3. Sắp xếp dữ liệu LDAP

Bạn cần quyết định những miền chính, người dùng, đơn vị tổ chức và nhóm mà bạn muốn đồng bộ hoá với Tài khoản Google bằng Google Cloud Directory Sync (GCDS). Bạn cũng cần nghĩ về mật khẩu và cách bạn muốn liên kết dữ liệu máy chủ thư mục.

Bạn đang ở bước 3/5

Cách sắp xếp dữ liệu

Miền chính của bạn là gì?

Xác định miền Google mà bạn muốn đồng bộ hoá. Bạn cần có thông tin này khi định cấu hình GCDS.

Lưu ý: Bạn không thể đồng bộ hoá địa chỉ email đại diện của miền bằng GCDS. Tìm hiểu thêm về những kiến thức cơ bản về miền.

Bạn cũng có thể sử dụng tính năng thay thế tên miền. Việc thay thế tên miền thường được dùng cho miền thí điểm, nhưng bạn cũng có thể dùng tính năng này nếu đang sử dụng GCDS để chuyển sang một miền mới. Nếu chỉ định một miền khác trong Configuration Manager, bạn có thể nhập danh sách đầy đủ người dùng vào một miền khác.

Thiết lập miền mới làm miền chính. Sau đó, trong phần Cấu hình LDAP của Trình quản lý cấu hình, hãy nhập miền mới làm miền Google của bạn và chỉ định một quản trị viên cho miền đó. Trong phần Cấu hình miền trên Google, hãy đặt GCDS thành thay thế tên miền trong địa chỉ email LDAP bằng tên miền này. GCDS sẽ thay đổi địa chỉ email của tất cả người dùng thành miền mới trong quá trình đồng bộ hoá.

Sau khi hoàn tất giai đoạn thí điểm, bạn có thể thay đổi tên miền (và quản trị viên Google) thành miền chính thực tế của mình, đồng thời giữ nguyên tất cả các lựa chọn cấu hình khác.

Bạn nên đồng bộ hoá dữ liệu người dùng nào?

  • Người dùng: Xem danh bạ người dùng bằng trình duyệt LDAP và đảm bảo rằng bạn đang nhập đúng số lượng người dùng. Nếu nhập nhiều người dùng hơn số lượng được cấp phép, bạn có thể gặp lỗi trong quá trình đồng bộ hoá. Tìm hiểu thêm về cách Quản lý giấy phép cho người dùng.
  • Hồ sơ người dùng: Nếu máy chủ thư mục LDAP của bạn có thêm thông tin, chẳng hạn như địa chỉ, số điện thoại hoặc thông tin liên hệ, thì bạn cũng có thể đồng bộ hoá thông tin này.
  • Bí danh: Bạn có thể đồng bộ hoá một hoặc nhiều thuộc tính cho bí danh từ thư mục LDAP vào bí danh địa chỉ của Google.
  • Mã nhận dạng duy nhất: Nếu người dùng của bạn có khả năng thay đổi tên người dùng (địa chỉ email), hãy thiết lập một thuộc tính Mã nhận dạng duy nhất trước khi thiết lập một quy trình đồng bộ hoá để thông tin người dùng không bị mất khi người dùng thay đổi địa chỉ email.
  • Mật khẩu: GCDS chỉ hỗ trợ một số thao tác về mật khẩu. Nếu có máy chủ Microsoft Active Directory, bạn có thể đồng bộ hoá mật khẩu trong thư mục LDAP với Tài khoản Google bằng Password Sync.
  • Người dùng bị xoá và bị tạm ngưng: Theo mặc định, những người dùng không có trong thư mục LDAP sẽ bị xoá khỏi Tài khoản Google của bạn và những người dùng bị tạm ngưng sẽ bị bỏ qua. Bạn có thể thay đổi chế độ cài đặt mặc định trên trang tài khoản người dùng của Configuration Manager. Nếu đặt GCDS để tạm ngưng người dùng thay vì xoá họ, bạn có thể xem và chuyển tài sản của người dùng để tận dụng tính năng khôi phục dữ liệu. Ngoài ra, bạn có thể xoá người dùng bị tạm ngưng, nhưng bạn chỉ có thể xoá hoặc tạm ngưng, chứ không thể thực hiện cả hai.

Bạn nên sắp xếp nhóm và danh sách gửi thư như thế nào?

Bạn có thể sắp xếp người dùng trong Tài khoản Google theo danh sách gửi thư hoặc cấu trúc tổ chức:

Danh sách gửi thư

Quyết định danh sách gửi thư nào bạn muốn đồng bộ hoá từ máy chủ thư mục LDAP sang Tài khoản Google của mình. Danh sách gửi thư trong máy chủ thư mục LDAP được nhập dưới dạng nhóm trong Tài khoản Google.

Một số thuộc tính danh sách gửi thư chứa địa chỉ theo nghĩa đen và tuân theo một định dạng như user@example.com. Một số thuộc tính chứa một tên riêng biệt (DN) và tuân theo định dạng này:
cn=Terri Smith,ou=Executive Team,dc=example,dc=com.

Nếu bạn muốn giữ lại danh sách gửi thư trong Tài khoản Google:

  1. Tìm hiểu xem thuộc tính nào chứa các thành viên trong danh sách gửi thư của bạn. Thông thường, đây là thuộc tính member hoặc mailAddress.
  2. Tìm hiểu xem thuộc tính LDAP cho thành viên danh sách gửi thư có chứa địa chỉ email hay Tên riêng biệt của người dùng.

Cơ cấu tổ chức

Theo mặc định, GCDS sẽ đồng bộ hoá tất cả người dùng vào một cấu trúc phẳng duy nhất. Cách này phù hợp nếu bạn có một tổ chức nhỏ hoặc nếu bạn muốn tất cả người dùng có cùng chế độ cài đặt và quyền. Phương pháp này cũng phù hợp nếu bạn đang thử nghiệm một nhóm nhỏ trước khi triển khai rộng rãi.

Nếu muốn sử dụng một hệ thống phân cấp đơn vị tổ chức trong Tài khoản Google, bạn có thể đồng bộ hoá hệ thống phân cấp tổ chức từ máy chủ thư mục LDAP. Nếu có, trước tiên, hãy xem xét các đơn vị tổ chức bằng trình duyệt LDAP để đảm bảo rằng bạn đang đồng bộ hoá đúng cấu trúc. Bạn có thể có các đơn vị tổ chức đặc biệt không nên chuyển sang Tài khoản Google, chẳng hạn như đơn vị tổ chức dành cho máy in.

Nếu muốn tạo đơn vị tổ chức theo cách thủ công trong Tài khoản Google, bạn có thể thiết lập các đơn vị đó trong Google rồi để GCDS di chuyển người dùng vào các tổ chức đó mà không thay đổi các tổ chức hiện có. Chọn mục này trên trang Đơn vị tổ chức trong Configuration Manager. Đối với mỗi quy tắc tìm kiếm người dùng, hãy chỉ định tổ chức phải chứa người dùng cho quy tắc đó hoặc một thuộc tính LDAP chứa tên của tổ chức phù hợp.

Bạn có muốn quản lý giấy phép bằng GCDS không?

Nếu muốn quản lý giấy phép bằng GCDS, bạn cần tạo và nhóm người dùng thành các nhóm giấy phép cụ thể. Ngoài ra, bạn có thể đặt một thuộc tính cụ thể cho từng tài khoản người dùng.

GCDS sử dụng nhóm hoặc thuộc tính để xác định giấy phép phù hợp cần áp dụng cho một tài khoản.

Bạn có muốn đồng bộ hoá danh bạ dùng chung và tài nguyên lịch không?

GCDS có thể đồng bộ hoá các tài nguyên LDAP khác, chẳng hạn như danh bạ chung và tài nguyên lịch với Tài khoản Google của bạn.

  • Người liên hệ được chia sẻ: Mọi người dùng trong danh sách liên hệ đều có thể xem thông tin liên hệ được chia sẻ. Ngoài ra, nếu bạn thiết lập danh bạ dùng chung, thì tính năng tự động hoàn thành địa chỉ email sẽ được bật trong Gmail cho mọi người dùng trong danh sách. Để nhập địa chỉ vào Tài khoản Google dưới dạng người liên hệ được chia sẻ, hãy bật chế độ Người liên hệ được chia sẻ trên trang Cài đặt chung trong Configuration Manager. Sau khi bạn đồng bộ hoá danh bạ dùng chung, có thể mất đến 24 giờ thì các thay đổi mới xuất hiện trong miền Google của bạn.

    Lưu ý: GCDS chỉ đồng bộ hoá danh bạ dùng chung. Danh bạ cá nhân không được đồng bộ hoá

  • Tài nguyên trên lịch: Nếu muốn nhập tài nguyên trên lịch (chẳng hạn như phòng họp) từ thư mục LDAP vào Tài khoản Google, bạn cần định cấu hình tính năng đồng bộ hoá tài nguyên trên lịch để mọi người dùng đều có thể xem được các tài nguyên đó.

    Bạn cần chỉ định một định dạng đặt tên cho tài nguyên lịch. Xin lưu ý rằng các quy tắc về tên tài nguyên lịch khác với các thông tin được đồng bộ hoá khác. Tên không được chứa dấu cách hoặc ký tự đặc biệt.

Bạn sẽ đồng bộ hoá mật khẩu như thế nào?

Lưu ý: Bạn có thể sử dụng công cụ Đồng bộ hoá mật khẩu để mật khẩu Google Workspace của người dùng luôn đồng bộ hoá với mật khẩu Active Directory của họ.

GCDS chỉ hỗ trợ một số ít thao tác liên quan đến mật khẩu. Công cụ này chỉ có thể nhập mật khẩu trong một thuộc tính LDAP lưu trữ mật khẩu ở định dạng văn bản thuần tuý, Base64, MD5 không có muối hoặc SHA-1 không có muối. Chúng tôi không hỗ trợ các hàm băm được mã hoá bằng mật khẩu và được thêm chuỗi ký tự ngẫu nhiên khác. Hầu hết các máy chủ thư mục đều không hỗ trợ các định dạng này một cách tự nhiên và việc lưu trữ mật khẩu người dùng ở các định dạng này trên máy chủ thư có thể gây ra những hậu quả nghiêm trọng về bảo mật.

Đối với tính năng đồng bộ hoá mật khẩu, GCDS cung cấp các lựa chọn sau:

  • Triển khai tính năng đăng nhập một lần cho miền của bạn: Người dùng có cùng mật khẩu và quyền uỷ quyền cho Tài khoản Google và máy chủ thư mục LDAP. Bạn có thể thiết lập một máy chủ Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) cho tài khoản của mình để quản lý dịch vụ đăng nhập một lần. Trong trường hợp này, GCDS sẽ tạo mật khẩu ngẫu nhiên trong quá trình đồng bộ hoá.

    Lưu ý: Tính năng đăng nhập một lần chỉ hỗ trợ xác thực trên web. Các phương thức xác thực khác (chẳng hạn như IMAP, POP và ActiveSync) không hỗ trợ tính năng đăng nhập một lần và vẫn yêu cầu mật khẩu Google.

  • Sử dụng thuộc tính LDAP văn bản thuần tuý cho mật khẩu mặc định của người dùng mới: Sử dụng lựa chọn này nếu bạn muốn người dùng có mật khẩu riêng biệt dùng một lần. Với lựa chọn này, mật khẩu trên Google sẽ tách biệt với mật khẩu trên máy chủ thư mục LDAP. Bạn có thể sử dụng phương thức này để tạo mật khẩu tạm thời từ bất kỳ thuộc tính LDAP nào lưu trữ dữ liệu ở định dạng văn bản thuần tuý.

  • Sử dụng một tiện ích của bên thứ ba để chuyển đổi mật khẩu không được hỗ trợ sang định dạng được hỗ trợ: Sử dụng lựa chọn này nếu bạn cần Google sử dụng cùng mật khẩu với máy chủ thư mục LDAP của bạn, nhưng bạn không thể thiết lập máy chủ SAML. Hãy kiểm tra Google Workspace Marketplace để tìm các công cụ của bên thứ ba giúp đồng bộ hoá mật khẩu. Google không hỗ trợ các công cụ của bên thứ ba.

  • Chỉ định mật khẩu mặc định cho người dùng mới: Với lựa chọn này, mọi người dùng mới đều có cùng một mật khẩu cho đến khi họ đăng nhập và thay đổi mật khẩu. Mật khẩu trên Google được tách biệt với mật khẩu trên máy chủ thư mục LDAP. Để sử dụng lựa chọn này, hãy đặt mật khẩu mặc định cho người dùng mới, sau đó đặt GCDS để đồng bộ hoá mật khẩu cho người dùng mới và buộc họ thay đổi mật khẩu.

    Vì đôi khi người dùng khác có thể đoán được mật khẩu, nên đây thường không phải là lựa chọn an toàn.

Bạn sẽ liên kết dữ liệu của mình như thế nào?

Bạn cần quyết định cách dữ liệu máy chủ thư mục LDAP của bạn liên kết với dữ liệu của Tài khoản Google và nắm rõ cách đồng bộ hoá từng người dùng, nhóm và tài nguyên. Bạn có thể thiết lập mối liên kết này thành một hệ thống phân cấp phẳng, một chế độ đồng bộ hoá tự động một-một hoặc một bộ quy tắc tuỳ chỉnh được thiết lập theo cách thủ công. Để biết thông tin chi tiết, hãy xem bài viết Những dữ liệu nào được đồng bộ hoá?

Tình huống mẫu

Là quản trị viên Google của Tổ chức ví dụ, bạn quyết định rằng hệ thống phân cấp tổ chức hiện có trên máy chủ LDAP sẽ được sao chép vào Tài khoản Google và xác định những đơn vị tổ chức cần được đồng bộ hoá.

Bạn quyết định rằng Tổ chức ví dụ cần đồng bộ hoá:

  • Đơn vị tổ chức
  • Người dùng
  • Bí danh
  • Nhóm (danh sách gửi thư)
  • Liên hệ được chia sẻ
  • Tài nguyên trên Lịch

Danh sách gửi thư trong máy chủ thư mục LDAP sử dụng thuộc tính member để lưu trữ các thành viên của từng danh sách gửi thư, đồng thời thuộc tính member chứa tên phân biệt đầy đủ (DN) của các thành viên trong danh sách gửi thư, thay vì địa chỉ email của họ. Là quản trị viên GCDS, bạn lưu ý rằng đây là một thuộc tính tham chiếu chứ không phải thuộc tính theo nghĩa đen.

Vì thông tin hồ sơ người dùng LDAP trên máy chủ LDAP không có định dạng tiêu chuẩn giữa các tổ chức, nên với tư cách là quản trị viên Google, bạn quyết định không đồng bộ hoá thông tin này.

Trong máy chủ LDAP, bạn tạo một thuộc tính tuỳ chỉnh và điền thuộc tính đó bằng mật khẩu dùng một lần được tạo ngẫu nhiên. Trong Tài khoản Google của bạn, hãy thiết lập tính năng hợp nhất thư để gửi mật khẩu cho người dùng cùng với thông tin về cách kích hoạt tài khoản của họ.

Có một số người dùng trong đơn vị tổ chức nhà thầu không còn làm việc tại Tổ chức ví dụ nữa và không nên được đồng bộ hoá. Bạn xem xét danh sách và nhận thấy rằng tất cả đều khớp với một biểu thức chính quy vì địa chỉ người dùng đều bắt đầu bằng "defunct". Cuối cùng, bạn tạo các trường hợp ngoại lệ cho những người dùng này trong miền Google.


Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.