Synchronizowanie grup i użytkowników ze źródła tożsamości Cloud Search

Dzięki Google Cloud Search możesz mapować tożsamości użytkowników z repozytoriów innych firm za pomocą źródła tożsamości. Tożsamości użytkowników możesz przechowywać na serwerze LDAP, takim jak Microsoft Active Directory. Do synchronizowania grup Active Directory ze źródłem tożsamości możesz używać Google Cloud Directory Sync (GCDS).

Jeśli identyfikatory użytkowników, które synchronizujesz, są zdefiniowane przez określone reguły wyszukiwania i wykluczania, zastosuj schemat niestandardowy do konkretnego zestawu kont użytkowników, korzystając np. z sektora, w którym pracują, lub typu stanowiska.

• Zanim zaczniesz
• Krok 1. Włącz grupy z mapowaniem tożsamości
• Krok 2. Dodaj grupy do synchronizacji
• Krok 3. Zsynchronizuj tożsamości użytkowników z Cloud Search
• Krok 4. Zaplanuj synchronizację
• Krok 5. Wybierz schemat kodowania dla atrybutów binarnych (opcjonalnie)

Zanim zaczniesz

• Aby zsynchronizować dane z Active Directory, zapoznaj się z artykułem Informacje o Google Cloud Directory Sync.
• Aby utworzyć konto usługi wraz z danymi logowania, otwórz artykuł poświęcony tworzeniu danych logowania.
• Aby utworzyć źródło tożsamości w konsoli administracyjnej Google, skopiuj identyfikator źródła tożsamości. Szczegółowe informacje znajdziesz w artykule Mapowanie tożsamości użytkowników w Cloud Search.
• Sprawdź informacje dotyczące korzystania z reguł wyszukiwania, reguł wykluczania i schematów niestandardowych.

Krok 1. Włącz grupy z mapowaniem tożsamości

1. Jeśli używasz systemu Linux, w katalogu instalacji wpisz to polecenie:

   $ ./config-manager --enable-img
   

2. Jeśli używasz systemu Windows, wpisz to polecenie:

   > config-manager.exe --enable-im
   

3. Otwórz Menedżera konfiguracji.

4. Z boku kliknij Ustawienia ogólne.

5. Zaznacz pole Grupy z mapowaniem tożsamości.

Krok 2. Dodaj grupy do synchronizacji

1. Otwórz Menedżera konfiguracji.
2. Z boku kliknij Grupy z mapowaniem tożsamości.
3. Na karcie Search Rules (Reguły wyszukiwania) wpisz:
   • Identity source ID (Identyfikator źródła tożsamości) – dołącz fragment „identitysources/”.
   • Service account file path (Ścieżka do pliku konta usługi)
4. Kliknij Add Search Rule (Dodaj regułę wyszukiwania) i wpisz te informacje:
   • Zakres
   • Reguła
   • Atrybuty grupy
5. Kliknij OK.
6. (Opcjonalnie) Aby przetestować regułę wyszukiwania po jej dodaniu, kliknij Test LDAP Query (Przetestuj zapytanie LDAP).
7. (Opcjonalnie) Aby dodać więcej reguł wyszukiwania, wykonaj czynności opisane w sekcji Dodawanie reguł wyszukiwania LDAP artykułu Synchronizowanie danych przy użyciu reguł wyszukiwania LDAP. Szczegółowe informacje znajdziesz w artykule Synchronizowanie danych przy użyciu reguł wyszukiwania LDAP.
8. (Opcjonalnie) Aby wykluczyć grupy, kliknij kartę Reguły wykluczania i dodaj nową regułę wykluczania. Więcej informacji znajdziesz w artykule Pomijanie danych za pomocą reguł wykluczania i zapytań.

Krok 3. Zsynchronizuj tożsamości użytkowników z Cloud Search

1. Otwórz Menedżera konfiguracji.
2. Z boku kliknij Schematy niestandardowe.

3. Kliknij Dodaj schemat i wybierz opcję:

   • Zdefiniuj niestandardowe reguły wyszukiwania

   • Reguły użytkowników zdefiniowane na „kontach użytkowników”

     Więcej informacji znajdziesz w artykule Synchronizowanie niestandardowych pól użytkowników przy użyciu schematu niestandardowego.

4. W polu Schema name (Nazwa schematu) wpisz identyfikator źródła tożsamości. W identyfikatorze nie umieszczaj fragmentu „identitysources”.

5. W polu LDAP field name (Nazwa pola LDAP) wpisz nazwę pola LDAP, które zawiera Twój identyfikator użytkownika zewnętrznego. Jest to na przykład identyfikator używany w przypadku podmiotów zabezpieczeń użytkowników Cloud Search w postaci:

   identitysources/source-id/users/user-identifier

6. W polu Google field name (Nazwa pola Google) wpisz identyfikator źródła tożsamości z przyrostkiem _identifier. Jeśli na przykład identyfikator źródła tożsamości to 02b392ce3a23, wpisz 02b392ce3a23_identifier.

7. Jako Google field type (Typ pola Google) wybierz String (Ciąg). To pole może mieć tylko 1 wartość.

8. Kliknij OK.

Więcej informacji znajdziesz w artykule Tworzenie źródła tożsamości.

Krok 4. Zaplanuj synchronizację

1. Otwórz Menedżera konfiguracji.
2. Z boku kliknij Synchronizuj.

Możesz przeprowadzić symulację synchronizacji lub zapisać ustawienia. Dowiedz się, jak zautomatyzować proces synchronizacji.

Krok 5. Wybierz schemat kodowania dla atrybutów binarnych (opcjonalnie)

Jeśli jako atrybutów nazwy grupy lub adresu e-mail użytkownika używasz atrybutów binarnych (takich jak objectSid lub objectGUID), są one przekształcane w ciąg znaków przy użyciu schematu kodowania. Obsługiwane schematy kodowania:

• Base 16 (szesnastkowy),
• Base 32
• Base 32 Hex,
• Base 64,
• Base 64 URL

Jeśli chcesz zmienić schemat kodowania, musisz ręcznie zaktualizować plik konfiguracji:

1. Otwórz plik konfiguracji i pod tagiem <identityMappedGroupBasicConfig> znajdź tag <binaryAttributesEncoding>.
2. Jeśli nie widzisz tagu <binaryAttributesEncoding>, oznacza to, że korzystasz ze starszego schematu kodowania base64. W sekcji <identityMappedGroupBasicConfig> dodaj <binaryAttributesEncoding>.

3. Zaktualizuj tag <binaryAttributesEncoding>, dodając do niego jedną z tych opcji:

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

Przykład:

<identityMappedGroupBasicConfig>
    <identitySourceId>identitysources/...</identitySourceId>
    <serviceAccountFilePath>....</serviceAccountFilePath>
    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>
</identityMappedGroupBasicConfig>