將群組和使用者同步至 Cloud Search 識別資訊來源

您可以使用 Google Cloud Search 的識別資訊來源，對應第三方存放區的使用者識別資訊；並可將使用者身分資訊儲存在 LDAP 伺服器 (例如 Microsoft Active Directory) 中。如要將 Active Directory 群組與識別資訊來源保持同步，您可以使用 Google Cloud Directory Sync (GCDS)。

如果您要同步處理的使用者 ID 是由特定的搜尋與排除規則所定義，請根據使用者所屬的產業或職業類型等，將自訂結構定義套用至一組使用者。

• 事前準備
• 步驟 1：啟用識別資訊對應群組
• 步驟 2：新增要同步處理的群組
• 步驟 3：將使用者識別資訊同步至 Cloud Search
• 步驟 4：安排同步處理時程
• 步驟 5：為二進制屬性選取編碼架構 (選用)

事前準備

• 如要同步處理 Active Directory 中的資料，請參閱「關於 Google Cloud Directory Sync」。
• 如要建立服務帳戶和相關憑證，請參閱「建立存取憑證」。
• 如要在 Google 管理控制台中建立識別資訊來源，請複製識別資訊來源 ID。詳情請參閱「在 Cloud Search 中對應使用者識別資訊」。
• 請參閱相關資訊，瞭解如何使用搜尋規則、排除規則和自訂架構。

步驟 1：啟用識別資訊對應群組

1. 如果使用 Linux，請在安裝目錄中輸入以下指令：

   $ ./config-manager --enable-img
   

2. 如果使用 Windows，請輸入下列指令：

   > config-manager.exe --enable-im
   

3. 開啟「設定管理員」。

4. 按一下側邊的「一般設定」。

5. 勾選「識別資訊對應群組」方塊。

步驟 2：新增要同步處理的群組

1. 開啟「設定管理員」。
2. 按一下側邊的「識別資訊對應群組」。
3. 在「搜尋規則」分頁中輸入：
   • 識別資訊來源 ID (包含字串的「identitysources/」部分)
   • 服務帳戶檔案路徑
4. 按一下「新增搜尋規則」並輸入下列資訊：
   • 範圍
   • 規則
   • 群組屬性
5. 按一下「確定」。
6. (選用) 如要在新增搜尋規則後進行測試，請按一下「測試 LDAP 查詢」。
7. (選用) 如要新增更多搜尋規則，請按照新增 LDAP 搜尋規則的步驟操作。詳情請參閱「使用 LDAP 搜尋規則同步處理資料」。
8. (選用) 如要排除群組，請按一下「排除規則」分頁標籤，然後新增排除規則。詳情請參閱「運用排除規則和查詢略過資料」。

步驟 3：將使用者識別資訊同步至 Cloud Search

1. 開啟「設定管理員」。
2. 按一下側邊的「自訂結構定義」。

3. 按一下「新增結構定義」，然後選取下列任一選項：

   • 定義自訂搜尋規則

   • 「使用者帳戶」中定義的使用者規則

     詳情請參閱「使用自訂架構同步處理自訂使用者欄位」。

4. 在「Schema name」(架構名稱) 中輸入識別資訊來源 ID。請勿在 ID 中加入「identitysources」。

5. 在「LDAP field name」(LDAP 欄位名稱) 中輸入含有外部使用者 ID 的 LDAP 欄位名稱。舉例來說，這是 Cloud Search 使用者主體使用的 ID，格式如下：

   identitysources/source-id/users/user-identifier

6. 在「Google field name」中輸入識別資訊來源 ID，並在結尾加上「_identifier」。舉例來說，如果識別資訊來源 ID 為 02b392ce3a23，請輸入 02b392ce3a23_identifier。

7. 為「Google field type」(Google 欄位類型) 選取「String」(字串)，並確認該欄位只有一個值。

8. 按一下「確定」。

詳情請參閱「建立身分識別來源」。

步驟 4：安排同步處理時程

1. 開啟「設定管理員」。
2. 按一下側邊的「同步」。

您可以模擬同步處理作業或儲存您的設定。瞭解如何自動執行同步處理程序。

步驟 5：為二進制屬性選取編碼架構 (選用)

如果您使用二進制屬性 (例如 objectSid 或 objectGUID) 做為群組名稱或使用者電子郵件的屬性，系統會利用編碼架構將該屬性轉換成字串。支援的編碼架構如下：

• Base 16 (十六進位)
• Base 32
• Base 32 Hex
• Base 64
• Base 64 網址

如要變更編碼架構，請手動更新設定檔：

1. 開啟設定檔，然後在 <identityMappedGroupBasicConfig> 標籤下方尋找 <binaryAttributesEncoding>。
2. 如果找不到「<binaryAttributesEncoding>」，表示您使用的是舊版 Base64 編碼架構。在 <identityMappedGroupBasicConfig> 下方新增 <binaryAttributesEncoding>。

3. 將 <binaryAttributesEncoding> 更新為下列其中一個選項：

   • BASE16
   • BASE32_NOPADDING
   • BASE32_HEX_NOPADDING
   • BASE64_URL_NOPADDING

範例：

<identityMappedGroupBasicConfig>
    <identitySourceId>identitysources/...</identitySourceId>
    <serviceAccountFilePath>....</serviceAccountFilePath>
    <binaryAttributesEncoding>BASE16</binaryAttributesEncoding>
</identityMappedGroupBasicConfig>