Synchronizowanie danych przy użyciu reguł wyszukiwania LDAP

Za pomocą reguł wyszukiwania LDAP możesz synchronizować dane z serwera katalogowego LDAP z kontem Google Twojej organizacji przy użyciu Google Cloud Directory Sync (GCDS). Po dodaniu reguły wyszukiwania dane zgodne z regułą wyszukiwania są synchronizowane podczas następnej synchronizacji. Dane, które nie są zgodne z regułą wyszukiwania, są usuwane.

Ważne: Google nie debuguje zapytań LDAP ani nie zapewnia wsparcia dla nich.

Podstawowa składnia zapytań LDAP

Możesz utworzyć dowolne zapytanie wyszukiwania LDAP, które jest zgodne ze standardem RFC 2254.

Operator Znak Użyj
Równa się = Tworzy filtr, który wymaga, aby w polu była podana konkretna wartość.
Dowolna * Przedstawia pole, które może mieć dowolną wartość oprócz NULL.
Nawiasy ( ) Oddziela filtry, aby umożliwić działanie innych operatorów logicznych.
I i Łączy filtry. Wszystkie warunki w serii muszą być spełnione.
Lub | Łączy filtry. Co najmniej jeden warunek w serii musi być spełniony.
Nie ! Wyklucza wszystkie obiekty zgodne z filtrem.

Dodawanie reguł wyszukiwania LDAP

Te kroki możesz zastosować do dowolnych reguł wyszukiwania.

  1. W Menedżerze konfiguracji otwórz Konta użytkowników Reguły wyszukiwania.
  2. Kliknij Dodaj regułę wyszukiwania.
  3. W menu wybierz opcję wyboru zakresu reguły wyszukiwania:
    • Sub-tree (Poddrzewo) – reguła wyszukiwania ma zastosowanie do obiektu podstawowej nazwy wyróżniającej i wszystkich jego obiektów podrzędnych.
    • One-level (Jeden poziom) – reguła wyszukiwania ma zastosowanie do obiektów podrzędnych, które znajdują się bezpośrednio pod obiektem podstawowej nazwy wyróżniającej, ale nie do samej podstawowej nazwy wyróżniającej.
    • Object (Obiekt) – reguła wyszukiwania ma zastosowanie tylko do obiektu podstawowej nazwy wyróżniającej.
  4. W polu Rule (Reguła) wpisz regułę wyszukiwania, korzystając ze składni zapytania LDAP. Zobacz przykłady poniżej.
  5. W sekcji Podstawowa nazwa wyróżniająca wybierz opcję:
    • Wpisz podstawową nazwę wyróżniającą.
    • Aby użyć podstawowej nazwy wyróżniającej określonej na stronie LDAP Connection (Połączenie LDAP), pozostaw to pole puste.

  6. Aby sprawdzić wyniki znalezione po użyciu danego zapytania, kliknij Test LDAP Query (Przetestuj zapytanie LDAP).

    Możesz sprawdzić liczbę znalezionych obiektów i 5 pierwszych wyników. Wyniki nie obejmują użytkowników bez adresów e-mail.

  7. Kliknij OK.

  8. (Opcjonalnie) Aby dodać kolejną regułę wyszukiwania, powtórz te czynności.

Wykluczanie danych z reguły wyszukiwania

Reguły wykluczania

Za pomocą reguł wykluczania możesz pominąć dane na serwerze katalogowym LDAP, których nie chcesz synchronizować z kontem Google Twojej organizacji. W regule wyszukiwania LDAP możesz na przykład określić, że synchronizacja ma obejmować wszystkie adresy e-mail. Następnie za pomocą reguły wykluczania zignorować wszystkie wiadomości, które zaczynają się od danego ciągu znaków.

Zapytania użytkowników

W przypadku zapytań dotyczących użytkowników GCDS identyfikuje użytkowników na koncie Google pasujących do wyników znalezionych po użyciu danego zapytania. Jeśli konto użytkownika Google nie jest zgodne z wynikami, GCDS przeprowadza synchronizację tak, jakby konto użytkownika nie istniało.

Jeśli korzystasz z zapytania dotyczącego użytkowników, upewnij się, że reguły wyszukiwania LDAP nie zwracają kont użytkowników, które znajdują się w Google, ale nie zostały uwzględnione w wynikach zapytań. W przeciwnym razie GCDS spróbuje utworzyć konta użytkowników podczas każdej synchronizacji.

Na przykład adres yuri@altostrat.com, który znajduje się na koncie Google, jest też zwracany w regule wyszukiwania LDAP. Jeśli użyjesz email:m* jako zapytania dotyczącego użytkowników, GCDS spróbuje utworzyć adres yuri@altostrat.com podczas każdej synchronizacji, ponieważ yuri@altostrat.com nie zaczyna się od litery m.

Więcej informacji znajdziesz w artykule Pomijanie danych za pomocą reguł wykluczania i zapytań.

Przykłady zapytań LDAP i reguł wyszukiwania

Poniższe przykłady są ogólne i mogą nie mieć zastosowania w Twoim środowisku. Podziały wiersza służą jedynie do formatowania strony.

Podstawowe zapytania LDAP

  • Wszystkie obiekty (może powodować problemy z ładowaniem)

    objectClass=*

  • Wszystkie obiekty użytkowników wyznaczone jako „person” (osoba)

    (&(objectClass=user)(objectCategory=person))

  • Tylko listy adresowe

    (objectCategory=group)

  • Tylko foldery publiczne

    (objectCategory=publicfolder)

  • Wszystkie obiekty użytkowników oprócz tych, których podstawowe adresy e-mail zaczynają się od słowa „test”

    (&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))

  • Wszystkie obiekty użytkowników oprócz tych, których podstawowe adresy e-mail kończą się słowem „test”

    (&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))

  • Wszystkie obiekty użytkowników oprócz tych, których podstawowe adresy e-mail zawierają słowo „test”

    &(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))

Konkretne zapytania LDAP

  • Wszystkie obiekty użytkowników i aliasów, które są wyznaczone jako „person” (osoba) i należą do grupy lub listy dystrybucyjnej

    (|(&(objectClass=user)(objectCategory=person))(objectCategory=group))

  • Wszystkie obiekty użytkowników, które są wyznaczone jako „person” (osoba), wszystkie obiekty grup i wszystkie kontakty, oprócz tych, dla których dowolna wartość jest zdefiniowana jako „extensionAttribute9”

    (&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))

  • Wszystkich użytkowników należących do grupy identyfikowanej przez nazwę wyróżniającą „CN=Group,OU=Users,DC=Domain,DC=com”

    (&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))

  • Zwraca wszystkich użytkowników
    • W przypadku Active Directory: (&(objectCategory=person)(objectClass=user))
    • W przypadku OpenLDAP: (objectClass=inetOrgPerson)
    • W przypadku HCL Domino: (objectClass=dominoPerson)
  • Wszystkie obiekty z adresem e-mail wyznaczonym jako „person” (osoba) lub „group” (grupa) (w katalogu LDAP Domino)

    (&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))

  • Wszystkich aktywnych (niewyłączonych) użytkowników, którzy mają adresy e-mail w Active Directory

    (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

  • Wszystkich użytkowników należących do Group_1 lub Group_2 zgodnie z definicją nazwy wyróżniającej grupy

    (&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))

  • Wszystkich użytkowników, których atrybut extensionAttribute1 ma wartość „Engineering” (Techniczny) lub „Sales” (Sprzedaż)

    (&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))

  • Cyklicznie pobieraj członków grupy zagnieżdżonych w określonej grupie w Active Directory

    (&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))

  • Zapytanie dotyczące członkostwa w grupie za pomocą ObjectGUID w Active Directory. Wartość szesnastkowa atrybutu ObjectGUID grupy to 4e542fe785b1bb274e542fe785b1bb27

    (&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))

Optymalizowanie reguł wyszukiwania

Możesz zoptymalizować reguły wyszukiwania, aby zwiększyć wydajność synchronizacji.

Przykład 1. Zwraca użytkowników z adresem e-mail Przypadek użycia
User search rule (Reguła wyszukiwania użytkowników): (&(objectClass=user)(objectCategory=person)(mail=*)) Zamiast używać reguły podstawowej, która zwraca wszystkich użytkowników, zoptymalizuj regułę za pomocą zapytania mail=. Synchronizacja działa wydajniej, ponieważ serwer LDAP i GCDS nie muszą przetwarzać wpisów, które zostałyby odrzucone.
Przykład 2. Zwraca użytkowników, których adres e-mail pasuje do ciągu znaków Przypadek użycia
User search rule (Reguła wyszukiwania użytkowników): (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) Zamiast stosować regułę podstawową i regułę wykluczania, która zwraca wszystkich użytkowników z adresem e-mail bez grupy adresowej sprzedaż, użyj reguły zoptymalizowanej z pasującym ciągiem znaków. Serwer LDAP i GCDS nie muszą przetwarzać wpisów, które zostałyby odrzucone. Nie musisz konfigurować reguły wykluczania ani wybierać priorytetu.

Przygotowywanie katalogu LDAP


Google, Google Workspace i inne powiązane nazwy są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.