3. LDAP 데이터 정리

기본 도메인이란?

동기화할 Google 도메인을 확인합니다. GCDS를 구성할 때 이 정보가 필요합니다.

참고: 도메인 별칭 주소는 GCDS를 사용하여 동기화할 수 없습니다. 도메인 기본사항에 대해 자세히 알아보세요.

도메인 이름 대체를 사용할 수도 있습니다. 도메인 이름 대체는 파일럿 도메인에 주로 사용되지만 GCDS를 사용하여 새 도메인으로 이동하는 경우에도 사용할 수 있습니다. 구성 관리자에 다른 도메인을 지정하면 전체 사용자 목록을 다른 도메인으로 가져올 수 있습니다.

새 도메인을 기본 도메인으로 설정합니다. 그런 다음 구성 관리자 LDAP 구성에 새 도메인을 Google 도메인으로 입력하고 해당 도메인의 관리자를 지정합니다. Google 도메인 구성에서 이 도메인 이름으로 LDAP 이메일 주소의 도메인 이름을 대체하도록 GCDS를 설정합니다. 동기화하는 동안 GCDS에서 모든 사용자의 이메일 주소를 새 도메인으로 변경합니다.

파일럿 기간이 끝나면 도메인 이름 및 Google 관리자를 실제 기본 도메인으로 변경하고 다른 모든 구성 옵션을 그대로 유지할 수 있습니다.

어떤 사용자 데이터를 동기화해야 하나요?

• 사용자: LDAP 브라우저에서 사용자 디렉터리를 살펴보고 가져오는 사용자 수가 정확한지 확인해야 합니다. 보유한 라이선스 수보다 가져오는 사용자 수가 더 많으면 동기화 중에 오류가 발생할 수 있습니다. 사용자 라이선스 관리 방법을 자세히 알아보세요.
• 사용자 프로필: LDAP 디렉터리 서버에 주소, 전화번호, 연락처 정보 등의 추가 정보가 포함된 경우 이러한 정보도 동기화할 수 있습니다.
• 별칭: LDAP 디렉터리에서 하나 이상의 별칭 속성을 Google 주소 별칭으로 동기화할 수 있습니다.
• 고유 ID: 사용자가 사용자 이름 (이메일 주소)을 변경할 가능성이 있다면, 사용자가 이메일 주소를 변경해도 사용자 정보가 보존되도록 동기화를 설정하기 전에 고유 ID 속성을 설정합니다.
• 비밀번호: GCDS에서는 비밀번호 관련 작업을 제한적으로 지원합니다. Microsoft Active Directory 서버를 사용 중인 경우 비밀번호 동기화를 사용하여 LDAP 디렉터리 비밀번호와 Google 계정을 동기화 상태로 유지할 수 있습니다.
• 삭제된 사용자 및 사용중지된 사용자: 기본적으로 사용자가 LDAP 디렉터리에 없으면 Google 계정에서 삭제된 것이며 사용중지된 사용자는 무시됩니다. 구성 관리자의 사용자 계정 페이지에서 기본 설정을 변경할 수 있습니다. 사용자를 삭제하는 대신 사용자를 정지하도록 GCDS를 설정하면 사용자 애셋을 확인하고 이전하여 데이터 복구에 활용할 수 있습니다. 아니면 정지된 사용자를 삭제하는 방법도 있지만, 삭제 또는 정지 중에 하나만 수행할 수 있습니다.

그룹 및 메일링 리스트를 구성하려면 어떻게 해야 하나요?

다음과 같이 메일링 리스트나 조직 구조로 Google 계정의 사용자를 구성할 수 있습니다.

메일링 리스트

LDAP 디렉터리 서버에서 Google 계정으로 동기화할 메일링 리스트를 결정합니다. LDAP 디렉터리 서버의 메일링 리스트를 Google 계정에 그룹으로 가져옵니다.

일부 메일링 리스트 속성은 실제 주소를 포함하며 user@example.com과 같은 형식을 따릅니다. 또 다른 속성은 고유 이름 (DN) 참조를 포함하고 다음 형식을 따릅니다.
cn=Terri Smith,ou=Executive Team,dc=example,dc=com.

Google 계정의 메일링 리스트를 보존하려는 경우 다음 안내를 따르세요.

1. 메일링 리스트의 회원을 포함하는 속성을 찾습니다. 일반적으로 member 또는 mailAddress 속성입니다.
2. 메일링 리스트 회원의 LDAP 속성에 이메일 주소나 사용자 고유 이름(DN)이 포함되어 있는지 확인합니다.

조직 구조

GCDS는 기본적으로 모든 사용자를 단일 평면 구조로 동기화합니다. 이러한 방식은 조직 규모가 작거나 모든 사용자에게 동일한 설정과 권한을 부여하려는 경우에 적합합니다. 또한 대규모로 출시하기 전에 소규모 그룹에 테스트하는 경우에도 적합합니다.

Google 계정에서 조직 단위 계층 구조를 사용하려면 LDAP 디렉터리 서버에서 조직 계층 구조를 동기화하세요. 이 경우 먼저 LDAP 브라우저에서 조직 단위를 꼼꼼히 살펴보고 올바른 구조를 동기화하는지 확인해야 합니다. 프린터용 조직 단위 등 Google 계정으로 가져올 수 없는 특별한 조직 단위가 있을 수 있습니다.

Google 계정에 조직 단위를 직접 만들려면 Google에서 조직 단위를 설정한 후 기존 조직을 변경하지 않고 GCDS로 사용자를 해당 조직으로 이동하도록 합니다. 구성 관리자의 조직 단위 페이지에서 이 옵션을 선택합니다. 모든 사용자 검색 규칙에 해당 규칙의 사용자를 포함해야 하는 조직이나 적합한 조직의 이름이 포함된 LDAP 속성을 지정합니다.

GCDS를 사용하여 라이선스를 관리하고 싶으신가요?

GCDS를 사용하여 라이선스를 관리하려면 개별 라이선스 그룹을 생성하고 사용자를 그룹에 배정해야 합니다. 또는 각 사용자 계정에 특정 속성을 설정할 수 있습니다.

GCDS는 그룹 또는 속성을 사용하여 계정에 적용할 올바른 라이선스를 결정합니다.

공유 주소록과 캘린더 리소스를 동기화할 수 있나요?

GCDS에서는 공유 주소록과 캘린더 리소스 등의 기타 LDAP 리소스를 Google 계정에 동기화할 수 있습니다.

• 공유 주소록: 공유 주소록 세부정보는 주소록 목록에 있는 모든 사용자에게 표시됩니다. 또한 공유 주소록을 설정하면 목록에 있는 모든 사용자의 Gmail에 이메일 주소 자동완성이 사용 설정됩니다. 공유 주소록으로 Google 계정에 주소를 가져오려면 구성 관리자의 일반 설정 페이지에서 공유 주소록을 사용 설정합니다. 공유 주소록을 동기화한 후 변경사항이 Google 도메인에 표시되기까지 최대 24시간이 걸릴 수 있습니다.

  참고: GCDS는 공유 주소록만 동기화합니다. 개인 연락처가 동기화되지 않음

• 캘린더 리소스: LDAP 디렉터리에서 Google 계정으로 회의실과 같은 캘린더 리소스를 가져오려면 모든 사용자에게 리소스가 표시되도록 캘린더 리소스 동기화를 구성해야 합니다.

  캘린더 리소스의 이름 지정 형식을 지정해야 합니다. 캘린더 리소스 이름 관련 규칙은 다른 동기화된 정보와 다르게 작동합니다. 이름에는 공백이나 특수 문자를 포함할 수 없습니다.

비밀번호를 동기화하려면 어떻게 해야 하나요?

도움말: 비밀번호 동기화를 사용하여 사용자의 Google Workspace 비밀번호와 Active Directory 비밀번호를 동기화 상태로 유지할 수 있습니다.

GCDS에서는 비밀번호 관련 작업을 제한적으로 지원합니다. 일반 텍스트나 Base64, 솔트처리되지 않은 MD5, 솔트처리되지 않은 SHA-1 형식으로 비밀번호를 저장하는 LDAP 속성으로만 비밀번호를 가져올 수 있습니다. 기타 비밀번호 암호화 및 솔트처리된 해시는 지원되지 않습니다. 대부분의 디렉터리 서버는 기본적으로 이러한 형식을 지원하지 않으며, 메일 서버에 사용자 비밀번호를 이 형식으로 저장하면 보안에 심각한 영향을 미칠 수 있습니다.

비밀번호 동기화의 경우 GCDS는 다음 옵션을 제공합니다.

• 도메인에 싱글 사인온(SSO) 구현: 사용자가 Google 계정과 LDAP 디렉터리 서버에 동일한 비밀번호와 승인을 사용합니다. 계정에 보안 보장 마크업 언어(SAML) 서버를 설정하여 싱글 사인온(SSO)을 관리할 수 있습니다. 이 경우 동기화하는 동안 GCDS에서 임의의 비밀번호를 만듭니다.

  참고: 싱글 사인온(SSO)은 웹 인증만 지원합니다. IMAP, POP, ActiveSync 등 다른 인증 양식은 싱글 사인온 (SSO)을 지원하지 않으며 Google 비밀번호가 필요합니다.

• 신규 사용자의 기본 비밀번호에 일반 텍스트 LDAP 속성 사용: 사용자에게 별도의 일회용 비밀번호를 제공하려면 이 옵션을 사용합니다. 이 옵션을 사용하면 Google 비밀번호가 LDAP 디렉터리 서버의 비밀번호와 분리됩니다. 이 방법을 사용하면 일반 텍스트 형식으로 데이터를 보유한 모든 LDAP 속성에서 임시 비밀번호를 만들 수 있습니다.

• 타사 유틸리티를 사용하여 지원되지 않는 비밀번호를 지원되는 형식으로 변환: Google에서 LDAP 디렉터리 서버와 동일한 비밀번호를 사용하도록 해야 하지만 SAML 서버를 설정할 수 없는 경우 이 옵션을 사용합니다. Google Workspace Marketplace에서 비밀번호 동기화에 도움이 되는 서드 파티 도구를 확인하세요. Google은 서드 파티 도구를 지원하지 않습니다.

• 신규 사용자를 위한 기본 비밀번호 지정: 이 옵션을 사용하면 모든 신규 사용자가 로그인하여 비밀번호를 변경할 때까지 똑같은 비밀번호를 갖습니다. Google 비밀번호는 LDAP 디렉터리 서버의 비밀번호와 별도로 유지됩니다. 이 옵션을 사용하려면 신규 사용자의 기본 비밀번호를 설정한 뒤 신규 사용자의 비밀번호를 동기화한 다음 사용자가 비밀번호를 변경하도록 GCDS를 설정합니다.

  다른 사용자가 비밀번호를 추측할 수 있으므로 대개 안전한 옵션으로 권장되지 않습니다.

데이터를 매핑하려면 어떻게 해야 하나요?

LDAP 디렉터리 서버 데이터를 Google 계정의 데이터에 매핑하는 방법을 결정하고 모든 사용자, 그룹, 리소스를 동기화하는 방법을 명확하게 파악해야 합니다. 이러한 평면 계층 구조로의 매핑이나 자동 일대일 동기화, 수동 맞춤 규칙 집합을 설정할 수 있습니다. 자세한 내용은 무엇을 동기화하나요?를 참고하세요.

샘플 시나리오

'사례 조직'의 Google 관리자가 LDAP 서버의 기존 조직 계층 구조를 Google 계정으로 복사하기로 결정하였고, 동기화할 조직 단위를 파악한다고 가정해 보겠습니다.

관리자는 '사례 조직'에서 다음을 동기화하기로 결정합니다.

• 조직 단위
• 사용자
• 별칭
• 그룹 (메일링 리스트)
• 공유된 연락처
• 캘린더 리소스

LDAP 디렉터리 서버의 메일링 리스트는 member 속성을 사용하여 각 메일링 리스트의 회원을 저장하며, member 속성에는 메일링 리스트 회원의 이메일 주소가 아닌 전체 고유 이름 (DN)을 포함합니다. GCDS 관리자는 이 속성을 보고 이 속성이 실제 속성이 아닌 참조 속성임을 파악합니다.

LDAP 서버에 있는 LDAP 사용자 프로필 정보는 전체 조직에서 표준 형식이 아니므로 Google 관리자는 이 정보를 동기화하지 않도록 결정합니다.

LDAP 서버에서 맞춤 속성을 만들고 임의로 생성된 일회용 비밀번호로 속성을 채웁니다. Google 계정에서 계정을 활성화하는 방법에 대한 정보와 함께 이 비밀번호를 사용자에게 보내기 위해 메일 병합을 설정합니다.

계약업체 조직 단위에 더 이상 사례 조직에 근무하지 않으며 동기화하면 안 되는 일부 사용자가 있습니다. 이 목록을 고려하고, 이러한 사용자 주소는 모두 'defunct'로 시작하므로 모두 정규 표현식과 일치함을 확인합니다. 마지막으로 Google 도메인에서 이러한 사용자에 대한 예외를 만듭니다.