Синхронизация групп и пользователей с источником удостоверений Cloud Search

С помощью Google Cloud Search вы можете сопоставлять идентификаторы пользователей из сторонних хранилищ, используя источник идентификации. Вы можете хранить идентификаторы пользователей на сервере LDAP, например, в Microsoft Active Directory. Для синхронизации групп Active Directory с источником идентификации можно использовать Google Cloud Directory Sync (GCDS).

Если идентификаторы пользователей, которые вы синхронизируете, определены конкретными правилами поиска и исключения, то примените пользовательскую схему к группе пользователей, используя, например, сектор, в котором они работают, или тип должности.

• Прежде чем начать
• Шаг 1: Включите группы, сопоставленные с идентификаторами.
• Шаг 2: Добавьте группы для синхронизации.
• Шаг 3: Синхронизация учетных данных пользователей с Cloud Search.
• Шаг 4: Запланируйте синхронизацию.
• Шаг 5: Выберите схему кодирования для бинарных атрибутов (необязательно)

Прежде чем начать

• Для синхронизации данных из Active Directory перейдите в раздел «О функции синхронизации каталогов Google Cloud» .
• Чтобы создать учетную запись службы и ее учетные данные, перейдите в раздел «Создать учетные данные доступа» .
• Чтобы создать источник идентификации в консоли администратора Google, скопируйте идентификатор источника идентификации. Подробности см. в разделе «Сопоставление идентификаторов пользователей в Cloud Search» .
• Ознакомьтесь с информацией об использовании правил поиска , правил исключения и пользовательских схем .

Шаг 1: Включите группы, сопоставленные с идентификаторами.

1. Если вы используете Linux, из каталога установки введите следующую команду:

   $ ./config-manager --enable-img
   

2. Если вы используете Windows, введите следующую команду:

   > config-manager.exe --enable-im
   

3. Откройте Диспетчер конфигураций .

4. Сбоку нажмите «Общие настройки» .

5. Установите флажок «Группы, сопоставленные по идентификаторам» .

Шаг 2: Добавьте группы для синхронизации.

1. Откройте Диспетчер конфигураций .
2. Сбоку нажмите «Группы, сопоставленные по идентификаторам» .
3. На вкладке «Правила поиска» введите:
   • Идентификатор источника идентификации (включая часть строки "identitysources/")
   • путь к файлу учетной записи службы
4. Нажмите «Добавить правило поиска» и введите следующую информацию:
   • Объем
   • Правило
   • Групповые атрибуты
5. Нажмите ОК .
6. (Необязательно) Чтобы проверить правило поиска после его добавления, нажмите «Проверить LDAP-запрос» .
7. (Необязательно) Чтобы добавить дополнительные правила поиска, выполните действия, описанные в разделе «Добавление правила поиска LDAP». Подробности см. в разделе «Использование правил поиска LDAP для синхронизации данных» .
8. (Необязательно) Чтобы исключить группы, перейдите на вкладку «Правила исключения» и добавьте новое правило исключения. Подробности см. в разделе «Исключение данных с помощью правил и запросов исключения» .

Шаг 3: Синхронизация учетных данных пользователей с Cloud Search.

1. Откройте диспетчер конфигураций.
2. Сбоку нажмите «Пользовательские схемы» .

3. Нажмите «Добавить схему» и выберите нужный вариант:

   • Определите пользовательские правила поиска

   • Правила для пользователей определены в разделе «Учетные записи пользователей».

     Для получения более подробной информации перейдите в раздел «Синхронизация пользовательских полей с использованием пользовательской схемы» .

4. В поле «Имя схемы» введите идентификатор источника идентификации. Не включайте «identitysources» в идентификатор.

5. В поле «Имя поля LDAP» введите имя поля LDAP, содержащего внешний идентификатор пользователя. Например, это идентификатор, используемый в субъектах пользователей Cloud Search, в следующем формате:

   identitysources/source-id/users/user-identifier

6. В поле «Имя поля Google» введите идентификатор источника идентификации, к которому добавлено _identifier . Например, если идентификатор источника идентификации — 02b392ce3a23 , введите 02b392ce3a23_identifier .

7. Для типа поля Google выберите «Строка» и убедитесь, что поле содержит только одно значение.

8. Нажмите ОК .

Для получения более подробной информации перейдите по ссылке «Создание источника идентификации» .

Шаг 4: Запланируйте синхронизацию.

1. Откройте Диспетчер конфигураций .
2. Сбоку нажмите «Синхронизация» .

Вы можете имитировать синхронизацию или сохранить свои настройки. Узнайте, как автоматизировать процесс синхронизации .

Шаг 5: Выберите схему кодирования для бинарных атрибутов (необязательно)

Если в качестве имени группы или адреса электронной почты пользователя используется бинарный атрибут (например, objectSid или objectGUID), он преобразуется в строку с использованием схемы кодирования. Поддерживаются следующие схемы кодирования:

• Система счисления по основанию 16 (шестнадцатеричная система)
• Основание 32
• Основание 32, гексагональная система счисления
• База 64
• URL в формате Base64

Если вы хотите изменить схему кодирования, обновите файл конфигурации вручную:

1. Откройте файл конфигурации и в разделе <identityMappedGroupBasicConfig> найдите <binaryAttributesEncoding> .
2. Если <binaryAttributesEncoding> отсутствует, значит, используется устаревшая схема кодирования base64. В разделе <identityMappedGroupBasicConfig> добавьте <binaryAttributesEncoding> .

3. Обновите значение <binaryAttributesEncoding> , выбрав один из следующих вариантов:

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

Пример :

<identityMappedGroupBasicConfig>
    <identitySourceId>identitysources/...</identitySourceId>
    <serviceAccountFilePath>....</serviceAccountFilePath>
    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>
</identityMappedGroupBasicConfig>