Bạn có thể sử dụng quy tắc tìm kiếm LDAP để đồng bộ hoá dữ liệu từ máy chủ thư mục LDAP với Tài khoản Google của tổ chức bằng Google Cloud Directory Sync (GCDS). Khi bạn thêm một quy tắc tìm kiếm, dữ liệu khớp với quy tắc tìm kiếm đó sẽ được đồng bộ hoá trong lần đồng bộ hoá tiếp theo. Dữ liệu không khớp với quy tắc tìm kiếm sẽ bị xoá.
Quan trọng: Google không gỡ lỗi hoặc hỗ trợ cho các truy vấn LDAP.
Cú pháp truy vấn LDAP cơ bản
Bạn có thể tạo bất kỳ truy vấn tìm kiếm LDAP tuỳ chỉnh nào miễn là truy vấn đó tuân thủ RFC 2254.
| Đơn vị tổ chức | Ký tự | Sử dụng |
|---|---|---|
| Bằng | = | Tạo một bộ lọc yêu cầu một trường phải có một giá trị nhất định. |
| Bất kỳ | * | Biểu thị một trường có thể bằng bất kỳ giá trị nào, ngoại trừ giá trị NULL. |
| Dấu ngoặc đơn | ( ) | Phân tách các bộ lọc để cho phép các toán tử logic khác hoạt động. |
| và | & | Kết hợp các bộ lọc với nhau. Tất cả các điều kiện trong chuỗi phải đúng. |
| Hoặc | | | Kết hợp các bộ lọc với nhau. Ít nhất một điều kiện trong chuỗi phải đúng. |
| Không | ! | Loại trừ tất cả các đối tượng khớp với bộ lọc. |
Thêm quy tắc tìm kiếm LDAP
Bạn có thể sử dụng các bước này cho mọi loại quy tắc tìm kiếm.
- Trong Configuration Manager (Trình quản lý cấu hình), hãy chuyển đến User Accounts (Tài khoản người dùng)
Search Rules (Quy tắc tìm kiếm). - Nhấp vào Thêm quy tắc tìm kiếm.
- Trên trình đơn, hãy chọn một mục để chọn phạm vi của quy tắc tìm kiếm:
- Cây con – Quy tắc tìm kiếm áp dụng cho đối tượng DN cơ sở và tất cả các đối tượng con của đối tượng đó.
- Một cấp – Quy tắc tìm kiếm áp dụng cho các phần tử con trực tiếp của đối tượng tên phân biệt cơ sở nhưng loại trừ chính tên phân biệt cơ sở.
- Đối tượng – Quy tắc tìm kiếm chỉ áp dụng cho đối tượng DN cơ sở.
- Đối với Quy tắc, hãy nhập quy tắc tìm kiếm bằng cú pháp truy vấn tìm kiếm LDAP. Xem ví dụ bên dưới.
- Đối với Base DN, hãy chọn một cách:
- Nhập tên phân biệt cơ sở.
- Để trống trường này nếu bạn muốn sử dụng DN cơ sở được chỉ định trên trang Kết nối LDAP.
Nhấp vào Kiểm tra truy vấn LDAP để kiểm tra kết quả của truy vấn.
Bạn có thể xem số lượng đối tượng được tìm thấy và 5 kết quả đầu tiên. Kết quả không bao gồm những người dùng không có địa chỉ email.
Nhấp vào OK.
(Không bắt buộc) Để thêm một quy tắc tìm kiếm khác, hãy lặp lại các bước trên.
Loại trừ dữ liệu khỏi quy tắc tìm kiếm
Quy tắc loại trừ
Bạn có thể sử dụng các quy tắc loại trừ để loại trừ dữ liệu trên máy chủ thư mục LDAP mà bạn không muốn đồng bộ hoá với Tài khoản Google của tổ chức. Ví dụ: bạn có thể sử dụng quy tắc tìm kiếm LDAP để chỉ định rằng tất cả địa chỉ email đều phải được đồng bộ hoá. Sau đó, hãy sử dụng một quy tắc loại trừ để bỏ qua mọi địa chỉ email bắt đầu bằng một chuỗi nhất định.
Cụm từ tìm kiếm của người dùng
Với cụm từ tìm kiếm của người dùng, GCDS sẽ xác định những người dùng trong Tài khoản Google của bạn khớp với kết quả của cụm từ tìm kiếm đó. Nếu người dùng Google không khớp với kết quả, GCDS sẽ thực hiện quy trình đồng bộ hoá như thể người dùng đó không tồn tại.
Nếu bạn đang sử dụng cụm từ tìm kiếm của người dùng, hãy đảm bảo rằng các quy tắc tìm kiếm LDAP không trả về những người dùng có trong Google nhưng không có trong kết quả truy vấn. Nếu không, GCDS sẽ cố gắng tạo người dùng trong mỗi lần đồng bộ hoá.
Ví dụ: yuri@altostrat.com có trong Tài khoản Google của bạn và cũng được trả về trong quy tắc tìm kiếm LDAP. Nếu bạn sử dụng email:m* làm cụm từ tìm kiếm của người dùng, thì GCDS sẽ cố gắng tạo yuri@altostrat.com trong mỗi lần đồng bộ hoá vì yuri@altostrat.com không bắt đầu bằng chữ m.
Để biết thêm thông tin, hãy xem bài viết Bỏ qua dữ liệu bằng các quy tắc và truy vấn loại trừ.
Ví dụ về truy vấn LDAP và quy tắc tìm kiếm
Các ví dụ sau đây là ví dụ chung và có thể không áp dụng cho môi trường của bạn. Mọi dấu ngắt dòng chỉ dành cho việc định dạng trang.
Truy vấn LDAP cơ bản
- Tất cả các đối tượng (có thể gây ra vấn đề về tải)
objectClass=*
- Tất cả các đối tượng người dùng được chỉ định là "người"
(&(objectClass=user)(objectCategory=person))
- Chỉ danh sách gửi thư
(objectCategory=group)
- Chỉ thư mục công khai
(objectCategory=publicfolder)
- Tất cả các đối tượng người dùng, ngoại trừ những đối tượng có địa chỉ email chính bắt đầu bằng "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=test*)))
- Tất cả các đối tượng người dùng, ngoại trừ những đối tượng có địa chỉ email chính kết thúc bằng "test"
(&(&(objectClass=user)(objectCategory=person))(!(mail=*test)))
- Tất cả các đối tượng người dùng, ngoại trừ những đối tượng có địa chỉ email chính chứa từ "test"
&(&(objectClass=user)(objectCategory=person))(!(mail=*test*)))
Truy vấn LDAP cụ thể
- Tất cả các đối tượng người dùng và bí danh được chỉ định là "người" và là thành viên của một nhóm hoặc danh sách phân phối
(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))
- Tất cả các đối tượng người dùng được chỉ định là "người", tất cả các đối tượng nhóm và tất cả các đối tượng người liên hệ, ngoại trừ những đối tượng có bất kỳ giá trị nào được xác định là "extensionAttribute9"
(&(|(|(&(objectClass=user)(objectCategory=person))(objectCategory=group))(objectClass=contact))(!(extensionAttribute9=*)))
- Tất cả người dùng là thành viên của nhóm được xác định bằng DN "CN=Group,OU=Users,DC=Domain,DC=com"
(&(objectClass=user)(objectCategory=person)(memberof=CN=Group,OU=Users,DC=Domain,DC=com))
- Trả về tất cả người dùng
- Đối với Active Directory: (&(objectCategory=person)(objectClass=user))
- Đối với OpenLDAP: (objectClass=inetOrgPerson)
- Đối với HCL Domino: (objectClass=dominoPerson)
- Tất cả các đối tượng có địa chỉ thư được chỉ định là "người" hoặc "nhóm" (trong thư mục Domino LDAP)
(&(|(objectClass=dominoPerson)(objectClass=dominoGroup)(objectClass=dominoServerMailInDatabase))(mail=*))
- Tất cả người dùng đang hoạt động (không bị vô hiệu hoá) có địa chỉ email trong Active Directory
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- Tất cả người dùng là thành viên của Nhóm 1 hoặc Nhóm 2 theo định nghĩa của DN nhóm
(&(objectClass=user)(objectCategory=person)(|(memberof=CN=Group_1,cn=Users,DC=Domain,DC=com)(memberof=CN=Group_2,cn=Users,DC=Domain,DC=com)))
- Tất cả người dùng có giá trị extensionAttribute1 là "Engineering" hoặc "Sales"
(&(objectCategory=user)(|(extensionAttribute1=Engineering)(extensionAttribute1=Sales)))
- Truy xuất đệ quy các thành viên nhóm được lồng trong nhóm đã chỉ định trong Active Directory
(&(objectCategory=person)(objectClass=user)(memberOf:1.2.840.113556.1.4.1941:=CN=MyGroup,CN=Users,DC=domain,DC=com))
- Truy vấn tư cách thành viên của nhóm bằng ObjectGUID trong Active Directory. Giá trị thập lục phân của thuộc tính ObjectGUID của một nhóm là 4e542fe785b1bb274e542fe785b1bb27
(&(objectCategory=person)(objectClass=user)(memberOf=GUID=4e542fe785b1bb274e542fe785b1bb27))
Tối ưu hoá quy tắc tìm kiếm
Bạn có thể tối ưu hoá các quy tắc tìm kiếm để cải thiện hiệu suất đồng bộ hoá.
| Ví dụ 1: Trả về người dùng có địa chỉ email | Trường hợp sử dụng |
|---|---|
| Quy tắc tìm kiếm người dùng: (&(objectClass=user)(objectCategory=person)(mail=*)) | Thay vì sử dụng một quy tắc cơ bản để trả về tất cả người dùng, hãy tối ưu hoá quy tắc bằng cách sử dụng truy vấn mail=. Quá trình đồng bộ hoá diễn ra hiệu quả hơn vì máy chủ LDAP và GCDS không phải xử lý những mục nhập sẽ bị loại bỏ. |
| Ví dụ 2: Trả về người dùng có chuỗi khớp địa chỉ email | Trường hợp sử dụng |
|---|---|
| Quy tắc tìm kiếm người dùng: (&(objectClass=user)(objectCategory=person)(mail=*)(!(mail=sales*))) | Thay vì sử dụng một quy tắc cơ bản và một quy tắc loại trừ để trả về tất cả người dùng có địa chỉ email không chứa sales, hãy sử dụng một quy tắc được tối ưu hoá có chuỗi khớp. Máy chủ LDAP và GCDS không cần xử lý những mục sẽ bị loại bỏ. Ngoài ra, bạn không cần thiết lập quy tắc loại trừ hoặc cân nhắc cấp độ ưu tiên. |
Chủ đề có liên quan
Google, Google Workspace cũng như các nhãn hiệu và biểu trưng có liên quan là các nhãn hiệu của Google LLC. Tất cả các tên sản phẩm và công ty khác là nhãn hiệu của những công ty mà chúng liên kết.