Un utilisateur possède-t-il certains attributs dans le domaine Google et d'autres dans le serveur LDAP ? Voulez-vous conserver ces différents attributs ? Comment vous assurer que Google Cloud Directory Sync (GCDS) ne modifie pas les attributs de l'utilisateur lors d'une synchronisation ?
La réponse est que vous avez besoin de deux règles d'exclusion : une pour vos données LDAP et une pour les données de votre domaine Google.
Exemple de scénario
Voici un scénario dans lequel l'utilisateur fred@solarmora.com existe sur le serveur LDAP et dans le domaine Google :
- Domaine Google : Fred se trouve dans la sous-organisation "Test Users".
- Serveur LDAP : Fred se trouve dans l'unité organisationnelle "Finance".
- Règle de recherche : une règle de recherche place les utilisateurs de l'unité organisationnelle "Finance" dans la sous-organisation "Finance" du domaine Google.
- Règle d'exclusion : il existe une règle d'exclusion du chemin complet de l'organisation Google pour "/Test Users" (Utilisateurs de test), dont Fred est membre.
Lors de la synchronisation, GCDS ignore l'existence de fred@solarmora.com sur le domaine Google en raison de la règle d'exclusion "/Test Users", mais le voit dans les résultats LDAP et tente donc de le créer. Comme Fred existe déjà dans le domaine Google, il n'est pas recréé, mais d'autres actions (qui dépendent de la création de Fred) ont lieu. Par exemple, Fred est placé dans la sous-organisation "Finance".
Pour éviter ce scénario, vous devez exclure l'utilisateur du serveur LDAP et du domaine Google. Pour ce faire, ajoutez une règle d'exclusion LDAP qui fonctionne avec la règle d'exclusion de domaine Google. Dans cet exemple, vous ajouterez la règle d'exclusion LDAP par adresse e-mail. Pour en savoir plus, consultez Utiliser des règles d'exclusion avec GCDS.
Meilleure conduite à tenir pour gérer plusieurs comptes utilisateur
Lorsque vous utilisez GCDS, il est plus facile de gérer plusieurs utilisateurs à l'aide du serveur LDAP.
Si vous souhaitez placer un groupe d'utilisateurs dans une unité organisationnelle spéciale de votre domaine Google, quelle que soit leur unité organisationnelle sur le serveur LDAP, la meilleure approche consiste à :
- Marquez ces utilisateurs sur le serveur LDAP à l'aide d'un attribut personnalisé ou de l'appartenance à un groupe.
- Créez une règle de recherche qui ne correspond qu'à ces utilisateurs. Par exemple, utilisez une règle qui recherche l'attribut personnalisé ou le nom de l'appartenance au groupe ("memberOf=groupname").
- relier la règle de recherche à l'unité organisationnelle en question. Remarque : Vous pouvez appliquer à la règle de recherche une priorité élevée, afin que le compte utilisateur soit toujours transféré vers l'unité organisationnelle choisie, même si celui-ci apparaît dans plusieurs règles de recherche.
Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.