3. 管理 LDAP 資料

您的主網域為何？

請確認您要同步處理的 Google 網域，因為設定 GCDS 時會需要這項資訊。

注意：您無法使用 GCDS 同步處理網域別名位址。進一步瞭解網域基本概念。

您也可以使用替代網域名稱。替代網域名稱最常用於測試網域，不過如果您想透過 GCDS 將資料移至新網域，也可以使用替代網域名稱。只要在設定管理員中指定另一個網域，即可將完整使用者清單匯入其他網域。

將新網域設為主網域，然後前往設定管理員的「LDAP Configuration」(LDAP 設定) 頁面，輸入要當做您 Google 網域的新網域，並指定該網域的管理員。接著，到「Google Domain Configuration」(Google 網域設定) 頁面設定 GCDS，用這個網域名稱取代 LDAP 電子郵件地址中的網域名稱。GCDS 會在進行同步處理時變更所有使用者的電子郵件地址，套用新網域。

測試期間結束後，您可以將網域名稱 (和 Google 管理員) 變更為實際主網域，所有其他設定選項則維持不變。

要同步處理哪些使用者資料？

• 使用者：透過 LDAP 瀏覽器查看使用者目錄，確認您匯入的使用者人數正確無誤。如果匯入的人數超過您擁有的授權數，進行同步處理時就可能會發生錯誤。進一步瞭解如何管理使用者授權。
• 使用者設定檔：如果您的 LDAP 目錄伺服器含有其他資訊 (例如地址、電話號碼或聯絡資訊)，您也可以同步處理這些資訊。
• 別名：您可以將 LDAP 目錄中別名的一或多個屬性同步到 Google 地址別名。
• 專屬 ID：如果您的使用者可能會變更使用者名稱 (電子郵件地址)，請先設定「專屬 ID」屬性再設定同步處理作業，以免使用者變更電子郵件地址後遺失資訊。
• 密碼：可透過 GCDS 執行的密碼相關操作很少。如果您有 Microsoft Active Directory 伺服器，可使用 Password Sync 將您的 LDAP 目錄密碼與 Google 帳戶保持同步。
• 已刪除和已停權的使用者：根據預設，系統會忽略停權使用者，並將 LDAP 目錄中找不到的使用者從 Google 帳戶裡刪除。您可以在設定管理員的「user account」(使用者帳戶) 頁面變更預設設定。如果您設定 GCDS 將使用者停權 (而不是刪除使用者)，則可查看及轉移使用者資源，善用資料還原功能。您也可以將停權的使用者刪除 (刪除或停權只能擇一)。

如何管理群組和郵寄清單？

您可以善用郵寄清單或機構架構來管理 Google 帳戶中的使用者：

郵寄清單

決定要將哪些郵寄清單從 LDAP 目錄伺服器同步到 Google 帳戶。LDAP 目錄伺服器中的郵寄清單會以群組形式匯入 Google 帳戶。

部分郵寄清單屬性包含常值地址，格式為 <使用者名稱>@example.com。其他郵寄清單屬性則包含辨別名稱 (DN) 參照，格式為
cn=Terri Smith,ou=Executive Team,dc=example,dc=com。

如何保留 Google 帳戶中的郵寄清單：

1. 找出包含郵寄清單成員的屬性，通常是 member 或 mailAddress 屬性。
2. 查看郵寄清單成員的 LDAP 屬性是否包含電子郵件地址或使用者辨別名稱。

機構架構

根據預設，GCDS 會將所有使用者同步到單一扁平式架構。如果貴機構規模不大，或者您想讓所有使用者套用相同的設定和權限，使用這種預設行為即可。此外，您也可以直接利用這種預設行為，先做小群組測試再大規模發布。

如果您想在 Google 帳戶中使用機構單位階層，可同步處理 LDAP 目錄伺服器的機構階層。採用這種做法時，請先透過 LDAP 瀏覽器查看機構單位，確認系統同步處理的確實是您想要的架構。有些特殊的機構單位不應同步至 Google 帳戶，例如印表機的機構單位。

如果您想在 Google 帳戶中手動建立機構單位，請先在 Google 進行設定，再利用 GCDS 將使用者移至這些機構，這樣就無須變更現有的機構。您可以在設定管理員的「機構單位」頁面上選取這個選項。找出符合各項使用者搜尋規則的使用者，然後指定他們所屬的機構，或是包含相應機構名稱的 LDAP 屬性。

如何透過 GCDS 管理授權？

如要使用 GCDS 管理授權，必須先建立特定授權群組，再將使用者分別編入這些組別。或者，您也可以為每個使用者帳戶設定特定的屬性。

GCDS 會依群組或屬性判別要為帳戶套用的授權。

如何同步處理共用聯絡人和日曆資源？

GCDS 可以將其他 LDAP 資源 (例如共用聯絡人和日曆資源) 同步到您的 Google 帳戶。

• 共用聯絡人：聯絡人清單中的每位使用者都可以看到共用聯絡人詳細資料。此外，您設定共用聯絡人後，系統就會啟用 Gmail 的電子郵件地址自動完成功能，協助您輸入清單中任何一位聯絡人。如要將地址匯入為 Google 帳戶的共用聯絡人，請在設定管理員的「General Settings」(一般設定) 頁面上啟用「共用聯絡人」功能。共用聯絡人同步處理完畢後，最多可能需要等待 24 小時才會在 Google 網域中看到相關異動項目。

  注意：GCDS 只會同步處理共用聯絡人，不會同步處理個人聯絡人

• 日曆資源：如果您想將 LDAP 目錄中的日曆資源 (例如會議室) 匯入 Google 帳戶，必須先設定日曆資源同步處理作業，才能讓每位使用者都看到資源。

  請注意，您必須為日曆資源指定命名規則，而日曆資源名稱的規則與其他同步的資訊有所不同。名稱不可包含空格或特殊字元。

如何同步處理密碼？

提示：您可以使用 Password Sync，讓使用者的 Google Workspace 密碼與他們的 Active Directory 密碼保持同步。

可透過 GCDS 執行的密碼相關操作很少，只能匯入 LDAP 屬性的密碼 (LDAP 屬性接受的密碼儲存格式包括純文字、Base64、無添加特定字串的 MD5，或無添加特定字串的 SHA-1)，無法使用以其他密碼加密的雜湊或加鹽雜湊。大多數目錄伺服器本身並不支援這些格式，因此如以這些格式將使用者密碼儲存在您的郵件伺服器中，可能帶來重大的安全隱憂。

GCDS 提供下列密碼同步處理選項：

• 實作網域單一登入服務：使用者可透過同一組密碼和授權程序登入貴機構的 Google 帳戶與 LDAP 目錄伺服器。您可以為帳戶設定安全宣告標記語言 (SAML) 伺服器，以便管理單一登入服務。在這種情況下，GCDS 會在同步處理期間建立隨機密碼。

  注意：單一登入僅適用於網路驗證，其他驗證形式 (例如 IMAP、POP 和 ActiveSync) 不支援單一登入，仍須使用 Google 密碼。

• 讓新使用者的預設密碼使用純文字 LDAP 屬性：如要讓使用者擁有另一組動態密碼，可使用這個選項，這樣就能區分 Google 密碼和 LDAP 目錄伺服器的密碼。使用這個方法時，您可以透過任何以純文字格式儲存資料的 LDAP 屬性建立臨時密碼。

• 使用第三方公用程式將不支援的密碼轉換成支援的格式：如果您想讓 Google 與 LDAP 目錄伺服器使用同一組密碼，但無法設定 SAML 伺服器，便可使用這個選項。您可以前往 Google Workspace Marketplace 尋找可用於同步處理密碼的第三方工具，但請注意，Google 不會提供第三方工具的支援服務。

• 為新使用者指定預設密碼：使用這個選項時，每位新使用者都會取得相同的密碼，但後續可登入帳戶自行變更密碼。此外，Google 密碼與 LDAP 目錄伺服器的密碼會分開保存。如要使用這個選項，請為新使用者指定預設密碼，然後透過設定要求 GCDS 同步處理新使用者的密碼，再強制使用者自行變更密碼。

  一般來說，我們不建議使用這個安全性較低的選項，因為其他使用者有時可以猜到密碼。

如何對應資料？

您必須決定 LDAP 目錄伺服器資料與 Google 帳戶資料的對應方式，並清楚掌握每位使用者、每個群組和每項資源的同步處理方式。您可以將對應方式設為扁平式階層、一對一自動同步處理作業，或一組人工設定的自訂規則。詳情請參閱「同步處理的項目」。

範例情境

身為範例機構的 Google 管理員，您決定將 LDAP 伺服器上現有的機構階層複製到 Google 帳戶，並找出要同步處理的機構單位。

您決定要同步處理下列範例機構資料：

• 機構單位
• 使用者
• 別名
• 群組 (郵寄清單)
• 共用聯絡人
• 日曆資源

LDAP 目錄伺服器中的郵寄清單會使用 member 屬性儲存每份郵寄清單的成員，且 member 屬性內含郵寄清單成員的完整辨別名稱 (DN)，而不是電子郵件地址。您透過 GCDS 管理員身分找到這個屬性，並注意到這是參照屬性，而不是常值屬性。

由於 LDAP 伺服器上的 LDAP 使用者設定檔資訊在各個機構採用的格式都不盡相同，因此身為 Google 管理員的您決定不要同步處理這項資訊。

您在 LDAP 伺服器中建立自訂屬性，並將隨機產生的動態密碼填入該屬性。接著，您在 Google 帳戶中設定郵件合併作業，將這些密碼和帳戶啟用說明資訊一併傳送給使用者。

部分使用者位於承包商機構單位中，但範例機構現在已經沒有這個機構單位，因此不應同步處理這些使用者。您在檢視清單內容時，注意到清單裡所有使用者全部符合一項規則運算式，因為他們的地址開頭都是「defunct」。最後，您在 Google 網域中針對這些使用者建立了例外狀況。