Настройте синхронизацию с Configuration Manager

Configuration Manager проведет вас через процесс создания и тестирования конфигурационного файла для Google Cloud Directory Sync (GCDS). Вы открываете Configuration Manager из меню «Пуск» .

Шаг 1: Подготовьте свои серверы

Укажите общие настройки.

На странице «Общие настройки» укажите, что вы хотите синхронизировать с вашего LDAP-сервера. Выберите один или несколько вариантов из списка:

  • Организационные подразделения
  • Учетные записи пользователей
  • Группы
  • Профили пользователей
  • Пользовательские схемы
  • Общие контакты
  • Календарные ресурсы
  • Лицензии

Настройте параметры своего домена Google.

На странице «Конфигурация домена Google» в диспетчере конфигураций вы указываете информацию для подключения к домену Google.

вкладка «Настройки подключения»

  • Основное доменное имя — Введите основное доменное имя вашей учетной записи Google. Убедитесь, что вы подтвердили свой основной домен. Для получения подробной информации перейдите по ссылке «Подтверждение домена для Google Workspace» .
  • Замена доменных имен в адресах электронной почты LDAP — Если вы установите этот флажок, GCDS изменит адреса электронной почты LDAP в соответствии с доменом, указанным в поле «Дополнительный домен электронной почты» . Если поле «Дополнительный домен электронной почты» пустое, GCDS изменит адреса электронной почты LDAP в соответствии с доменом, указанным в поле «Основное доменное имя» .
  • Дополнительный домен электронной почты — Укажите дополнительный домен для ваших пользователей (например, тестовый домен). В противном случае оставьте это поле пустым.
  • Авторизация доступа с использованием OAuth — Для авторизации GCDS:
    1. Нажмите «Авторизовать сейчас». а потом Войти .
    2. Войдите в свой аккаунт Google, используя имя пользователя и пароль суперадминистратора.

      Если аутентификация прошла успешно, вы получите сообщение, подтверждающее получение кода подтверждения. GCDS авторизован.

Вкладка «Настройки прокси»

Здесь укажите любые настройки сетевого прокси. Если вашему серверу не требуется прокси для подключения к интернету, пропустите эту вкладку.

вкладка «Правила исключения»

Используйте правила исключения, чтобы сохранить информацию в вашем домене Google, которой нет в вашей системе LDAP (например, пользователей, которые находятся только в учетной записи Google). Подробности см. в разделе «Использование правил исключения с GCDS» .

Настройте параметры LDAP

На странице «Конфигурация LDAP» в диспетчере конфигураций введите информацию о вашем LDAP-сервере.

При настройке LDAP-сервера мы рекомендуем использовать Secure LDAP, чтобы обеспечить шифрование соединения между GCDS и вашим LDAP-сервером.

Если вы выбрали OpenLDAP или Active Directory в качестве LDAP-сервера, нажмите кнопку «Использовать параметры по умолчанию» внизу каждой страницы конфигурации, чтобы настроить синхронизацию с параметрами по умолчанию. Затем вы можете настроить их в соответствии со своими потребностями.

После настройки параметров аутентификации LDAP нажмите «Проверить соединение» . Диспетчер конфигурации подключится к вашему LDAP-серверу и попытается войти в систему для проверки введенных вами параметров.

Шаг 2: Решите, что именно нужно синхронизировать.

Определите категории для синхронизации.

На странице «Общие настройки» установите флажок рядом с типом объекта, который вы хотите синхронизировать.

Настройте правила синхронизации для ваших организационных подразделений.

На странице «Организационные подразделения» в Configuration Manager укажите, как ваши организационные подразделения LDAP соотносятся с организационными подразделениями в вашей учетной записи Google.

Нажмите на вкладки и введите следующую информацию:

  • Сопоставление организационных подразделений LDAP — Добавьте сопоставления для организационных подразделений верхнего уровня на вашем LDAP-сервере. GCDS сопоставляет дочерние организации на вашем LDAP-сервере каталогов с организационными подразделениями Google с тем же именем.

    Примечание : Символ "/" не допускается в названиях организационных подразделений.

    Если вы установите флажок «Не создавать и не удалять организации Google» , организационные подразделения не будут синхронизироваться с LDAP-сервера. Тем не менее, вы по-прежнему можете указать, какие пользователи относятся к каким организационным подразделениям, в правилах для учетных записей пользователей .

    Подробную информацию о добавлении правила сопоставления организационных единиц см. в разделе «Сопоставление организационных единиц» .

  • Правила поиска — Укажите организационные подразделения для импорта и синхронизации, используя нотацию LDAP-запроса .
    Вы можете изменить правило поиска, добавив правило исключения. Подробности см. в разделе «Правила поиска организационных подразделений» .
  • Правила исключения — Если на вашем сервере каталогов LDAP есть организационные подразделения, соответствующие вашим правилам поиска, но вы не хотите, чтобы они были добавлены в вашу учетную запись Google, добавьте правило исключения. Подробнее об использовании правил исключения .

Пример : Сервер каталогов LDAP имеет организационную иерархию, разделенную между двумя офисами: Мельбурном и Детройтом. Иерархия подразделений Google соответствует этой же иерархии:

Первое правило:

  • (LDAP) DN: ou=melbourne,dc=ad,dc=example,dc=com
  • (Домен Google) Название: Мельбурн

Второе правило:

  • (LDAP) DN: ou=detroit,dc=ad,dc=example,dc=com
  • (Домен Google) Название: Детройт

Определите свой список пользователей

На странице «Учетные записи пользователей » в Configuration Manager укажите, как GCDS генерирует список пользователей LDAP. Щелкните вкладки и введите следующую информацию:

  • Атрибуты пользователя — Укажите атрибуты, которые GCDS использует при формировании списка пользователей LDAP.
  • Дополнительные атрибуты пользователей — Введите необязательные атрибуты LDAP (например, пароли), которые можно использовать для импорта дополнительной информации о пользователях Google.
  • Правила поиска — Укажите, каких пользователей следует импортировать и синхронизировать, используя нотацию LDAP-запросов . Вы можете изменить правило поиска, добавив правило исключения. Для получения подробной информации перейдите к разделу «Использование правил поиска LDAP для синхронизации данных» .
  • Правила исключения пользователей — Если на вашем сервере каталогов LDAP есть пользователи, соответствующие вашим правилам поиска, но которых не следует добавлять в вашу учетную запись Google, добавьте правило исключения. Подробности см. в разделе «Использование правил исключения с GCDS» .

Синхронизация списков рассылки с Google Groups.

На странице «Группы» в диспетчере конфигурации синхронизируйте списки рассылки на вашем LDAP-сервере с Google Groups.

Нажмите на вкладки и введите следующую информацию:

  • Правила поиска — Укажите, какие группы следует импортировать и синхронизировать, используя нотацию LDAP-запроса .
    Вы можете изменить правило поиска с помощью правила исключения. Подробности см. в разделе «Правила группового поиска ».
  • Правила исключения — Если на вашем LDAP-сервере есть записи, соответствующие правилу списка рассылки, но которые не должны рассматриваться как списки рассылки (например, внутренние списки рассылки, не содержащие внешних адресов электронной почты), перечислите их здесь. Подробнее об использовании правил исключения .

Группы создаются со следующими правами доступа по умолчанию:

  • Кто может просматривать: Все участники группы
  • Список каталогов: Любой пользователь из вашего домена может найти эту группу.
  • Кто может просматривать список участников: Только менеджеры и владельцы могут просматривать список участников группы.
  • Кто может присоединиться: Любой член организации может подать заявку на вступление.
  • Разрешить внешних участников: Запрещено.
  • Кто может публиковать сообщения: Любой пользователь с вашего домена может публиковать сообщения.
  • Разрешить публикацию с веб-сайта: Разрешено.
  • Кто может приглашать новых участников: только менеджеры и владельцы.
  • Модерация сообщений: Нет модерации.
  • Архивирование сообщений: Архивирование отключено.
  • Разрешить внешние электронные письма: Запрещено

Настройки прав доступа группы по умолчанию изменить нельзя, однако вы можете изменить параметры группы после ее создания.

    Вы используете группы для бизнеса ?

    Если ваш домен использует сервис «Группы для бизнеса», пользователи могут создавать собственные группы в вашем домене.
    Эти группы управляются пользователями, а не администратором. Узнайте больше о способах создания групп .

    GCDS автоматически обнаруживает эти группы и не удаляет и не перезаписывает их. Если в вашем LDAP-каталоге существует группа с тем же адресом электронной почты, GCDS применяет неразрушающие изменения (например, обновляет имя, описание и добавляет новых участников), но не удаляет участников, которых вы удалили из LDAP-каталога. Единственный способ изменить тип группы с созданной пользователем на группу, созданную администратором, — это удалить ее, а затем создать заново с помощью консоли администратора.

    Определите, какую информацию профиля пользователя следует синхронизировать.

    На странице «Профили пользователей» в Configuration Manager укажите информацию профиля для пользователей. Профили пользователей содержат расширенную информацию о пользователях, такую ​​как номер телефона и должность.

    Нажмите на вкладки и введите следующую информацию:

    • Атрибуты профиля пользователя — Укажите атрибуты, которые GCDS использует при создании профилей пользователей LDAP.
    • Правила поиска — Укажите, какую информацию профиля пользователя следует импортировать и синхронизировать, используя нотацию LDAP-запроса .
      Вы можете изменить правило поиска с помощью правила исключения.
    • Правила исключения — Если на вашем сервере каталогов LDAP есть профили пользователей, соответствующие вашим правилам поиска, но которые не должны быть добавлены в вашу учетную запись Google, добавьте правило исключения. Подробности см. в разделе «Использование правил исключения» .

    Синхронизация пользовательских полей с использованием пользовательской схемы.

    Вы можете синхронизировать дополнительную информацию о пользователях из вашего LDAP-каталога с вашей учетной записью Google, используя пользовательскую схему. Вы можете использовать несколько схем для синхронизации различных типов пользовательских данных, например, для определенного организационного подразделения, такого как Финансы. Вы настраиваете пользовательские схемы и определяете, к каким пользователям их применять, на странице «Пользовательские схемы» в Configuration Manager.

    Для получения информации об ограничениях, применяемых к пользовательским схемам, ознакомьтесь с информацией о JSON-запросах .

    Шаг 1: Определите, к каким пользователям следует применить пользовательскую схему.

    Вы можете применить пользовательскую схему к:

    Чтобы применить новую пользовательскую схему ко всем учетным записям пользователей:

    1. Нажмите «Добавить схему» .
    2. Выберите «Использовать правила, определенные в разделе "Учетные записи пользователей"» .

    Чтобы применить новую пользовательскую схему к определенной группе пользователей:

    1. Нажмите «Добавить схему» .
    2. Выберите «Определить пользовательские правила поиска» .
    3. На вкладке «Правила поиска» нажмите «Добавить правило поиска» и введите следующую информацию:
      • Объем
      • Правило
      • Базовое отличительное имя (DN)

      Узнайте больше об использовании LDAP-запросов с GCDS .

    4. Нажмите ОК .
    5. На вкладке «Правила исключения» нажмите «Добавить правило исключения» и введите следующую информацию:
      • Исключить тип
      • Тип совпадения
      • Правило исключения

      Узнайте больше об использовании правил исключения в GCDS .

    6. Нажмите ОК .

    Чтобы применить новую пользовательскую схему без синхронизации учетных записей пользователей:

    1. В диспетчере конфигураций перейдите в раздел «Общие настройки» и включите параметр «Учетные записи пользователей» .
    2. Перейдите в раздел «Учетные записи пользователей» и задайте атрибут «Адрес электронной почты».

      Этот атрибут используется для идентификации пользователя Google, к которому должна применяться схема, поэтому его необходимо установить, даже если вы не создали никаких правил поиска пользователей.

    3. Перейдите в «Общие настройки» и отключите «Учетные записи пользователей» .
    4. Нажмите « Сохранить ».

    Шаг 2: Добавьте пользовательскую схему в группу пользователей.

    Вы можете использовать предопределенные поля для своей схемы или создать собственные поля схемы.

    Для использования предопределенных полей схемы:

    1. В поле «Имя схемы» введите имя и нажмите «Добавить поле» .
    2. В списке «Поле схемы» выберите предопределенное поле схемы.
    3. В поле «Название поля Google» убедитесь, что введенное имя указано правильно.
    4. Убедитесь, что параметры «Индексированный» и «Тип доступа для чтения» заданы правильно.
    5. Нажмите ОК .
    6. (Необязательно) Повторите эти шаги для любых дополнительных предопределенных полей, которые вы хотите включить в свою схему.
    7. (Необязательно) Добавьте любые пользовательские поля схемы (см. шаги ниже).
    8. Нажмите ОК , чтобы добавить пользовательскую схему в конфигурацию.

    Чтобы создать собственные поля схемы:

    1. В поле «Имя схемы» введите имя и нажмите «Добавить поле» .
    2. В списке полей схемы выберите «Пользовательское» .
    3. В поле «Имя поля LDAP» введите имя поля LDAP, которое вы хотите синхронизировать со своей учетной записью Google.
    4. В списке «Тип поля LDAP» выберите тип поля.
    5. В поле «Имя поля Google» введите имя поля Google, к которому вы хотите привязать данные LDAP.
    6. В списке «Типы полей Google» выберите тип поля.
    7. (Необязательно) Для индексирования данных установите флажок «Индексировано» .
    8. В списке «Тип доступа для чтения» выберите способ управления доступом для чтения к данным полей, определенным в полях схемы.
    9. Нажмите ОК .
    10. (Необязательно) Чтобы добавить дополнительные поля схемы, повторите шаги.
    11. Нажмите ОК , чтобы добавить пользовательскую схему в конфигурацию.

    Шаг 3: Выберите схему кодирования для бинарных атрибутов (необязательно)

    Если вы используете бинарный атрибут (например, objectSid или objectGUID) в качестве значения пользовательского поля, он преобразуется в строку с использованием схемы кодирования.

    Чтобы изменить схему кодирования, нажмите «Схема кодирования для двоичных атрибутов» и выберите нужный вариант:

    • Шестнадцатеричная система счисления (также известная как шестнадцатеричная система)
    • Base32
    • Base32Hex
    • Base64
    • Base64URL (по умолчанию)

    Примечание : Начальные и конечные пробелы в пользовательских схемах и именах полей автоматически удаляются. Внутренние пробелы сохраняются.

    Синхронизируйте общие контакты

    На странице «Общие контакты» в диспетчере конфигурации настройте синхронизацию для общих контактов. Общие контакты соответствуют глобальному списку адресов (GAL) в Microsoft Active Directory и других серверах каталогов. Общие контакты содержат такую ​​информацию, как имя, адрес электронной почты, номер телефона и должность.

    Важный :

    • Синхронизируйте только общие контакты извне вашего домена. Синхронизация контактов внутри вашего домена может привести к появлению дубликатов записей в глобальном списке адресов.
    • Для синхронизации и отображения общих контактов может потребоваться до 24 часов.

    Нажмите на вкладки и введите следующую информацию:

    • Общие атрибуты контактов — Укажите атрибуты, которые GCDS использует при создании общих контактов LDAP.
    • Правила поиска — Укажите, какие контакты следует импортировать и синхронизировать, используя нотацию LDAP-запроса .
      Вы можете изменить правило поиска с помощью правила исключения.
    • Правила исключения — Если на вашем сервере каталогов LDAP есть контакты, соответствующие вашим правилам поиска, но которые не должны быть добавлены в вашу учетную запись Google, добавьте правило исключения. Подробности см. в разделе «Использование правил исключения» .

    Настройте параметры календаря

    На странице «Ресурсы календаря» в диспетчере конфигурации укажите, как GCDS генерирует ресурсы календаря LDAP.

    Нажмите на вкладки и введите следующую информацию:

    • Атрибут ресурса календаря — Укажите атрибуты, которые GCDS использует при генерации ресурсов календаря LDAP.

      Важно : GCDS не синхронизирует атрибуты ресурсов календаря, содержащие пробелы или символы, такие как знак «@» или двоеточие (:). Для получения дополнительной информации об именовании ресурсов календаря перейдите к разделу «Рекомендации по именованию ресурсов для Google Календаря» .

    • Правила поиска — Укажите, какие ресурсы календаря следует импортировать и синхронизировать, используя нотацию LDAP-запроса .
      Вы можете изменить правило поиска с помощью правила исключения.
    • Правила исключения — Если на вашем сервере каталогов LDAP есть какие-либо ресурсы календаря, соответствующие вашим правилам поиска, но которые не должны быть добавлены в вашу учетную запись Google, добавьте правило исключения. Подробности см. в разделе «Использование правил исключения» .

    Лицензии синхронизации

    На странице «Лицензии» в Configuration Manager настройте синхронизацию лицензий GCDS для пользователей в вашей учетной записи Google. Подробности см. в разделе «Управление и назначение лицензий» .

    Шаг 3: Проверьте синхронизацию.

    Настройте уведомления

    На странице «Уведомления» в диспетчере конфигурации укажите подробные сведения о вашем почтовом сервере и отправьте уведомления по электронной почте после синхронизации.

    При каждой синхронизации GCDS отправляет уведомление на один или несколько адресов электронной почты, указанных вами в поле «Кому» . После ввода каждого адреса нажмите кнопку «Добавить» .

    Нажмите «Тестовое уведомление» , чтобы отправить тестовое сообщение на указанные вами адреса.

    Задайте параметры для ведения журнала.

    На странице «Ведение журнала » в Configuration Manager укажите имя файла и требуемый уровень детализации журнала.

    Проверьте настройки синхронизации.

    На странице «Синхронизация» в Диспетчере конфигурации нажмите «Имитировать синхронизацию» , чтобы проверить настройки.

    Запуск имитированной синхронизации не обновляет и не изменяет данные вашего LDAP-сервера или учетные записи пользователей в вашей учетной записи Google. Имитация предназначена только для проверки и тестирования ваших настроек. Во время имитации Configuration Manager:

    • Подключается к вашей учетной записи Google и LDAP-серверу и генерирует список пользователей, групп и общих контактов.
    • Составляет список различий между учетными записями Google и LDAP.
    • Регистрирует все события

    Если моделирование пройдет успешно, Configuration Manager сгенерирует отчет, показывающий изменения, которые были бы внесены в ваши данные Google. Когда вы убедитесь в правильности конфигурации, вы готовы запустить синхронизацию.


    Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.