Provisioning degli account utente di Active Directory

Last reviewed 2024-06-26 UTC

Questo documento mostra come configurare il provisioning di utenti e gruppi tra Active Directory e il tuo account Cloud Identity o Google Workspace utilizzando Google Cloud Directory Sync (GCDS).

Per seguire questa guida, devi avere un utente Active Directory che può gestire utenti e gruppi in Active Directory. Inoltre, se non hai ancora un account Cloud Identity o Google Workspace, per verificare i domini devi disporre dell'accesso amministrativo alla tua zona DNS. Se hai già un account Cloud Identity o Google Workspace, assicurati che l'utente abbia super amministratore privilegiati.

Obiettivi

  • Installare GCDS, connetterlo ad Active Directory e Cloud Identity o Google Workspace.
  • Configura GCDS in modo che esegua il provisioning degli utenti facoltativamente in Google Cloud.
  • Configura un'attività pianificata per il provisioning continuo.

Costi

Se utilizzi la versione gratuita di Cloud Identity, segui questa guida non utilizzerai componenti di Google Cloud fatturabili.

Prima di iniziare

  • Assicurati di aver compreso come la gestione delle identità di Active Directory può essere estesa a Google Cloud.

  • Decidi come vuoi mappare identità, gruppi e domini. In particolare, assicurati di rispondere alle seguenti domande:

    • Quale dominio DNS intendi utilizzare come dominio principale Cloud Identity o Google Workspace? Quali domini DNS aggiuntivi intendi utilizzare i domini secondari?
    • Devi utilizzare la sostituzione del dominio?
    • Prevedi di utilizzare l'indirizzo email (mail) o il nome principale dell'utente (userPrincipalName) come identificatori comuni per gli utenti?
    • Intendi eseguire il provisioning di gruppi e, in tal caso, intendi eseguire utilizza il nome comune (cn) o l'indirizzo email (mail) come comune per i gruppi?

    Per indicazioni su come prendere queste decisioni, consulta il documento di panoramica sull'estensione di Identity and Access Management di Active Directory a Google Cloud.

  • Prima di collegare Active Directory di produzione a Google Cloud, valuta la possibilità di utilizzare un ambiente di test Active Directory per configurare e testare il provisioning degli utenti.

  • Registrati a Cloud Identity se non hai già un account aggiungi altri domini DNS se necessario.

  • Se utilizzi la versione gratuita di Cloud Identity e intendi eseguire il provisioning di più di 50 utenti, richiedi un aumento del numero totale di utenti di Cloud Identity Free tramite il tuo contatto dell'assistenza.

  • Se sospetti che uno dei domini che prevedi di utilizzare per Cloud Identity possa essere stato utilizzato dai dipendenti per registrare account consumer, ti consigliamo di eseguire prima la migrazione di questi account utente. Per maggiori dettagli, consulta Valutare gli account utente esistenti.

Pianifica il deployment di GCDS

Le sezioni seguenti descrivono come pianificare l'implementazione di GCDS.

Decidi dove eseguire il deployment di GCDS

GCDS può eseguire il provisioning di utenti e gruppi da una directory LDAP in Cloud Identity o Google Workspace. Fungere da intermediario per il server LDAP e Cloud Identity o Google Workspace, GCDS esegue una query sulla directory LDAP recupera le informazioni necessarie dalla directory e utilizza API Directory di aggiungere, modificare o eliminare utenti nel tuo un account Cloud Identity o Google Workspace.

Poiché Active Directory Domain Services è basato su LDAP, GCDS è adatto per implementare il provisioning degli utenti tra Active Directory e Cloud Identity o Google Workspace.

Quando colleghi un'infrastruttura Active Directory on-premise a Google Cloud, puoi eseguire GCDS on-premise o su una macchina virtuale Compute Engine in Google Cloud. Nella maggior parte dei casi, è meglio eseguire GCDS on-premise:

  • Poiché le informazioni gestite da Active Directory includono che consentono l'identificazione personale ed è generalmente considerata sensibile, potresti non volere l'accesso ad Active Directory dall'esterno del in ogni rete.
  • Per impostazione predefinita, Active Directory utilizza LDAP non criptato. Se accedi ad Attiva per eseguire la directory in remoto da Google Cloud, delle comunicazioni crittografate. Tuttavia, puoi criptare la connessione utilizzando LDAPS (LDAP+SSL) o Cloud VPN.
  • La comunicazione da GCDS a Cloud Identity o Google Workspace avviene tramite HTTPS e richiede poca o nessuna modifica alla configurazione del firewall.

Puoi eseguire GCDS su Windows o Linux. Sebbene sia possibile eseguire il deployment di GCDS sul controller di dominio, è meglio eseguire GCDS su un computer separato. Questa macchina deve soddisfare le requisiti di sistema e dispongono dell'accesso LDAP ad Active Directory. Sebbene non sia un prerequisito per la macchina da aggiungere al dominio o per eseguire Windows, questa guida presuppone che Cloud Directory Sync viene eseguito su un computer Windows appartenente a un dominio.

Per facilitare la configurazione del provisioning, GCDS include un'interfaccia utente grafica (GUI) chiamata Configuration Manager. Se il server su cui intendi eseguire GCDS ha un'esperienza desktop, puoi eseguire Configuration Manager sul server stesso. In caso contrario, devi eseguire Configuration Manager localmente, quindi copia il file di configurazione risultante sul server, dove potrai utilizzarlo per eseguire GCDS. Questa guida presuppone che tu esegua Configuration Manager su un server con un'interfaccia utente grafica.

Decidi dove recuperare i dati

GCDS utilizza LDAP per interagire con Active Directory e per recuperare le informazioni su utenti e gruppi. Per rendere possibile questa interazione, GCDS richiede indica un nome host e una porta nella configurazione. In una piccola Active Directory ambiente che esegue un solo server GC (Global Catalog), fornendo un nome host e la porta non è un problema perché è possibile puntare GCDS direttamente al come server di catalogo.

In un ambiente più complesso che esegue server Google Cloud ridondanti, l'indicazione di GCDS a un singolo server non sfrutta la ridondanza e quindi non è ideale. Sebbene sia possibile configurare un bilanciatore del carico che distribuisca le query LDAP su più server Google e tenga traccia dei server che potrebbero essere temporaneamente non disponibili, è preferibile utilizzare il meccanismo DC Locator per individuare i server in modo dinamico.

Per impostazione predefinita, GCDS richiede di specificare esplicitamente l'endpoint di un server LDAP e non supporta l'utilizzo del meccanismo DC Locator. In questa guida, complimenti GCDS con un piccolo script PowerShell che attiva il meccanismo DC Locator in modo da non dover configurare in modo statico gli endpoint dei server di cataloghi globali.

Preparare l'account Cloud Identity o Google Workspace

Questa sezione descrive come creare un utente per GCDS. Per consentire a GCDS di interagire con l'API Directory e l'API Domain Shared Contacts di Cloud Identity e Google Workspace, l'applicazione ha bisogno di un account utente con privilegi amministrativi.

Quando ti registri a Cloud Identity o Google Workspace, ha già creato un utente super amministratore. Anche se puoi utilizzare questo utente GCDS, è preferibile creare un utente separato che venga utilizzato esclusivamente Sincronizzazione directory cloud:

  1. Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore che hai creato durante la registrazione a Cloud Identity o Google Workspace.
  2. Nel menu, fai clic su Directory > Utenti e poi su Aggiungi nuovo utente per creare un utente.

  3. Fornisci un nome e un indirizzo email appropriati, ad esempio:

    1. Nome: Google Cloud
    2. Cognome: Directory Sync
    3. Email principale: cloud-directory-sync

    Mantieni il dominio principale nell'indirizzo email, anche se il dominio non corrisponde alla foresta da cui esegui il provisioning.

  4. Assicurati che l'opzione Genera automaticamente una nuova password sia impostata su Disattivata e inserisci una password.

  5. Assicurati che l'opzione Richiedi di cambiare la password all'accesso successivo sia impostata su Disattivata.

  6. Fai clic su Aggiungi nuovo utente.

  7. Fai clic su Fine.

Per consentire a GCDS di creare, elencare ed eliminare account utente e gruppi, l'utente necessita di privilegi aggiuntivi. Inoltre, è una buona idea escludere l'utente dall'accesso Single Sign-On, altrimenti potrebbe non essere possibile autorizzare di nuovo GCDS quando che presentano problemi di Single Sign-On. Entrambe le operazioni possono essere eseguite rendendo Utente come super amministratore:

  1. Individua l'utente appena creato nell'elenco e aprilo.
  2. In Ruoli e privilegi di amministratore, fai clic su Assegna ruoli.
  3. Attiva il ruolo Super amministratore.
  4. Fai clic su Salva.

Configurare il provisioning degli utenti

Le sezioni seguenti descrivono come configurare il provisioning degli utenti.

Creare un utente di Active Directory per GCDS

Per consentire a GCDS di recuperare informazioni su utenti e gruppi da Active Directory, GCDS richiede anche che un utente di dominio con un accesso sufficiente. Anziché riutilizzare un utente Windows esistente per questa presentazione creare un utente dedicato per GCDS:

Interfaccia grafica

  1. Apri lo snapshot MMC Utenti e computer di Active Directory dalla Menu Start.
  2. Vai al dominio e all'unità organizzativa in cui vuoi creare l'utente. Se la foresta contiene più domini, crea l'utente nello stesso dominio della macchina GCDS.
  3. Fai clic con il tasto destro del mouse sul riquadro a destra della finestra e scegli Nuovo > Utente.
  4. Fornisci un nome e un indirizzo email appropriati, ad esempio:
    1. Nome: Google Cloud
    2. Cognome: Directory Sync
    3. Nome di accesso utente: gcds
    4. Nome accesso utente (versioni precedenti a Windows 2000): gcds
  5. Fai clic su Avanti.
  6. Specifica una password che soddisfi i criteri che hai definito per le password.
  7. Deseleziona L'utente deve modificare la password al prossimo accesso.
  8. Seleziona La password non scade mai.
  9. Fai clic su Avanti, quindi su Fine.

PowerShell

  1. Apri una console PowerShell come amministratore.

  2. Crea un utente eseguendo il seguente comando:

     New-ADUser -Name "Google Cloud Directory Sync" `
    -GivenName "Google Cloud" `
    -Surname "Directory Sync" `
    -SamAccountName "gcds" `
    -UserPrincipalName (-Join("gcds@",(Get-ADDomain).DNSRoot)) `
    -AccountPassword(Read-Host -AsSecureString "Type password for User") `
    -Enabled $True

Ora hai i prerequisiti per installare GCDS.

Installare GCDS

Il giorno computer su cui eseguirai GCDS, scarica ed esegui Programma di installazione di GCDS. Anziché utilizzare un browser per eseguire il download, puoi utilizzare quanto segue: Comando PowerShell per scaricare il programma di installazione:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Al termine del download, avvia l'installazione guidata esegui questo comando:

.\dirsync-win64.exe

Se hai già installato GCDS, puoi: aggiornare GCDS per assicurarti di utilizzare l'ultima versione.

Crea una cartella per la configurazione di GCDS

GCDS archivia la propria configurazione in un file XML. Poiché questa configurazione include un token di aggiornamento OAuth utilizzato da GCDS per autenticarsi con Google, assicurati di proteggere correttamente la cartella utilizzata per la configurazione.

Inoltre, poiché GCDS non richiede l'accesso a risorse locali diverse da questa cartella, puoi configurarlo in modo che venga eseguito come utente con limitazioni, LocalService:

  1. Sul computer in cui hai installato GCDS, accedi come amministratore locale.
  2. Apri una console PowerShell con privilegi amministrativi.

  3. Esegui questi comandi per creare una cartella denominata $Env:ProgramData\gcds per archiviare la configurazione e applicare un accesso dell'elenco di controllo (ACL) in modo che solo GCDS e gli amministratori possano disporre accesso:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
New-Item -ItemType directory -Path  $gcdsDataFolder
&icacls "$gcdsDataFolder" /inheritance:r
&icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T

  4. Per determinare la posizione della cartella ProgramData, esegui il comando Write-Host $Env:ProgramData. Nelle versioni in inglese di Windows, questo percorso sarà in genere c:\ProgramData. Questo percorso ti servirà in un secondo momento.

Connessione a Google

Ora utilizzerai Configuration Manager per preparare GCDS configurazione. Questi passaggi presuppongono che tu esegua Configuration Manager sullo stesso server su cui prevedi di eseguire GCDS.

Se utilizzi un computer diverso per eseguire Configuration Manager, assicurati di copiare il file di configurazione sul server GCDS in un secondo momento. Inoltre, ricorda di tenendo presente che il test della configurazione su una macchina diversa possibile.

  1. Avvia Configuration Manager. Puoi trovare Configuration Manager nel Menu Start di Windows in Google Cloud Directory Sync > Gestore di configurazione:

  2. Fai clic su Configurazione del dominio Google > Impostazioni di connessione.

    Configurazione del dominio Google > Impostazioni di connessione

  3. Autorizza GCDS e configura le impostazioni del dominio.

  4. Nel menu, fai clic su File > Salva con nome.

  5. Nella finestra di dialogo del file, inserisci PROGRAM_DATA\gcds\config.xml come nome file. Sostituisci PROGRAM_DATA con il percorso della ProgramData cartella restituito dal comando PowerShell quando lo hai eseguito in precedenza.

  6. Fai clic su Salva e poi su OK.

Connettersi ad Active Directory

Il passaggio successivo consiste nella configurazione di GCDS per la connessione ad Active Directory:

  1. In Configuration Manager, fai clic su LDAP Configuration > (Configurazione LDAP >) Impostazioni di connessione.
  2. Configura le impostazioni di connessione LDAP:
    1. Tipo di server: seleziona MS Active Directory.
    2. Connection Type (Tipo di connessione): seleziona Standard LDAP o LDAP+SSL.
    3. Nome host: inserisci il nome di un server Google Cloud. Questa impostazione viene utilizzata solo per i test. In seguito, automatizzerai il rilevamento del server GC.
    4. Porta: 3268 (GC) o 3269 (GC su SSL). Utilizzo di un server GC invece di un controller di dominio, ti aiuta ad avere la possibilità di eseguire il provisioning da tutti i domini della foresta di Active Directory. Inoltre, assicurati di eseguire l'autenticazione dopo l'aggiornamento ADV190023 Microsoft.
    5. Tipo di autenticazione: Semplice.
    6. Utente autorizzato: inserisci l'User Principal Name (UPN) dell'utente del dominio che hai creato in precedenza:gcds@UPN_SUFFIX_DOMAIN. Sostituisci UPN_SUFFIX_DOMAIN con il token appropriato Dominio suffisso UPN per l'utente. In alternativa, puoi anche specificare utente utilizzando l'NETBIOS_DOMAIN_NAME\gcds a riga di comando.
    7. Base DN (DN di base): lascia vuoto questo campo per assicurarti che le ricerche vengano in tutti i domini della foresta.
  3. Per verificare le impostazioni, fai clic su Verifica connessione. Se la connessione non riesce, verifica di aver specificato il nome host di un server GC e che nome utente e password siano corretti.
  4. Fai clic su Chiudi.

Decidi di cosa eseguire il provisioning

Ora che hai collegato correttamente GCDS, puoi decidere quali elementi eseguire il provisioning:

  1. In Configuration Manager, fai clic su General Settings (Impostazioni generali).
  2. Assicurati che l'opzione Account utente sia selezionata.
  3. Se intendi eseguire il provisioning dei gruppi, assicurati che sia selezionata l'opzione Gruppi; in caso contrario, deseleziona la casella di controllo.
  4. La sincronizzazione delle unità organizzative non rientra nell'ambito di questa guida, quindi lascia deselezionata l'opzione Unità organizzative.
  5. Lascia deselezionate le opzioni Profili utente e Schemi personalizzati.

Per maggiori dettagli, vedi Decidere di cosa eseguire il provisioning.

Esegui il provisioning degli utenti

Per eseguire il provisioning degli utenti, configura la mappatura degli utenti tra Active Directory:

  1. In Configuration Manager, fai clic su Account utente > Attributi utente aggiuntivi.
  2. Fai clic su Utilizza impostazioni predefinite per compilare automaticamente gli attributi per Daten Name e Family Name (Nome di famiglia) con givenName e sn, rispettivamente.

Le impostazioni rimanenti dipendono dal fatto che tu intenda utilizzare l'UPN o l'indirizzo email per mappare Active Directory agli utenti di Cloud Identity o Google Workspace e se devi applicare sostituzioni dei nomi di dominio. Se hai dubbi su quale sia l'opzione più adatta alle tue esigenze, consulta l'articolo su come la gestione delle identità di Active Directory può essere estesa a Google Cloud.

UPN

  1. In Configuration Manager, fai clic su User Accounts > (Account utente) > Attributi utente.
  2. Fai clic su Utilizza impostazioni predefinite.
  3. Modifica Attributo indirizzo email in userPrincipalName.
  4. Fai clic su proxyAddresses > Remove se non vuoi sincronizzare l'alias indirizzi IP esterni.
  5. Fai clic sulla scheda Regole di ricerca e poi su Aggiungi regola di ricerca.

  6. Inserisci le seguenti impostazioni:

    1. Ambito: Albero secondario

    2. Regola:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Questa regola corrisponde a tutti gli utenti non disattivati, ma ignora gli account di computer e di servizio gestiti, nonché l'account utente gcds.

    3. DN di base: lascia vuoto per eseguire la ricerca in tutti i domini della foresta.

  7. Fai clic su OK per creare la regola.

UPN: sostituzione del dominio

  1. In Configuration Manager, fai clic sulla scheda Account utente > Attributi utente.
  2. Fai clic su Utilizza valori predefiniti.
  3. Cambia Attributo indirizzo email in userPrincipalName
  4. Fai clic su proxyAddresses > Remove se non vuoi sincronizzare l'alias indirizzi IP esterni.
  5. Fai clic sulla scheda Regole di ricerca e poi su Aggiungi regola di ricerca.

  6. Inserisci le seguenti impostazioni:

    1. Ambito: Albero secondario

    2. Regola:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Questa regola corrisponde a tutti gli utenti non disattivati, ma ignora gli account di computer e di servizio gestiti, nonché l'account utente gcds.

    3. DN di base: lascia vuoto per eseguire la ricerca in tutti i domini della foresta.

  7. Fai clic su OK per creare la regola.

  8. Fai clic su Google Domain Configuration > Connection Settings (Configurazione del dominio Google > Impostazioni di connessione) e scegli Replace domain names in LDAP email addresses with this domain name (Sostituisci i nomi di dominio negli indirizzi email LDAP con questo nome di dominio).

Email

  1. In Configuration Manager, fai clic su User Accounts (Account utente) > Attributi utente.
  2. Fai clic su Utilizza valori predefiniti.
  3. Fai clic sulla scheda Search Rules (Regole di ricerca), quindi su Add Search Rule (Aggiungi regola di ricerca).

  4. Inserisci le seguenti impostazioni:

    1. Ambito: Albero secondario

    2. Regola:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Questa regola corrisponde a tutti gli utenti non disattivati con un indirizzo email non vuoto, ma ignora gli account di servizio gestiti e dei computer.

    3. Base DN (DN di base): lascia vuoto per cercare in tutti i domini nella foresta.

  5. Fai clic su OK per creare la regola.

Email: sostituzione del dominio

  1. In Configuration Manager, fai clic su Account utente > Attributi utente.
  2. Fai clic su Utilizza impostazioni predefinite.
  3. Fai clic su proxyAddresses > Remove se non vuoi sincronizzare gli indirizzi dell'alias.
  4. Fai clic sulla scheda Regole di ricerca, quindi su Utilizza impostazioni predefinite.
  5. Fai clic su Google Domain Configuration (Configurazione del dominio Google) > Impostazioni di connessione e scegli Sostituisci i nomi di dominio negli indirizzi email LDAP con questo dominio dell'utente.

Per ulteriori dettagli sulla mappatura degli attributi utente, consulta Imposta la sincronizzazione con Configuration Manager.

Criterio di eliminazione

Finora la configurazione si è concentrata sull'aggiunta e sull'aggiornamento degli utenti in Cloud Identity o Google Workspace. Tuttavia, è anche importante la sospensione o l'eliminazione degli utenti disattivati o eliminati in Active Directory eliminati in Cloud Identity o Google Workspace.

Nell'ambito del processo di provisioning, GCDS genera un elenco di utenti in Cloud Identity o Google Workspace che non hanno corrispondenze nei risultati della query LDAP di Active Directory. Poiché la query LDAP include la clausola (!(userAccountControl:1.2.840.113556.1.4.803:=2)), tutti gli utenti disattivati o eliminati in Active Directory dall'ultimo provisioning verranno inclusi in questo elenco. Il comportamento predefinito di GCDS è eliminare questi utenti in Cloud Identity o Google Workspace, ma puoi personalizzare questo comportamento:

  1. In Configuration Manager, fai clic su Account utente > Attributi utente.
  2. In base alle norme relative all'eliminazione/alla sospensione degli utenti dei domini Google, assicurati che Non sospendere o eliminare gli amministratori di dominio Google non trovati in LDAP è selezionata. Questa impostazione assicura che GCDS non venga sospeso o Elimina l'utente super amministratore che hai usato per la configurazione il tuo account Cloud Identity o Google Workspace.
  3. Se vuoi, modifica il criterio di eliminazione per gli utenti non amministratori.

Se utilizzi più istanze separate di GCDS per eseguire il provisioning di domini diversi o foreste a un singolo account Cloud Identity o Google Workspace, assicurati che le diverse istanze GCDS non interferiscano tra loro. Per impostazione predefinita, gli utenti di Cloud Identity o Google Workspace di cui è stato eseguito il provisioning da un'altra origine verranno identificati erroneamente in Active Directory come eliminati. Per evitare questa situazione, puoi spostare tutti gli utenti che non rientrano nell'ambito del dominio o della foresta da cui esegui il provisioning in un'unica OU ed escluderla.

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Tipo: Percorso completo dell'organizzazione
    2. Tipo di corrispondenza: Corrispondenza esatta

    3. Exclusion Rules (Regola di esclusione): inserisci il percorso dell'UO e il relativo nome. Ad esempio:

      ROOT OU/EXCLUDED OU

      Sostituisci ROOT OU/EXCLUDED OU con il percorso della tua UO e il nome della UO esclusa.

  4. Fai clic su OK per creare la regola.

In alternativa, se l'esclusione di una singola OU non è adatta alla tua attività, puoi escludere il dominio o la foresta in base agli indirizzi email degli utenti.

UPN

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Type (Tipo): User Email Address (Indirizzo email dell'utente)
    2. Tipo di corrispondenza: Espressione regolare

    3. Regola di esclusione: se utilizzi un singolo dominio del suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$
       Sostituisci UPN_SUFFIX_DOMAIN con il tuo UPN dominio del suffisso, come in questo esempio: 
      .*@((?!corp.example.com).*)$

      Se utilizzi più di un dominio del suffisso UPN, espandi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Fai clic su OK per creare la regola.

UPN: sostituzione del dominio

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Type (Tipo): User Email Address (Indirizzo email dell'utente)
    2. Tipo di corrispondenza: Espressione regolare

    3. Regola di esclusione: se utilizzi un singolo dominio del suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio che utilizzi per sostituire il dominio del suffisso UPN, come in questo esempio:

      .*@((?!corp.example.com).*)$

  4. Fai clic su OK per creare la regola.

Email

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > Regole di esclusione.
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Type (Tipo): User Email Address (Indirizzo email dell'utente)
    2. Tipo di corrispondenza: Espressione regolare

    3. Esclusione di regola: se utilizzi un singolo dominio con suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!MX_DOMAIN).*)$

      Sostituisci MX_DOMAIN con il nome di dominio che che utilizzi negli indirizzi email, come in questo esempio:

      .*@((?!corp.example.com).*)$

      Se utilizzi più di un dominio di suffissi UPN, estendi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Fai clic su OK per creare la regola.

Email: sostituzione del dominio

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Type (Tipo): User Email Address (Indirizzo email dell'utente)
    2. Tipo di corrispondenza: Espressione regolare

    3. Esclusione di regola: se utilizzi un solo dominio con suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio che utilizzi per sostituire il dominio email, come in questo esempio:

      .*@((?!corp.example.com).*)$

  4. Fai clic su OK per creare la regola.

Per ulteriori dettagli sulle impostazioni di eliminazione e sospensione, consulta Scopri di più sulle opzioni di Configuration Manager.

Esegui il provisioning dei gruppi

Il passaggio successivo è configurare la modalità di mappatura dei gruppi tra Active Directory e Cloud Identity o Google Workspace. Questa procedura varia a seconda che tu voglia mappare i gruppi per nome comune o per indirizzo email.

Configurare le mappature dei gruppi per nome comune

Innanzitutto, devi identificare i tipi di gruppi di sicurezza che intendi eseguire il provisioning e poi formulare una query LDAP appropriata. La tabella seguente contiene le query comuni che puoi utilizzare.

Tipo Query LDAP
Gruppi locali del dominio (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Gruppi globali (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Gruppi universali (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Gruppi globali e universali (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))
Tutti i gruppi (objectCategory=group)

La query per i gruppi globali riguarda anche i gruppi definiti da Active Directory, come i controller di dominio. Puoi filtrare questi gruppi limitando la ricerca per unità organizzativa (ou).

Le impostazioni rimanenti dipendono dal fatto che tu intenda utilizzare l'UPN o l'indirizzo email per mappare Active Directory agli utenti in Cloud Identity o Google Workspace.

UPN

  1. In Configuration Manager, fai clic su Gruppi > Regole di ricerca.
  2. Fai clic su Usa valori predefiniti per aggiungere due regole predefinite.
  3. Fai clic sulla prima icona di modifica della regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Nella casella Gruppi, inserisci le seguenti impostazioni:
    1. Attributo indirizzo email gruppo: cn
    2. Attributo indirizzo email dell'utente: userPrincipalName
  6. Fai clic sulla scheda Prefisso-Suffisso.

  7. Nella casella Indirizzo email del gruppo, inserisci le seguenti impostazioni:

    1. Suffisso: @PRIMARY_DOMAIN, dove sostituisci @PRIMARY_DOMAIN con il principale dominio di Cloud Identity o Google Workspace . Sebbene l'impostazione sembri ridondante perché GCDS aggiunge il dominio automaticamente, devi specificarla esplicitamente per evitare che più istanze GCDS cancellino i membri del gruppo che non avevano aggiunto.

      Esempio: @example.com

    2. Fai clic su OK.

  8. Fai clic sulla seconda icona a forma di X per eliminare la regola.

Email

  1. In Configuration Manager, fai clic su Groups (Gruppi) > Regole di ricerca.
  2. Fai clic su Utilizza valori predefiniti per aggiungere un paio di regole predefinite.
  3. Fai clic sulla prima icona di modifica della regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Nella casella Gruppi, modifica Attributo indirizzo email gruppo per inserire l'impostazione cn.
  6. Fai clic su OK.

Le stesse impostazioni valgono anche se hai utilizzato la sostituzione del dominio durante la mappatura degli utenti.

Configurare le mappature dei gruppi per indirizzo email

Innanzitutto, devi identificare i tipi di gruppi di sicurezza che vuoi e quindi formulare una query LDAP appropriata. La tabella seguente contiene le query comuni che puoi utilizzare.

Tipo Query LDAP
Gruppi locali del dominio con indirizzo email (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Gruppi globali con indirizzo email (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Gruppi universali con indirizzo email (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Gruppi globali e universali con indirizzo email (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))
Tutti i gruppi con indirizzo email (&(objectCategory=group)(mail=*))

Le impostazioni rimanenti dipendono dal fatto che tu intenda utilizzare l'UPN o l'indirizzo email per mappare Active Directory agli utenti in Cloud Identity o Google Workspace.

UPN

  1. In Configuration Manager, fai clic su Gruppi > Regole di ricerca.
  2. Fai clic su Usa valori predefiniti per aggiungere due regole predefinite.
  3. Fai clic sulla prima icona di modifica della regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Nella casella Gruppi, modifica User Email Name Attribute (Attributo nome email utente) per inserire l'impostazione userPrincipalName.
  6. Fai clic su OK.
  7. Fai clic sulla seconda icona a forma di X per eliminare la regola.

Email

  1. In Configuration Manager, fai clic su Groups (Gruppi) > Regole di ricerca.
  2. Fai clic su Utilizza valori predefiniti per aggiungere un paio di regole predefinite.
  3. Fai clic sulla prima icona di modifica della regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Fai clic su OK.
  6. Fai clic sulla seconda icona a forma di croce per rimuovere la regola.

Se hai attivato l'opzione Sostituisci i nomi di dominio negli indirizzi email LDAP con questo nome di dominio, questa si applica anche agli indirizzi email di gruppi e membri.

Criterio di eliminazione

GCDS gestisce l'eliminazione dei gruppi in modo simile all'eliminazione degli utenti. Se utilizzare più istanze separate di GCDS per eseguire il provisioning di domini diversi foreste a un singolo account Cloud Identity o Google Workspace, assicurati che le diverse istanze GCDS non interferiscano tra loro.

Per impostazione predefinita, un membro del gruppo in Cloud Identity o Google Workspace di cui è stato eseguito il provisioning da un'origine diversa verranno identificati in modo errato Active Directory come eliminato. Per evitare questa situazione, configura GCDS deve ignorare tutti i membri del gruppo che non rientrano nell'ambito del dominio o foresta da cui esegui il provisioning.

UPN

  1. Fai clic su Google Domain Configuration > (Configurazione del dominio Google) > Regole di esclusione.
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Type (Tipo): Group Member Email Address (Indirizzo email membro gruppo)
    2. Tipo di corrispondenza: Espressione regolare

    3. Esclusione di regola: se utilizzi un solo dominio con suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$

      Sostituisci UPN_SUFFIX_DOMAIN con il tuo UPN dominio del suffisso, come nell'esempio seguente:

      .*@((?!corp.example.com).*)$

      Se utilizzi più di un dominio di suffissi UPN, estendi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Fai clic su OK per creare la regola.

UPN: sostituzione del dominio

  1. Fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Type (Tipo): Group Member Email Address (Indirizzo email membro gruppo)
    2. Tipo di corrispondenza: Espressione regolare

    3. Regola di esclusione: se utilizzi un singolo dominio del suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio che utilizzi per sostituire il dominio del suffisso UPN, come in questo esempio:

      .*@((?!corp.example.com).*)$

  4. Fai clic su OK per creare la regola.

Email

  1. Fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Type (Tipo): Group Member Email Address (Indirizzo email membro gruppo)
    2. Tipo di corrispondenza: Espressione regolare

    3. Esclusione di regola: se utilizzi un solo dominio con suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!MX_DOMAIN).*)$

      Sostituisci MX_DOMAIN con il nome di dominio che utilizzi negli indirizzi email, come nell'esempio seguente:

      .*@((?!corp.example.com).*)$

      Se utilizzi più di un dominio di suffissi UPN, estendi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Fai clic su OK per creare la regola.

Email: sostituzione del dominio

  1. Fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Type (Tipo): Group Member Email Address (Indirizzo email membro gruppo)
    2. Tipo di corrispondenza: Espressione regolare

    3. Esclusione di regola: se utilizzi un solo dominio con suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio da utilizzare per sostituire il dominio email, come illustrato di seguito esempio:

      .*@((?!corp.example.com).*)$

    4. Fai clic su OK per creare la regola.

Per ulteriori informazioni sulle impostazioni dei gruppi, consulta Scopri di più sulle opzioni di Configuration Manager.

Configurare il logging e le notifiche

Per mantenere sincronizzati gli utenti, devi eseguire GCDS in modo pianificato. Per consentirti di monitorare l'attività e i potenziali problemi di GCDS, puoi controllare come e quando scrive GCDS corrispondente file di log:

  1. In Configuration Manager, fai clic su Logging (Registrazione).
  2. Imposta Nome file su PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log. Sostituisci PROGRAM_DATA con il percorso della cartella ProgramData restituito dal comando PowerShell quando lo hai eseguito in precedenza.

  3. Fai clic su File > Salva per applicare le modifiche alla configurazione sul disco, quindi fai clic su OK.

Oltre a logging, GCDS può inviare notifiche per email. Per attivare questo servizio, fai clic su Notifiche e fornisci le informazioni di connessione per il tuo server di posta.

Simula il provisioning degli utenti

Hai completato la configurazione di GCDS. Per verificare che la configurazione funzioni come previsto, devi prima salvare la configurazione su disco per poi simulare durante l'esecuzione del provisioning degli utenti. Durante la simulazione, GCDS non apporterà modifiche al tuo account Cloud Identity o Google Workspace, ma registrerà le modifiche che apporterebbe durante un normale esecuzione del provisioning.

  1. In Configuration Manager, fai clic su Sync (Sincronizza).
  2. Nella parte inferiore dello schermo, seleziona Svuota cache, quindi fai clic su Simula sincronizzazione.
  3. Al termine della procedura, esamina la sezione Modifiche proposte del log visualizzata nella metà inferiore della finestra di dialogo e Verificare che non vi siano modifiche indesiderate, come eliminazione o sospensione a qualsiasi utente o gruppo.

Provisioning degli utenti iniziali

Ora puoi attivare il provisioning iniziale degli utenti:

Avvisi

  • L'attivazione del provisioning degli utenti apporterà modifiche permanenti utenti e gruppi in Cloud Identity o Google Workspace .
  • Se devi eseguire il provisioning di un numero elevato di utenti, valuta la possibilità modifica temporaneamente la query LDAP affinché corrisponda a un sottoinsieme di questi utenti . Utilizzando questo sottoinsieme di utenti, puoi testare la procedura e modificare le impostazioni, se necessario. Dopo aver confermato la convalida dei risultati, ripristina la query LDAP e esegui il provisioning degli utenti rimanenti.
  • Evita di modificare o eliminare ripetutamente un numero elevato di utenti durante i test, perché queste azioni potrebbero essere segnalate come comportamenti illeciti.

Attiva l'esecuzione di un provisioning come segue:

  1. In Configuration Manager, fai clic su Sync (Sincronizza).

  2. Nella parte inferiore dello schermo, seleziona Svuota cache e poi fai clic su Sincronizza e applica modifiche.

    Viene visualizzata una finestra di dialogo che mostra lo stato.

  3. Al termine del processo, controlla il log visualizzato nella metà inferiore della finestra di dialogo:

    1. In Modifiche utente riuscite, verifica che almeno una è stato creato un utente.
    2. In Errori, verifica che non siano stati rilevati errori.

Pianificare il provisioning

Per assicurarti che le modifiche eseguite in Active Directory vengano propagate ai tuoi Cloud Identity o Google Workspace, configura un account pianificato che attiva l'esecuzione del provisioning ogni ora:

  1. Apri una console PowerShell come amministratore.

  2. Controlla se Modulo PowerShell di Active Directory è disponibile nel sistema:

    import-module ActiveDirectory

    Se il comando non va a buon fine, scarica e installa gli strumenti di amministrazione del server remoto e riprova.

  3. In Notepad, crea un file, copia al suo interno i contenuti riportati di seguito e salvalo come %ProgramData%\gcds\sync.ps1. Al termine, chiudi il file.

    [CmdletBinding()]
Param(
    [Parameter(Mandatory=$True)]
    [string]$config,

    [Parameter(Mandatory=$True)]
    [string]$gcdsInstallationDir
)

import-module ActiveDirectory

# Stop on error.
$ErrorActionPreference ="stop"

# Ensure it's an absolute path.
$rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)

# Discover closest GC in current domain.
$dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)

# Load XML and replace the endpoint.
$dom = [xml](Get-Content $rawConfigPath)
$ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")

# Tweak the endpoint.
$ldapConfigNode.hostname = [string]$dc.HostName
$ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
$ldapConfigNode.port = "3268"   # Always use GC port

# Tweak the tsv files location
$googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
$googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
$googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")

# Save resulting config.
$targetConfigPath = $rawConfigPath + ".autodiscover"

$writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
$dom.Save($writer)
$writer.Close()

# Start provisioning.
Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
    -Wait -ArgumentList "--apply --config ""$targetConfigPath"""

  4. Configuration Manager ha creato una chiave secret per criptare le credenziali nel file di configurazione. Per assicurarti che GCDS possa ancora leggere i automatica quando viene eseguita come attività pianificata, esegui questo comando per copiare la chiave segreta dal tuo profilo al profilo di NT AUTHORITY\LOCAL SERVICE:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
    -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util

    Se i comandi hanno esito negativo, assicurati di aver avviato la console di PowerShell come Amministratore.

  5. Crea un'attività pianificata eseguendo questi comandi. La l'attività pianificata verrà attivata ogni ora e richiama l'sync.ps1 come NT AUTHORITY\LOCAL SERVICE.

    $taskName = "Synchronize to Cloud Identity"
$gcdsDir = "$Env:ProgramData\gcds"

$action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
  -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
  -WorkingDirectory $gcdsDir
$trigger = New-ScheduledTaskTrigger `
  -Once `
  -At (Get-Date) `
  -RepetitionInterval (New-TimeSpan -Minutes 60) `
  -RepetitionDuration (New-TimeSpan -Days (365 * 20))

$principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName

$task = Get-ScheduledTask -TaskName "$taskName"
$task.Settings.ExecutionTimeLimit = "PT12H"
Set-ScheduledTask $task

Per ulteriori informazioni, vedi Programmare sincronizzazioni automatiche.

Testare il provisioning degli utenti

Hai completato l'installazione e la configurazione di GCDS e la pianificazione attiverà un'esecuzione di provisioning ogni ora.

Per attivare l'esecuzione manuale di un provisioning, passa alla console di PowerShell ed esegui il seguente comando:

Start-ScheduledTask "Synchronize to Cloud Identity"

Esegui la pulizia

Per rimuovere GCDS:

  1. Apri il Pannello di controllo di Windows e fai clic su Programmi > Disinstalla un programma.
  2. Seleziona Google Cloud Directory Sync e fai clic su Disinstalla/Cambia per avviare la procedura guidata di disinstallazione. Poi segui le istruzioni della procedura guidata.

  3. Apri una console PowerShell ed esegui questo comando per rimuovere attività pianificata:

    $taskName = "Synchronize to Cloud Identity"
Unregister-ScheduledTask -TaskName $taskName -Confirm:$False

  4. Esegui questo comando per eliminare i file di configurazione e di log:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp

Passaggi successivi