3. Организация данных LDAP

Какой ваш основной домен?

Определите домен Google, который вы хотите синхронизировать. Это понадобится вам при настройке GCDS.

Примечание : синхронизировать адреса псевдонимов доменов с помощью GCDS невозможно. Подробнее об основах доменов …

Вы также можете воспользоваться заменой доменного имени . Замена доменного имени чаще всего используется для пилотного домена , но её также можно использовать при переходе на новый домен с помощью GCDS. Указав другой домен в Configuration Manager, вы можете импортировать полный список пользователей в другой домен.

Настройте новый домен как основной . Затем в разделе «Конфигурация LDAP» диспетчера конфигураций введите новый домен в качестве домена Google и укажите администратора для этого домена. В разделе «Конфигурация домена Google» настройте GCDS на замену доменных имён в адресах электронной почты LDAP этим доменным именем. GCDS изменяет адреса электронной почты всех ваших пользователей на новый домен во время синхронизации.

После завершения пилотного периода вы можете изменить доменное имя (и администратора Google) на свой основной домен, сохранив все остальные параметры конфигурации без изменений.

Какие данные пользователей следует синхронизировать?

• Пользователи: Просмотрите свой каталог пользователей с помощью LDAP-браузера и убедитесь, что вы импортируете правильное количество пользователей. Если вы импортируете больше пользователей, чем у вас есть лицензий, могут возникнуть ошибки при синхронизации. Узнайте больше об управлении лицензиями пользователей .
• Профили пользователей: если ваш сервер каталогов LDAP содержит дополнительную информацию, такую ​​как адреса, номера телефонов или контактную информацию, вы также можете синхронизировать эту информацию.
• Псевдонимы: вы можете синхронизировать один или несколько атрибутов псевдонимов из вашего каталога LDAP с псевдонимами адресов Google.
• Уникальный идентификатор: если ваши пользователи, вероятно, будут менять имена пользователей (адреса электронной почты), настройте атрибут уникального идентификатора перед настройкой синхронизации, чтобы информация о пользователе не терялась при изменении пользователем адреса электронной почты.
• Пароли: GCDS поддерживает ограниченный набор операций с паролями. Если у вас есть сервер Microsoft Active Directory, вы можете синхронизировать пароли каталога LDAP с учётной записью Google с помощью функции синхронизации паролей .
• Удалённые и заблокированные пользователи: По умолчанию пользователи, не найденные в вашем каталоге LDAP, удаляются из вашей учётной записи Google, а заблокированные пользователи игнорируются. Вы можете изменить настройки по умолчанию на странице учётных записей пользователей в диспетчере конфигураций. Если вы настроите GCDS на блокировку пользователей вместо их удаления, у вас будет возможность просматривать и переносить активы пользователей, чтобы воспользоваться восстановлением данных. Кроме того, вы можете удалить заблокированных пользователей, но только удалить или заблокировать их, но не то и другое одновременно.

Как следует организовать свои группы и списки рассылки?

Вы можете организовать пользователей в своей учетной записи Google по списку рассылки или организационной структуре:

Список рассылки

Решите, какие списки рассылки вы хотите синхронизировать из вашего сервера каталогов LDAP с вашей учётной записью Google. Списки рассылки из вашего сервера каталогов LDAP импортируются как группы в учётную запись Google.

Некоторые атрибуты списка рассылки содержат буквальный адрес и имеют формат, например, user@example.com . Некоторые содержат ссылку на отличительное имя (DN) и имеют следующий формат:
cn=Терри Смит,ou=Руководство,dc=example,dc=com.

Если вы хотите сохранить списки рассылки в аккаунте Google:

1. Узнайте, какой атрибут содержит данные об участниках ваших списков рассылки. Обычно это атрибут member или mailAddress .
2. Узнайте, содержит ли атрибут LDAP для участников списка рассылки адрес электронной почты или отличительное имя пользователя.

Организационная структура

По умолчанию GCDS синхронизирует всех пользователей в единую плоскую структуру. Это удобно, если у вас небольшая организация или вы хотите, чтобы у всех пользователей были одинаковые настройки и права. Это также хорошо подходит для тестирования небольшой группы перед масштабным внедрением.

Если вы хотите использовать иерархию организационных подразделений в своей учётной записи Google, вы можете синхронизировать её с сервером каталогов LDAP. В этом случае сначала проверьте свои организационные подразделения с помощью LDAP-браузера, чтобы убедиться, что вы синхронизируете правильную структуру. Возможно, у вас есть особые организационные подразделения, которые не следует переносить в учётную запись Google, например, подразделение для принтеров.

Если вы хотите вручную создавать организационные подразделения в своей учётной записи Google , вы можете настроить их в Google, а затем GCDS переместит пользователей в эти организации, не изменяя существующие. Выберите этот параметр на странице «Организационные подразделения» в диспетчере конфигураций. Для каждого правила поиска пользователей укажите организацию, в которую должны входить пользователи для этого правила, или атрибут LDAP, содержащий название соответствующей организации.

Хотите ли вы управлять лицензиями с помощью GCDS?

Если вы хотите управлять лицензиями с помощью GCDS, вам необходимо создать и сгруппировать пользователей в определённые группы лицензий. Кроме того, вы можете задать определённый атрибут для каждой учётной записи пользователя.

GCDS использует группу или атрибут для определения правильной лицензии, применимой к учетной записи.

Хотите ли вы синхронизировать общие контакты и ресурсы календаря?

GCDS может синхронизировать другие ресурсы LDAP, такие как общие контакты и ресурсы календаря, с вашей учетной записью Google.

• Общие контакты: данные общих контактов видны всем пользователям в списке контактов. Кроме того, если вы настроите общие контакты, в Gmail будет включено автозаполнение адресов электронной почты для каждого пользователя в списке. Чтобы импортировать адреса в аккаунт Google в качестве общих контактов, включите функцию «Общие контакты» на странице «Общие настройки» в диспетчере конфигураций. После синхронизации общих контактов изменения в вашем домене Google могут появиться в течение 24 часов.

  Примечание : GCDS синхронизирует только общие контакты. Личные контакты не синхронизируются.

• Ресурсы календаря: если вы хотите импортировать ресурсы календаря (например, конференц-залы) из каталога LDAP в свою учетную запись Google, вам необходимо настроить синхронизацию ресурсов календаря, чтобы эти ресурсы были видны каждому пользователю.

  Вам необходимо указать формат имён для ресурсов календаря. Имейте в виду, что правила имён ресурсов календаря отличаются от правил имён для другой синхронизированной информации. Имена не могут содержать пробелы и специальные символы.

Как вы будете синхронизировать пароли?

Совет : вы можете использовать синхронизацию паролей , чтобы синхронизировать пароли пользователей Google Workspace с их паролями Active Directory.

GCDS поддерживает ограниченный набор операций с паролями. Он может импортировать пароли только в атрибуте LDAP, который хранит пароли в виде обычного текста, Base64, MD5 без соли или SHA-1 без соли. Другие хеши, зашифрованные паролями и содержащие соль, не поддерживаются. Большинство серверов каталогов изначально не поддерживают эти форматы, и хранение паролей пользователей в этих форматах на почтовом сервере может иметь серьёзные последствия для безопасности.

Для синхронизации паролей GCDS предоставляет следующие возможности:

• Реализуйте единый вход для своего домена : у пользователей будут одинаковые пароли и авторизация для вашей учётной записи Google и сервера каталогов LDAP. Вы можете настроить сервер SAML (Security Assertion Markup Language) для своей учётной записи для управления единым входом. В этом случае GCDS создаёт случайные пароли во время синхронизации.

  Примечание : Единый вход поддерживает только веб-аутентификацию. Другие формы аутентификации (например, IMAP, POP и ActiveSync) не поддерживают единый вход и по-прежнему требуют ввода пароля Google.

• Использовать атрибут LDAP в виде простого текста для пароля по умолчанию для новых пользователей : используйте этот параметр, если хотите, чтобы у пользователей были отдельные одноразовые пароли. Этот параметр отделяет пароли Google от паролей на вашем сервере каталогов LDAP. Этот метод позволяет создать временный пароль на основе любого атрибута LDAP, содержащего данные в виде простого текста.

• Используйте стороннюю утилиту для преобразования неподдерживаемых паролей в поддерживаемый формат . Используйте этот вариант, если вам нужно, чтобы Google использовал те же пароли, что и ваш сервер каталогов LDAP, но вы не можете настроить сервер SAML. В Google Workspace Marketplace вы найдете сторонние инструменты для синхронизации паролей. Google не предоставляет поддержку сторонних инструментов.

• Укажите пароль по умолчанию для новых пользователей : с помощью этой опции каждый новый пользователь будет иметь один и тот же пароль, пока не войдет в систему и не изменит его. Пароли Google хранятся отдельно от паролей на вашем сервере каталогов LDAP. Чтобы использовать эту опцию, задайте пароль по умолчанию для новых пользователей, а затем настройте GCDS на синхронизацию паролей для новых пользователей и принудительную смену ими пароля.

  Поскольку другие пользователи иногда могут угадать пароль, этот вариант обычно не рекомендуется в качестве безопасного.

Как вы будете отображать свои данные?

Вам необходимо решить, как данные вашего сервера каталогов LDAP будут сопоставляться с данными вашей учётной записи Google, и иметь чёткое представление о том, как должны синхронизироваться каждый пользователь, группа и ресурс. Вы можете настроить это сопоставление на основе плоской иерархии, автоматической синхронизации «один к одному» или вручную задать набор пользовательских правил. Подробнее см. в разделе «Что синхронизируется?».

Пример сценария

Как администратор Google для Example Organization вы решаете, что существующую иерархию организации на сервере LDAP следует скопировать в учетную запись Google, и определяете организационные подразделения, которые следует синхронизировать.

Вы решили, что организации Example необходимо синхронизировать:

• Организационные подразделения
• Пользователи
• Псевдонимы
• Группы (списки рассылки)
• Общие контакты
• Ресурсы календаря

Списки рассылки на сервере каталогов LDAP используют атрибут member для хранения участников каждого списка рассылки, который содержит полное отличительное имя (DN) участников списка рассылки, а не их адреса электронной почты. Как администратор GCDS, вы должны учитывать этот атрибут и то, что это ссылочный, а не буквальный атрибут.

Поскольку информация о профиле пользователя LDAP на сервере LDAP не имеет стандартного формата для разных организаций, вы, как администратор Google, решаете не синхронизировать эту информацию.

На LDAP-сервере вы создаёте настраиваемый атрибут и заполняете его случайно сгенерированным одноразовым паролем. В своей учётной записи Google вы настраиваете рассылку писем для отправки пользователям паролей вместе с информацией о том, как активировать их учётные записи.

В организационном подразделении Contractors есть несколько пользователей, которые больше не работают в организации Example и не должны синхронизироваться. Вы изучаете список и замечаете, что все они соответствуют регулярному выражению, поскольку адреса пользователей начинаются со слова «defunct». Наконец, вы создаёте исключения для этих пользователей в домене Google.