Đồng bộ hoá nhóm và người dùng với một nguồn nhận dạng Cloud Search

Với Google Cloud Search, bạn có thể ánh xạ danh tính người dùng từ các kho lưu trữ bên thứ ba bằng cách sử dụng một nguồn danh tính. Bạn có thể lưu trữ danh tính người dùng trong một máy chủ LDAP, chẳng hạn như Microsoft Active Directory. Để đồng bộ hoá các nhóm Active Directory với nguồn nhận dạng, bạn có thể sử dụng Google Cloud Directory Sync (GCDS).

Nếu mã nhận dạng người dùng mà bạn đang đồng bộ hoá được xác định theo các quy tắc tìm kiếm và loại trừ cụ thể, hãy áp dụng một giản đồ tuỳ chỉnh cho một nhóm người dùng bằng cách sử dụng, chẳng hạn như ngành mà họ làm việc hoặc loại công việc.

• Trước khi bắt đầu
• Bước 1: Bật nhóm được ánh xạ danh tính
• Bước 2: Thêm các nhóm cần đồng bộ hoá
• Bước 3: Đồng bộ hoá danh tính người dùng với Cloud Search
• Bước 4: Lên lịch đồng bộ hoá
• Bước 5: Chọn sơ đồ mã hoá cho các thuộc tính nhị phân (Không bắt buộc)

Trước khi bắt đầu

• Để đồng bộ hoá dữ liệu từ Active Directory, hãy xem phần Giới thiệu về Google Cloud Directory Sync.
• Để tạo tài khoản dịch vụ và thông tin xác thực của tài khoản đó, hãy chuyển đến phần Tạo thông tin xác thực để truy cập.
• Để tạo một nguồn nhận dạng trong Bảng điều khiển dành cho quản trị viên của Google, hãy sao chép mã nguồn nhận dạng. Để biết thông tin chi tiết, hãy xem bài viết Ánh xạ danh tính người dùng trong Cloud Search.
• Xem xét thông tin để sử dụng quy tắc tìm kiếm, quy tắc loại trừ và lược đồ tuỳ chỉnh.

Bước 1: Bật nhóm được ánh xạ danh tính

1. Nếu bạn đang sử dụng Linux, hãy nhập lệnh sau trong thư mục cài đặt:

   $ ./config-manager --enable-img
   

2. Nếu bạn đang sử dụng Windows, hãy nhập lệnh sau:

   > config-manager.exe --enable-im
   

3. Mở Configuration Manager (Trình quản lý cấu hình).

4. Ở bên cạnh, hãy nhấp vào Cài đặt chung.

5. Đánh dấu vào hộp Nhóm được ánh xạ danh tính.

Bước 2: Thêm các nhóm cần đồng bộ hoá

1. Mở Configuration Manager (Trình quản lý cấu hình).
2. Ở bên cạnh, hãy nhấp vào Nhóm được liên kết với danh tính.
3. Trên thẻ Quy tắc tìm kiếm, hãy nhập:
   • Mã nguồn nhận dạng (bao gồm cả phần "identitysources/" trong chuỗi)
   • Đường dẫn tệp tài khoản dịch vụ
4. Nhấp vào Thêm quy tắc tìm kiếm rồi nhập các thông tin sau:
   • Phạm vi
   • Quy tắc
   • Thuộc tính nhóm
5. Nhấp vào OK.
6. (Không bắt buộc) Để kiểm tra quy tắc tìm kiếm sau khi thêm, hãy nhấp vào Kiểm tra truy vấn LDAP.
7. (Không bắt buộc) Để thêm các quy tắc tìm kiếm khác, hãy làm theo các bước trong phần Thêm quy tắc tìm kiếm LDAP. Để biết chi tiết, hãy xem bài viết Sử dụng quy tắc tìm kiếm LDAP để đồng bộ hoá dữ liệu.
8. (Không bắt buộc) Để loại trừ các nhóm, hãy nhấp vào thẻ Quy tắc loại trừ rồi thêm một quy tắc loại trừ mới. Để biết thông tin chi tiết, hãy xem bài viết Bỏ qua dữ liệu bằng các quy tắc và truy vấn loại trừ.

Bước 3: Đồng bộ hoá danh tính người dùng với Cloud Search

1. Mở Configuration Manager (Trình quản lý cấu hình).
2. Ở bên cạnh, hãy nhấp vào Lược đồ tuỳ chỉnh.

3. Nhấp vào Thêm giản đồ rồi chọn một lựa chọn:

   • Xác định quy tắc tìm kiếm tuỳ chỉnh

   • Quy tắc người dùng được xác định trong "Tài khoản người dùng"

     Để biết thêm thông tin chi tiết, hãy xem bài viết Đồng bộ hoá các trường người dùng tuỳ chỉnh bằng lược đồ tuỳ chỉnh.

4. Đối với Tên giản đồ, hãy nhập mã nhận dạng nguồn nhận dạng. Không thêm "identitysources" vào mã nhận dạng.

5. Đối với Tên trường LDAP, hãy nhập trường LDAP chứa mã nhận dạng người dùng bên ngoài của bạn. Ví dụ: đây là giá trị nhận dạng được dùng trong các thực thể người dùng Cloud Search, theo biểu mẫu:

   identitysources/source-id/users/user-identifier

6. Đối với Tên trường của Google, hãy nhập mã nhận dạng nguồn danh tính được thêm _identifier. Ví dụ: nếu mã nhận dạng nguồn nhận dạng là 02b392ce3a23, hãy nhập 02b392ce3a23_identifier.

7. Đối với Loại trường của Google, hãy chọn Chuỗi và đảm bảo rằng trường chỉ có một giá trị.

8. Nhấp vào OK.

Để biết thêm thông tin, hãy chuyển đến phần Tạo nguồn nhận dạng.

Bước 4: Lên lịch đồng bộ hoá

1. Mở Configuration Manager (Trình quản lý cấu hình).
2. Ở bên cạnh, hãy nhấp vào Đồng bộ hoá.

Bạn có thể mô phỏng quá trình đồng bộ hoá hoặc lưu các chế độ cài đặt. Tìm hiểu cách tự động hoá quy trình đồng bộ hoá.

Bước 5: Chọn sơ đồ mã hoá cho các thuộc tính nhị phân (Không bắt buộc)

Nếu bạn sử dụng một thuộc tính nhị phân (chẳng hạn như objectSid hoặc objectGUID) làm thuộc tính tên nhóm hoặc email người dùng, thì thuộc tính đó sẽ được chuyển đổi thành một chuỗi bằng cách sử dụng một sơ đồ mã hoá. Các lược đồ mã hoá được hỗ trợ là:

• Cơ số 16 (Thập lục phân)
• Cơ số 32
• Base 32 Hex
• Base 64
• URL Base 64

Nếu bạn muốn thay đổi sơ đồ mã hoá, hãy cập nhật tệp cấu hình theo cách thủ công:

1. Mở tệp cấu hình và trong thẻ <identityMappedGroupBasicConfig>, hãy tìm <binaryAttributesEncoding>.
2. Nếu không có <binaryAttributesEncoding>, tức là bạn đang dùng phương thức mã hoá base 64 cũ. Trong <identityMappedGroupBasicConfig>, hãy thêm <binaryAttributesEncoding>.

3. Cập nhật <binaryAttributesEncoding> bằng một trong các lựa chọn sau:

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

Ví dụ:

<identityMappedGroupBasicConfig>
    <identitySourceId>identitysources/...</identitySourceId>
    <serviceAccountFilePath>....</serviceAccountFilePath>
    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>
</identityMappedGroupBasicConfig>