Câu hỏi thường gặp về GCDS

Làm cách nào để uỷ quyền cho GCDS trên một máy không có giao diện người dùng đồ hoạ?

1. Đảm bảo bạn đang chạy GCDS phiên bản 4.7.14 trở lên.

   Để biết thông tin chi tiết, hãy xem bài viết Cập nhật GCDS.

2. Uỷ quyền cho GCDS trên máy tính có giao diện người dùng đồ hoạ.

   Để biết thông tin chi tiết, hãy xem bài viết Uỷ quyền cho Tài khoản Google của bạn.

3. Tạo và lưu tệp XML.
4. Trên cùng một máy tính, hãy dùng dòng lệnh để chạy công cụ upgrade-config bằng tham số -exportkeys.

   Ví dụ: upgrade-config -exportkeys tệp khoá mã hoá [mật khẩu]

   Trong ví dụ này, các khoá được xuất vào một tệp có tên là tệp khoá mã hoá. Bạn không bắt buộc phải dùng mật khẩu.

5. Sao chép tệp khoá mã hoá và tệp cấu hình vào một máy tính không có GUI.
6. Trên máy tính không có giao diện người dùng đồ hoạ, hãy dùng dòng lệnh để chạy công cụ upgrade-config bằng tham số -importkeys.

   Ví dụ: upgrade-config -importkeys tên tệp

   Quan trọng: Tham số -importkeys sẽ xoá mọi cấu hình GCDS được uỷ quyền mà bạn có thể có trên máy tính.

7. Nếu cần, hãy nhập mật khẩu mà bạn đã đặt ở bước 4.

   Bạn sẽ nhận được thông báo xác nhận rằng các khoá đã được nhập thành công.

Lưu ý: Để xem thêm các lựa chọn, hãy nhập lệnh upgrade-config -help từ dòng lệnh.

Làm cách nào để di chuyển GCDS sang một máy chủ khác?

1. Nếu bạn cho rằng mình có hoặc không chắc chắn liệu mình có yêu cầu thay đổi địa chỉ email người dùng (đổi tên người dùng) đang chờ xử lý hay không, hãy chọn một phương án:
   • Chạy quy trình đồng bộ hoá trên máy chủ cũ.
   • Sao chép các tệp có các giá trị được phân cách bằng ký tự tab (TSV) sang máy chủ mới.

     Bạn có thể tìm thấy tên và vị trí của tệp TSV trong tệp cấu hình bằng cách tìm kiếm .tsv.

   • Cài đặt GCDS trên máy chủ mới. Để xem hướng dẫn, hãy chuyển đến phần Tải xuống và cài đặt GCDS.
2. Sao chép tệp cấu hình vào máy chủ mới.
3. Trên máy chủ mới, trong Configuration Manager (Trình quản lý cấu hình), hãy mở tệp cấu hình.
4. Cấp lại quyền cho GCDS đối với Tài khoản Google của bạn. Để xem hướng dẫn, hãy chuyển đến phần Uỷ quyền cho Tài khoản Google của bạn.
5. Trên trang Cấu hình LDAP, hãy cập nhật mật khẩu LDAP. Để xem hướng dẫn, hãy chuyển đến phần Chế độ cài đặt kết nối LDAP.
6. Trên trang Thông báo, hãy cập nhật mật khẩu SMTP. Để biết hướng dẫn, hãy xem bài viết Thuộc tính thông báo.
7. Chạy một quy trình đồng bộ hoá mô phỏng.
8. Kiểm tra quá trình đồng bộ hoá để đảm bảo không có thay đổi nào ngoài dự kiến.
9. Chạy một quy trình đồng bộ hoá đầy đủ.

   Sau khi đồng bộ hoá, các tệp TSV trên máy chủ cũ sẽ được cập nhật. Nếu bạn không chuyển tệp TSV, các tệp mới sẽ được tạo.

Tôi có thể làm gì nếu gặp vấn đề với chứng chỉ?

Nếu bạn gặp vấn đề về chứng chỉ khi chạy GCDS, hãy xem bài viết Khắc phục vấn đề liên quan đến chứng chỉ.

GCDS sử dụng những API nào?

GCDS sử dụng các API của Google Workspace để đồng bộ hoá dữ liệu trong thư mục với Tài khoản Google của bạn. Các API này sử dụng OAuth chứ không dùng mật khẩu của quản trị viên để xác thực. Cách tiếp cận này cho phép các tính năng như Xác minh 2 bước (2SV) vẫn hoạt động mà không ảnh hưởng đến chức năng của GCDS.

GCDS sử dụng các API sau:

• Directory API
• Cloud Identity API
• Groups Settings API
• Enterprise License Manager API
• Domain Shared Contacts API

Tại sao tôi không thấy những thay đổi như mong đợi trong Tài khoản Google của mình?

Có thể mất đến 8 ngày thì bạn mới thấy thay đổi trong Tài khoản Google của mình. Để hiểu rõ lý do, bạn cần hiểu cách GCDS lưu dữ liệu vào bộ nhớ đệm.

GCDS lưu trữ dữ liệu trong bộ nhớ đệm cho Tài khoản Google của bạn trong tối đa 8 ngày. GCDS có thể xoá bộ nhớ đệm thường xuyên hơn, tuỳ thuộc vào kích thước dữ liệu được lưu vào bộ nhớ đệm. Tuy nhiên, nếu bộ nhớ đệm không được xoá, thì có thể mất đến 8 ngày để thấy những thay đổi được thực hiện trực tiếp trên Tài khoản Google của bạn (bằng cách sử dụng bảng điều khiển dành cho quản trị viên hoặc một ứng dụng API khác).

Sau khi bộ nhớ đệm được xoá, GCDS sẽ xác định thay đổi trong Tài khoản Google và so sánh thay đổi đó với dữ liệu nguồn trong thư mục LDAP. Nếu dữ liệu không khớp, GCDS sẽ huỷ thay đổi được thực hiện trong Tài khoản Google.

Cách xoá bộ nhớ đệm theo cách thủ công:

• Chạy quy trình đồng bộ hoá từ Configuration Manager (Trình quản lý cấu hình) và chọn xoá bộ nhớ đệm khi thực hiện quy trình đồng bộ hoá.
• Sử dụng cờ dòng lệnh -f để buộc xoá bộ nhớ đệm.
• Sửa đổi tệp cấu hình XML để đặt giá trị maxCacheLifetime thành 0.

Quan trọng: Việc xoá bộ nhớ đệm có thể làm tăng đáng kể thời gian đồng bộ hoá.

GCDS truy cập vào dữ liệu hồ sơ người dùng trong Tài khoản Google của tôi như thế nào?

Hồ sơ người dùng (bao gồm cả các thuộc tính bổ sung của người dùng) được ghi vào Tài khoản người dùng Google và xuất hiện trong Thư mục của tài khoản. GCDS truy cập vào Danh bạ trong Danh bạ Google. Để biết thông tin chi tiết, hãy xem bài viết Tổng quan: Thiết lập và quản lý Danh bạ.

Làm cách nào để GCDS xác định những địa chỉ email đại diện được thêm vào Tài khoản Google?

Trong cấu hình GCDS, bạn có thể chỉ định các thuộc tính mà GCDS đánh giá. GCDS chỉ đánh giá dữ liệu được lưu trữ trong thuộc tính nếu dữ liệu đó khớp với một địa chỉ SMTP hợp lệ.

Khi sử dụng proxyAddresses của Microsoft Active Directory, GCDS sẽ xoá tiền tố smtp: trong quá trình đồng bộ hoá để tiền tố này không xuất hiện trên miền Google của bạn.

Tôi có thể đồng bộ hoá với nhiều Tài khoản Google cùng một lúc không?

Có. Bạn có thể sử dụng GCDS để đồng bộ hoá từ một thư mục LDAP sang nhiều Tài khoản Google bằng cách sử dụng nhiều tệp cấu hình. Nếu bạn chạy nhiều quy trình đồng bộ hoá cùng lúc, hãy đảm bảo rằng các tệp cấu hình được lưu bằng tên riêng biệt.

Để sao chép một tệp cấu hình hiện có, hãy sử dụng lựa chọn Lưu dưới dạng trong Trình quản lý cấu hình và lưu tệp bằng tên mới.

GCDS giải quyết các tài khoản xung đột như thế nào?

GCDS tuân theo các chế độ cài đặt quản lý tài khoản xung đột mà bạn thiết lập trong Bảng điều khiển dành cho quản trị viên của Google. Để biết thông tin chi tiết, hãy xem bài viết Quản lý tài khoản xung đột bằng GCDS.

Làm cách nào để định cấu hình GCDS chỉ cung cấp một nhóm nhỏ người dùng?

Nếu muốn đồng bộ hoá một nhóm nhỏ người dùng với Tài khoản Google, bạn có thể sử dụng một nhóm thư mục LDAP hoặc Active Directory làm nguồn. Việc sử dụng một nhóm sẽ giới hạn số lượng người dùng được cấp phép trong Tài khoản Google của bạn.

Ví dụ:

Truy vấn của người dùng
(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Truy vấn này trả về tất cả người dùng là thành viên của nhóm được xác định bằng DN nhóm, có địa chỉ email và tài khoản không bị vô hiệu hoá.

Làm cách nào để loại trừ một đơn vị tổ chức trong Tài khoản Google của tôi khỏi quá trình đồng bộ hoá?

Bạn có thể định cấu hình GCDS để loại trừ một đơn vị tổ chức đã được thiết lập trong Tài khoản Google của bạn bằng cách xác định quy tắc loại trừ Đường dẫn đầy đủ của tổ chức trong cấu hình Google Domain.

Ví dụ:

Quy tắc loại trừ
Loại: Đường dẫn đầy đủ của tổ chức
Kiểu khớp: Khớp chính xác
Quy tắc: /OUPath/MyExcludedOU

Tôi có thể đồng bộ hoá người dùng với một miền phụ không?

Nếu đã thêm một miền bổ sung (miền phụ), bạn có thể dùng GCDS để đồng bộ hoá người dùng với miền đó. Để đồng bộ hoá người dùng với miền phụ, hãy đảm bảo rằng địa chỉ thư của người dùng trong máy chủ LDAP khớp với tên miền phụ của bạn. GCDS tạo người dùng trong Tài khoản Google của bạn bằng miền phụ làm địa chỉ thư chính.

Nếu bạn không muốn thay đổi thuộc tính thư LDAP hiện có, hãy chỉ định một thuộc tính khác để đồng bộ hoá địa chỉ email của người dùng miền phụ. Để biết thông tin chi tiết về miền phụ, hãy xem bài viết Thêm miền đại diện của người dùng hoặc miền phụ.

Tôi có thể sử dụng ký tự đại diện với cụm từ tìm kiếm người dùng LDAP không?

Có, miễn là máy chủ LDAP hỗ trợ ký tự đại diện.

Thư mục LDAP không hỗ trợ ký tự đại diện trong các thuộc tính tên phân biệt (DN) khi bạn đang thực hiện một cụm từ tìm kiếm của người dùng. Ví dụ: bạn có thể sử dụng (mail=user*), nhưng không thể sử dụng (distinguishedName=*,DC=domain,DC=com).

Tôi có thể sử dụng tìm kiếm đệ quy memberOf cho cụm từ tìm kiếm của người dùng không?

Có, nếu bạn đang sử dụng một máy chủ LDAP hỗ trợ các cụm từ tìm kiếm đệ quy memberOf. Active Directory có hỗ trợ các nhóm này, nhưng OpenLDAP thì không.

Tại sao tài khoản người dùng Google Workspace của tôi bị tạm ngưng sau khi tôi chạy GCDS?

Nếu tài khoản người dùng Google Workspace bị tạm ngưng sau khi chạy GCDS, bạn sẽ nhận được thông báo lỗi giải thích lý do xảy ra tình trạng này. Để tránh lặp lại lỗi cụ thể trong bất kỳ lần đồng bộ hoá nào sau đó, bạn có thể triển khai một trong các giải pháp sau, tuỳ thuộc vào nguyên nhân gây ra vấn đề:

• Vấn đề: Người dùng không tồn tại trên máy chủ LDAP.

  Giải pháp: Vì người dùng không tồn tại trên máy chủ LDAP, nên khách hàng phải thiết lập quy tắc loại trừ người dùng Google để ngăn GCDS tạm ngưng người dùng này trong Google Workspace.

• Vấn đề: Người dùng không có email hợp lệ trên máy chủ LDAP.

  Giải pháp: Bạn nên định cấu hình địa chỉ email cho người dùng này hoặc đặt quy tắc loại trừ người dùng Google để ngăn GCDS tạm ngưng người dùng trong Google Workspace.

  Bạn cũng có thể thay đổi cấu hình GCDS để sử dụng thuộc tính địa chỉ email của người dùng trên máy chủ LDAP. Ví dụ: sử dụng thuộc tính userPrincipalName (UPN) thay vì thuộc tính mail.

• Vấn đề: Người dùng đang bị bỏ qua theo các quy tắc loại trừ trên máy chủ LDAP.

  Giải pháp: Bạn nên điều chỉnh các quy tắc loại trừ nếu không muốn tạm ngưng người dùng này.

• Vấn đề: Người dùng bị phát hiện và tạm ngưng theo các quy tắc tìm kiếm vì bạn đã đánh dấu vào lựa chọn Tạm ngưng những người dùng này trong Miền của Google.

  Giải pháp: Có thể bạn cần tạm ngưng người dùng.

• Vấn đề: Người dùng đã bị tạm ngưng trên máy chủ LDAP.

  Giải pháp: Có thể bạn cần tạm ngưng người dùng.

GCDS có thể đồng bộ hoá tư cách thành viên tuần hoàn trong nhóm không?

Trong một nhóm thành viên theo chu kỳ, 2 (hoặc nhiều) nhóm là thành viên của nhau. Ví dụ: Nhóm A là thành viên của Nhóm B và Nhóm B là thành viên của Nhóm A.

LDAP và Microsoft Active Directory hỗ trợ thành viên nhóm theo chu kỳ. Tuy nhiên, Google Groups không hỗ trợ các nhóm này. Nếu cố gắng đồng bộ hoá một mối quan hệ thành viên theo chu kỳ, bạn sẽ thấy lỗi "Không được phép có mối quan hệ thành viên theo chu kỳ".

Làm cách nào để đảm bảo GCDS không xoá hoặc sửa đổi các nhóm hiện có mà tôi đã tạo?

Bạn có thể định cấu hình GCDS để loại trừ một nhóm bằng cách xác định quy tắc loại trừ Địa chỉ email của nhóm trong cấu hình miền của Google. Để biết thông tin chi tiết, hãy xem bài viết Sử dụng các quy tắc cho dữ liệu trên Google.

Ví dụ:

Quy tắc loại trừ
Loại: Địa chỉ email nhóm
Kiểu khớp: Khớp chính xác
Quy tắc: GCP_Project1@example.com

Lưu ý: Bạn nên tạo và quản lý các nhóm này trong thư mục LDAP. Khi GCDS đồng bộ hoá dữ liệu, thông tin về thành viên của nhóm sẽ luôn được cập nhật trong Tài khoản Google của bạn.

Để giữ lại những nhóm hiện có không có trong LDAP, bạn có thể bật chế độ cài đặt Không xoá những nhóm Google không có trong LDAP. Để biết thông tin chi tiết, hãy xem Chính sách xoá nhóm trên Google.

GCDS có đồng bộ hoá các nhóm do người dùng tạo không?

Nhóm do người dùng tạo là nhóm được tạo trong Google Groups for Business. Nếu một nhóm LDAP trùng khớp với một nhóm do người dùng tạo, thì GCDS sẽ bỏ qua nhóm đó như thể có một quy tắc loại trừ GCDS cho nhóm cụ thể đó. Hệ thống sẽ không xoá nhóm nếu nhóm đó không khớp với dữ liệu LDAP.

Nếu bạn đã thêm thành viên vào đối tượng hoặc thực thể tương ứng trong LDAP, thì GCDS sẽ thêm những thành viên đó vào nhóm. Nếu bạn đã thêm người dùng vào Nhóm Google không khớp với dữ liệu LDAP, thì những thành viên đó sẽ không bị xoá trong quá trình đồng bộ hoá.

Để biết thêm thông tin về nhóm do người dùng tạo, hãy xem bài viết Câu hỏi thường gặp về quản trị viên nhóm.

GCDS có thể đồng bộ hoá tư cách thành viên trong nhóm lồng nhau không?

Có, GCDS đồng bộ hoá tư cách thành viên trong nhóm lồng nhau. Tuy nhiên, có một số hạn chế liên quan đến nhóm lồng nhau và việc gửi email bằng Google Groups for Business. Không phải tất cả thành viên nhóm lồng nhau đều nhận được nội dung email gửi đến nhóm khi:

• Đã bật quyền kiểm duyệt. Email sẽ không tự động chuyển đến các thành viên trong nhóm hoặc các nhóm lồng nhau khác cho đến khi người kiểm duyệt nhóm phê duyệt.
• Nhóm mẹ không có quyền đăng bài để gửi bài viết đến các nhóm lồng ghép.

Chủ đề có liên quan

• Thêm một nhóm vào một nhóm khác
• Xem những người có thể xem, đăng bài và kiểm duyệt

GCDS có thể tìm kiếm thành viên của các nhóm lồng ghép không?

Có. GCDS đồng bộ hoá các thành viên của nhóm, bất kể thành viên đó là người dùng hay nhóm. Tuy nhiên, GCDS không hỗ trợ quy tắc tìm kiếm để mở rộng thành viên của các nhóm lồng nhau nếu máy chủ LDAP của bạn không hỗ trợ quy tắc tìm kiếm đó.

Làm cách nào để chỉ đồng bộ hoá những thành viên hợp lệ trong nhóm?

Bạn chỉ muốn đồng bộ hoá những thành viên là người dùng đang hoạt động trên máy chủ LDAP. Ví dụ: bạn có Nhóm 1 trên máy chủ LDAP, có 2 thành viên là người dùng 1 và người dùng 2. Tuy nhiên, User1 đã bị tạm ngưng trên máy chủ LDAP. Sau khi đồng bộ hoá, Nhóm 1 trong Tài khoản Google của bạn sẽ chỉ có user2 là thành viên duy nhất, trong khi user1 bị tạm ngưng (hoặc bị xoá, tuỳ theo chế độ cài đặt GCDS).

Cách đồng bộ hoá các thành viên hợp lệ của nhóm:

1. Tìm tệp cấu hình. Đây là tệp XML mà bạn dùng để tải cấu hình GCDS.
2. Mở tệp cấu hình bằng trình chỉnh sửa văn bản.
3. Tìm và xoá lựa chọn INDEPENDENT_GROUP_SYNC.
4. Tìm lựa chọn ADD_VALID_GROUP_MEMBERS_ONLY.

   Nếu không có, hãy thêm vào tệp.

5. Đảm bảo rằng bạn đã bật chế độ đồng bộ hoá tài khoản người dùng.

   Để biết thông tin chi tiết, hãy xem phần Xác định danh sách người dùng.

6. Chạy mô phỏng để xác minh kết quả trước khi chạy quy trình đồng bộ hoá đầy đủ.

Làm cách nào để thêm một cờ tính năng không bắt buộc vào tệp cấu hình GCDS?

Trước khi bắt đầu: Đảm bảo rằng GCDS hỗ trợ tính năng này.

1. Tìm tệp cấu hình. Đây là tệp XML mà bạn dùng để tải cấu hình GCDS.
2. Mở tệp cấu hình bằng trình chỉnh sửa văn bản.
3. Trong tệp XML, hãy tìm thẻ <features> rồi chèn một dòng mới vào bên trong thẻ này.
4. Trong dòng mới, hãy thêm thẻ <optional> mới có tên của tính năng bên trong.
5. Lưu và đóng tệp.

Ví dụ

Ví dụ sau đây cho biết cách thêm tính năng DONT_RESOLVE_USER_CONFLICT_ACCOUNTS.

<features>

<optional>DONT_RESOLVE_USER_CONFLICT_ACCOUNTS</optional>

</features>

Tại sao GCDS vẫn trả về lỗi khi bộ nhớ đệm bị xoá?

Lỗi này có thể là do vấn đề về cấu hình, chẳng hạn như cấu hình sai quy tắc loại trừ. GCDS có thể ẩn cấu hình sai bằng cách lưu vào bộ nhớ đệm.

GCDS lưu trữ dữ liệu vào bộ nhớ đệm cho dịch vụ của Google (chẳng hạn như Google Workspace hoặc Cloud Identity) trong tối đa 8 ngày. GCDS có thể xoá bộ nhớ đệm thường xuyên hơn, tuỳ thuộc vào kích thước dữ liệu được lưu vào bộ nhớ đệm. Tuy nhiên, nếu bộ nhớ đệm không được xoá, thì có thể mất đến 8 ngày để thấy những thay đổi được thực hiện trực tiếp trên Tài khoản Google của bạn (bằng cách sử dụng bảng điều khiển dành cho quản trị viên hoặc một ứng dụng API khác).

Cách xoá bộ nhớ đệm theo cách thủ công:

• Chạy quy trình đồng bộ hoá từ Configuration Manager (Trình quản lý cấu hình) và chọn xoá bộ nhớ đệm khi thực hiện quy trình đồng bộ hoá.
• Sử dụng cờ dòng lệnh -f để buộc xoá bộ nhớ đệm.
• Sửa đổi tệp cấu hình XML để đặt giá trị maxCacheLifetime thành 0.

Quan trọng: Việc xoá bộ nhớ đệm có thể làm tăng đáng kể thời gian đồng bộ hoá.

Ví dụ: Bạn có một nhóm tồn tại trên cả máy chủ LDAP và Tài khoản Google của bạn. Bạn tạo một quy tắc loại trừ của Google cho nhóm này, hy vọng ngăn GCDS thay đổi nhóm trong quá trình đồng bộ hoá.

Tuy nhiên, quy tắc này thực sự khiến GCDS hoạt động như thể nhóm không tồn tại trên Tài khoản Google của bạn. GCDS cố gắng tạo nhóm nhưng vì nhóm đã tồn tại, nên bạn thấy lỗi và GCDS sẽ thêm nhóm đó vào bộ nhớ đệm. Các lần đồng bộ hoá tiếp theo sẽ sử dụng bộ nhớ đệm và GCDS sẽ nhận ra rằng nhóm đã tồn tại. Sau đó, khi bộ nhớ đệm được xoá, GCDS sẽ hoạt động như thể nhóm đó không tồn tại.

Tại sao tôi phải định cấu hình GCDS để đồng bộ hoá mật khẩu?

Chế độ cài đặt đồng bộ hoá mật khẩu mặc định trong GCDS được dùng để xác định cách GCDS tạo mật khẩu cho tài khoản người dùng mới. Nếu không muốn tuỳ chỉnh mật khẩu ban đầu của tài khoản, bạn không cần làm gì cả. Chỉ cần sử dụng chế độ cài đặt mặc định.

Nếu đang sử dụng Active Directory, bạn có thể dùng tính năng Đồng bộ hoá mật khẩu để đồng bộ hoá mật khẩu người dùng từ Active Directory với miền của bạn trên Google.

GCDS giải quyết xung đột như thế nào khi áp dụng nhiều quy tắc đồng bộ hoá?

GCDS sẽ xem xét các quy tắc theo thứ tự từ cao nhất đến thấp nhất.

Ví dụ: bạn định cấu hình một quy tắc đồng bộ hoá Tài khoản người dùng để tạo người dùng trong đơn vị tổ chức gốc hoặc /. Sau đó, bạn tạo một quy tắc thấp hơn để tạo người dùng trong đơn vị tổ chức /Exceptions. Sau khi đồng bộ hoá, những người dùng khớp với cả hai quy tắc sẽ được tạo trong đơn vị tổ chức gốc vì quy tắc đó có mức độ ưu tiên cao hơn.

Để đảm bảo người dùng được đặt đúng cách trong /Exceptions, hãy đảm bảo rằng quy tắc này được liệt kê cao hơn bất kỳ quy tắc xung đột nào khác. Hoặc đảm bảo rằng đây là quy tắc đầu tiên trong danh sách có thứ tự.

Làm cách nào để kiểm tra và xem xét quá trình đồng bộ hoá GCDS?

GCDS sử dụng OAuth 2.0 3 chân để uỷ quyền. Quy trình này cấp cho GCDS một mã thông báo OAuth 2.0. Mã thông báo này cho phép GCDS thay mặt cho quản trị viên đã thực hiện việc uỷ quyền để thực hiện hành động.

Tất cả các sự kiện kiểm tra đều được liệt kê theo quản trị viên đã uỷ quyền cho GCDS. Hãy cân nhắc việc tạo một tài khoản quản trị viên GCDS chuyên dụng để bạn có thể thấy rõ những thay đổi và hoạt động kiểm tra do GCDS thực hiện.

Chủ đề có liên quan

Uỷ quyền cho Tài khoản Google của bạn

GCDS có xoá giản đồ của tôi nếu tôi bật tính năng đồng bộ hoá giản đồ không?

Trong quá trình đồng bộ hoá, GCDS sẽ xem xét chế độ thiết lập LDAP hiện tại để xác định xem có nên giữ lại hay xoá giản đồ tuỳ chỉnh trong Tài khoản Google của bạn hay không.

Ngoài ra, tệp cấu hình GCDS có một chế độ cài đặt schemaHistory chứa thông tin về các giản đồ tuỳ chỉnh đã được đồng bộ hoá trước đó. Nếu GCDS đã đồng bộ hoá một giản đồ tuỳ chỉnh, thì giản đồ đó sẽ tự động được thêm vào schemaHistory. Nếu bạn xoá chế độ cài đặt schemaHistory theo cách thủ công trong tệp cấu hình và nếu lược đồ tuỳ chỉnh không có trong thư mục LDAP, thì GCDS sẽ bỏ qua và không xoá lược đồ tuỳ chỉnh trong Tài khoản Google của bạn.

Để xoá schemaHistory theo cách thủ công trong tệp cấu hình, hãy tìm:

<schemas>
<schemaDefinitions />
<schemaHistory>
<schemaName>GroupMembership</schemaName>
</schemaHistory>
</schemas>

Tôi có thể đồng bộ hoá GCDS từ nhiều thư mục LDAP không?

GCDS chỉ có thể đồng bộ hoá từ một thư mục LDAP duy nhất. Nếu bạn có nhiều thư mục LDAP, hãy hợp nhất dữ liệu máy chủ LDAP thành một thư mục duy nhất. Để biết thông tin chi tiết, hãy xem Bước 2 trong bài viết Chuẩn bị thư mục LDAP.

GCDS tạo và lưu trữ khoá đối xứng một cách an toàn như thế nào?

Khoá đối xứng mã hoá mã thông báo làm mới GCDS được tạo bằng KeyGenerator mã hoá Java mặc định bằng AES 128.

Phương thức userNodeForPackage trong lớp Preferences trong Java sẽ xử lý việc lưu trữ khoá đối xứng. GCDS không kiểm soát vị trí chính xác của khoá và phụ thuộc vào hệ điều hành.

Trên Windows, dữ liệu lựa chọn ưu tiên được lưu trữ trong phân vùng đăng ký của người dùng. Trên Linux, tệp này được lưu trữ trong thư mục gốc của người dùng.

Khách hàng nên làm theo các phương pháp hay nhất để đảm bảo khoá được bảo mật đúng cách bằng cách sử dụng cả hệ thống tệp được mã hoá và đảm bảo ACL hạn chế.

Mã nhận dạng duy nhất là gì?

Mã nhận dạng duy nhất (còn được gọi là khoá chính không phải địa chỉ) được GCDS sử dụng nội bộ và không được đồng bộ hoá với Google Workspace. GCDS lưu trữ mã nhận dạng duy nhất trong một tệp TSV trên máy tính mà GCDS được cài đặt. Bạn có thể tìm thấy tên tệp TSV và đường dẫn đầy đủ của tệp đó trong tệp cấu hình XML.

Nếu người dùng được đổi tên trên máy chủ LDAP nhưng không được đổi tên trong Google Workspace, thì GCDS sẽ sử dụng mã nhận dạng riêng biệt để ngăn thông tin chi tiết của người dùng bị xoá hoặc trùng lặp.

Lưu ý: Bạn có thể gây ra vấn đề về việc đồng bộ hoá nếu thay đổi địa chỉ email của người dùng theo cách thủ công trên cả máy chủ LDAP và Google Workspace. Để tránh vấn đề này, hãy xoá các bản ghi người dùng tương ứng khỏi tệp TSV trước khi chạy GCDS.

Làm cách nào để đồng bộ hoá các nhóm bảo mật từ Active Directory hoặc thư mục LDAP của tôi và sử dụng các nhóm đó trong Cloud IAM?

Bạn có thể định cấu hình GCDS để đồng bộ hoá các nhóm bảo mật bằng quy tắc tìm kiếm LDAP.

Ví dụ 1: Tìm kiếm tất cả các nhóm bảo mật

Ví dụ này cho thấy một lượt tìm kiếm LDAP cho tất cả các nhóm bảo mật có địa chỉ email:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*))

Ví dụ 2: Tìm kiếm một nhóm nhỏ các nhóm bảo mật

Nếu bạn muốn đồng bộ hoá một nhóm nhỏ các nhóm bảo mật, hãy cân nhắc việc sử dụng extensionAttribute1 và đặt một giá trị cụ thể, chẳng hạn như GoogleCloud. Sau đó, bạn có thể tinh chỉnh truy vấn GCDS để chỉ cung cấp một nhóm nhỏ cụ thể gồm các nhóm bảo mật.

Ví dụ này cho thấy một lượt tìm kiếm LDAP cho tất cả các nhóm bảo mật có địa chỉ email và thuộc tính GoogleCloud:

(&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=-2147483648)(mail=*)(extensionAttribute1=GoogleCloud))

Quan trọng:

• Tất cả các nhóm trong một miền của Google đều được tham chiếu bằng một địa chỉ email. Bạn phải đảm bảo rằng tất cả các nhóm bảo mật mà bạn muốn đồng bộ hoá đều có một thuộc tính thư hợp lệ được xác định.
• Một nhóm được tạo trong miền Google sẽ không tự động có vai trò Google Cloud Identity and Access Management (IAM) rõ ràng. Sau khi tạo một nhóm, bạn cần sử dụng Cloud IAM để chỉ định nhóm cho các vai trò cụ thể.

Làm cách nào để thêm người dùng chỉ cần tài khoản cho các dự án trên Google Cloud?

Bạn có thể định cấu hình GCDS bằng cách thêm một quy tắc đồng bộ hoá người dùng cho người dùng Google Cloud. Cách đơn giản nhất là tạo một truy vấn mới dựa trên việc người dùng là thành viên của một nhóm, ví dụ:

(&(memberof=cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com)(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

Sau đó, bạn có thể sử dụng bộ lọc tìm kiếm sau đây để trả về những người dùng là thành viên của nhóm, có địa chỉ email và tài khoản không bị tạm ngưng:

group cn=CloudUsers,cn=users,dc=corp,dc=domain,dc=com

Hãy cân nhắc việc đưa những người dùng này vào một đơn vị tổ chức. Để thực hiện việc này, hãy xác định Tên đơn vị tổ chức (ví dụ: Người dùng đám mây) trong quy tắc. Tạo đơn vị tổ chức nếu đơn vị đó chưa tồn tại.

Vấn đề về việc cấp phép

Hãy cân nhắc cách định cấu hình miền để bạn có thể chỉ định giấy phép sản phẩm một cách phù hợp cho tài khoản người dùng. Nếu đã bật tính năng tự động cấp phép, bạn có thể loại trừ đơn vị tổ chức Người dùng đám mây khỏi việc được cấp giấy phép sản phẩm. Để biết thông tin chi tiết, hãy xem bài viết Thiết lập các lựa chọn cấp phép tự động cho tổ chức.

Đối với các yêu cầu cấp phép phức tạp hơn, bạn có thể định cấu hình GCDS để đồng bộ hoá và quản lý tất cả các lượt chỉ định giấy phép người dùng. Để biết thông tin chi tiết, hãy xem bài viết Đồng bộ hoá giấy phép.