הגדרת סנכרון באמצעות אשף ההגדרות

אשף ההגדרות מנחה אתכם בתהליך של יצירה ובדיקה של קובץ תצורה ל-Google Cloud Directory Sync‏ (GCDS). פותחים את Configuration Manager מתפריט ההתחלה.

שלב 1: הכנת השרתים

הגדרת ההגדרות הכלליות

בדף הגדרות כלליות, מציינים מה רוצים לסנכרן משרת ה-LDAP. בוחרים אפשרות אחת או יותר מתוך:

  • יחידות ארגוניות
  • חשבונות של משתמשים
  • קבוצות
  • פרופילים של משתמשים
  • סכימות מותאמות אישית
  • אנשי קשר משותפים
  • משאבים לתזמון ביומן
  • רישיונות

הגדרת הגדרות הדומיין של Google

בדף הגדרת הדומיין של Google באשף ההגדרות, מגדירים את פרטי החיבור לדומיין של Google.

הכרטיסייה 'הגדרות חיבור'

  • שם הדומיין הראשי – מזינים את שם הדומיין הראשי של חשבון Google. חשוב לוודא שהדומיין הראשי מאומת. לפרטים, אפשר לעבור אל אימות הדומיין ב-Google Workspace.
  • החלפת שמות הדומיין בכתובות אימייל של LDAP: אם מסמנים את התיבה, GCDS משנה את כתובות האימייל של LDAP כך שיתאימו לדומיין שרשום בשדה דומיין חלופי לאימייל. אם השדה דומיין חלופי לאימייל ריק, GCDS משנה את כתובות האימייל של LDAP כך שיתאימו לדומיין בשדה שם הדומיין הראשי.
  • דומיין אימייל חלופי – מציינים דומיין חלופי למשתמשים (לדוגמה, דומיין לבדיקה). אחרת, משאירים את השדה הזה ריק.
  • אישור גישה באמצעות OAuth – כדי לאשר את GCDS:
    1. לוחצים על אישור עכשיו ואז כניסה.
    2. נכנסים לחשבון Google עם שם המשתמש והסיסמה של סופר-אדמין.

      אם האימות יצליח, תקבלו הודעה שמאשרת שקוד האימות התקבל. ההרשאה ל-GCDS ניתנה.

הכרטיסייה 'הגדרות שרת proxy'

כאן אפשר לציין הגדרות לשרת proxy ברשת. אם השרת לא דורש proxy כדי להתחבר לאינטרנט, אפשר לדלג על הכרטיסייה הזו.

הכרטיסייה 'כללי החרגה'

כדי לשמור מידע ב<b>דומיין של Google</b> שלא נמצא במערכת LDAP (לדוגמה, משתמשים שנמצאים רק בחשבון Google), צריך להשתמש ב<b>כללי החרגה</b>. פרטים נוספים זמינים במאמר בנושא שימוש בכללי החרגה עם GCDS.

קביעת הגדרות ה-LDAP

בדף LDAP Configuration (הגדרת LDAP) באשף ההגדרות, מזינים את פרטי שרת ה-LDAP.

כשמגדירים את שרת ה-LDAP, מומלץ להשתמש ב-LDAP מאובטח כדי לוודא שהקישוריות מ-GCDS לשרת ה-LDAP מוצפנת.

אם בחרתם ב-OpenLDAP או ב-Active Directory כשרת ה-LDAP, לוחצים על שימוש בהגדרות ברירת המחדל בתחתית כל דף הגדרה כדי להגדיר את הסנכרון עם פרמטרים שמוגדרים כברירת מחדל. לאחר מכן תוכלו להתאים אותם לצרכים שלכם.

אחרי שמגדירים את הגדרות האימות של LDAP, לוחצים על בדיקת החיבור. אשף ההגדרות מתחבר לשרת ה-LDAP ומנסה להיכנס כדי לאמת את ההגדרות שהזנתם.

נושאים קשורים

שלב 2: מחליטים מה לסנכרן

קביעת הקטגוריות שיסונכרנו

בדף הגדרות כלליות, מסמנים את התיבה לצד סוג האובייקט שרוצים לסנכרן.

הגדרת כללי הסנכרון ליחידות הארגוניות

בדף יחידות ארגוניות באשף ההגדרות, מציינים איך היחידות הארגוניות של LDAP תואמות ליחידות ארגוניות בחשבון Google.

לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • מיפוי של יחידות ארגוניות ב-LDAP – מוסיפים מיפויים של יחידות ארגוניות ברמה העליונה בשרת ה-LDAP. ‫GCDS ממפה ארגוני צאצא בשרת מדריך ה-LDAP ליחידות ארגוניות ב-Google עם אותו שם.

    הערה: אסור להשתמש בתו '/' בשמות של יחידות ארגוניות.

    אם מסמנים את התיבה אל תיצור או תמחק ארגונים ב-Google, היחידות הארגוניות לא יסונכרנו משרת ה-LDAP. עדיין אפשר לציין אילו משתמשים ישויכו לאילו יחידות ארגוניות בכללים של חשבונות משתמשים.

    כאן תוכלו לקבל מידע איך מוסיפים כלל מיפוי של יחידה ארגונית.

  • כללי חיפוש – מציינים את היחידות הארגוניות לייבוא ולסנכרון באמצעות תחביר של שאילתת LDAP.
    אפשר לשנות את כלל החיפוש באמצעות כלל החרגה. פרטים נוספים זמינים במאמר בנושא כללי חיפוש של יחידות ארגוניות.
  • כללי החרגה – אם יש לכם יחידות ארגוניות בשרת ספריית LDAP שתואמות לכללי החיפוש, אבל אתם לא רוצים להוסיף אותן לחשבון Google, תוכלו להוסיף כלל החרגה. מידע נוסף על שימוש בכללי החרגה

דוגמה: לשרת ספריית LDAP יש היררכיה ארגונית שמפוצלת בין שני מיקומי משרדים: מלבורן ודטרויט. ההיררכיה של היחידות הארגוניות ב-Google זהה להיררכיה הזו:

הכלל הראשון:

  • ‫(LDAP) DN: ou=melbourne,dc=ad,dc=example,dc=com
  • (דומיין של Google) שם: מלבורן

כלל שני:

  • ‫(LDAP) DN: ou=detroit,dc=ad,dc=example,dc=com
  • (דומיין של Google) שם: דטרויט

הגדרה של רשימת המשתמשים

בדף חשבונות משתמשים באשף ההגדרות, מציינים איך GCDS יוצר את רשימת המשתמשים ב-LDAP. לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • מאפייני משתמשים – מציינים את המאפיינים שבהם GCDS משתמש כשיוצר את רשימת משתמשי ה-LDAP.
  • מאפייני משתמשים נוספים – מזינים מאפייני LDAP אופציונליים (כמו סיסמאות) שאפשר להשתמש בהם כדי לייבא מידע נוסף על משתמשי Google.
  • כללי חיפוש – מציינים אילו משתמשים לייבא ולסנכרן באמצעות סימון של שאילתת LDAP. אפשר לשנות את כלל החיפוש באמצעות כלל החרגה. פרטים נוספים זמינים במאמר בנושא שימוש בכללי חיפוש LDAP לסנכרון נתונים.
  • כללי החרגה של משתמשים – אם יש לכם משתמשים בשרת מדריך ה-LDAP שתואמים לכללי החיפוש אבל לא אמורים להתווסף לחשבון Google, צריך להוסיף כלל החרגה. פרטים נוספים זמינים במאמר בנושא שימוש בכללי החרגה עם GCDS.

נושאים קשורים

סנכרון רשימות תפוצה עם קבוצות Google

בדף Groups (קבוצות) באשף ההגדרות, מסנכרנים את רשימות התפוצה בשרת ה-LDAP עם קבוצות Google.

לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • כללי חיפוש – מציינים אילו קבוצות לייבא ולסנכרן באמצעות סימון של שאילתת LDAP.
    אפשר לשנות את כלל החיפוש באמצעות כלל החרגה. פרטים נוספים זמינים במאמר בנושא כללי חיפוש של קבוצות.
  • כללי החרגה – אם יש רשומות בשרת ה-LDAP שתואמות לכלל של רשימת תפוצה, אבל לא אמורות להיחשב כרשימת תפוצה (לדוגמה, רשימות תפוצה פנימיות שלא כוללות כתובות אימייל חיצוניות), צריך לציין אותן כאן. מידע נוסף על שימוש בכללי החרגה

כשיוצרים קבוצה, פועלות בה הרשאות ברירת המחדל הבאות:

  • מי יכול לראות: כל חברי הקבוצה
  • רישום בספרייה: כל מי ששייך לדומיין שלכם יכול למצוא את הקבוצה הזו.
  • מי יכול לראות את החברים: רק מנהלים ובעלים יכולים לראות את רשימת חברי הקבוצה.
  • מי יכול להצטרף: כל אחד בארגון יכול לבקש להצטרף.
  • משתתפים חיצוניים יכולים להצטרף: אסור.
  • מי יכול לפרסם הודעות: כל מי ששייך לדומיין שלכם יכול לפרסם.
  • מותר לפרסם דרך ממשק אינטרנט: מותר.
  • מי יכול להזמין חברים חדשים: רק מנהלים ובעלים
  • ניהול ההודעות: ללא ניהול.
  • העברת הודעות לארכיון: הארכיון מושבת.
  • אפשר לקבל אימיילים מגורמים חיצוניים: אסור

אי אפשר לשנות את הרשאות ברירת המחדל של הקבוצה, אבל אפשר לשנות את ההגדרות של הקבוצה אחרי שהיא נוצרת.

האם אתם משתמשים ב-Groups for Business?

אם בדומיין שלכם נעשה שימוש בשירות Groups for Business, המשתמשים יכולים ליצור קבוצות משלהם בדומיין.
המשתמשים שלכם, ולא האדמין, שולטים בקבוצות האלה. מידע נוסף על יצירת קבוצות

‫GCDS מזהה את הקבוצות האלה באופן אוטומטי ולא מוחק או מחליף אותן. אם קיימת קבוצה עם אותה כתובת אימייל בספריית ה-LDAP,‏ GCDS מבצע שינויים לא הרסניים (כמו עדכון השם והתיאור והוספת חברים חדשים), אבל הוא לא ימחק חברים שמחקתם מספריית ה-LDAP. הדרך היחידה לשנות קבוצה שנוצרה על ידי משתמש לקבוצה במסוף Admin היא למחוק אותה ואז ליצור אותה מחדש באמצעות מסוף Admin.

נושאים קשורים

קביעה של פרטי הפרופיל של המשתמשים שיסונכרנו

בדף פרופילים של משתמשים בכלי Configuration Manager, מציינים את פרטי הפרופיל של המשתמשים. פרופילי משתמשים מכילים מידע מורחב על המשתמשים, כמו מספר טלפון ותפקיד.

לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • מאפיינים של פרופילים של משתמשים – מציינים את המאפיינים שבהם GCDS משתמש ליצירת פרופילים של משתמשי LDAP.
  • כללי חיפוש – מציינים אילו פרטים בפרופיל המשתמש לייבא ולסנכרן באמצעות תחביר של שאילתת LDAP.
    אפשר לשנות את כלל החיפוש באמצעות כלל החרגה.
  • כללי החרגה – אם יש לכם פרופילי משתמשים בשרת ספריית LDAP שתואמים לכללי החיפוש אבל לא אמורים להתווסף לחשבון Google, צריך להוסיף כלל החרגה. פרטים נוספים זמינים במאמר בנושא שימוש בכללי החרגה.

נושא קשור

סנכרון של שדות משתמש מותאמים אישית באמצעות סכימה מותאמת אישית

אתם יכולים לסנכרן מידע נוסף על המשתמשים מספריית ה-LDAP עם חשבון Google באמצעות סכימה מותאמת אישית. אתם יכולים להשתמש בכמה סכימות כדי לסנכרן סוגים שונים של נתוני משתמשים, למשל יחידה ארגונית ספציפית כמו Finance (כספים). אתם מגדירים סכימות מותאמות אישית ומחליטים על אילו משתמשים להחיל אותן בדף סכימות מותאמות אישית באשף ההגדרות.

מידע על המגבלות שחלות על סכימות בהתאמה אישית זמין במאמר בנושא בקשת JSON.

שלב 1: מחליטים לאילו משתמשים להחיל את הסכימה המותאמת אישית

אפשר להחיל סכימה מותאמת אישית על:

  • כל המשתמשים שמוגדרים על ידי כללי החיפוש וההגדרות של LDAP בהגדרות חשבונות המשתמשים.
  • קבוצה אחרת של משתמשים שמוגדרת על ידי כללי חיפוש והחרגה מותאמים אישית ב-LDAP.

כדי להחיל סכימה חדשה בהתאמה אישית על כל חשבונות המשתמשים:

  1. לוחצים על הוספת סכימה.
  2. בוחרים באפשרות Use rules defined in "User Accounts" (שימוש בכללים שמוגדרים ב'חשבונות משתמשים').

כדי להחיל סכימה חדשה בהתאמה אישית על קבוצה ספציפית של משתמשים:

  1. לוחצים על הוספת סכימה.
  2. בוחרים באפשרות הגדרת כללי חיפוש בהתאמה אישית.
  3. בכרטיסייה כללי חיפוש, לוחצים על הוספת כלל חיפוש ומזינים את הפרטים הבאים:
    • היקף
    • כלל
    • שם ייחודי בסיסי (DN)

    מידע נוסף על שימוש בשאילתות LDAP עם GCDS

  4. לוחצים על אישור.
  5. בכרטיסייה כללי החרגה, לוחצים על הוספת כלל החרגה ומזינים את הפרטים הבאים:
    • סוג ההחרגה
    • סוג התאמה
    • כלל החרגה

    מידע נוסף על שימוש בכללי החרגה עם GCDS

  6. לוחצים על אישור.

כדי להחיל סכימה חדשה בהתאמה אישית בלי לסנכרן חשבונות משתמשים:

  1. באשף ההגדרות, עוברים אל הגדרות כלליות ומפעילים את האפשרות חשבונות משתמשים.
  2. עוברים אל חשבונות משתמשים ומגדירים את המאפיין 'כתובת אימייל'.

    המאפיין הזה משמש לזיהוי המשתמש ב-Google שאליו צריך להחיל את הסכימה, ולכן צריך להגדיר אותו, גם אם לא יצרתם כללי חיפוש משתמשים.

  3. עוברים אל 'הגדרות כלליות' ומשביתים את האפשרות חשבונות משתמשים.
  4. לוחצים על שמירה.

שלב 2: הוספת סכימה בהתאמה אישית לקבוצת המשתמשים

אתם יכולים להשתמש בשדות מוגדרים מראש לסקירה הכללית שלכם או ליצור שדות משלכם לסקירה הכללית.

כדי להשתמש בשדות סכימה שהוגדרו מראש:

  1. בשדה שם הסכימה, מזינים שם ולוחצים על הוספת שדה.
  2. מהרשימה Schema Field, בוחרים שדה סכימה שהוגדר מראש.
  3. בשדה שם השדה ב-Google, מוודאים שהשם שהוזן מראש נכון.
  4. מוודאים שההגדרות Indexed ו-Read Access Type נכונות.
  5. לוחצים על אישור.
  6. (אופציונלי) חוזרים על השלבים האלה לכל שדה מוגדר מראש שרוצים לכלול בסכימה.
  7. (אופציונלי) מוסיפים שדות סכימה בהתאמה אישית (השלבים מפורטים בהמשך).
  8. לוחצים על אישור כדי להוסיף את הסכימה המותאמת אישית להגדרה.

כדי ליצור שדות סכימה משלכם:

  1. בשדה שם הסכימה, מזינים שם ולוחצים על הוספת שדה.
  2. ברשימה Schema Field, בוחרים באפשרות Custom (בהתאמה אישית).
  3. בשדה LDAP Field Name (שם שדה LDAP), מזינים את השם של שדה LDAP שרוצים לסנכרן עם חשבון Google.
  4. ברשימה LDAP Field Type (סוג שדה LDAP), בוחרים את סוג השדה.
  5. בשדה שם השדה ב-Google, מזינים את השם של השדה ב-Google שאליו רוצים למפות את נתוני ה-LDAP.
  6. ברשימה Google Field Type (סוג השדה ב-Google), בוחרים את סוג השדה.
  7. (אופציונלי) כדי ליצור אינדקס של הנתונים, מסמנים את התיבה Indexed (נוצר אינדקס).
  8. ברשימה Read Access Type (סוג גישת קריאה), בוחרים איך לשלוט בגישת הקריאה לנתוני השדה שמוגדרים בשדות הסכימה.
  9. לוחצים על אישור.
  10. (אופציונלי) כדי להוסיף עוד שדות סכימה, חוזרים על השלבים.
  11. לוחצים על אישור כדי להוסיף את הסכימה המותאמת אישית להגדרה.

שלב 3: בחירת סכמת קידוד למאפיינים בינאריים (אופציונלי)

אם משתמשים במאפיין בינארי (כמו objectSid או objectGUID) כערך של שדה מותאם אישית, הוא מומר למחרוזת באמצעות סכמת קידוד.

כדי לשנות את סכמת הקידוד, לוחצים על סכמת קידוד למאפיינים בינאריים ובוחרים באחת מהאפשרויות:

  • Base16 (נקרא גם הקסדצימלי)
  • Base32
  • Base32Hex
  • Base64
  • ‫Base64URL (ברירת המחדל)

הערה: רווחים לבנים בתחילת הטקסט או בסופו בשמות של סכימות מותאמות אישית ושדות מוסרים באופן אוטומטי. רווחים בתוך המחרוזת יישמרו.

סנכרון של אנשי קשר משותפים

בדף אנשי קשר משותפים באשף ההגדרות, מגדירים את הסנכרון של אנשי הקשר המשותפים. 'אנשי קשר משותפים' מקביל לרשימת כתובות כללית (GAL) ב-Microsoft Active Directory ובשרתי ספריות אחרים. אנשי קשר משותפים מכילים מידע כמו שם, כתובת אימייל, מספר טלפון ותפקיד.

חשוב:

  • סנכרון רק של אנשי קשר משותפים מחוץ לדומיין. סנכרון אנשי קשר בתוך הדומיין עלול לגרום לכפילויות ברשימת הכתובות הכללית.
  • יכולות לחלוף עד 24 שעות עד שאנשי הקשר ששותפו יסונכרנו ויופיעו.

לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • מאפיינים של אנשי קשר משותפים – מציינים את המאפיינים ש-GCDS משתמש בהם כשיוצר אנשי קשר משותפים ב-LDAP.
  • כללי חיפוש – מציינים אילו אנשי קשר לייבא ולסנכרן באמצעות תחביר של שאילתת LDAP.
    אפשר לשנות את כלל החיפוש באמצעות כלל החרגה.
  • כללי החרגה – אם יש לכם אנשי קשר בשרת ספריית ה-LDAP שתואמים לכללי החיפוש אבל לא אמורים להתווסף לחשבון Google, תוכלו להוסיף כלל החרגה. פרטים נוספים זמינים במאמר בנושא שימוש בכללי החרגה.

נושאים קשורים

הגדרת היומן

בדף משאבים לתזמון ביומן באשף ההגדרות, מציינים איך GCDS יוצר את המשאבים לתזמון ביומן של LDAP.

לוחצים על הכרטיסיות ומזינים את הפרטים הבאים:

  • מאפיין של משאב לתזמון ביומן – מציינים את המאפיינים שבהם GCDS משתמש כשיוצר משאבים לתזמון ביומן LDAP.

    חשוב: GCDS לא מסנכרן מאפיין של משאב ביומן שמכיל רווחים או תווים כמו סימן ה-@ או נקודתיים (:). מידע נוסף על מתן שמות למשאבים ביומן זמין במאמר המלצות למתן שמות למשאבים ביומן Google.

  • כללי חיפוש – מציינים אילו משאבים לתזמון ביומן לייבא ולסנכרן באמצעות תחביר של שאילתת LDAP.
    אפשר לשנות את כלל החיפוש באמצעות כלל החרגה.
  • כללי החרגה – אם יש לכם משאבים ביומן בשרת ספריית ה-LDAP שתואמים לכללי החיפוש אבל לא אמורים להתווסף לחשבון Google, תוכלו להוסיף כלל החרגה. פרטים נוספים זמינים במאמר בנושא שימוש בכללי החרגה.

נושא קשור

סנכרון רישיונות

בדף Licenses (רישיונות) של אשף ההגדרות, מגדירים את סנכרון הרישיונות של GCDS למשתמשים בחשבון Google. פרטים נוספים זמינים במאמר בנושא ניהול והקצאה של רישיונות.

שלב 3: בדיקת הסנכרון

הגדרת הודעות

בדף Notifications של Configuration Manager, מציינים פרטים על שרת הדואר וההתראות באימייל אחרי הסנכרון.

בכל פעם שמתבצע סנכרון, GCDS שולח התראה לכתובת אימייל אחת או יותר שצוינו בשדה אל כתובות. אחרי שמזינים כל כתובת, לוחצים על הוספה.

לוחצים על התראה לבדיקה כדי לשלוח הודעת בדיקה לכתובות שציינתם.

נושא קשור

הגדרת הפרמטרים של הרישום ביומן

בדף Logging של Configuration Manager, מציינים את שם הקובץ ואת רמת הפירוט שנדרשת ביומן.

נושא קשור

אימות הגדרות הסנכרון

בדף סנכרון באשף ההגדרות, לוחצים על הדמיית סנכרון כדי לבדוק את ההגדרות.

הפעלת סימולציה של סנכרון לא מעדכנת או משנה את הנתונים בשרת ה-LDAP או את חשבונות המשתמשים בחשבון Google. הסימולציה מיועדת רק לבדיקה של ההגדרות. במהלך סימולציה, Configuration Manager:

  • מתחבר לחשבון Google ולשרת LDAP שלכם ומפיק רשימה של משתמשים, קבוצות ואנשי קשר משותפים
  • יוצר רשימה של ההבדלים בין חשבונות Google לחשבונות LDAP
  • רישום כל האירועים ביומן

אם הסימולציה מצליחה, כלי ניהול ההגדרות יוצר דוח שמציג את השינויים שהיו מתבצעים בנתונים בחשבון Google. כשאתם בטוחים שההגדרה נכונה, אתם יכולים להפעיל סנכרון.

נושאים קשורים


Google,‏ Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.