3. Организация данных LDAP

Какова ваша основная сфера деятельности?

Укажите домен Google, который вы хотите синхронизировать. Это необходимо при настройке GCDS.

Примечание : Синхронизация адресов-псевдонимов домена с помощью GCDS невозможна. Подробнее об основах работы с доменами можно узнать здесь.

Также можно использовать замену доменного имени . Замена доменного имени чаще всего используется для пилотного домена , но её также можно использовать, если вы используете GCDS для перехода в новый домен. Если вы укажете другой домен в Configuration Manager, вы сможете импортировать полный список пользователей в другой домен.

Настройте новый домен как основной . Затем в разделе «Конфигурация LDAP» в диспетчере конфигураций введите новый домен как ваш домен Google и укажите администратора для этого домена. В разделе «Конфигурация домена Google» настройте GCDS на замену доменных имен в адресах электронной почты LDAP этим доменным именем. Во время синхронизации GCDS изменит адреса электронной почты всех ваших пользователей на новый домен.

После завершения пилотного периода вы можете изменить доменное имя (и имя администратора Google) на свой основной домен, сохранив при этом все остальные параметры конфигурации без изменений.

Какие пользовательские данные следует синхронизировать?

• Пользователи: Просмотрите свой каталог пользователей с помощью LDAP-браузера и убедитесь, что вы импортируете правильное количество пользователей. Если вы импортируете больше пользователей, чем у вас есть лицензий, во время синхронизации могут возникнуть ошибки. Узнайте больше о том, как управлять лицензиями пользователей .
• Профили пользователей: Если ваш LDAP-сервер каталогов содержит дополнительную информацию, такую ​​как адреса, номера телефонов или контактные данные, вы также можете синхронизировать эту информацию.
• Псевдонимы: Вы можете синхронизировать один или несколько атрибутов для псевдонимов из вашего LDAP-каталога с адресными псевдонимами Google.
• Уникальный идентификатор: Если ваши пользователи склонны менять имена пользователей (адреса электронной почты), настройте атрибут «Уникальный идентификатор» перед настройкой синхронизации, чтобы информация о пользователях не терялась при изменении ими адреса электронной почты.
• Пароли: GCDS поддерживает ограниченный набор операций с паролями. Если у вас есть сервер Microsoft Active Directory, вы можете синхронизировать пароли из каталога LDAP с вашей учетной записью Google с помощью функции синхронизации паролей .
• Удаленные и заблокированные пользователи: по умолчанию пользователи, не найденные в вашем LDAP-каталоге, удаляются из вашей учетной записи Google, а заблокированные пользователи игнорируются. Вы можете изменить настройку по умолчанию на странице учетных записей пользователей в Configuration Manager. Если вы настроите GCDS на блокировку пользователей вместо их удаления, у вас будет возможность просматривать и передавать ресурсы пользователей для восстановления данных. В качестве альтернативы вы можете удалить заблокированных пользователей, но только удалить или заблокировать, но не то и другое одновременно.

Как следует организовывать группы и списки рассылки?

В своем аккаунте Google вы можете организовать пользователей по списку рассылки или организационной структуре:

Список рассылки

Выберите, какие списки рассылки вы хотите синхронизировать с вашего LDAP-сервера каталогов в вашу учетную запись Google. Списки рассылки с вашего LDAP-сервера каталогов импортируются в учетную запись Google как группы.

Некоторые атрибуты списков рассылки содержат буквальный адрес и имеют формат, например, user@example.com . Другие содержат ссылку на отличительное имя (DN) и имеют следующий формат:
cn=Терри Смит,ou=Руководство,dc=example,dc=com.

Если вы хотите сохранить списки рассылки в учетной записи Google:

1. Выясните, какой атрибут содержит имена участников ваших списков рассылки. Обычно это атрибут member или mailAddress .
2. Узнайте, содержит ли атрибут LDAP для участников списка рассылки адрес электронной почты или отличительное имя пользователя.

Организационная структура

По умолчанию GCDS синхронизирует всех пользователей в единую плоскую структуру. Это хорошо подходит для небольших организаций или для случаев, когда необходимо, чтобы у всех пользователей были одинаковые настройки и права. Также это удобно для тестирования небольшой группы перед более масштабным внедрением.

Если вы хотите использовать иерархию организационных подразделений в своей учетной записи Google, вы можете синхронизировать иерархию организаций с вашего LDAP-сервера каталогов. В этом случае сначала проверьте свои организационные подразделения с помощью LDAP-браузера, чтобы убедиться, что вы синхронизируете правильную структуру. У вас могут быть специальные организационные подразделения, которые не должны переноситься в учетную запись Google, например, организационное подразделение для принтеров.

Если вы хотите создавать организационные подразделения вручную в своей учетной записи Google , вы можете настроить их в Google, а затем GCDS будет перемещать пользователей в эти организации без изменения существующих организаций. Выберите этот параметр на странице «Организационные подразделения» в диспетчере конфигураций. Для каждого правила поиска пользователей укажите организацию, которая должна содержать пользователей для этого правила, или атрибут LDAP, содержащий имя соответствующей организации.

Вы хотите управлять лицензиями с помощью GCDS?

Для управления лицензиями с помощью GCDS необходимо создать и сгруппировать пользователей в определенные группы лицензий. В качестве альтернативы можно задать определенный атрибут для каждой учетной записи пользователя.

GCDS использует группу или атрибут для определения правильной лицензии, которую следует применить к учетной записи.

Вы хотите синхронизировать общие контакты и ресурсы календаря?

GCDS может синхронизировать другие ресурсы LDAP, такие как общие контакты и ресурсы календаря, с вашей учетной записью Google.

• Общие контакты: Информация об общих контактах видна каждому пользователю в списке контактов. Кроме того, если вы настроили общие контакты, автозаполнение адресов электронной почты в Gmail будет включено для каждого пользователя в списке. Чтобы импортировать адреса в свою учетную запись Google в качестве общих контактов, включите функцию «Общие контакты» на странице «Общие настройки» в Диспетчере конфигурации. После синхронизации общих контактов может потребоваться до 24 часов, чтобы изменения отобразились в вашем домене Google.

  Примечание : GCDS синхронизирует только общие контакты. Личные контакты не синхронизируются.

• Календарные ресурсы: Если вы хотите импортировать календарные ресурсы (например, конференц-залы) из вашего LDAP-каталога в вашу учетную запись Google, вам необходимо настроить синхронизацию календарных ресурсов таким образом, чтобы эти ресурсы были видны каждому пользователю.

  Необходимо указать формат именования для ресурсов календаря. Имейте в виду, что правила именования ресурсов календаря отличаются от правил именования другой синхронизируемой информации. Имена не могут содержать пробелы или специальные символы.

Как вы будете синхронизировать пароли?

Совет : Вы можете использовать функцию синхронизации паролей , чтобы поддерживать синхронизацию паролей пользователей Google Workspace с их паролями Active Directory.

GCDS поддерживает ограниченный набор операций с паролями. Он может импортировать пароли только в атрибуте LDAP, который хранит пароли в виде открытого текста, Base64, MD5 без соли или SHA-1 без соли. Другие зашифрованные пароли и хеши с солью не поддерживаются. Большинство серверов каталогов не поддерживают эти форматы изначально, и хранение паролей пользователей в таких форматах на почтовом сервере может иметь серьезные последствия для безопасности.

Для синхронизации паролей GCDS предоставляет следующие возможности:

• Внедрите единый вход для вашего домена : пользователи будут иметь одинаковые пароли и права доступа к вашей учетной записи Google и вашему серверу каталогов LDAP. Вы можете настроить сервер Security Assertion Markup Language (SAML) для вашей учетной записи, чтобы управлять единым входом. В этом случае GCDS генерирует случайные пароли во время синхронизации.

  Примечание : Единый вход поддерживает только веб-аутентификацию. Другие формы аутентификации (такие как IMAP, POP и ActiveSync) не поддерживают единый вход и по-прежнему требуют пароль от Google.

• Используйте атрибут LDAP в виде обычного текста для пароля по умолчанию для новых пользователей : используйте этот параметр, если хотите, чтобы у пользователей были отдельные одноразовые пароли. При использовании этого параметра пароли Google будут отделены от паролей на вашем сервере каталогов LDAP. Вы можете использовать этот метод для создания временного пароля из любого атрибута LDAP, содержащего данные в формате обычного текста.

• Используйте стороннюю утилиту для преобразования неподдерживаемых паролей в поддерживаемый формат : воспользуйтесь этим вариантом, если вам необходимо, чтобы Google использовал те же пароли, что и ваш сервер каталогов LDAP, но вы не можете настроить сервер SAML. Проверьте Google Workspace Marketplace на наличие сторонних инструментов для синхронизации паролей. Google не оказывает поддержку сторонним инструментам.

• Укажите пароль по умолчанию для новых пользователей : при использовании этой опции у каждого нового пользователя будет один и тот же пароль до тех пор, пока он не войдет в систему и не изменит его. Пароли Google хранятся отдельно от паролей на вашем сервере каталогов LDAP. Чтобы использовать эту опцию, установите пароль по умолчанию для новых пользователей, а затем настройте GCDS на синхронизацию паролей для новых пользователей и принудительное изменение ими своих паролей.

  Поскольку пароль иногда могут угадать другие пользователи, этот вариант, как правило, не рекомендуется как безопасный.

Как вы будете отображать свои данные на карте?

Вам необходимо определить, как данные вашего LDAP-сервера каталогов будут соотноситься с данными вашей учетной записи Google, и четко понимать, как должна синхронизироваться каждая учетная запись пользователя, группа и ресурс. Вы можете настроить это сопоставление в виде плоской иерархии, автоматической синхронизации «один к одному» или с помощью набора пользовательских правил, заданных вручную. Подробнее см. раздел «Что синхронизируется?»

Пример сценария

В качестве администратора Google для организации Example Organization вы решаете скопировать существующую иерархию организации на LDAP-сервере в учетную запись Google и определяете организационные подразделения, которые необходимо синхронизировать.

Вы решаете, что организации Example Organization необходимо синхронизировать:

• Организационные подразделения
• Пользователи
• Псевдонимы
• Группы (списки рассылки)
• Общие контакты
• Календарные ресурсы

В списках рассылки на сервере каталогов LDAP для хранения информации о членах каждого списка рассылки используется атрибут member , который содержит полное отличительное имя (DN) членов списка рассылки, а не их адрес электронной почты. Как администратор GCDS, вы должны учитывать этот атрибут и то, что это ссылочный атрибут, а не буквальный атрибут.

Поскольку информация о профилях пользователей LDAP на сервере LDAP не имеет стандартного формата в разных организациях, вы, как администратор Google, можете принять решение не синхронизировать эту информацию.

На LDAP-сервере вы создаете пользовательский атрибут и заполняете его случайно сгенерированным одноразовым паролем. В своем аккаунте Google вы настраиваете рассылку паролей пользователям вместе с информацией о том, как активировать их учетные записи.

В организационном подразделении подрядчиков есть пользователи, которые больше не работают в организации Example Organization и не должны быть синхронизированы. Вы рассматриваете список и замечаете, что все они соответствуют регулярному выражению, поскольку адреса пользователей начинаются с "defunct". Наконец, вы создаете исключения для этих пользователей в домене Google.