3. داده های LDAP را سازماندهی کنید

شما باید تصمیم بگیرید که می‌خواهید کدام دامنه‌ها، کاربران، واحدهای سازمانی و گروه‌های اصلی را با استفاده از Google Cloud Directory Sync (GCDS) با حساب گوگل خود همگام‌سازی کنید. همچنین باید در مورد رمزهای عبور و نحوه نگاشت داده‌های سرور دایرکتوری خود فکر کنید.

شما در مرحله ۳ از ۵ هستید

چگونه داده‌های خود را سازماندهی کنید

دامنه اصلی شما چیست؟

دامنه گوگلی که می‌خواهید همگام‌سازی کنید را مشخص کنید. هنگام پیکربندی GCDS به این مورد نیاز دارید.

توجه : شما نمی‌توانید آدرس‌های مستعار دامنه را با استفاده از GCDS همگام‌سازی کنید. درباره اصول اولیه دامنه بیشتر بدانید.

همچنین می‌توانید از جایگزینی نام دامنه استفاده کنید . جایگزینی نام دامنه اغلب برای یک دامنه آزمایشی استفاده می‌شود، اما اگر از GCDS برای انتقال به یک دامنه جدید استفاده می‌کنید، می‌توان از آن نیز استفاده کرد. اگر دامنه دیگری را در Configuration Manager مشخص کنید، می‌توانید لیست کاملی از کاربران را به یک دامنه دیگر وارد کنید.

دامنه جدید را به عنوان دامنه اصلی تنظیم کنید. سپس، در Configuration Manager LDAP Configuration ، دامنه جدید را به عنوان دامنه گوگل خود وارد کنید و یک مدیر برای آن دامنه مشخص کنید. در Google Domain Configuration ، GCDS را طوری تنظیم کنید که نام دامنه‌ها را در آدرس‌های ایمیل LDAP با این نام دامنه جایگزین کند . GCDS آدرس‌های ایمیل همه کاربران شما را در حین همگام‌سازی به دامنه جدید تغییر می‌دهد.

پس از اتمام دوره آزمایشی، می‌توانید نام دامنه (و نام مدیر گوگل) را به دامنه اصلی خود تغییر دهید و سایر گزینه‌های پیکربندی را به همان شکل نگه دارید.

کدام داده‌های کاربر باید همگام‌سازی شوند؟

  • کاربران: با استفاده از یک مرورگر LDAP، فهرست کاربران خود را بررسی کنید و مطمئن شوید که تعداد صحیح کاربران را وارد می‌کنید. اگر تعداد کاربران بیشتری نسبت به تعداد کاربرانی که مجوز دریافت کرده‌اند وارد کنید، ممکن است هنگام همگام‌سازی با خطا مواجه شوید. درباره نحوه مدیریت مجوزهای کاربر بیشتر بدانید.
  • پروفایل‌های کاربر: اگر سرور دایرکتوری LDAP شما شامل اطلاعات اضافی مانند آدرس، شماره تلفن یا اطلاعات تماس است، می‌توانید این اطلاعات را نیز همگام‌سازی کنید.
  • نام‌های مستعار: می‌توانید یک یا چند ویژگی برای نام‌های مستعار از فهرست LDAP خود را در نام‌های مستعار آدرس گوگل همگام‌سازی کنید.
  • شناسه منحصر به فرد: اگر احتمال دارد کاربران شما نام کاربری (آدرس ایمیل) خود را تغییر دهند، قبل از تنظیم همگام‌سازی، یک ویژگی شناسه منحصر به فرد تنظیم کنید تا وقتی کاربر آدرس ایمیل خود را تغییر می‌دهد، اطلاعات کاربر از بین نرود.
  • رمزهای عبور: GCDS از مجموعه محدودی از عملیات رمز عبور پشتیبانی می‌کند. اگر سرور Microsoft Active Directory دارید، می‌توانید رمزهای عبور دایرکتوری LDAP خود را با استفاده از Password Sync با حساب Google خود همگام‌سازی کنید.
  • کاربران حذف شده و تعلیق شده: به طور پیش‌فرض، کاربرانی که در دایرکتوری LDAP شما یافت نمی‌شوند، از حساب گوگل شما حذف می‌شوند و کاربران تعلیق شده نادیده گرفته می‌شوند. می‌توانید تنظیمات پیش‌فرض را در صفحه حساب‌های کاربری Configuration Manager تغییر دهید. اگر GCDS را طوری تنظیم کنید که به جای حذف، کاربران را تعلیق کند، می‌توانید دارایی‌های کاربر را مشاهده و منتقل کنید تا از بازیابی داده‌ها بهره‌مند شوید. به عنوان یک جایگزین، می‌توانید کاربران تعلیق شده را حذف کنید، اما فقط می‌توانید آنها را حذف یا تعلیق کنید، نه هر دو.

چگونه باید گروه‌ها و فهرست‌های پستی خود را سازماندهی کنید؟

شما می‌توانید کاربران خود را در حساب گوگل خود بر اساس فهرست پستی یا ساختار سازمانی سازماندهی کنید:

فهرست پستی

تصمیم بگیرید که می‌خواهید کدام فهرست‌های پستی را از سرور دایرکتوری LDAP خود با حساب گوگل خود همگام‌سازی کنید. فهرست‌های پستی در سرور دایرکتوری LDAP شما به عنوان گروه در حساب گوگل وارد می‌شوند.

برخی از ویژگی‌های فهرست پستی حاوی یک آدرس تحت‌اللفظی هستند و از قالبی مانند user@example.com پیروی می‌کنند. برخی دیگر حاوی یک مرجع نام متمایز (DN) هستند و از این قالب پیروی می‌کنند:
cn=Terri Smith,ou=تیم اجرایی,dc=example,dc=com.

اگر می‌خواهید فهرست‌های پستی را در حساب گوگل خود نگه دارید:

  1. بفهمید کدام ویژگی شامل اعضای لیست‌های پستی شما می‌شود. معمولاً این ویژگی، ویژگی member یا mailAddress است.
  2. بررسی کنید که آیا ویژگی LDAP برای اعضای لیست پستی حاوی آدرس ایمیل یا نام کاربری است یا خیر.

ساختار سازمانی

به طور پیش‌فرض، GCDS همه کاربران را در یک ساختار مسطح واحد همگام‌سازی می‌کند. انجام این کار در صورتی که سازمان کوچکی دارید یا می‌خواهید همه کاربران تنظیمات و حقوق یکسانی داشته باشند، به خوبی کار می‌کند. همچنین اگر قبل از انتشار گسترده‌تر، در حال آزمایش یک گروه کوچک هستید، به خوبی کار می‌کند.

اگر می‌خواهید از سلسله مراتب واحد سازمانی در حساب گوگل خود استفاده کنید، می‌توانید سلسله مراتب سازمانی را از سرور دایرکتوری LDAP خود همگام‌سازی کنید. در این صورت، ابتدا واحدهای سازمانی خود را با یک مرورگر LDAP بررسی کنید تا مطمئن شوید که ساختار صحیح را همگام‌سازی می‌کنید. ممکن است واحدهای سازمانی خاصی داشته باشید که نباید به حساب گوگل منتقل شوند، مانند یک واحد سازمانی برای چاپگرها.

اگر می‌خواهید واحدهای سازمانی را به صورت دستی در حساب گوگل خود ایجاد کنید ، می‌توانید آنها را در گوگل تنظیم کنید و سپس از GCDS بخواهید که کاربران را بدون تغییر سازمان‌های موجود به آن سازمان‌ها منتقل کند. این گزینه را در صفحه واحدهای سازمانی در Configuration Manager انتخاب کنید. برای هر قانون جستجوی کاربر، سازمانی را که باید شامل کاربران آن قانون باشد، یا یک ویژگی LDAP که شامل نام سازمان مناسب است، مشخص کنید.

آیا می‌خواهید مجوزها را با GCDS مدیریت کنید؟

اگر می‌خواهید مجوزها را با استفاده از GCDS مدیریت کنید، باید کاربران را ایجاد کرده و در گروه‌های مجوز خاص گروه‌بندی کنید. همچنین می‌توانید برای هر حساب کاربری یک ویژگی خاص تنظیم کنید.

GCDS از گروه یا ویژگی برای تعیین مجوز صحیح برای اعمال به یک حساب کاربری استفاده می‌کند.

آیا می‌خواهید مخاطبین مشترک و منابع تقویم را همگام‌سازی کنید؟

GCDS می‌تواند سایر منابع LDAP مانند مخاطبین مشترک و منابع تقویم را با حساب گوگل شما همگام‌سازی کند.

  • مخاطبین مشترک: جزئیات مخاطبین مشترک برای هر کاربر در لیست مخاطبین قابل مشاهده است. همچنین، اگر مخاطبین مشترک را تنظیم کنید، تکمیل خودکار آدرس ایمیل در Gmail برای هر کاربر در لیست فعال می‌شود. برای وارد کردن آدرس‌ها به حساب Google خود به عنوان مخاطبین مشترک، مخاطبین مشترک را در صفحه تنظیمات عمومی در Configuration Manager فعال کنید. پس از همگام‌سازی مخاطبین مشترک، ممکن است تا 24 ساعت طول بکشد تا تغییرات در دامنه Google شما ظاهر شوند.

    توجه : GCDS فقط مخاطبین مشترک را همگام‌سازی می‌کند. مخاطبین شخصی همگام‌سازی نمی‌شوند.

  • منابع تقویم: اگر می‌خواهید منابع تقویم (مانند اتاق‌های کنفرانس) را از فهرست LDAP خود به حساب Google خود وارد کنید، باید همگام‌سازی منابع تقویم را پیکربندی کنید تا منابع برای همه کاربران قابل مشاهده باشند.

    شما باید یک قالب نامگذاری برای منابع تقویم خود مشخص کنید. به خاطر داشته باشید که قوانین مربوط به نام منابع تقویم با سایر اطلاعات هماهنگ شده متفاوت است. نام‌ها نمی‌توانند شامل فاصله یا کاراکترهای ویژه باشند.

چگونه رمزهای عبور را همگام‌سازی خواهید کرد؟

نکته : می‌توانید از قابلیت همگام‌سازی رمز عبور برای همگام‌سازی رمزهای عبور Google Workspace کاربران خود با رمزهای عبور Active Directory آنها استفاده کنید.

GCDS از مجموعه محدودی از عملیات رمز عبور پشتیبانی می‌کند. این سیستم می‌تواند رمزهای عبور را فقط در یک ویژگی LDAP که رمزهای عبور را در قالب متن ساده، Base64، MD5 بدون نمک یا SHA-1 بدون نمک ذخیره می‌کند، وارد کند. سایر هش‌های رمزگذاری شده با رمز عبور و نمکی پشتیبانی نمی‌شوند. اکثر سرورهای دایرکتوری به طور بومی از این قالب‌ها پشتیبانی نمی‌کنند و ذخیره رمزهای عبور کاربر شما در این قالب‌ها در سرور ایمیل شما می‌تواند پیامدهای امنیتی جدی داشته باشد.

برای همگام‌سازی رمز عبور، GCDS گزینه‌های زیر را ارائه می‌دهد:

  • پیاده‌سازی ورود یکپارچه (SSO) برای دامنه شما : کاربران رمزهای عبور و مجوزهای یکسانی برای حساب گوگل و سرور دایرکتوری LDAP شما دارند. می‌توانید یک سرور زبان نشانه‌گذاری ادعای امنیتی (SAML) برای حساب خود راه‌اندازی کنید تا ورود یکپارچه را مدیریت کند. در این حالت، GCDS در حین همگام‌سازی، رمزهای عبور تصادفی ایجاد می‌کند.

    توجه : ورود یکپارچه فقط از احراز هویت وب پشتیبانی می‌کند. سایر اشکال احراز هویت (مانند IMAP، POP و ActiveSync) از ورود یکپارچه پشتیبانی نمی‌کنند و همچنان به رمز عبور گوگل نیاز دارند.

  • از یک ویژگی LDAP با متن ساده برای رمز عبور پیش‌فرض برای کاربران جدید استفاده کنید : اگر می‌خواهید کاربران رمزهای عبور یکبار مصرف جداگانه‌ای داشته باشند، از این گزینه استفاده کنید. با این گزینه، رمزهای عبور گوگل از رمزهای عبور موجود در سرور دایرکتوری LDAP شما جدا هستند. می‌توانید از این روش برای ایجاد یک رمز عبور موقت از هر ویژگی LDAP که داده‌ها را در قالب متن ساده نگه می‌دارد، استفاده کنید.

  • استفاده از یک ابزار شخص ثالث برای تبدیل رمزهای عبور پشتیبانی نشده به فرمت پشتیبانی شده : اگر نیاز دارید که گوگل از رمزهای عبور مشابه سرور دایرکتوری LDAP شما استفاده کند، اما نمی‌توانید یک سرور SAML راه‌اندازی کنید، از این گزینه استفاده کنید. برای ابزارهای شخص ثالث برای کمک به همگام‌سازی رمزهای عبور، به Google Workspace Marketplace مراجعه کنید. گوگل از ابزارهای شخص ثالث پشتیبانی نمی‌کند.

  • تعیین رمز عبور پیش‌فرض برای کاربران جدید : با این گزینه، هر کاربر جدید تا زمانی که وارد سیستم شود و آن را تغییر دهد، رمز عبور یکسانی خواهد داشت. رمزهای عبور گوگل از رمزهای عبور موجود در سرور دایرکتوری LDAP شما جدا نگه داشته می‌شوند. برای استفاده از این گزینه، یک رمز عبور پیش‌فرض برای کاربران جدید تعیین کنید و سپس GCDS را طوری تنظیم کنید که رمزهای عبور را برای کاربران جدید همگام‌سازی کند و سپس آنها را مجبور به تغییر رمز عبور خود کنید.

    از آنجا که رمز عبور گاهی اوقات توسط سایر کاربران قابل حدس زدن است، این گزینه به عنوان یک گزینه امن توصیه نمی‌شود.

چگونه داده‌های خود را ترسیم خواهید کرد؟

شما باید تصمیم بگیرید که چگونه داده‌های سرور دایرکتوری LDAP شما به داده‌های حساب گوگل شما نگاشت می‌شود و تصویر روشنی از نحوه همگام‌سازی هر کاربر، گروه و منبع داشته باشید. می‌توانید این نگاشت را به صورت سلسله مراتبی مسطح، همگام‌سازی خودکار یک به یک یا مجموعه‌ای دستی از قوانین سفارشی تنظیم کنید. برای جزئیات بیشتر، به «همگام‌سازی چیست؟» مراجعه کنید.

سناریوی نمونه

به عنوان مدیر گوگل برای سازمان نمونه، شما تصمیم می‌گیرید که سلسله مراتب سازمانی موجود در سرور LDAP باید در حساب گوگل کپی شود و واحدهای سازمانی که باید همگام‌سازی شوند را شناسایی کنید.

شما تصمیم می‌گیرید که Example Organization نیاز به همگام‌سازی دارد:

  • واحدهای سازمانی
  • کاربران
  • نام‌های مستعار
  • گروه‌ها (لیست‌های پستی)
  • مخاطبین مشترک
  • منابع تقویم

فهرست‌های پستی در سرور دایرکتوری LDAP از ویژگی عضو برای ذخیره اعضای هر فهرست پستی استفاده می‌کنند و ویژگی عضو شامل نام کامل متمایز (DN) اعضای فهرست پستی است، نه آدرس ایمیل آنها. به عنوان مدیر GCDS، به این ویژگی توجه کنید و اینکه یک ویژگی ارجاعی است، نه یک ویژگی تحت‌اللفظی.

از آنجا که اطلاعات پروفایل کاربر LDAP در سرور LDAP در بین سازمان‌ها دارای قالب استانداردی نیست، شما به عنوان مدیر گوگل تصمیم می‌گیرید که این اطلاعات را همگام‌سازی نکنید.

در سرور LDAP، شما یک ویژگی سفارشی ایجاد می‌کنید و آن را با یک رمز عبور یکبار مصرف که به صورت تصادفی تولید می‌شود، پر می‌کنید. در حساب گوگل خود، یک ادغام ایمیل تنظیم می‌کنید تا رمزهای عبور به همراه اطلاعاتی در مورد نحوه فعال‌سازی حساب‌های کاربران برای آنها ارسال شود.

تعدادی کاربر در واحد سازمانی پیمانکاران وجود دارند که دیگر با سازمان نمونه (Example Organization) همکاری نمی‌کنند و نباید همگام‌سازی شوند. شما لیست را در نظر می‌گیرید و متوجه می‌شوید که همه آنها با یک عبارت منظم مطابقت دارند زیرا آدرس‌های کاربر همه با "dedefunct" شروع می‌شوند. در نهایت، برای این کاربران در دامنه گوگل استثنا ایجاد می‌کنید.


گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.