הגדרת סנכרון באמצעות אשף ההגדרות

אשף ההגדרות מנחה אתכם בתהליך של יצירה ובדיקה של קובץ תצורה ל-Google Cloud Directory Sync‏ (GCDS). פותחים את Configuration Manager מתפריט ההתחלה.

שלב 1: הכנת השרתים

ציון ההגדרות הכלליות

בדף הגדרות כלליות, מציינים מה רוצים לסנכרן משרת ה-LDAP. בוחרים אפשרות אחת או יותר מתוך:

  • יחידות ארגוניות
  • חשבונות של משתמשים
  • קבוצות
  • פרופילים של משתמשים
  • סכימות מותאמות אישית
  • אנשי קשר משותפים
  • משאבים לתזמון ביומן
  • רישיונות

הגדרת הגדרות הדומיין ב-Google

בדף הגדרת הדומיין של Google באשף ההגדרות, מגדירים את פרטי החיבור לדומיין של Google.

הכרטיסייה Connection Settings (הגדרות חיבור)

  • שם הדומיין הראשי – מזינים את שם הדומיין הראשי של חשבון Google. מוודאים שאימתתם את הדומיין הראשי. לפרטים, אפשר לעבור אל אימות הדומיין ב-Google Workspace.
  • החלפת שמות הדומיין בכתובות אימייל של LDAP – אם מסמנים את התיבה, GCDS משנה את כתובות האימייל של LDAP כך שיתאימו לדומיין שרשום בשדה דומיין חלופי לאימייל. אם השדה דומיין חלופי לאימייל ריק, GCDS משנה את כתובות האימייל של LDAP כך שיתאימו לדומיין בשדה שם הדומיין הראשי.
  • דומיין אימייל חלופי – מציינים דומיין חלופי למשתמשים (לדוגמה, דומיין לבדיקה). אחרת, משאירים את השדה הזה ריק.
  • אישור גישה באמצעות OAuth – כדי לאשר את GCDS:
    1. לוחצים על אישור עכשיו כניסה.
    2. נכנסים לחשבון Google עם שם המשתמש והסיסמה של סופר-אדמין.

      אם האימות יצליח, תקבלו הודעה שמאשרת שקוד האימות התקבל. ‫GCDS מורשה עכשיו.

הכרטיסייה Proxy Settings (הגדרות שרת proxy)

מזינים כאן את ההגדרות של שרת ה-proxy של הרשת. אם השרת לא דורש proxy כדי להתחבר לאינטרנט, אפשר לדלג על הכרטיסייה הזו.

הכרטיסייה 'כללי החרגה'

אתם יכולים להשתמש בכללי החרגה כדי לשמור מידע בדומיין Google שלא נמצא במערכת LDAP (לדוגמה, משתמשים שקיימים רק בחשבון Google). פרטים נוספים זמינים במאמר בנושא שימוש בכללי החרגה עם GCDS.

קביעת הגדרות ה-LDAP

בדף LDAP Configuration (הגדרת LDAP) באשף ההגדרות, מזינים את פרטי שרת ה-LDAP.

כשמגדירים את שרת ה-LDAP, מומלץ להשתמש ב-LDAP מאובטח כדי לוודא שהקישוריות מ-GCDS לשרת ה-LDAP מוצפנת.

אם בחרתם ב-OpenLDAP או ב-Active Directory כשרת LDAP, לוחצים על Use defaults (שימוש בברירות מחדל) בתחתית כל דף הגדרה כדי להגדיר את הסנכרון עם פרמטרים שמוגדרים כברירת מחדל. לאחר מכן תוכלו להתאים אותם לצרכים שלכם.

אחרי שמגדירים את הגדרות האימות של LDAP, לוחצים על בדיקת החיבור. כלי ההגדרה מתחבר לשרת ה-LDAP ומנסה להיכנס כדי לאמת את ההגדרות שהזנתם.

שלב 2: מחליטים מה לסנכרן

קביעת הקטגוריות שיסונכרנו

בדף הגדרות כלליות, מסמנים את התיבה לצד סוג האובייקט שרוצים לסנכרן.

הגדרת כללי הסנכרון ליחידות הארגוניות

בדף יחידות ארגוניות באשף ההגדרות, מציינים איך היחידות הארגוניות של LDAP תואמות ליחידות ארגוניות בחשבון Google.

לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • מיפוי של יחידות ארגוניות ב-LDAP – מוסיפים מיפויים ליחידות ארגוניות ברמה העליונה בשרת ה-LDAP. ‫GCDS ממפה ארגוני צאצא בשרת מדריך ה-LDAP ליחידות ארגוניות ב-Google עם אותו שם.

    הערה: אסור להשתמש בתו '/' בשמות של יחידות ארגוניות.

    אם מסמנים את התיבה אל תיצור או תמחק ארגונים ב-Google, היחידות הארגוניות לא יסונכרנו משרת ה-LDAP. עדיין אפשר לציין אילו משתמשים ישויכו לאילו יחידות ארגוניות בכללים של חשבונות משתמשים.

    כאן תוכלו לקבל מידע איך מוסיפים כלל מיפוי של יחידה ארגונית.

  • כללי חיפוש – מציינים את היחידות הארגוניות לייבוא ולסנכרון באמצעות סימון של שאילתת LDAP.
    אפשר לשנות את כלל החיפוש באמצעות כלל החרגה. פרטים נוספים זמינים במאמר בנושא כללי חיפוש של יחידות ארגוניות.
  • כללי החרגה – אם יש לכם יחידות ארגוניות בשרת ספריית LDAP שתואמות לכללי החיפוש, אבל אתם לא רוצים להוסיף אותן לחשבון Google, אתם יכולים להוסיף כלל החרגה. מידע נוסף על שימוש בכללי החרגה

דוגמה: לשרת ספריית LDAP יש היררכיה ארגונית שמפוצלת בין שני מיקומי משרדים: מלבורן ודטרויט. ההיררכיה של היחידות הארגוניות ב-Google זהה להיררכיה הזו:

הכלל הראשון:

  • ‫(LDAP) DN: ou=melbourne,dc=ad,dc=example,dc=com
  • (דומיין Google) שם: מלבורן

כלל שני:

  • ‫(LDAP) DN: ou=detroit,dc=ad,dc=example,dc=com
  • (דומיין Google) שם: דטרויט

הגדרה של רשימת משתמשים

בדף חשבונות משתמשים באשף ההגדרות, מציינים איך GCDS יוצר את רשימת משתמשי ה-LDAP. לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • מאפייני משתמשים – מציינים את המאפיינים ש-GCDS משתמש בהם כשיוצר את רשימת המשתמשים ב-LDAP.
  • מאפייני משתמשים נוספים – מזינים מאפייני LDAP אופציונליים (כמו סיסמאות) שאפשר להשתמש בהם כדי לייבא מידע נוסף על משתמשי Google.
  • כללי חיפוש – מציינים אילו משתמשים לייבא ולסנכרן באמצעות סימון של שאילתת LDAP. אפשר לשנות את כלל החיפוש באמצעות כלל החרגה. פרטים נוספים זמינים במאמר בנושא שימוש בכללי חיפוש LDAP לסנכרון נתונים.
  • כללי החרגה של משתמשים – אם יש לכם משתמשים בשרת מדריך ה-LDAP שתואמים לכללי החיפוש אבל לא צריכים להתווסף לחשבון Google, אתם יכולים להוסיף כלל החרגה. פרטים נוספים זמינים במאמר בנושא שימוש בכללי החרגה עם GCDS.

סנכרון רשימות תפוצה עם קבוצות Google

בדף קבוצות באשף ההגדרות, מסנכרנים את רשימות התפוצה בשרת ה-LDAP עם קבוצות Google.

לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • כללי חיפוש – מציינים אילו קבוצות לייבא ולסנכרן באמצעות סימון שאילתות LDAP.
    אפשר לשנות את כלל החיפוש באמצעות כלל החרגה. פרטים נוספים זמינים במאמר בנושא כללי חיפוש של קבוצות.
  • כללי החרגה – אם יש רשומות בשרת LDAP שתואמות לכלל של רשימת תפוצה, אבל לא אמורות להיחשב כרשימת תפוצה (לדוגמה, רשימות תפוצה פנימיות שלא כוללות כתובות אימייל חיצוניות), צריך לציין אותן כאן. מידע נוסף על שימוש בכללי החרגה

קבוצות נוצרות עם הרשאות ברירת המחדל הבאות:

  • מי יכול לראות: כל חברי הקבוצה
  • רישום בספרייה: כל מי ששייך לדומיין שלכם יכול למצוא את הקבוצה הזו.
  • מי יכול לראות את החברים: רק מנהלים ובעלים יכולים לראות את רשימת חברי הקבוצה.
  • מי יכול להצטרף: כל אחד בארגון יכול לבקש להצטרף.
  • משתמשים שהם לא מהארגון יכולים להצטרף: אסור.
  • מי יכול לפרסם הודעות: כל מי ששייך לדומיין שלכם יכול לפרסם.
  • מותר לפרסם דרך ממשק אינטרנט: מותר.
  • מי יכול להזמין חברים חדשים: רק מנהלים ובעלים
  • ניהול ההודעות: ללא ניהול.
  • העברה לארכיון: הארכיון מושבת.
  • אפשר לקבל אימיילים מגורמים חיצוניים: אסור

אי אפשר לשנות את הרשאות ברירת המחדל של הקבוצה, אבל אפשר לשנות את ההגדרות של הקבוצה אחרי שהיא נוצרת.

האם אתם משתמשים ב-Groups for Business?

אם בדומיין שלכם נעשה שימוש בשירות Groups for Business, המשתמשים יכולים ליצור קבוצות משלהם בדומיין.
המשתמשים שלכם, ולא האדמין, שולטים בקבוצות האלה. מידע נוסף על דרכים ליצירת קבוצות

‫GCDS מזהה את הקבוצות האלה באופן אוטומטי ולא מוחק או מחליף אותן. אם קיימת קבוצה עם אותה כתובת אימייל בספריית ה-LDAP,‏ GCDS מבצע שינויים לא הרסניים (כמו עדכון השם והתיאור והוספת חברים חדשים), אבל הוא לא ימחק חברים שמחקתם מספריית ה-LDAP. הדרך היחידה לשנות קבוצה שנוצרה על ידי משתמש לקבוצה במסוף Admin היא למחוק אותה ואז ליצור אותה מחדש באמצעות מסוף Admin.

קביעת פרטי הפרופיל של המשתמשים שיסונכרנו

בדף פרופילים של משתמשים בכלי Configuration Manager, מציינים את פרטי הפרופיל של המשתמשים. פרופילי משתמשים מכילים מידע מורחב על המשתמשים, כמו מספר טלפון ותפקיד.

לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • מאפיינים של פרופיל משתמש – מציינים את המאפיינים ש-GCDS משתמש בהם כשיוצר פרופילים של משתמשים ב-LDAP.
  • כללי חיפוש – מציינים אילו פרטים בפרופיל המשתמש לייבא ולסנכרן באמצעות תחביר של שאילתת LDAP.
    אפשר לשנות את כלל החיפוש באמצעות כלל החרגה.
  • כללי החרגה – אם יש לכם פרופילי משתמשים בשרת ספריית LDAP שתואמים לכללי החיפוש שלכם אבל לא אמורים להתווסף לחשבון Google, צריך להוסיף כלל החרגה. פרטים נוספים זמינים במאמר בנושא שימוש בכללי החרגה.

סנכרון של שדות משתמש מותאמים אישית באמצעות סכימה מותאמת אישית

אתם יכולים לסנכרן מידע נוסף על המשתמשים מספריית ה-LDAP עם חשבון Google באמצעות סכימה מותאמת אישית. אתם יכולים להשתמש בכמה סכימות כדי לסנכרן סוגים שונים של נתוני משתמשים, למשל, יחידה ארגונית ספציפית כמו מחלקת הכספים. אתם מגדירים סכימות מותאמות אישית ומחליטים על אילו משתמשים להחיל אותן בדף סכימות מותאמות אישית בכלי להגדרת תצורה.

מידע על המגבלות שחלות על סכימות בהתאמה אישית זמין במאמר בנושא בקשות JSON.

שלב 1: מחליטים לאילו משתמשים להחיל את הסכימה המותאמת אישית

אפשר להחיל סכימה מותאמת אישית על:

  • כל המשתמשים שמוגדרים על ידי כללי החיפוש וההגדרות של LDAP בהגדרות חשבונות המשתמשים.
  • קבוצה אחרת של משתמשים שמוגדרת על ידי כללי חיפוש והחרגה מותאמים אישית ב-LDAP.

כדי להחיל סכימה חדשה בהתאמה אישית על כל חשבונות המשתמשים:

  1. לוחצים על הוספת סכימה.
  2. בוחרים באפשרות Use rules defined in "User Accounts" (שימוש בכללים שמוגדרים ב'חשבונות משתמשים').

כדי להחיל סכימה חדשה בהתאמה אישית על קבוצה ספציפית של משתמשים:

  1. לוחצים על הוספת סכימה.
  2. בוחרים באפשרות הגדרת כללי חיפוש בהתאמה אישית.
  3. בכרטיסייה כללי חיפוש, לוחצים על הוספת כלל חיפוש ומזינים את הפרטים הבאים:
    • היקף
    • כלל
    • שם ייחודי בסיסי (DN)

    מידע נוסף על שימוש בשאילתות LDAP עם GCDS

  4. לוחצים על אישור.
  5. בכרטיסייה כללי החרגה, לוחצים על הוספת כלל החרגה ומזינים את הפרטים הבאים:
    • סוג החרגה
    • סוג התאמה
    • כלל החרגה

    מידע נוסף על שימוש בכללי החרגה עם GCDS

  6. לוחצים על אישור.

כדי להחיל סכימה חדשה בהתאמה אישית בלי לסנכרן חשבונות משתמשים:

  1. באשף ההגדרות, עוברים אל הגדרות כלליות ומפעילים את האפשרות חשבונות משתמשים.
  2. עוברים אל חשבונות משתמשים ומגדירים את המאפיין 'כתובת אימייל'.

    המאפיין הזה משמש לזיהוי משתמש Google שאליו צריך להחיל את הסכימה, ולכן צריך להגדיר אותו, גם אם לא יצרתם כללי חיפוש משתמשים.

  3. עוברים אל 'הגדרות כלליות' ומשביתים את האפשרות חשבונות משתמשים.
  4. לוחצים על שמירה.

שלב 2: מוסיפים סכימה בהתאמה אישית לקבוצת המשתמשים

אפשר להשתמש בשדות מוגדרים מראש בסכימה או ליצור שדות סכימה משלכם.

כדי להשתמש בשדות סכימה שהוגדרו מראש:

  1. בשדה שם הסכימה, מזינים שם ולוחצים על הוספת שדה.
  2. מהרשימה Schema Field, בוחרים שדה סכמה שהוגדר מראש.
  3. בשדה שם השדה ב-Google, מוודאים שהשם שמולא מראש נכון.
  4. מוודאים שההגדרות Indexed ו-Read Access Type נכונות.
  5. לוחצים על אישור.
  6. (אופציונלי) חוזרים על השלבים האלה לכל שדה מוגדר מראש שרוצים לכלול בסכימה.
  7. (אופציונלי) מוסיפים שדות סכימה בהתאמה אישית (השלבים מפורטים בהמשך).
  8. לוחצים על אישור כדי להוסיף את סכימת ההתאמה האישית להגדרה.

כדי ליצור שדות סכימה משלכם:

  1. בשדה שם הסכימה, מזינים שם ולוחצים על הוספת שדה.
  2. ברשימה Schema Field, בוחרים באפשרות Custom.
  3. בשדה LDAP Field Name (שם שדה LDAP), מזינים את השם של שדה ה-LDAP שרוצים לסנכרן עם חשבון Google.
  4. ברשימה LDAP Field Type (סוג השדה ב-LDAP), בוחרים את סוג השדה.
  5. בשדה שם השדה ב-Google, מזינים את השם של השדה ב-Google שאליו רוצים למפות את נתוני ה-LDAP.
  6. ברשימה Google Field Type (סוג השדה ב-Google), בוחרים את סוג השדה.
  7. (אופציונלי) כדי ליצור אינדקס של הנתונים, מסמנים את התיבה Indexed (נוצר אינדקס).
  8. ברשימה Read Access Type, בוחרים איך לשלוט בגישת הקריאה לנתוני השדה שמוגדרים בשדות הסכימה.
  9. לוחצים על אישור.
  10. (אופציונלי) כדי להוסיף עוד שדות סכימה, חוזרים על השלבים.
  11. לוחצים על אישור כדי להוסיף את סכימת ההתאמה האישית להגדרה.

שלב 3: בחירת סכמת קידוד למאפיינים בינאריים (אופציונלי)

אם משתמשים במאפיין בינארי (כמו objectSid או objectGUID) כערך של שדה מותאם אישית, הוא מומר למחרוזת באמצעות סכמת קידוד.

כדי לשנות את סכמת הקידוד, לוחצים על סכמת קידוד למאפיינים בינאריים ובוחרים באחת מהאפשרויות:

  • בסיס 16 (הנקרא גם הקסדצימלי)
  • Base32
  • Base32Hex
  • Base64
  • ‫Base64URL (ברירת המחדל)

הערה: רווחים לבנים בתחילת הטקסט או בסופו בשמות של סכימות מותאמות אישית ושדות מוסרים באופן אוטומטי. רווחים בתוך השורה יישמרו.

סנכרון של אנשי קשר משותפים

בדף אנשי קשר משותפים של כלי ההגדרה, מגדירים את הסנכרון של אנשי הקשר המשותפים. התכונה 'אנשי קשר משותפים' מקבילה לרשימת כתובות כללית (GAL) ב-Microsoft Active Directory ובשרתי ספריות אחרים. אנשי קשר משותפים מכילים מידע כמו שם, כתובת אימייל, מספר טלפון ותפקיד.

חשוב:

  • סנכרון רק של אנשי קשר משותפים שמקורם מחוץ לדומיין. סנכרון אנשי קשר בתוך הדומיין עלול לגרום לכפילויות ברשימת הכתובות הכללית.
  • יכולות לחלוף עד 24 שעות עד שאנשי הקשר המשותפים יסונכרנו ויופיעו.

לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • מאפיינים של אנשי קשר משותפים – מציינים את המאפיינים ש-GCDS משתמש בהם כשיוצר אנשי קשר משותפים ב-LDAP.
  • כללי חיפוש – מציינים אילו אנשי קשר לייבא ולסנכרן באמצעות תחביר של שאילתת LDAP.
    אפשר לשנות את כלל החיפוש באמצעות כלל החרגה.
  • כללי החרגה – אם יש לכם אנשי קשר בשרת ספריית LDAP שתואמים לכללי החיפוש אבל לא אמורים להתווסף לחשבון Google, תוכלו להוסיף כלל החרגה. פרטים נוספים זמינים במאמר בנושא שימוש בכללי החרגה.

הגדרת היומן

בדף משאבים לתזמון ביומן באשף ההגדרות, מציינים איך GCDS יוצר את המשאבים לתזמון ביומן של LDAP.

לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • מאפיין של משאב ביומן – מציינים את המאפיינים ש-GCDS משתמש בהם כשהוא יוצר את המשאבים לתזמון ביומן LDAP.

    חשוב: GCDS לא מסנכרן מאפיין של משאב ביומן שמכיל רווחים או תווים כמו הסימן @ או נקודתיים (:). למידע נוסף על מתן שמות למשאבים ביומן, אפשר לעבור אל המלצות למתן שמות למשאבים ביומן Google.

  • כללי חיפוש – מציינים אילו משאבים לתזמון ביומן לייבא ולסנכרן באמצעות תחביר של שאילתת LDAP.
    אפשר לשנות את כלל החיפוש באמצעות כלל החרגה.
  • כללי החרגה – אם יש לכם משאבים ביומן בשרת ספריית LDAP שתואמים לכללי החיפוש אבל לא אמורים להתווסף לחשבון Google, צריך להוסיף כלל החרגה. פרטים נוספים זמינים במאמר בנושא שימוש בכללי החרגה.

סנכרון רישיונות

בדף Licenses (רישיונות) של אשף ההגדרות, מגדירים את סנכרון הרישיונות של GCDS למשתמשים בחשבון Google. פרטים נוספים זמינים במאמר בנושא ניהול והקצאה של רישיונות.

שלב 3: בדיקת הסנכרון

הגדרת הודעות

בדף Notifications של Configuration Manager, מציינים פרטים על שרת הדואר וההתראות באימייל אחרי סנכרון.

בכל פעם שמתבצע סנכרון, GCDS שולח התראה לכתובת אימייל אחת או יותר שצוינו בשדה אל כתובות. אחרי שמזינים כל כתובת, לוחצים על הוספה.

לוחצים על התראה לבדיקה כדי לשלוח הודעת בדיקה לכתובות שציינתם.

הגדרת הפרמטרים של הרישום ביומן

בדף Logging של Configuration Manager, מציינים את שם הקובץ ואת רמת הפירוט שנדרשת ביומן.

אימות הגדרות הסנכרון

בדף סנכרון ב-Configuration Manager, לוחצים על הדמיית סנכרון כדי לבדוק את ההגדרות.

הפעלת סימולציה של סנכרון לא מעדכנת או משנה את הנתונים בשרת ה-LDAP או את חשבונות המשתמשים בחשבון Google. הסימולציה מיועדת רק לבדיקה של ההגדרות. במהלך סימולציה, Configuration Manager:

  • מתחבר לחשבון Google ולשרת LDAP שלכם ומפיק רשימה של משתמשים, קבוצות ואנשי קשר משותפים
  • יוצר רשימה של ההבדלים בין חשבונות Google לחשבונות LDAP
  • רישום כל האירועים ביומן

אם הסימולציה מצליחה, הכלי Configuration Manager יוצר דוח שמציג את השינויים שהיו מתבצעים בנתונים שלכם ב-Google. כשאתם בטוחים שההגדרה נכונה, אתם יכולים להריץ סנכרון.


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.