คำถามที่พบบ่อยเกี่ยวกับ GCDS

คำถามที่พบบ่อยเกี่ยวกับการใช้ Google Cloud Directory Sync มีดังนี้

ในหน้านี้

ตั้งค่า GCDS

ฉันจะให้สิทธิ์ GCDS ในเครื่องที่ไม่มี GUI ได้อย่างไร

  1. ตรวจสอบว่าคุณเรียกใช้ GCDS เวอร์ชัน 4.7.14 ขึ้นไป

    โปรดดูรายละเอียดที่หัวข้ออัปเดต GCDS

  2. ให้สิทธิ์ GCDS ในคอมพิวเตอร์ที่มี GUI

    โปรดดูรายละเอียดที่หัวข้อให้สิทธิ์บัญชี Google ของคุณ

  3. สร้างและบันทึกไฟล์ XML
  4. ในคอมพิวเตอร์เดียวกัน ให้ใช้บรรทัดคำสั่งเพื่อเรียกใช้เครื่องมือการกำหนดค่าการอัปเกรดโดยใช้พารามิเตอร์ -exportkeys

    ตัวอย่าง: upgrade-config -exportkeys ไฟล์คีย์การเข้ารหัส [รหัสผ่าน]

    ในตัวอย่างนี้ ระบบจะส่งออกคีย์เป็นไฟล์ชื่อไฟล์คีย์การเข้ารหัส โดยที่คุณจะใช้รหัสผ่านหรือไม่ก็ได้

  5. คัดลอกไฟล์คีย์การเข้ารหัสและไฟล์การกำหนดค่าไปยังคอมพิวเตอร์ที่ไม่มี GUI
  6. ในคอมพิวเตอร์ที่ไม่มี GUI ให้ใช้บรรทัดคำสั่งเพื่อเรียกใช้เครื่องมือการกำหนดค่าการอัปเกรดโดยใช้พารามิเตอร์ -importkeys

    ตัวอย่าง: upgrade-config -importkeys ชื่อไฟล์

    สำคัญ: พารามิเตอร์ -importkeys จะนำการกำหนดค่า GCDS ที่ได้รับอนุญาตที่อาจมีอยู่ในคอมพิวเตอร์ออก

  7. หากจำเป็น ให้ป้อนรหัสผ่านที่คุณตั้งไว้ในขั้นตอนที่ 4

    คุณควรได้รับการยืนยันว่านำเข้าคีย์เรียบร้อยแล้ว

เคล็ดลับ: หากต้องการดูตัวเลือกเพิ่มเติม ให้ป้อนคำสั่ง upgrade-config -help จากบรรทัดคำสั่ง

ฉันจะย้าย GCDS ไปยังเซิร์ฟเวอร์อื่นได้อย่างไร

  1. หากคุณมีการเปลี่ยนแปลงอีเมลผู้ใช้ที่รอดำเนินการ (การเปลี่ยนชื่อผู้ใช้) หรือไม่แน่ใจว่ามีหรือไม่ ให้เลือกตัวเลือกดังต่อไปนี้
    • เรียกใช้การซิงค์ข้อมูลในเซิร์ฟเวอร์เก่า
    • คัดลอกไฟล์ค่าที่คั่นด้วยแท็บ (TSV) ไปยังเซิร์ฟเวอร์ใหม่

      คุณจะหาชื่อและตำแหน่งของไฟล์ TSV ได้ในไฟล์การกำหนดค่าโดยการค้นหา .tsv

    • ติดตั้ง GCDS ในเซิร์ฟเวอร์ใหม่ โปรดดูวิธีการที่หัวข้อดาวน์โหลดและติดตั้ง GCDS
  2. คัดลอกไฟล์การกำหนดค่าไปยังเซิร์ฟเวอร์ใหม่
  3. เปิดไฟล์การกำหนดค่าในเครื่องมือจัดการการกำหนดค่าในเซิร์ฟเวอร์ใหม่
  4. ให้สิทธิ์ GCDS สำหรับบัญชี Google ของคุณอีกครั้ง โปรดดูวิธีการที่หัวข้อให้สิทธิ์บัญชี Google ของคุณ
  5. อัปเดตรหัสผ่าน LDAP ในหน้าการกำหนดค่า LDAP โปรดดูวิธีการที่หัวข้อการตั้งค่าการเชื่อมต่อ LDAP
  6. อัปเดตรหัสผ่าน SMTP ในหน้าการแจ้งเตือน โปรดดูวิธีการที่หัวข้อแอตทริบิวต์การแจ้งเตือน
  7. เรียกใช้การซิงค์จำลอง
  8. ตรวจสอบการซิงค์เพื่อให้แน่ใจว่าไม่มีการเปลี่ยนแปลงที่ไม่คาดคิด
  9. เรียกใช้การซิงค์แบบเต็ม

    หลังจากการซิงค์ ระบบจะอัปเดตไฟล์ TSV จากเซิร์ฟเวอร์เก่า หากคุณไม่ได้โอนไฟล์ TSV ระบบจะสร้างไฟล์ใหม่

ฉันควรทำอย่างไรหากมีปัญหาเกี่ยวกับใบรับรอง

หากคุณมีปัญหาเกี่ยวกับใบรับรองเมื่อเรียกใช้ GCDS โปรดดูหัวข้อแก้ปัญหาเกี่ยวกับใบรับรอง

กลับไปด้านบน

บัญชี Google ของคุณ

GCDS ใช้ API ใด

GCDS ใช้ Google Workspace API เพื่อซิงค์ข้อมูลไดเรกทอรีกับบัญชี Google API ใช้ OAuth ในการตรวจสอบสิทธิ์ ไม่ใช่รหัสผ่านของผู้ดูแลระบบ วิธีนี้จะทำให้ฟีเจอร์ต่างๆ เช่น การยืนยันแบบ 2 ขั้นตอน (2SV) ทำงานได้ต่อไปโดยไม่ส่งผลกระทบต่อฟังก์ชันของ GCDS

GCDS ใช้ API ต่อไปนี้

ทำไมฉันจึงไม่เห็นการเปลี่ยนแปลงที่คาดไว้ในบัญชี Google ของฉัน

ระบบอาจใช้เวลาดำเนินการถึง 8 วันก่อนที่คุณจะเห็นการเปลี่ยนแปลงในบัญชี Google หากต้องการทราบเหตุผล คุณต้องเข้าใจวิธีแคชข้อมูลที่ GCDS ใช้ก่อน

GCDS จะเก็บแคชของข้อมูลสำหรับบัญชี Google ไว้นานสูงสุด 8 วัน แต่จะล้างแคชบ่อยกว่านี้ได้ โดยขึ้นอยู่กับขนาดข้อมูลที่แคชไว้ แต่หากไม่มีการล้างแคช ระบบอาจใช้เวลาดำเนินการถึง 8 วันกว่าคุณจะเห็นการเปลี่ยนแปลงที่ทำในบัญชี Google โดยตรง (โดยใช้คอนโซลผู้ดูแลระบบหรือไคลเอ็นต์ API อื่น)

หลังจากล้างแคชแล้ว GCDS จะระบุการเปลี่ยนแปลงในบัญชี Google และเปรียบเทียบกับข้อมูลต้นฉบับในไดเรกทอรี LDAP หากข้อมูลไม่ตรงกัน GCDS จะยกเลิกการเปลี่ยนแปลงที่ทำในบัญชี Google

วิธีล้างแคชด้วยตัวเอง

  • ซิงค์จากเครื่องมือจัดการการกำหนดค่า แล้วเลือกล้างแคชเมื่อซิงค์
  • ใช้ Flag บรรทัดคำสั่ง -f เพื่อบังคับให้ล้างแคช
  • แก้ไขไฟล์การกำหนดค่า XML เพื่อตั้งค่า maxCacheLifetime เป็น 0

ข้อมูลสำคัญ: การล้างแคชอาจทำให้การซิงค์ใช้เวลานานขึ้นอย่างมาก

GCDS เข้าถึงข้อมูลโปรไฟล์ผู้ใช้ในบัญชี Google ของฉันได้อย่างไร

ระบบจะบันทึกโปรไฟล์ผู้ใช้ ซึ่งรวมถึงแอตทริบิวต์เพิ่มเติมของผู้ใช้ไว้ในบัญชีผู้ใช้ Google ซึ่งดูได้ในไดเรกทอรีของบัญชี โดย GCDS จะเข้าถึงไดเรกทอรีนี้จาก Google Contacts โปรดดูรายละเอียดที่หัวข้อภาพรวม: ตั้งค่าและจัดการไดเรกทอรี

GCDS มีหลักเกณฑ์อย่างไรในการเลือกอีเมลแทนเพื่อเพิ่มลงในบัญชี Google

คุณสามารถระบุแอตทริบิวต์ที่ต้องการให้ GCDS ประเมินได้ในการกำหนดค่า GCDS ซึ่ง GCDS จะประเมินข้อมูลที่เก็บไว้ในแอตทริบิวต์ก็ต่อเมื่อตรงกับที่อยู่ SMTP ที่ถูกต้องเท่านั้น

เมื่อใช้ proxyAddresses ของ Microsoft Active Directory ระบบของ GCDS จะตัดส่วนนำหน้า smtp: ออกขณะซิงค์ เพื่อไม่ให้ส่วนนำหน้านี้ปรากฏในโดเมน Google

ฉันจะซิงค์บัญชี Google มากกว่า 1 บัญชีพร้อมกันได้ไหม

ได้ คุณใช้ GCDS เพื่อซิงค์จากไดเรกทอรี LDAP หนึ่งไปยังบัญชี Google หลายบัญชีได้ โดยใช้ไฟล์การกำหนดค่ามากกว่า 1 ไฟล์ หากทำการซิงค์หลายรายการพร้อมกัน ให้ตรวจสอบว่าระบบได้บันทึกไฟล์การกำหนดค่าด้วยชื่อที่ไม่ซ้ำกัน

หากต้องการโคลนไฟล์การกำหนดค่าที่มีอยู่ ให้ใช้ตัวเลือกบันทึกเป็นในเครื่องมือจัดการการกำหนดค่า และบันทึกไฟล์ในชื่อใหม่

GCDS แก้ปัญหาบัญชีที่ทับซ้อนกันอย่างไร

GCDS จะดำเนินการตามการตั้งค่าการจัดการบัญชีที่ทับซ้อนกันที่คุณตั้งค่าไว้ในคอนโซลผู้ดูแลระบบของ Google โปรดดูรายละเอียดที่หัวข้อจัดการบัญชีที่ทับซ้อนกันด้วย GCDS

กลับไปด้านบน

การซิงค์ผู้ใช้และหน่วยขององค์กร

ฉันจะกำหนดค่า GCDS เพื่อจัดสรรเฉพาะผู้ใช้บางส่วนได้อย่างไร

หากต้องการซิงค์ผู้ใช้บางส่วนกับบัญชี Google คุณจะใช้กลุ่ม Active Directory หรือไดเรกทอรี LDAP เดียวเป็นแหล่งที่มาได้ โดยการใช้กลุ่มจะจำกัดจำนวนผู้ใช้ที่ได้รับการจัดสรรในบัญชี Google

ตัวอย่าง

คำค้นหาของผู้ใช้
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

คำค้นหานี้จะแสดงผู้ใช้ทุกคนที่เป็นสมาชิกกลุ่มที่ระบุโดย DN ของกลุ่ม รวมไปถึงผู้ใช้ที่มีอีเมลและยังเปิดใช้บัญชีอยู่

ฉันจะยกเว้นไม่ให้ซิงค์หน่วยขององค์กรในบัญชี Google ได้อย่างไร

คุณจะกำหนดค่า GCDS ให้ยกเว้นหน่วยขององค์กรที่ตั้งค่าในบัญชี Google ได้โดยการกำหนดกฎการยกเว้นเส้นทางแบบเต็มขององค์กรในการกำหนดค่าโดเมน Google

ตัวอย่าง

กฎการยกเว้น
ประเภท: เส้นทางแบบเต็มขององค์กร
ประเภทการจับคู่: ตรงทั้งหมด
กฎ: /OUPath/MyExcludedOU

ฉันจะซิงค์ผู้ใช้กับโดเมนรองได้ไหม

หากคุณเพิ่มโดเมน (รอง) เพิ่มเติม คุณก็ใช้ GCDS เพื่อซิงค์ผู้ใช้กับโดเมนนั้นได้ หากต้องการซิงค์ผู้ใช้กับโดเมนรอง ให้ตรวจสอบว่าอีเมลของผู้ใช้ในเซิร์ฟเวอร์ LDAP ตรงกับชื่อโดเมนรอง GCDS จะสร้างผู้ใช้ในบัญชี Google โดยใช้โดเมนรองเป็นอีเมลหลัก

หากไม่ต้องการเปลี่ยนแปลงแอตทริบิวต์อีเมล LDAP ที่มีอยู่ ให้กำหนดแอตทริบิวต์อื่นเพื่อซิงค์อีเมลของผู้ใช้ในโดเมนรอง โปรดดูรายละเอียดเกี่ยวกับโดเมนรองในหัวข้อเพิ่มโดเมนชื่อแทนผู้ใช้หรือโดเมนรอง

ฉันใช้ไวลด์การ์ดกับคำค้นหาผู้ใช้ LDAP ได้ไหม

ได้ ตราบเท่าที่เซิร์ฟเวอร์ LDAP รองรับไวลด์การ์ด

ไดเรกทอรี LDAP ไม่รองรับไวลด์การ์ดในแอตทริบิวต์ Distinguished Name (DN) ขณะดำเนินการค้นหาผู้ใช้ เช่น คุณใช้ (mail=user*) ได้ แต่ใช้ (distinguishedName=*,DC=domain,DC=com) ไม่ได้

ฉันใช้การค้นหา memberOf แบบเรียกซ้ำกับคำค้นหาผู้ใช้ได้ไหม

ได้ หากคุณใช้เซิร์ฟเวอร์ LDAP ที่รองรับการค้นหา memberOf แบบเรียกซ้ำ โดย Active Directory จะรองรับการค้นหาดังกล่าว แต่ OpenLDAP จะไม่รองรับ

ทำไมบัญชีผู้ใช้ Google Workspace ของฉันถูกระงับหลังจากเรียกใช้ GCDS

หากบัญชีผู้ใช้ Google Workspace ถูกระงับหลังจากเรียกใช้ GCDS คุณจะได้รับการแจ้งข้อผิดพลาดที่อธิบายสาเหตุที่บัญชีถูกระงับ หากต้องการหลีกเลี่ยงไม่ให้เกิดข้อผิดพลาดซ้ำในการซิงค์ครั้งถัดไป คุณสามารถใช้วิธีแก้ปัญหาวิธีใดวิธีหนึ่งต่อไปนี้ โดยขึ้นอยู่กับสาเหตุของปัญหา

  • ปัญหา: ผู้ใช้ไม่อยู่ในเซิร์ฟเวอร์ LDAP

    วิธีแก้: เนื่องจากผู้ใช้ไม่อยู่ในเซิร์ฟเวอร์ LDAP ลูกค้าจึงควรตั้งกฎการยกเว้นผู้ใช้ Google เพื่อป้องกันไม่ให้ GCDS ระงับผู้ใช้รายนี้ใน Google Workspace

  • ปัญหา: ผู้ใช้ไม่มีอีเมลที่ถูกต้องในเซิร์ฟเวอร์ LDAP

    วิธีแก้ปัญหา: คุณควรกำหนดค่าอีเมลสำหรับผู้ใช้รายนี้ หรือตั้งกฎการยกเว้นผู้ใช้ Google เพื่อป้องกันไม่ให้ GCDS ระงับผู้ใช้ใน Google Workspace

    คุณยังสามารถเปลี่ยนการกำหนดค่า GCDS เพื่อให้ใช้แอตทริบิวต์อีเมลของผู้ใช้ที่อยู่ในเซิร์ฟเวอร์ LDAP ได้อีกด้วย เช่น ใช้แอตทริบิวต์ userPrincipalName (UPN) แทนแอตทริบิวต์ mail

  • ปัญหา: กฎการยกเว้นไม่สนใจผู้ใช้ในเซิร์ฟเวอร์ LDAP

    วิธีแก้: คุณควรแก้ไขกฎการยกเว้น หากไม่ต้องการระงับผู้ใช้ดังกล่าว

  • ปัญหา: ระบบพบและระงับผู้ใช้ในกฎการค้นหา เนื่องจากมีการเลือกตัวเลือกระงับผู้ใช้เหล่านี้ในโดเมน Google

    วิธีแก้: ผู้ใช้รายนี้อาจต้องถูกระงับ

  • ปัญหา: ผู้ใช้ถูกระงับในเซิร์ฟเวอร์ LDAP

    วิธีแก้: ผู้ใช้รายนี้อาจต้องถูกระงับ

กลับไปด้านบน

การซิงค์กลุ่ม

GCDS จะซิงค์การเป็นสมาชิกกลุ่มแบบวนซ้ำได้ไหม

ในการเป็นสมาชิกกลุ่มแบบวนซ้ำ จะมีกลุ่ม 2 กลุ่ม (หรือมากกว่า) ที่เป็นสมาชิกของกันและกัน เช่น กลุ่ม A เป็นสมาชิกของกลุ่ม B และกลุ่ม B เป็นสมาชิกของกลุ่ม A

LDAP และ Microsoft Active Directory รองรับการเป็นสมาชิกกลุ่มแบบวนซ้ำ แต่ Google Groups จะไม่รองรับ หากคุณพยายามซิงค์ข้อมูลการเป็นสมาชิกแบบวนซ้ำ คุณจะเห็นข้อผิดพลาด "ไม่อนุญาตให้เป็นสมาชิกแบบวนซ้ำ"

จะแน่ใจได้อย่างไรว่า GCDS จะไม่ลบหรือแก้ไขกลุ่มที่ฉันสร้างไว้

คุณสามารถกำหนดค่า GCDS ให้ไม่รวมกลุ่มได้ โดยการกำหนดกฎการยกเว้นอีเมลกลุ่มในการกำหนดค่าโดเมน Google โปรดดูรายละเอียดที่หัวข้อใช้กฎสำหรับข้อมูลใน Google

ตัวอย่าง

กฎการยกเว้น
ประเภท: อีเมลกลุ่ม
ประเภทการจับคู่: ตรงทั้งหมด
กฎ: GCP_Project1@example.com

หมายเหตุ: เราขอแนะนำให้คุณสร้างและจัดการกลุ่มเหล่านี้ในไดเรกทอรี LDAP ข้อมูลการเป็นสมาชิกของกลุ่มจะอัปเดตอยู่เสมอในบัญชี Google เมื่อ GCDS ซิงค์ข้อมูล

หากต้องการเก็บกลุ่มปัจจุบันที่ไม่ได้อยู่ใน LDAP เอาไว้ คุณสามารถเปิดการตั้งค่าไม่ลบ Google Groups ที่ไม่พบใน LDAP โปรดดูรายละเอียดที่หัวข้อนโยบายการลบกลุ่ม Google Groups

GCDS จะซิงค์กลุ่มที่ผู้ใช้สร้างไหม

กลุ่มที่ผู้ใช้สร้างคือกลุ่มที่สร้างใน Google Groups for Business หากกลุ่ม LDAP ตรงกับกลุ่มที่ผู้ใช้สร้างไว้ GCDS จะไม่สนใจกลุ่มนั้น แม้จะมีกฎการยกเว้นของ GCDS สำหรับกลุ่มนั้นอยู่ก็ตาม และจะไม่นำกลุ่มนั้นออกหากกลุ่มดังกล่าวไม่ตรงกับข้อมูล LDAP

หากคุณเพิ่มสมาชิกเข้าไปในออบเจ็กต์หรือเอนทิตีที่ตรงกันใน LDAP แล้ว GCDS จะเพิ่มสมาชิกเหล่านั้นเข้าไปในกลุ่ม หากคุณเพิ่มผู้ใช้เข้าไปในกลุ่ม Google Groups ที่ไม่ตรงกับข้อมูล LDAP ระบบจะไม่นำสมาชิกเหล่านั้นออกในระหว่างขั้นตอนการซิงค์

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับกลุ่มที่ผู้ใช้สร้างในหัวข้อคำถามที่พบบ่อยสำหรับผู้ดูแลระบบ Groups

GCDS จะซิงค์การเป็นสมาชิกกลุ่มที่ซ้อนกันได้ไหม

ได้ GCDS ซิงค์การเป็นสมาชิกกลุ่มที่ซ้อนกันได้ แต่มีข้อจำกัดบางประการเกี่ยวกับกลุ่มที่ซ้อนกันและการส่งอีเมลด้วย Google Groups for Business สมาชิกของกลุ่มที่ซ้อนกันบางรายจะไม่ได้รับเนื้อหาอีเมลที่ส่งถึงกลุ่ม ในกรณีดังต่อไปนี้

  • เปิดใช้สิทธิ์การดูแลแล้ว ระบบจะไม่ส่งอีเมลถึงสมาชิกกลุ่มหรือกลุ่มที่ซ้อนกันอื่นๆ โดยอัตโนมัติ จนกว่าผู้ตรวจสอบของกลุ่มจะอนุมัติ
  • กลุ่มระดับบนไม่มีสิทธิ์โพสต์เพื่อส่งข้อความไปยังกลุ่มที่ซ้อนกัน

GCDS จะค้นหาการเป็นสมาชิกกลุ่มที่ซ้อนกันได้ไหม

ได้ GCDS จะซิงค์สมาชิกกลุ่มโดยไม่คํานึงว่าจะเป็นผู้ใช้หรือกลุ่ม แต่ GCDS จะไม่รองรับกฎการค้นหาเพื่อขยายสมาชิกของกลุ่มที่ซ้อนกันอยู่หากเซิร์ฟเวอร์ LDAP ไม่รองรับกฎการค้นหาดังกล่าว

ฉันจะซิงค์เฉพาะสมาชิกกลุ่มที่ถูกต้องได้อย่างไร

คุณต้องการซิงค์เฉพาะสมาชิกซึ่งเป็นผู้ใช้ที่ใช้งานอยู่ในเซิร์ฟเวอร์ LDAP เช่น คุณมีกลุ่ม 1 ในเซิร์ฟเวอร์ LDAP ซึ่งมีสมาชิก 2 คน ได้แก่ ผู้ใช้ 1 และผู้ใช้ 2 แต่ user1 ถูกระงับในเซิร์ฟเวอร์ LDAP หลังจากการซิงค์ กลุ่ม 1 ในบัญชี Google ควรมี user2 เป็นสมาชิกเพียงคนเดียว ส่วน user1 จะถูกระงับ (หรือนำออกตามการตั้งค่า GCDS)

วิธีซิงค์สมาชิกกลุ่มที่ถูกต้อง

  1. ค้นหาไฟล์การกำหนดค่า ซึ่งเป็นไฟล์ XML เดียวกันกับที่คุณใช้โหลดการกำหนดค่า GCDS
  2. เปิดไฟล์การกำหนดค่าด้วยเครื่องมือแก้ไขข้อความ
  3. ค้นหาและลบตัวเลือก INDEPENDENT_GROUP_SYNC
  4. ค้นหาตัวเลือก ADD_VALID_GROUP_MEMBERS_ONLY

    หากไม่มี ให้เพิ่มลงในไฟล์

  5. ตรวจสอบว่าได้เปิดการซิงค์บัญชีผู้ใช้แล้ว

    โปรดดูรายละเอียดที่หัวข้อกำหนดรายชื่อผู้ใช้

  6. เรียกใช้การจำลองเพื่อยืนยันผลลัพธ์ก่อนเรียกใช้การซิงค์แบบเต็ม

กลับไปด้านบน

ทั่วไป

ฉันจะเพิ่มแฟล็กฟีเจอร์ที่ไม่บังคับลงในไฟล์การกําหนดค่า GCDS ได้อย่างไร

ก่อนที่จะเริ่มต้น: โปรดตรวจสอบว่า GCDS รองรับฟีเจอร์นี้

  1. ค้นหาไฟล์การกำหนดค่า ซึ่งเป็นไฟล์ XML เดียวกันกับที่คุณใช้โหลดการกำหนดค่า GCDS
  2. เปิดไฟล์การกำหนดค่าด้วยเครื่องมือแก้ไขข้อความ
  3. ในไฟล์ XML ให้ค้นหาแท็ก <features> แล้วแทรกบรรทัดใหม่ภายในแท็ก
  4. ในบรรทัดใหม่ ให้เพิ่มแท็ก <optional> ใหม่ที่มีชื่อฟีเจอร์อยู่ภายใน
  5. บันทึกและปิดไฟล์

ตัวอย่าง

ตัวอย่างต่อไปนี้แสดงวิธีเพิ่มฟีเจอร์ DONT_RESOLVE_USER_CONFLICT_ACCOUNTS

<features>

<optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>

</features>

ทำไม GCDS จึงแจ้งข้อผิดพลาดอยู่เรื่อยๆ เวลาที่ล้างแคช

ข้อผิดพลาดอาจเกิดจากปัญหาด้านการกำหนดค่า เช่น การกำหนดค่ากฎการยกเว้นไม่ถูกต้อง ซึ่งการแคชของ GCDS จะซ่อนการกำหนดค่าที่ไม่ถูกต้องดังกล่าวเอาไว้

GCDS จะเก็บแคชของข้อมูลสำหรับบริการของ Google (เช่น Google Workspace หรือ Cloud Identity) ไว้นานสูงสุด 8 วัน แต่จะล้างแคชบ่อยกว่านี้ได้ โดยขึ้นอยู่กับขนาดข้อมูลที่แคชไว้ แต่หากไม่มีการล้างแคช ระบบอาจใช้เวลาดำเนินการถึง 8 วันกว่าคุณจะเห็นการเปลี่ยนแปลงที่ทำในบัญชี Google โดยตรง (โดยใช้คอนโซลผู้ดูแลระบบหรือไคลเอ็นต์ API อื่น)

วิธีล้างแคชด้วยตัวเอง

  • ซิงค์จากเครื่องมือจัดการการกำหนดค่า แล้วเลือกล้างแคชเมื่อซิงค์
  • ใช้ Flag บรรทัดคำสั่ง -f เพื่อบังคับให้ล้างแคช
  • แก้ไขไฟล์การกำหนดค่า XML เพื่อตั้งค่า maxCacheLifetime เป็น 0

ข้อมูลสำคัญ: การล้างแคชอาจทำให้การซิงค์ใช้เวลานานขึ้นอย่างมาก

ตัวอย่างเช่น คุณมีกลุ่มที่อยู่ทั้งในเซิร์ฟเวอร์ LDAP และบัญชี Google คุณสร้างกฎการยกเว้นของ Google สำหรับกลุ่มนี้ โดยหวังว่าจะป้องกันไม่ให้ GCDS เปลี่ยนกลุ่มในระหว่างการซิงค์

แต่กฎนี้กลับทำให้ GCDS ทำงานเสมือนว่าไม่มีกลุ่มอยู่ในบัญชี Google GCDS จะพยายามสร้างกลุ่ม แต่เนื่องจากมีกลุ่มนี้อยู่แล้ว คุณจึงเห็นข้อผิดพลาดและ GCDS จะเพิ่มกลุ่มนั้นลงในแคช เมื่อการซิงค์ครั้งถัดไปใช้แคชดังกล่าว GCDS ก็จะทราบว่ามีกลุ่มนั้นอยู่แล้ว จากนั้น เมื่อล้างแคชแล้ว GCDS จะทำงานอีกครั้งเสมือนว่าไม่มีกลุ่มอยู่

ทำไมต้องกำหนดค่า GCDS ให้ซิงค์รหัสผ่าน

การตั้งค่าการซิงค์รหัสผ่านเริ่มต้นใน GCDS จะใช้ในการกำหนดวิธีที่ GCDS สร้างรหัสผ่านให้กับบัญชีผู้ใช้ใหม่ หากไม่ต้องการตั้งรหัสผ่านบัญชีเริ่มแรกขึ้นมาเอง คุณไม่จำเป็นต้องดำเนินการใดๆ และใช้การตั้งค่าเริ่มต้นได้เลย

หากกำลังใช้ Active Directory อยู่ คุณจะใช้ Password Sync เพื่อซิงค์รหัสผ่านของผู้ใช้จาก Active Directory ไปยังโดเมน Google ได้

GCDS แก้ไขข้อขัดแย้งเมื่อมีการใช้กฎการซิงค์หลายข้อได้อย่างไร

GCDS จะพิจารณากฎตามลำดับจากระดับบนสุดไปล่างสุด

ตัวอย่างเช่น คุณกำหนดค่ากฎการซิงค์บัญชีผู้ใช้เพื่อสร้างผู้ใช้ในหน่วยขององค์กรระดับบนสุดหรือ / จากนั้นจึงสร้างกฎระดับล่างลงมาเพื่อสร้างผู้ใช้ในหน่วยขององค์กร /Exceptions หลังจากซิงค์แล้ว ระบบจะสร้างผู้ใช้ที่ตรงตามกฎทั้ง 2 ข้อในหน่วยขององค์กรระดับสูงสุดเนื่องจากกฎดังกล่าวมีความสำคัญสูงกว่า

คุณต้องทำให้กฎดังกล่าวอยู่ในลำดับที่สูงกว่ากฎข้ออื่นๆ ที่ขัดแย้งกัน เพื่อให้ระบบสร้างผู้ใช้ไว้ใน /Exceptions อย่างถูกต้อง หรือตั้งกฎนั้นเป็นกฎแรกในรายการตามลำดับ

ฉันจะตรวจสอบและตรวจทานการซิงค์ข้อมูลของ GCDS ได้อย่างไร

GCDS ใช้ OAuth 2.0 แบบ 3 ทางในการให้สิทธิ์ ซึ่งกระบวนการนี้จะให้โทเค็น OAuth 2.0 กับ GCDS โดยโทเค็นนี้ทำให้ GCDS ทำงานในนามของผู้ดูแลระบบที่ให้สิทธิ์ได้

ผู้ดูแลระบบที่ให้สิทธิ์ GCDS จะเป็นผู้จัดทำรายการกิจกรรมการตรวจสอบทั้งหมด คุณควรสร้างบัญชีผู้ดูแลระบบ GCDS ขึ้นโดยเฉพาะเพื่อให้เห็นได้อย่างชัดเจนว่า GCDS เปลี่ยนแปลงและตรวจสอบสิ่งใดบ้าง

ให้สิทธิ์บัญชี Google ของคุณ

หากฉันเปิดใช้การซิงค์สคีมา GCDS จะลบสคีมาของฉันไหม

GCDS จะพิจารณาการตั้งค่า LDAP ปัจจุบันในระหว่างการซิงค์เพื่อตัดสินว่าควรเก็บรักษาหรือลบสคีมาที่กำหนดเองในบัญชี Google ของคุณ

นอกจากนี้ ไฟล์การกำหนดค่า GCDS ยังมีการตั้งค่า schemaHistory ซึ่งมีข้อมูลเกี่ยวกับสคีมาที่กำหนดเองที่เคยซิงค์ด้วย หาก GCDS เคยซิงค์สคีมาที่กำหนดเองแล้ว ระบบจะเพิ่มสคีมาดังกล่าวไปยัง schemaHistory โดยอัตโนมัติ หากคุณลบการตั้งค่า schemaHistory ในไฟล์การกําหนดค่าเอง และหากไม่มีสคีมาที่กำหนดเองในไดเรกทอรี LDAP ของคุณ GCDS จะข้ามและไม่ลบสคีมาที่กำหนดเองในบัญชี Google ของคุณ

หากต้องการลบ schemaHistory ในไฟล์การกําหนดค่าเอง ให้มองหาข้อมูลต่อไปนี้

<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>

ฉันจะซิงค์ GCDS จากไดเรกทอรี LDAP หลายรายการได้ไหม

GCDS สามารถซิงค์จากไดเรกทอรี LDAP รายการเดียวเท่านั้น หากคุณมีไดเรกทอรี LDAP หลายรายการ ให้รวมข้อมูลเซิร์ฟเวอร์ LDAP ไว้ในไดเรกทอรีเดียว โปรดดูรายละเอียดในขั้นตอนที่ 2 ในหัวข้อเตรียมไดเรกทอรี LDAP

GCDS สร้างและจัดเก็บคีย์แบบสมมาตรอย่างไร

คีย์แบบสมมาตรที่เข้ารหัสโทเค็นการรีเฟรชของ GCDS จะสร้างขึ้นด้วย Java crypto KeyGenerator ค่าเริ่มต้นโดยใช้ AES 128

การจัดเก็บคีย์แบบสมมาตรจะได้รับการจัดการโดยเมธอด userNodeForPackage ในคลาส "ค่ากำหนด" ใน Java ตำแหน่งที่แน่นอนของคีย์จะไม่อยู่ภายใต้การควบคุมของ GCDS แต่จะขึ้นอยู่กับ OS

ใน Windows ข้อมูลค่ากำหนดจะจัดเก็บไว้ในคลังรีจิสทรีของผู้ใช้ ใน Linux ข้อมูลดังกล่าวจะจัดเก็บไว้ที่ไดเรกทอรีหน้าหลักของผู้ใช้

เราขอแนะนำให้ลูกค้าทำตามแนวทางปฏิบัติแนะนำเพื่อให้คีย์ได้รับการจัดเก็บไว้อย่างปลอดภัยด้วยระบบไฟล์ที่เข้ารหัสและมี ACL ที่เข้มงวด

รหัสที่ไม่ซ้ำกันคืออะไร

รหัสที่ไม่ซ้ำกัน (หรือที่เรียกอีกอย่างว่าคีย์หลักที่ไม่มีที่อยู่) คือรหัสที่ใช้ภายในระบบ GCDS ซึ่งจะไม่มีการซิงค์ไปยัง Google Workspace โดย GCDS จะจัดเก็บรหัสที่ไม่ซ้ำกันในไฟล์ TSV บนคอมพิวเตอร์ที่ติดตั้ง GCDS ไว้ คุณสามารถดูชื่อไฟล์ TSV และเส้นทางแบบเต็มของไฟล์ได้ในไฟล์การกำหนดค่า XML

หากผู้ใช้ได้รับการเปลี่ยนชื่อในเซิร์ฟเวอร์ LDAP แต่ไม่ใช่ใน Google Workspace ในกรณีนี้ GCDS จะใช้รหัสที่ไม่ซ้ำกันเพื่อป้องกันไม่ให้ระบบลบหรือทำซ้ำรายละเอียดของผู้ใช้รายนี้

หมายเหตุ: คุณอาจทำให้เกิดปัญหาการซิงค์หากเปลี่ยนอีเมลของผู้ใช้ด้วยตนเองทั้งในเซิร์ฟเวอร์ LDAP และ Google Workspace เพื่อป้องกันไม่ให้เกิดปัญหานี้ โปรดนำบันทึกข้อมูลของผู้ใช้รายนั้นออกจากไฟล์ TSV ก่อนเรียกใช้ GCDS

กลับไปด้านบน

Google Cloud

ฉันจะซิงค์ข้อมูลกลุ่มความปลอดภัยจาก Active Directory หรือจากไดเรกทอรี LDAP ของฉัน และใช้ใน Cloud IAM ได้อย่างไร

คุณสามารถกำหนดค่า GCDS ให้ซิงค์กลุ่มความปลอดภัยโดยใช้กฎการค้นหาของ LDAP

ตัวอย่างที่ 1: ค้นหากลุ่มความปลอดภัยทั้งหมด

ตัวอย่างนี้แสดงการค้นหาของ LDAP ที่ค้นหากลุ่มความปลอดภัยทั้งหมดที่มีอีเมล ดังนี้

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

ตัวอย่างที่ 2: ค้นหากลุ่มย่อยของกลุ่มความปลอดภัย

หากต้องการซิงค์กลุ่มย่อยของกลุ่มความปลอดภัย คุณควรใช้ extensionAttribute1 แล้วกำหนดค่าเฉพาะ เช่น GoogleCloud จากนั้นปรับคำค้นหา GCDS ให้จัดสรรให้เฉพาะกลุ่มย่อยของกลุ่มความปลอดภัยนั้น

ตัวอย่างนี้แสดงการค้นหาของ LDAP ที่ค้นหากลุ่มความปลอดภัยทั้งหมดที่มีอีเมลและแอตทริบิวต์ GoogleCloud ดังนี้

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

สำคัญ

  • การอ้างอิงกลุ่มทุกกลุ่มในโดเมน Google จะใช้ที่อยู่อีเมล ดังนั้นจะต้องตรวจสอบว่ากลุ่มความปลอดภัยทั้งหมดที่คุณต้องการซิงค์ข้อมูลนั้นมีการกำหนดแอตทริบิวต์อีเมลที่ถูกต้อง
  • กลุ่มที่สร้างในโดเมน Google จะไม่มีบทบาท Google Cloud Identity and Access Management (IAM) มาให้โดยอัตโนมัติ ดังนั้นหลังจากสร้างกลุ่มแล้ว คุณต้องใช้ Cloud IAM เพื่อกำหนดบทบาทให้กลุ่ม

ฉันจะเพิ่มผู้ใช้ที่ต้องการบัญชีเพียงเพื่อใช้กับโปรเจ็กต์ Google Cloud ได้อย่างไร

คุณสามารถกำหนดค่า GCDS ได้โดยการเพิ่มกฎการซิงค์ผู้ใช้ให้กับผู้ใช้ Google Cloud วิธีที่ง่ายที่สุดคือการสร้างคำค้นหาใหม่โดยใช้ข้อมูลของผู้ใช้ที่เป็นสมาชิกกลุ่ม เช่น

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

จากนั้นคุณจะใช้ตัวกรองการค้นหาต่อไปนี้ได้เพื่อแสดงผู้ใช้ที่เป็นสมาชิกกลุ่ม ผู้มีอีเมล และผู้ใช้ที่บัญชีไม่ถูกระงับ

group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

คุณควรจัดผู้ใช้เหล่านี้ให้อยู่ในหน่วยขององค์กรเดียวกัน ซึ่งทำได้โดยการตั้งชื่อหน่วยขององค์กร (เช่น Cloud Users) ไว้ในกฎ จากนั้นสร้างหน่วยขององค์กร หากยังไม่มี

ปัญหาการให้ใบอนุญาต

พิจารณารูปแบบการกำหนดค่าโดเมนเพื่อมอบหมายใบอนุญาตผลิตภัณฑ์ให้กับบัญชีผู้ใช้ได้อย่างเหมาะสม หากเปิดใช้ใบอนุญาตอัตโนมัติไว้ คุณอาจต้องยกเว้นหน่วยขององค์กร Cloud Users ไม่ให้มีการมอบหมายใบอนุญาตผลิตภัณฑ์ โปรดดูรายละเอียดที่หัวข้อตั้งค่าตัวเลือกการอนุญาตให้ใช้สิทธิโดยอัตโนมัติสำหรับองค์กร

ในส่วนข้อกำหนดการอนุญาตที่ซับซ้อนยิ่งขึ้น คุณสามารถกำหนดค่า GCDS ให้ซิงค์และจัดการการมอบหมายใบอนุญาตให้ผู้ใช้ทั้งหมดได้ โปรดดูรายละเอียดที่หัวข้อซิงค์ใบอนุญาต

กลับไปด้านบน


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของบริษัทที่เกี่ยวข้อง