דף זה תורגם על ידי Cloud Translation API.

3. ארגון נתוני LDAP

אתם צריכים להחליט אילו דומיינים ראשיים, משתמשים, יחידות ארגוניות וקבוצות אתם רוצים לסנכרן עם חשבון Google שלכם באמצעות Google Cloud Directory Sync‏ (GCDS). צריך גם לחשוב על סיסמאות ועל האופן שבו רוצים למפות את הנתונים של שרת הספרייה.

הגעת לשלב 3 מתוך 5

איך מארגנים את הנתונים

מה הדומיין הראשי שלך?

מזהים את דומיין Google שרוצים לסנכרן. תצטרכו את זה כשאתם מגדירים את GCDS.

הערה: אי אפשר לסנכרן כתובות של דומיין חלופי באמצעות GCDS. מידע נוסף על דומיינים

אפשר גם להשתמש בהחלפה של שם הדומיין. החלפת שם דומיין משמשת לרוב לדומיין פיילוט, אבל אפשר להשתמש בה גם אם אתם משתמשים ב-GCDS כדי לעבור לדומיין חדש. אם מציינים דומיין אחר באשף ההגדרות, אפשר לייבא רשימה מלאה של משתמשים לדומיין אחר.

מגדירים את הדומיין החדש כדומיין ראשי. לאחר מכן, באשף ההגדרות הגדרת LDAP, מזינים את הדומיין החדש כדומיין Google ומציינים אדמין לדומיין הזה. בקטע הגדרת הדומיין של Google, מגדירים את GCDS כך ששמות הדומיין בכתובות אימייל של LDAP יוחלפו בשם הדומיין הזה. במהלך הסנכרון, GCDS משנה את כתובות האימייל של כל המשתמשים לדומיין החדש.

אחרי שתקופת הפיילוט תסתיים, תוכלו לשנות את שם הדומיין (ואת האדמין ב-Google) לדומיין הראשי האמיתי שלכם, ולהשאיר את כל שאר אפשרויות ההגדרה ללא שינוי.

אילו נתוני משתמשים צריך לסנכרן?

משתמשים: מעיינים בספריית המשתמשים באמצעות דפדפן LDAP ומוודאים שמייבאים את מספר המשתמשים הנכון. אם מייבאים יותר משתמשים ממספר הרישיונות שיש לכם, יכול להיות שתיתקלו בשגיאות במהלך הסנכרון. מידע נוסף על ניהול רישיונות משתמשים
פרופילי משתמשים: אם שרת ספריית ה-LDAP שלכם כולל מידע נוסף, כמו כתובות, מספרי טלפון או פרטים ליצירת קשר, אתם יכולים לסנכרן גם את המידע הזה.
כתובות חלופיות: אפשר לסנכרן מאפיין אחד או יותר של כתובות חלופיות מהספרייה של LDAP לכתובות חלופיות ב-Google.
מזהה ייחודי: אם סביר שהמשתמשים שלכם ישנו את שמות המשתמש (כתובות האימייל), כדאי להגדיר מאפיין של מזהה ייחודי לפני שמגדירים סנכרון, כדי שפרטי המשתמש לא יאבדו כשהמשתמש ישנה את כתובת האימייל שלו.
סיסמאות: GCDS תומך בקבוצה מוגבלת של פעולות שקשורות לסיסמאות. אם יש לכם שרת Microsoft Active Directory, אתם יכולים לסנכרן את הסיסמאות בספריית LDAP עם חשבון Google באמצעות סנכרון סיסמאות.
משתמשים שנמחקו ומשתמשים מושעים: כברירת מחדל, משתמשים שלא נמצאים בספריית ה-LDAP שלכם נמחקים מחשבון Google, ומשתמשים מושעים לא נכללים בסנכרון. אפשר לשנות את הגדרת ברירת המחדל בדף חשבונות המשתמשים בכלי Configuration Manager. אם מגדירים את GCDS להשעות משתמשים במקום למחוק אותם, אפשר להציג ולהעביר נכסי משתמשים כדי לנצל את היתרונות של שחזור נתונים. אפשר גם למחוק משתמשים מושעים, אבל אפשר רק למחוק או להשעות, ולא את שתי הפעולות.

איך כדאי לארגן את הקבוצות ואת רשימות התפוצה?

אתם יכולים לארגן את המשתמשים בחשבון Google שלכם לפי רשימת תפוצה או לפי המבנה הארגוני:

רשימת תפוצה

מחליטים אילו רשימות תפוצה רוצים לסנכרן משרת ספריית ה-LDAP לחשבון Google. רשימות תפוצה בשרת ספריית ה-LDAP מיובאות כקבוצות לחשבון Google.

חלק מהמאפיינים של רשימות התפוצה מכילים כתובת מילולית והם בפורמט כמו user@example.com. חלק מהמאפיינים מכילים הפניה לשם ייחודי (DN) והם בפורמט הבא:
cn=Terri Smith,ou=Executive Team,dc=example,dc=com.

כדי לשמור את רשימות התפוצה בחשבון Google:

בודקים באיזה מאפיין מופיעים החברים ברשימות התפוצה. בדרך כלל זה המאפיין member או mailAddress.
בודקים אם מאפיין ה-LDAP של חברי רשימת התפוצה מכיל כתובת אימייל או שם ייחודי של משתמש.

מבנה ארגוני

כברירת מחדל, GCDS מסנכרן את כל המשתמשים למבנה שטוח יחיד. השיטה הזו מתאימה לארגונים קטנים או אם רוצים שכל המשתמשים יהיו בעלי אותן הגדרות והרשאות. היא גם מתאימה לבדיקה של קבוצה קטנה לפני השקה רחבה יותר.

אם רוצים להשתמש בהיררכיה של יחידות ארגוניות בחשבון Google, אפשר לסנכרן את ההיררכיה הארגונית משרת ספריית ה-LDAP. אם כן, כדאי לעיין ביחידות הארגוניות באמצעות דפדפן LDAP כדי לוודא שאתם מסנכרנים את המבנה הנכון. יכול להיות שיש לכם יחידות ארגוניות מיוחדות שלא צריכות לעבור לחשבון Google, כמו יחידה ארגונית למדפסות.

אם רוצים ליצור יחידות ארגוניות באופן ידני בחשבון Google, אפשר להגדיר אותן ב-Google ואז להשתמש ב-GCDS כדי להעביר משתמשים לארגונים האלה בלי לשנות את הארגונים הקיימים. בוחרים באפשרות הזו בדף יחידות ארגוניות בכלי לניהול הגדרות. לכל כלל חיפוש משתמשים, מציינים את הארגון שאמור להכיל משתמשים עבור הכלל הזה, או מאפיין LDAP שמכיל את השם של הארגון המתאים.

רוצים לנהל רישיונות באמצעות GCDS?

אם אתם רוצים לנהל רישיונות באמצעות GCDS, אתם צריכים ליצור קבוצות רישיונות ספציפיות ולקבץ אליהן משתמשים. אפשרות אחרת היא להגדיר מאפיין ספציפי בכל חשבון משתמש.

מערכת GCDS משתמשת בקבוצה או במאפיין כדי לקבוע את הרישיון הנכון להחלה על חשבון.

האם רוצה לסנכרן את אנשי הקשר המשותפים ואת משאבי היומן?

מערכת GCDS יכולה לסנכרן משאבי LDAP אחרים, כמו אנשי קשר משותפים ומשאבי יומן, עם חשבון Google שלכם.

אנשי קשר משותפים: פרטי הקשר שמשותפים גלויים לכל משתמש ברשימת אנשי הקשר. בנוסף, אם מגדירים אנשי קשר משותפים, ההשלמה האוטומטית של כתובות אימייל מופעלת ב-Gmail לכל משתמש ברשימה. כדי לייבא כתובות לחשבון Google כאנשי קשר משותפים, צריך להפעיל את האפשרות אנשי קשר משותפים בדף הגדרות כלליות בכלי לניהול הגדרות. אחרי שמסנכרנים את אנשי הקשר המשותפים, יכולות לחלוף עד 24 שעות עד שהשינויים יופיעו בדומיין שלכם ב-Google.
הערה: GCDS מסנכרן רק אנשי קשר משותפים. אנשי קשר אישיים לא מסונכרנים

משאבים ביומן: אם רוצים לייבא משאבים ביומן (כמו חדרי ישיבות) מספריית ה-LDAP לחשבון Google, צריך להגדיר סנכרון של משאבים ביומן כדי שהמשאבים יהיו גלויים לכל משתמש.
צריך לציין פורמט שמות למשאבים ביומן. חשוב לזכור: הכללים לשמות של משאבים ביומן שונים מהכללים לגבי מידע מסונכרן אחר. השמות לא יכולים להכיל רווחים או תווים מיוחדים.

איך תסנכרנו את הסיסמאות?

טיפ: אפשר להשתמש ב- Password Sync כדי לשמור על סנכרון הסיסמאות של המשתמשים ב-Google Workspace עם הסיסמאות שלהם ב-Active Directory.

‫GCDS תומך בקבוצה מוגבלת של פעולות שקשורות לסיסמאות. אפשר לייבא סיסמאות רק במאפיין LDAP שמאחסן סיסמאות בפורמט טקסט ללא הצפנה, Base64,‏ MD5 ללא מלח או SHA-1 ללא מלח. אין תמיכה בגיבובים אחרים שמוצפנים באמצעות סיסמה ומומלחים. רוב שרתי הספרייה לא תומכים בפורמטים האלה באופן מובנה, ואחסון הסיסמאות של המשתמשים בפורמטים האלה בשרת הדואר יכול להוביל לבעיות אבטחה חמורות.

לסנכרון סיסמאות, GCDS מספק את האפשרויות הבאות:

הטמעת כניסה יחידה (SSO) לדומיין: למשתמשים יש את אותן סיסמאות והרשאות לחשבון Google ולשרת ספריית LDAP. אתם יכולים להגדיר שרת Security Assertion Markup Language ‏ (SAML) לחשבון שלכם כדי לנהל כניסה יחידה. במקרה כזה, GCDS יוצר סיסמאות אקראיות במהלך הסנכרון.

הערה: כניסה יחידה נתמכת רק באימות אינטרנט. צורות אימות אחרות (כמו IMAP,‏ POP ו-ActiveSync) לא תומכות בכניסה יחידה ועדיין דורשות סיסמה לחשבון Google.
שימוש במאפיין LDAP של טקסט פשוט לסיסמת ברירת המחדל למשתמשים חדשים: משתמשים באפשרות הזו אם רוצים שלמשתמשים יהיו סיסמאות נפרדות חד-פעמיות. באפשרות הזו, הסיסמאות ב-Google נפרדות מהסיסמאות בשרת מדריך ה-LDAP. אתם יכולים להשתמש בשיטה הזו כדי ליצור סיסמה זמנית מכל מאפיין LDAP שמכיל נתונים בפורמט טקסט רגיל.
שימוש בכלי של צד שלישי להמרת סיסמאות לא נתמכות לפורמט נתמך: בוחרים באפשרות הזו אם רוצים ש-Google תשתמש באותן סיסמאות כמו שרת ספריית ה-LDAP, אבל אין אפשרות להגדיר שרת SAML. אפשר לבדוק ב-Google Workspace Marketplace אם יש כלי צד שלישי שיכולים לעזור בסנכרון הסיסמאות. ‫Google לא מספקת תמיכה בכלים של צד שלישי.
הגדרת סיסמה שמוגדרת כברירת מחדל למשתמשים חדשים: באמצעות האפשרות הזו, לכל משתמש חדש יש את אותה סיסמה עד שהוא נכנס לחשבון ומשנה אותה. הסיסמאות של Google נשמרות בנפרד מהסיסמאות בשרת ספריית ה-LDAP. כדי להשתמש באפשרות הזו, צריך להגדיר סיסמת ברירת מחדל למשתמשים חדשים, ואז להגדיר את GCDS כך שיסנכרן את הסיסמאות של משתמשים חדשים ויכריח אותם לשנות את הסיסמה.

לפעמים משתמשים אחרים יכולים לנחש את הסיסמה, ולכן בדרך כלל לא מומלץ להשתמש בהגדרה הזו כאפשרות מאובטחת.

איך תמפה את הנתונים?

צריך להחליט איך נתוני שרת ספריית ה-LDAP ימופו לנתונים בחשבון Google, ולוודא שיש תמונה ברורה של האופן שבו כל משתמש, קבוצה ומשאב צריכים להסתנכרן. אפשר להגדיר את המיפוי הזה להיררכיה שטוחה, לסנכרון אוטומטי של אחד לאחד או להגדיר באופן ידני כללים מותאמים אישית. פרטים נוספים זמינים במאמר מה מסונכרן?

תרחיש לדוגמה

אתם האדמינים של Google בארגון Example Organization, ואתם מחליטים שההיררכיה הארגונית הקיימת בשרת LDAP תועתק לחשבון Google, ומזהים את היחידות הארגוניות שצריך לסנכרן.

אתם מחליטים שצריך לסנכרן את הארגון לדוגמה:

יחידות ארגוניות
משתמשים
כינויים
קבוצות (רשימות דיוור)
אנשי קשר משותפים
משאבים לתזמון ביומן

ברשימות התפוצה בשרת ספריית LDAP נעשה שימוש במאפיין member כדי לאחסן את החברים בכל רשימת תפוצה, ומאפיין החבר מכיל את השם המובחן (DN) המלא של החברים ברשימת התפוצה, ולא את כתובת האימייל שלהם. כאדמין של GCDS, אתם שמים לב למאפיין הזה, ומבינים שהוא מאפיין הפניה ולא מאפיין מילולי.

המידע בפרופיל המשתמש ב-LDAP בשרת ה-LDAP לא נמצא בפורמט סטנדרטי בכל הארגונים, ולכן אתם, כאדמינים ב-Google, מחליטים לא לסנכרן את המידע הזה.

בשרת ה-LDAP, יוצרים מאפיין בהתאמה אישית ומאכלסים אותו בסיסמה חד-פעמית שנוצרה באופן אקראי. בחשבון Google, מגדירים מיזוג אימיילים כדי לשלוח למשתמשים את הסיסמאות שלהם יחד עם מידע על הפעלת החשבונות.

יש כמה משתמשים ביחידה הארגונית 'קבלנים' שכבר לא עובדים ב-Example Organization, ולכן לא צריך לסנכרן אותם. אתם בודקים את הרשימה ורואים שכולן תואמות לביטוי רגולרי, כי כל כתובות המשתמשים מתחילות במילה defunct. בסוף, יוצרים חריגים למשתמשים האלה בדומיין Google.

_{‫Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.}

3. ארגון נתוני LDAP קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.