传真号码
手机 (AD)
mobilePhone (Azure AD)		 手机号码
寻呼机 (AD) 工作手机号码
telephoneAssistant (AD) 助理号码
streetAddress(AD 和 Azure AD) 街道地址
postOfficeBox (AD) 邮政信箱
l(AD 中的小写 L)
城市 (Azure AD)		 城市
st (AD)
state (Azure AD)		 州/省
postalCode(AD 和 Azure AD) 邮政编码
co (AD)
country (Azure AD)		 国家/地区
preferredLanguage (Azure AD) 语言
aboutMe (Azure AD) 简介
employeeOrgData.costCenter (Azure AD) 成本中心
uidNumber (AD) POSIX UID
primaryGroupID (AD) POSIX GID
sAMAccountName (AD) POSIX 用户名
unixHomeDirectory (AD) POSIX 主目录

第 4 步:选择用户激活账号的方式

  1. 根据需要选择相应选项:

    • 发送激活电子邮件 - 用户会收到一封电子邮件,其中包含有关激活新账号和设置密码的信息。

      如果您选择此选项,请选择是将电子邮件发送到用户的主电子邮件地址还是辅助邮箱地址。如果您选择辅助邮箱地址,请确保您已在“第 3 步:映射用户属性”(本页面中的上文)中为该地址添加映射。

      如需详细了解用户需要执行的操作,请参阅用户收到激活电子邮件后会发生什么情况?(本页中的下文)。

    • 不发送激活电子邮件 - 用户不会收到电子邮件。

      如果您想直接告知用户新账号,或者使用第三方身份提供方 (IdP) 进行身份验证,请使用此选项。(如果您使用的是 IdP,则用户无需设置 Google 密码。)

  2. 点击继续

用户收到激活电子邮件后会发生什么?

同步完成后,您的用户会收到一封电子邮件,其中包含有关如何激活其新的受管理的 Google 账号的详细信息。当用户准备好首次登录新账号时,需要完成以下步骤:

  1. 在其原始电子邮件账号中,打开电子邮件,然后点击登录 下一步
  2. 点击发送以获取验证码。
  3. 在其原始账号中,打开验证码消息,然后复制验证码。
  4. 在新 Google 账号中,输入验证码,然后点击下一步
  5. 接受服务条款。
  6. 创建安全系数高的密码,然后点击更改密码

第 5 步:暂停在外部目录中找不到的用户(可选)

如果某用户已被暂停或在外部目录中找不到该用户(例如,在外部目录中删除了该用户的群组),您可以在您的 Google Cloud 目录中将其暂停。

如需暂停在外部目录中找不到的用户,请执行以下操作:

  1. 勾选在 Google 中暂停用户复选框。

    如果您不想暂停用户,请取消选中该复选框。

  2. 点击继续

重要提示:Directory Sync 会同步用户的状态。如果您中止了某用户账号,但外部目录账号处于有效状态,那么该用户的账号会在同步后激活。

第 6 步:设置保护措施

设置在什么条件下自动取消同步。如果同步操作超出了保护措施的限制,系统会自动取消同步,并且不会暂停任何用户。除非您手动启用同步,否则系统不会再运行同步。如需详细了解保护措施,请参阅如何确定保护措施(请参阅本页的下一部分)。

如需设置保护措施,请执行以下操作:

  1. 保护措施部分,选择设置用户数量百分比设置用户总数,然后输入百分比或数字。
  2. 点击模拟同步

  3. 如果保护措施被触发,您会收到一条通知,其中包含有关同步失败的详细信息。您还可以在审核日志中查看更多详细信息。

    如需了解详情,请参阅使用提醒中心检查 Directory Sync 的日志事件

如何确定保护措施

目录同步会计算外部目录中存在的用户账号数量,并将其与同步后可能中止的账号数量进行对比。如果数量大于指定的百分比或数字,系统会自动取消同步,且不执行任何操作。

示例

您有 100 个外部目录用户。在同步期间,Directory Sync 建议中止 12 个用户账号并添加 3 个新账号。

示例 1:您将数值上限 14 设为保护措施。由于建议暂停的账号数量 (12) 低于保护措施数值 (14),因此目录同步会继续实施建议的更改。

示例 2:您将百分比上限 10% 设为保护措施。目录同步会将拟中止的 12 个候选账号与百分比上限进行对比。由于拟暂停候选账号的占比 (12%) 超出了 10% 的上限,因此目录同步会停止同步而不应用任何更改。

接下来会发生什么?

Directory Sync 会模拟同步。此过程可能需要长达一小时才能完成,具体取决于数据的大小。

查看模拟的状态

您可以返回到目录详细信息页面,查看模拟的状态。您还可以在 Directory Sync 日志事件中查看模拟是否已完成:

  1. 打开 Directory Sync 日志事件。

    如需了解详情,请参阅访问 Directory Sync 日志事件数据

  2. 依次点击添加过滤条件 事件
  3. 选择完成了同步,然后点击应用

    模拟列中的表示模拟已完成。您可能需要添加模拟列才能查看结果。

检查模拟同步的结果

模拟完成后,在目录详细信息页面上,点击查看模拟日志

为已同步的用户替换域名

下一步

设置群组同步


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。