Puedes usar reglas de búsqueda de LDAP para sincronizar datos desde tu servidor de directorio LDAP a la Cuenta de Google de tu organización con Google Cloud Directory Sync (GCDS). Cuando agregas una regla de búsqueda, los datos que coinciden con ella se sincronizan durante la próxima sincronización. Se quitan los datos que no coinciden con la regla de búsqueda.
Importante: Google no depura ni brinda asistencia para las consultas de LDAP.
Sintaxis básica de consultas LDAP
Puedes crear cualquier consulta de búsqueda de LDAP personalizada, siempre que cumpla con la RFC 2254.
| Operador | Carácter | Usar |
|---|---|---|
| Es igual a | = | Crea un filtro que requiere que un campo tenga un valor determinado. |
| Cualquiera | * | Representa un campo que puede ser igual a cualquier valor, excepto NULL. |
| Paréntesis | ( ) | Separa los filtros para permitir que funcionen otros operadores lógicos. |
| y | y | Une filtros. Todas las condiciones de la serie deben ser verdaderas. |
| O | | | Une filtros. Al menos una condición de la serie debe ser verdadera. |
| No | ! | Excluye todos los objetos que coinciden con el filtro. |
Cómo agregar una regla de búsqueda de LDAP
Puedes seguir estos pasos para cualquier tipo de regla de búsqueda.
- En el Administrador de configuración, ve a Cuentas de usuario
Buscar reglas. - Haz clic en Agregar regla de búsqueda.
- En el menú, elige una opción para seleccionar el alcance de la regla de búsqueda:
- Sub-tree: La regla de búsqueda se aplica al objeto DN base y a todos sus objetos secundarios.
- Un nivel: La regla de búsqueda se aplica a los elementos secundarios inmediatos del objeto DN base, pero excluye el DN base en sí.
- Objeto: La regla de búsqueda se aplica solo al objeto DN base.
- En Regla, ingresa la regla de búsqueda con la sintaxis de la consulta de búsqueda de LDAP. Consulte los ejemplos que se mencionan a continuación.
- En DN base, elige una opción:
- Ingresa el DN base.
- Deja el campo en blanco para usar el DN base especificado en la página LDAP Connection.
Haz clic en Test LDAP Query para verificar los resultados de tu consulta.
Puedes revisar la cantidad de objetos encontrados y los primeros 5 resultados. Los resultados no incluyen a los usuarios sin dirección de correo electrónico.
Haz clic en Aceptar.
Para agregar otra regla de búsqueda, repite los pasos (opcional).
Cómo excluir datos de una regla de búsqueda
Reglas de exclusión
Puedes usar reglas de exclusión para excluir los datos del servidor de directorio LDAP que no quieras sincronizar con la Cuenta de Google de tu organización. Por ejemplo, puedes usar una regla de búsqueda de LDAP para especificar que se deben sincronizar todas las direcciones de correo electrónico. Luego, usa una regla de exclusión para ignorar todas las direcciones de correo electrónico que comiencen con una determinada cadena.
Búsquedas de los usuarios
Con la búsqueda de un usuario, GCDS identifica a los usuarios de tu Cuenta de Google que coinciden con los resultados de la búsqueda. Si un usuario de Google no coincide con los resultados, GCDS realiza la sincronización como si el usuario no existiera.
Si usas una búsqueda de usuarios, asegúrate de que las reglas de búsqueda de LDAP no devuelvan usuarios que existan en Google, pero que no se incluyan en los resultados de la búsqueda. De lo contrario, GCDS intentará crear los usuarios durante cada sincronización.
Por ejemplo, yuri@altostrat.com existe en tu Cuenta de Google y también se muestra en la regla de búsqueda de LDAP. Si usas email:m* como la búsqueda de usuarios, GCDS intentará crear yuri@altostrat.com durante cada sincronización porque yuri@altostrat.com no comienza con la letra m.
Para obtener más detalles, consulta Cómo omitir datos con reglas y consultas de exclusión.
Ejemplos de reglas de búsqueda y consultas de LDAP
Los siguientes ejemplos son generales y es posible que no se apliquen a tu entorno. Los saltos de línea son solo para el formato de la página.
Consultas básicas de LDAP
- Todos los objetos (puede causar problemas de carga)
objectClass=*
- Todos los objetos de usuario designados como "persona"
(&(objectClass=user)(objectCategory=person))
- Solo listas de distribución
(objectCategory=group)
- Solo carpetas públicas
(objectCategory=publicfolder)
- Todos los objetos de usuario, excepto aquellos con direcciones de correo electrónico principales que comienzan con "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Todos los objetos de usuario, excepto aquellos con direcciones de correo electrónico principales que terminan en "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Todos los objetos de usuario, excepto aquellos con direcciones de correo electrónico principales que contengan la palabra "test"
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
Consultas LDAP específicas
- Todos los objetos de usuario y alias designados como "persona" y que forman parte de un grupo o una lista de distribución
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Todos los objetos de usuario designados como "persona", todos los objetos de grupo y todos los contactos, excepto aquellos con cualquier valor definido como "extensionAttribute9"
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Todos los usuarios que son miembros del grupo identificado por el DN "CN=Group,OU=Users,DC=Domain,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Devuelve todos los usuarios.
- Para Active Directory: (&(objectCategory=person)(objectClass=user))
- Para OpenLDAP: (objectClass=inetOrgPerson)
- Para HCL Domino: (objectClass=dominoPerson)
- Todos los objetos con la dirección de correo designada como "persona" o "grupo" (en un directorio LDAP de Domino)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Todos los usuarios activos (no inhabilitados) que tienen direcciones de correo electrónico en Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Todos los usuarios que son miembros del grupo_1 o del grupo_2, según lo define el DN del grupo
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Todos los usuarios que tienen el valor de extensionAttribute1 como "Engineering" o "Sales"
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Recupera de forma recursiva los miembros del grupo anidados en el grupo especificado en Active Directory.
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Consulta de pertenencia a grupos con ObjectGUID en Active Directory. El valor hexadecimal del atributo ObjectGUID de un grupo es 4e542fe785b1bb274e542fe785b1bb27.
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Optimiza tus reglas de búsqueda
Puedes optimizar las reglas de búsqueda para mejorar el rendimiento de la sincronización.
| Ejemplo 1: Usuarios que regresan con dirección de correo electrónico | Caso de uso |
|---|---|
| Regla de búsqueda de usuarios: (&(objectClass=user)(objectCategory=person)(mail=*)) | En lugar de usar una regla básica para devolver todos los usuarios, optimiza tu regla con la consulta mail=. La sincronización se realiza de manera más eficiente, ya que el servidor LDAP y GCDS no tienen que procesar entradas que, de lo contrario, se descartarían. |
| Ejemplo 2: Devolver usuarios con una cadena que coincida con la dirección de correo electrónico | Caso de uso |
|---|---|
| Regla de búsqueda del usuario: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | En lugar de usar una regla básica y una regla de exclusión para devolver todos los usuarios con una dirección de correo electrónico que no tenga ventas, usa una regla optimizada con una cadena coincidente. El servidor LDAP y GCDS no tienen que procesar entradas que, de otro modo, se descartarían. Además, no es necesario que configures una regla de exclusión ni que consideres el nivel de prioridad. |
Tema relacionado
Google, Google Workspace y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los demás nombres de productos y empresas son marcas de las empresas con las que se encuentran asociados.