Artikel ini menunjukkan cara menyiapkan penyediaan pengguna dan grup antara akun Active Directory dan Cloud Identity atau Google Workspace menggunakan Google Cloud Directory Sync (GCDS).
Untuk mengikuti panduan ini, Anda harus memiliki pengguna Active Directory yang diizinkan untuk mengelola pengguna dan grup di Active Directory. Selain itu, jika belum memiliki akun Cloud Identity atau Google Workspace, Anda memerlukan akses administratif ke zona DNS untuk memverifikasi domain. Jika Anda sudah memiliki akun Cloud Identity atau Google Workspace, pastikan pengguna Anda memiliki hak istimewa super-admin.
Tujuan
- Menginstal GCDS dan menghubungkannya ke Active Directory dan Cloud Identity atau Google Workspace.
- Mengonfigurasikan GCDS untuk menyediakan pengguna dan, secara opsional, grup ke Google Cloud.
- Menyiapkan tugas terjadwal untuk penyediaan berkelanjutan.
Biaya
Jika Anda menggunakan Cloud Identity edisi gratis, mengikuti panduan ini tidak akan menggunakan komponen Google Cloud yang dapat ditagih.
Sebelum memulai
- Pastikan Anda memahami cara pengelolaan identitas Active Directory dapat diperluas ke Google Cloud.
Tentukan cara yang Anda inginkan untuk memetakan identitas, grup, dan domain. Khususnya, pastikan Anda telah menjawab pertanyaan-pertanyaan berikut:
- Domain DNS mana yang akan Anda gunakan sebagai domain primer untuk Cloud Identity atau Google Workspace? Domain DNS tambahan mana yang ingin Anda gunakan sebagai domain sekunder?
- Apakah Anda perlu menggunakan subtitusi domain?
- Apakah Anda berencana untuk menggunakan alamat email (
mail
) atau Nama Utama Pengguna (userPrincipalName
) sebagai ID umum untuk pengguna? - Apakah Anda berencana untuk menyediakan grup, jika ya, apakah Anda ingin
menggunakan nama umum (
cn
) atau alamat email (mail
) sebagai ID umum untuk grup?
Untuk mendapatkan panduan dalam membuat keputusan ini, rujuk dokumen ringkasan tentang cara memperluas pengelolaan akses dan identitas Active Directory ke Google Cloud.
Sebelum menghubungkan Active Directory produksi Anda ke Google Cloud, sebaiknya gunakan lingkungan pengujian Active Directory untuk menyiapkan dan menguji penyediaan pengguna.
Daftar ke Cloud Identity jika Anda belum memiliki akun, dan tambahkan domain DNS lain jika perlu.
Jika Anda menggunakan Cloud Identity edisi gratis dan ingin menyediakan lebih dari 50 pengguna, minta penambahan jumlah total pengguna Cloud Identity gratis melalui kontak dukungan Anda.
Jika Anda mencurigai bahwa salah satu domain yang akan Anda gunakan untuk Cloud Identity mungkin telah digunakan oleh karyawan untuk mendaftarkan akun konsumen, pertimbangkan untuk memigrasikan akun pengguna ini terlebih dahulu. Untuk mengetahui detail selengkapnya, lihat Menilai akun pengguna yang ada.
Merencanakan deployment GCDS
Menentukan tempat untuk men-deploy GCDS
GCDS dapat menyediakan pengguna dan grup dari direktori LDAP ke Cloud Identity atau Google Workspace. Sebagai perantara untuk server LDAP dan Cloud Identity atau Google Workspace, GCDS membuat kueri direktori LDAP untuk mengambil informasi yang diperlukan dari direktori dan menggunakan Directory API untuk menambahkan, mengubah, atau menghapus pengguna di akun Cloud Identity atau Google Workspace Anda.
Karena Layanan Domain Active Directory didasarkan pada LDAP, GCDS sangat cocok untuk menerapkan penyediaan pengguna antara Active Directory dan Cloud Identity atau Google Workspace.
Saat menghubungkan infrastruktur Active Directory lokal ke Google Cloud, Anda dapat menjalankan GCDS baik di infrastruktur lokal maupun di virtual machine Compute Engine di Google Cloud. Dalam sebagian besar kasus, sebaiknya jalankan GCDS secara lokal:
- Karena informasi yang dikelola Active Directory mencakup informasi identitas pribadi dan biasanya dianggap sensitif, Anda mungkin tidak ingin Active Directory diakses dari luar jaringan lokal.
- Secara default, Active Directory menggunakan LDAP yang tidak dienkripsi. Jika mengakses Active Directory dari jarak jauh dari dalam Google Cloud, Anda harus menggunakan komunikasi terenkripsi. Meskipun Anda dapat mengenkripsi koneksi menggunakan LDAPS (LDAP+SSL) atau Cloud VPN.
- Komunikasi dari GCDS ke Cloud Identity atau Google Workspace dilakukan melalui HTTPS dan memerlukan sedikit atau tanpa perubahan pada konfigurasi firewall.
Anda dapat menjalankan GCDS di Windows atau Linux. Meskipun GCDS dapat di-deploy pada pengontrol domain, sebaiknya jalankan GCDS pada komputer terpisah. Komputer ini harus memenuhi persyaratan sistem dan memiliki akses LDAP ke Active Directory. Meskipun bukan prasyarat agar komputer dapat bergabung dengan domain atau menjalankan Windows, panduan ini mengasumsikan bahwa Cloud Directory Sync berjalan pada komputer Windows yang bergabung dengan domain.
Untuk membantu menyiapkan penyediaan, GCDS menyertakan antarmuka pengguna grafis (GUI) yang disebut Configuration Manager. Jika server tempat Anda ingin menjalankan GCDS memiliki pengalaman desktop, Anda dapat menjalankan Configuration Manager di server itu sendiri. Jika tidak, Anda harus menjalankan Configuration Manager secara lokal, lalu menyalin file konfigurasi yang dihasilkan ke server, tempat Anda dapat menggunakannya untuk menjalankan GCDS. Panduan ini mengasumsikan bahwa Anda menjalankan Configuration Manager di server dengan GUI.
Menentukan tempat untuk mengambil data
GCDS menggunakan LDAP untuk berinteraksi dengan Active Directory serta mengambil informasi tentang pengguna dan grup. Untuk memungkinkan interaksi ini, GCDS mengharuskan Anda menyediakan nama host dan port dalam konfigurasi. Dalam lingkungan Active Directory kecil yang hanya menjalankan satu server katalog global, menyediakan nama host dan port tidak menjadi masalah karena Anda dapat mengarahkan GCDS langsung ke server katalog global.
Dalam lingkungan lebih kompleks yang menjalankan server katalog global (GC) redundan, mengarahkan GCDS ke satu server tidak memanfaatkan redundansi sehingga tidak ideal. Meskipun Anda dapat menyiapkan load balancer yang mendistribusikan kueri LDAP di beberapa server katalog global dan memantau server yang mungkin tidak tersedia untuk sementara, sebaiknya gunakan DC Locator untuk menemukan server secara dinamis.
Secara default, GCDS mengharuskan Anda menentukan endpoint server LDAP secara eksplisit dan tidak mendukung penggunaan mekanisme DC Locator. Dalam panduan ini, Anda melengkapi GCDS dengan skrip PowerShell kecil yang menggunakan mekanisme Locator DC sehingga Anda tidak perlu mengonfigurasi endpoint server katalog global secara statis.
Menyiapkan akun Cloud Identity atau Google Workspace
Membuat pengguna untuk GCDS
Agar GCDS dapat berinteraksi dengan Directory API dan Domain Shared Contacts API Cloud Identity dan Google Workspace, aplikasi memerlukan akun pengguna yang memiliki administratif hak istimewa pengguna.
Saat mendaftar ke Cloud Identity atau Google Workspace, Anda sudah membuat satu pengguna admin super. Meskipun Anda dapat menggunakan pengguna ini untuk GCDS, sebaiknya buat pengguna terpisah yang digunakan secara eksklusif oleh Cloud Directory Sync:
- Buka konsol Admin dan login menggunakan pengguna admin super yang Anda buat saat mendaftar ke Cloud Identity atau Google Workspace.
- Pada menu, klik Directory > Users, lalu klik Add new use untuk membuat pengguna.
Berikan nama dan alamat email yang sesuai, seperti:
- Nama Depan:
Google Cloud
- Nama Belakang:
Directory Sync
- Email utama:
cloud-directory-sync
Pertahankan domain primer di alamat email, meskipun domain tersebut tidak sesuai dengan forest tempat Anda menyediakan data.
- Nama Depan:
Pastikan Automatically generate a new password disetel ke Disabled, lalu masukkan sandi.
Pastikan Ask for a password change at the next sign-in disetel ke Disabled.
Klik Tambahkan Pengguna Baru.
Klik Done.
Agar GCDS dapat membuat, mencantumkan, dan menghapus akun pengguna serta grup, pengguna memerlukan hak istimewa tambahan. Selain itu, sebaiknya kecualikan pengguna dari single sign-on. Jika tidak, Anda mungkin tidak dapat melakukan otorisasi ulang GCDS saat mengalami masalah single sign-on. Keduanya dapat dilakukan dengan menjadikan pengguna sebagai admin super:
- Cari pengguna yang baru dibuat dalam daftar, lalu buka.
- Pada bagian Admin roles and privileges, klik Assign Roles.
- Aktifkan peran Super Admin.
- Klik Save.
Mengonfigurasi penyediaan pengguna
Membuat pengguna Active Directory untuk GCDS
Agar GCDS dapat mengambil informasi tentang pengguna dan grup dari Active Directory, GCDS juga memerlukan pengguna domain dengan akses yang memadai. Daripada menggunakan kembali pengguna Windows yang sudah ada untuk tujuan ini, buat pengguna khusus untuk GCDS:
Antarmuka Grafis
- Buka snap-in MMC Active Directory Users and Computers dari menu Mulai.
- Buka domain dan unit organisasi tempat Anda ingin membuat pengguna. Jika ada beberapa domain di forest Anda, buat pengguna di domain yang sama dengan komputer GCDS.
- Klik kanan panel jendela sebelah kanan, lalu pilih New > User.
- Berikan nama dan alamat email yang sesuai, seperti:
- Nama Depan:
Google Cloud
- Nama Belakang:
Directory Sync
- Nama login pengguna:
gcds
- Nama login pengguna (sebelum Windows 2000):
gcds
- Nama Depan:
- Klik Next.
- Berikan sandi yang memenuhi kebijakan sandi Anda.
- Hapus User must change password at next logon.
- Pilih Password never expires.
- Klik Next, lalu klik Finish.
PowerShell
- Buka konsol PowerShell sebagai Administrator.
Buat pengguna dengan menjalankan perintah berikut:
New-ADUser -Name "Google Cloud Directory Sync" ` -GivenName "Google Cloud" ` -Surname "Directory Sync" ` -SamAccountName "gcds" ` -UserPrincipalName (-Join("gcds@",(Get-ADDomain).DNSRoot)) ` -AccountPassword(Read-Host -AsSecureString "Type password for User") ` -Enabled $True
Sekarang Anda memiliki prasyarat untuk menginstal GCDS.
Menginstal GCDS
Di komputer tempat Anda akan menjalankan GCDS, download dan jalankan penginstal GCDS. Daripada menggunakan browser untuk melakukan download, Anda dapat menggunakan perintah PowerShell berikut untuk mendownload penginstal:
(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")
Setelah download selesai, Anda dapat meluncurkan wizard penginstalan dengan menjalankan perintah berikut:
.\dirsync-win64.exe
Jika GCDS sudah terinstal, Anda dapat memperbarui GCDS untuk memastikan bahwa Anda menggunakan versi terbaru.
Membuat folder untuk konfigurasi GCDS
GCDS menyimpan konfigurasinya dalam file XML. Karena konfigurasi ini menyertakan token refresh OAuth yang digunakan GCDS untuk mengautentikasi dengan Google, pastikan Anda mengamankan folder yang digunakan untuk konfigurasi dengan benar.
Selain itu, karena GCDS tidak memerlukan akses ke resource lokal selain folder ini, Anda dapat mengonfigurasi GCDS agar berjalan sebagai pengguna terbatas, LocalService:
- Pada komputer tempat Anda menginstal GCDS, login sebagai administrator lokal.
- Buka konsol PowerShell yang memiliki hak istimewa administratif.
Jalankan perintah berikut untuk membuat folder bernama
$Env:ProgramData\gcds
untuk menyimpan konfigurasi, dan menerapkan daftar kontrol akses (ACL) sehingga hanya GCDS dan admin yang memiliki akses:$gcdsDataFolder = "$Env:ProgramData\gcds" New-Item -ItemType directory -Path $gcdsDataFolder &icacls "$gcdsDataFolder" /inheritance:r &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T &icacls "$gcdsDataFolder" /grant "BUILTIN\Administrators:(OI)(CI)F" /T &icacls "$gcdsDataFolder" /grant "Domain Admins:(OI)(CI)F" /T &icacls "$gcdsDataFolder" /grant "LOCAL SERVICE:(OI)(CI)F" /T
Untuk menentukan lokasi folder ProgramData, jalankan perintah
Write-Host $Env:ProgramData
. Pada Windows versi bahasa Inggris, jalur ini biasanya adalahc:\ProgramData
. Anda memerlukan jalur ini nanti.
Menghubungkan ke Google
Sekarang Anda akan menggunakan Configuration Manager untuk menyiapkan konfigurasi GCDS. Langkah-langkah ini mengasumsikan bahwa Anda menjalankan Configuration Manager di server yang sama tempat Anda berencana untuk menjalankan GCDS.
Jika Anda menggunakan komputer lain untuk menjalankan Configuration Manager, pastikan untuk menyalin file konfigurasi ke server GCDS setelahnya. Selain itu, perhatikan bahwa menguji konfigurasi pada komputer lain mungkin tidak dapat dilakukan.
- Luncurkan Configuration Manager. Anda dapat menemukan Configuration Manager di menu Start Windows di bagian Google Cloud Directory Sync > Configuration Manager.
Klik Google Domain Configuration > Connection Settings.
Connection Settings" class="l10n-absolute-url-src screenshot" l10n-attrs-original-order="src,alt,class" src="https://cloud.google.com/static/solutions/images/federating-gcp-with-ad-gcds-config-settings-v4.7.6.png" />
Di menu, klik File > Save as.
Dalam dialog file, masukkan
PROGRAM_DATA\gcds\config.xml
sebagai nama file. GantiPROGRAM_DATA
dengan jalur ke folderProgramData
yang ditampilkan oleh perintah PowerShell saat Anda menjalankannya di awal.Klik Save, lalu klik OK.
Menghubungkan ke Active Directory
Langkah berikutnya adalah mengonfigurasi GCDS agar terhubung ke Active Directory:
- Di Configuration Manager, klik LDAP Configuration > Connection Settings.
- Konfigurasikan setelan koneksi LDAP:
- Server Type: Pilih MS Active Directory.
- Connection Type: Pilih Standard LDAP atau LDAP+SSL.
- Host Name: Masukkan nama server GC. Setelan ini hanya digunakan untuk pengujian. Kemudian, Anda akan mengotomatiskan penemuan server GC.
- Port: 3268 (GC) atau 3269 (GC melalui SSL). Menggunakan server GC, bukan pengontrol domain, membantu memastikan bahwa Anda dapat menyediakan pengguna dari semua domain forest Active Directory Anda. Selain itu, pastikan autentikasi setelah update Microsoft ADV190023.
- Authentication Type: Simple.
- Authorized User: Masukkan Nama Utama Pengguna (UPN) dari
pengguna domain yang Anda buat sebelumnya:
gcds@UPN_SUFFIX_DOMAIN
. GantiUPN_SUFFIX_DOMAIN
dengan domain akhiran UPN yang sesuai untuk pengguna. Atau, Anda juga dapat menentukan pengguna dengan menggunakan sintaksisNETBIOS_DOMAIN_NAME\gcds
. - Base DN: Kosongkan kolom ini untuk memastikan penelusuran dilakukan di semua domain di forest.
- Untuk memverifikasi setelan, klik Test connection. Jika koneksi gagal, periksa kembali apakah Anda telah menetapkan nama host server GC serta nama pengguna dan sandi sudah benar.
- Klik Close.
Menentukan apa yang akan disediakan
Setelah berhasil menghubungkan GCDS, Anda dapat memutuskan item mana yang akan disediakan:
- Di Configuration Manager, klik General Settings.
- Pastikan User Accounts dipilih.
- Jika Anda ingin menyediakan grup, pastikan Groups dipilih; jika tidak, hapus centang pada kotak.
- Menyinkronkan unit organisasi berada di luar cakupan panduan ini, jadi jangan pilih Organizational Units.
- Biarkan User Profiles dan Custom Schemas tidak dipilih.
Untuk mengetahui detail selengkapnya, lihat Menentukan apa yang akan disediakan.
Menyediakan pengguna
Mengonfigurasi pemetaan pengguna
Langkah berikutnya adalah mengonfigurasi cara memetakan pengguna di antara Active Directory:
- Di Configuration Manager, klik User Accounts > Additional User Attributes.
- Klik Use default untuk mengisi atribut secara otomatis untuk
Given Name dan Family Name masing-masing dengan
givenName
dansn
.
Setelan yang tersisa bergantung pada apakah Anda ingin menggunakan UPN atau alamat email untuk memetakan Active Directory kepada pengguna di Cloud Identity atau Google Workspace, dan apakah Anda perlu menerapkan penggantian nama domain atau tidak. Jika Anda tidak yakin opsi mana yang terbaik, lihat artikel tentang cara pengelolaan identitas Active Directory dapat diperluas ke Google Cloud.
UPN
- Di Configuration Manager, klik User Accounts > User Attributes.
- Klik Use defaults.
- Ubah Email Address Attribute ke
userPrincipalName
. - Klik
proxyAddresses
>Remove
jika Anda tidak ingin menyinkronkan alamat alias. - Klik tab Search Rules, lalu klik Add Search Rule.
Masukkan setelan berikut:
- Cakupan: Sub-tree
Aturan:
(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))
Aturan ini cocok dengan semua pengguna yang tidak dinonaktifkan, tetapi mengabaikan akun layanan terkelola dan komputer, serta akun pengguna
gcds
.Base DN: Biarkan kosong untuk menelusuri semua domain di forest.
Klik OK untuk membuat aturan.
UPN: substitusi domain
- Di Configuration Manager, klik tab User Accounts > User Attributes.
- Klik Use defaults.
- Ubah Email Address Attribute ke
userPrincipalName
- Klik
proxyAddresses
>Remove
jika Anda tidak ingin menyinkronkan alamat alias. - Klik tab Search Rules, lalu klik Add Search Rule.
Masukkan setelan berikut:
- Cakupan: Sub-tree
Aturan:
(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))
Aturan ini cocok dengan semua pengguna yang tidak dinonaktifkan, tetapi mengabaikan akun layanan terkelola dan komputer, serta akun pengguna
gcds
.Base DN: Biarkan kosong untuk menelusuri semua domain di dalam forest.
Klik OK untuk membuat aturan.
Klik Google Domain Configuration > Connection Settings, lalu pilih Replace domain names in LDAP email addresses with this domain name.
- Di Configuration Manager, klik User Accounts > User Attributes.
- Klik Use defaults.
- Klik tab Search Rules, lalu klik Add Search Rule.
Masukkan setelan berikut:
- Cakupan: Sub-tree
Aturan:
(&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Aturan ini mencocokkan semua pengguna yang tidak dinonaktifkan yang alamat emailnya tidak kosong, tetapi mengabaikan komputer dan akun layanan terkelola.
Base DN: Biarkan kosong untuk menelusuri semua domain di forest.
Klik OK untuk membuat aturan.
Email: subtitusi domain
- Di Configuration Manager, klik User Accounts > User Attributes.
- Klik Use defaults.
- Klik
proxyAddresses
>Remove
jika Anda tidak ingin menyinkronkan alamat alias. - Klik tab Search Rules, lalu klik Use default.
- Klik Google Domain Configuration > Connection Settings, dan pilih Replace domain names in LDAP email addresses with this domain name.
Untuk detail lebih lanjut tentang memetakan atribut pengguna, lihat Menyiapkan sinkronisasi dengan Configuration Manager.
Kebijakan penghapusan
Sejauh ini, konfigurasi berfokus pada penambahan dan pembaruan pengguna di Cloud Identity atau Google Workspace. Namun, pengguna yang dinonaktifkan atau dihapus di Active Directory harus ditangguhkan atau dihapus di Cloud Identity atau Google Workspace.
Sebagai bagian dari proses penyediaan, GCDS membuat daftar pengguna di
Cloud Identity atau Google Workspace yang tidak memiliki kecocokan
yang sesuai dalam hasil kueri LDAP Active Directory. Karena kueri LDAP
menyertakan klausa (!(userAccountControl:1.2.840.113556.1.4.803:=2))
, pengguna mana pun
yang telah dinonaktifkan atau dihapus di Active Directory sejak penyediaan
terakhir dilakukan akan disertakan dalam daftar ini. Perilaku default
GCDS adalah menghapus pengguna ini di Cloud Identity atau
Google Workspace, tetapi Anda dapat menyesuaikan perilaku ini:
- Di Configuration Manager, klik User Accounts > User Attributes.
- Pada Google Domain Users Deletion/Suspension Policy, pastikan Don't suspend or delete Google domain admins not found in LDAP dicentang. Setelan ini memastikan bahwa GCDS tidak akan menangguhkan atau menghapus pengguna admin super yang Anda gunakan untuk mengonfigurasi akun Cloud Identity atau Google Workspace.
- Jika ingin, Anda dapat mengubah kebijakan penghapusan untuk pengguna non-admin.
Jika Anda menggunakan beberapa instance GCDS terpisah untuk menyediakan domain atau forest yang berbeda ke satu akun Cloud Identity atau Google Workspace, pastikan instance GCDS yang berbeda tidak mengganggu satu sama lain. Secara default, pengguna di Cloud Identity atau Google Workspace yang disediakan dari sumber berbeda akan salah diidentifikasi di Active Directory sebagai telah dihapus. Untuk menghindari situasi ini, Anda dapat memindahkan semua pengguna yang berada di luar cakupan domain atau forest yang Anda sediakan ke satu OU, lalu mengecualikan OU tersebut.
- Di Configuration Manager, klik Google Domain Configuration > Exclusion Rules.
- Klik Add Exclusion Rule.
Konfigurasikan setelan berikut:
- Type: Organization Complete Path
- Match Type: Exact Match
Aturan Pengecualian: Masukkan jalur OU dan namanya. Contoh:
ROOT OU/EXCLUDED OU
Ganti
ROOT OU/EXCLUDED OU
dengan jalur OU Anda dan nama OU yang dikecualikan.
Klik OK untuk membuat aturan.
Atau, jika mengecualikan satu OU tidak sesuai dengan bisnis Anda, Anda dapat mengecualikan domain atau dasar forest pada alamat email pengguna.
UPN
- Di Configuration Manager, klik Google Domain Configuration > Exclusion Rules.
- Klik Add Exclusion Rule.
Konfigurasikan setelan berikut:
- Type: User Email Address
- Match Type: Regular Expression
Aturan Pengecualian: Jika Anda menggunakan satu domain akhiran UPN, masukkan ekspresi reguler berikut:
Ganti.*@((?!UPN_SUFFIX_DOMAIN).*)$
UPN_SUFFIX_DOMAIN
dengan domain akhiran UPN Anda, seperti dalam contoh berikut:.*@((?!corp.example.com).*)$
Jika Anda menggunakan lebih dari satu domain akhiran UPN, perluas ekspresi seperti yang ditunjukkan berikut:
.*@((?!corp.example.com|branch.example.com).*)$
Klik OK untuk membuat aturan.
UPN: substitusi domain
- Di Configuration Manager, klik Google Domain Configuration > Exclusion Rules.
- Klik Add Exclusion Rule.
Konfigurasikan setelan berikut:
- Type: User Email Address
- Match Type: Regular Expression
Aturan Pengecualian: Jika Anda menggunakan satu domain akhiran UPN, masukkan ekspresi reguler berikut:
.*@((?!SUBSTITUTION_DOMAIN).*)$
Ganti
SUBSTITUTION_DOMAIN
dengan domain yang Anda gunakan untuk mengganti domain akhiran UPN, seperti dalam contoh berikut:.*@((?!corp.example.com).*)$
Klik OK untuk membuat aturan.
- Di Configuration Manager, klik Google Domain Configuration > Exclusion Rules.
- Klik Add Exclusion Rule.
Konfigurasikan setelan berikut:
- Type: User Email Address
- Match Type: Regular Expression
Aturan Pengecualian: Jika Anda menggunakan satu domain akhiran UPN, masukkan ekspresi reguler berikut:
.*@((?!MX_DOMAIN).*)$
Ganti
MX_DOMAIN
dengan nama domain yang Anda gunakan di alamat email, seperti dalam contoh ini:.*@((?!corp.example.com).*)$
Jika Anda menggunakan lebih dari satu domain akhiran UPN, perluas ekspresi seperti yang ditunjukkan berikut:
.*@((?!corp.example.com|branch.example.com).*)$
Klik OK untuk membuat aturan.
Email: subtitusi domain
- Di Configuration Manager, klik Google Domain Configuration > Exclusion Rules.
- Klik Add Exclusion Rule.
Konfigurasikan setelan berikut:
- Type: User Email Address
- Match Type: Regular Expression
Aturan Pengecualian: Jika Anda menggunakan satu domain akhiran UPN, masukkan ekspresi reguler berikut:
.*@((?!SUBSTITUTION_DOMAIN).*)$
Ganti
SUBSTITUTION_DOMAIN
dengan domain yang Anda gunakan untuk mengganti domain email, seperti dalam contoh berikut:.*@((?!corp.example.com).*)$
Klik OK untuk membuat aturan.
Untuk mengetahui detail selengkapnya tentang setelan penghapusan dan penangguhan, lihat Mempelajari opsi Configuration Manager lebih lanjut.
Menyediakan grup
Langkah berikutnya adalah mengonfigurasi cara memetakan grup antara Active Directory dan Cloud Identity atau Google Workspace. Proses ini berbeda-beda bergantung pada apakah Anda berencana untuk memetakan grup berdasarkan nama umum atau alamat email.
Mengonfigurasi pemetaan grup berdasarkan nama umum
Pertama, Anda harus mengidentifikasi jenis grup keamanan yang ingin disediakan, lalu merumuskan kueri LDAP yang sesuai. Tabel berikut berisi kueri umum yang dapat Anda gunakan.
Jenis | Kueri LDAP |
---|---|
Grup lokal domain | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)) |
Grup global | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)) |
Grup universal | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)) |
Grup global dan universal | (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))) |
Semua grup | (objectCategory=group) |
Kueri untuk grup global juga mencakup grup yang ditentukan Active Directory seperti
pengontrol domain. Anda dapat memfilter grup ini dengan membatasi penelusuran berdasarkan
unit organisasi (ou
).
Setelan yang tersisa bergantung pada apakah Anda ingin menggunakan UPN atau alamat email untuk memetakan Active Directory ke pengguna di Cloud Identity atau Google Workspace.
UPN
- Di Configuration Manager, klik Groups > Search Rules.
- Klik Use Defaults untuk menambahkan dua aturan default.
- Klik ikon edit aturan yang pertama.
- Edit Rule untuk mengganti kueri LDAP.
- Di kotak Groups, masukkan setelan berikut:
- Group Email Address Attribute:
cn
- User Email Address Attribute:
userPrincipalName
- Group Email Address Attribute:
- Klik tab Prefix-Suffix.
Di kotak Group Email Address, masukkan setelan berikut:
Akhiran:
@PRIMARY_DOMAIN
, tempat Anda mengganti@PRIMARY_DOMAIN
dengan domain primer akun Cloud Identity atau Google Workspace. Meskipun setelan tersebut tampak berlebihan karena GCDS menambahkan domain secara otomatis, Anda harus menentukan setelan secara eksplisit untuk mencegah beberapa instance Google Cloud Directory Sync menghapus anggota grup yang tidak mereka tambahkan.Contoh:
@example.com
Klik OK.
Klik ikon silang aturan kedua untuk menghapus aturan tersebut.
- Di Configuration Manager, klik Groups > Search Rules.
- Klik Use Defaults untuk menambahkan beberapa aturan default.
- Klik ikon edit aturan yang pertama.
- Edit Rule untuk mengganti kueri LDAP.
- Di kotak Groups, edit Group Email Address Attribute untuk memasukkan setelan
cn
. - Klik OK.
Setelan yang sama juga berlaku jika Anda menggunakan substitusi domain saat memetakan pengguna.
Mengonfigurasi pemetaan grup berdasarkan alamat email
Pertama, Anda harus mengidentifikasi jenis grup keamanan yang ingin disediakan, lalu merumuskan kueri LDAP yang sesuai. Tabel berikut berisi kueri umum yang dapat Anda gunakan.
Jenis | Kueri LDAP |
---|---|
Grup lokal domain dengan alamat email | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*)) |
Grup global dengan alamat email | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*)) |
Grup universal dengan alamat email | (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*)) |
Grup global dan universal dengan alamat email | (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*)) |
Semua grup dengan alamat email | (&(objectCategory=group)(mail=*)) |
Setelan yang tersisa bergantung pada apakah Anda ingin menggunakan UPN atau alamat email untuk memetakan Active Directory ke pengguna di Cloud Identity atau Google Workspace.
UPN
- Di Configuration Manager, klik Groups > Search Rules.
- Klik Use Defaults untuk menambahkan dua aturan default.
- Klik ikon edit aturan yang pertama.
- Edit Rule untuk mengganti kueri LDAP.
- Di kotak Groups, edit User Email Name Attribute untuk memasukkan setelan
userPrincipalName
. - Klik OK.
- Klik ikon silang aturan kedua untuk menghapus aturan tersebut.
- Di Configuration Manager, klik Groups > Search Rules.
- Klik Use Defaults untuk menambahkan beberapa aturan default.
- Klik ikon edit aturan yang pertama.
- Edit Rule untuk mengganti kueri LDAP.
- Klik OK.
- Klik ikon silang aturan kedua untuk menghapus aturan ini.
Jika Anda mengaktifkan Replace domain names in LDAP email addresses with this domain name, setelan ini juga berlaku untuk alamat email grup dan anggota.
Kebijakan penghapusan
GCDS menangani penghapusan grup seperti halnya penghapusan pengguna. Jika Anda menggunakan beberapa instance GCDS terpisah untuk menyediakan domain atau forest yang berbeda ke satu akun Cloud Identity atau Google Workspace, pastikan instance GCDS yang berbeda tidak saling mengganggu.
Secara default, anggota grup di Cloud Identity atau Google Workspace yang telah disediakan dari sumber lain akan salah diidentifikasi di Active Directory sebagai telah dihapus. Untuk menghindari situasi ini, konfigurasikan GCDS untuk mengabaikan semua anggota grup yang berada di luar cakupan domain atau forest tempat Anda menyediakannya.
UPN
- Klik Google Domain Configuration > Exclusion Rules.
- Klik Add Exclusion Rule.
Konfigurasikan setelan berikut:
- Type: Group Member Email Address
- Match Type: Regular Expression
Aturan Pengecualian: Jika Anda menggunakan satu domain akhiran UPN, masukkan ekspresi reguler berikut:
.*@((?!UPN_SUFFIX_DOMAIN).*)$
Ganti
UPN_SUFFIX_DOMAIN
dengan domain akhiran UPN Anda, seperti dalam contoh berikut:.*@((?!corp.example.com).*)$
Jika Anda menggunakan lebih dari satu domain akhiran UPN, perluas ekspresi seperti yang ditunjukkan berikut:
.*@((?!corp.example.com|branch.example.com).*)$
Klik OK untuk membuat aturan.
UPN: substitusi domain
- Klik Google Domain Configuration > Exclusion Rules.
- Klik Add Exclusion Rule.
Konfigurasikan setelan berikut:
- Type: Group Member Email Address
- Match Type: Regular Expression
Aturan Pengecualian: Jika Anda menggunakan satu domain akhiran UPN, masukkan ekspresi reguler berikut:
.*@((?!SUBSTITUTION_DOMAIN).*)$
Ganti
SUBSTITUTION_DOMAIN
dengan domain yang Anda gunakan untuk mengganti domain akhiran UPN, seperti dalam contoh berikut:.*@((?!corp.example.com).*)$
Klik OK untuk membuat aturan.
- Klik Google Domain Configuration > Exclusion Rules.
- Klik Add Exclusion Rule.
Konfigurasikan setelan berikut:
- Type: Group Member Email Address
- Match Type: Regular Expression
Aturan Pengecualian: Jika Anda menggunakan satu domain akhiran UPN, masukkan ekspresi reguler berikut:
.*@((?!MX_DOMAIN).*)$
Ganti
MX_DOMAIN
dengan nama domain yang Anda gunakan di alamat email, seperti dalam contoh berikut:.*@((?!corp.example.com).*)$
Jika Anda menggunakan lebih dari satu domain akhiran UPN, perluas ekspresi seperti yang ditunjukkan berikut:
.*@((?!corp.example.com|branch.example.com).*)$
Klik OK untuk membuat aturan.
Email: subtitusi domain
- Klik Google Domain Configuration > Exclusion Rules.
- Klik Add Exclusion Rule.
Konfigurasikan setelan berikut:
- Type: Group Member Email Address
- Match Type: Regular Expression
Aturan Pengecualian: Jika Anda menggunakan satu domain akhiran UPN, masukkan ekspresi reguler berikut:
.*@((?!SUBSTITUTION_DOMAIN).*)$
Ganti
SUBSTITUTION_DOMAIN
dengan domain yang Anda gunakan untuk mengganti domain email, seperti pada contoh berikut:.*@((?!corp.example.com).*)$
Klik OK untuk membuat aturan.
Untuk mengetahui informasi selengkapnya tentang setelan grup, lihat Mempelajari opsi Configuration Manager lebih lanjut.
Mengonfigurasi logging dan notifikasi
Agar pengguna tetap sinkron, Anda harus menjalankan GCDS secara terjadwal. Agar dapat melacak aktivitas GCDS dan potensi masalah, Anda dapat mengontrol cara dan waktu GCDS menulis file log-nya:
- Di Configuration Manager, klik Logging.
- Tetapkan File name ke
PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log
. GantiPROGRAM_DATA
dengan jalur ke folderProgramData
yang ditampilkan oleh perintah PowerShell saat Anda menjalankannya di awal. Klik File > Save untuk melakukan perubahan konfigurasi ke disk, lalu klik OK.
Selain logging, GCDS dapat mengirim notifikasi melalui email. Untuk mengaktifkan layanan ini, klik Notifications dan berikan informasi koneksi untuk server email Anda.
Menyimulasikan penyediaan pengguna
Anda telah menyelesaikan konfigurasi GCDS. Untuk memverifikasi bahwa konfigurasi berfungsi sebagaimana mestinya, Anda harus menyimpan konfigurasi ke disk terlebih dahulu, lalu menyimulasikan proses penyediaan pengguna. Selama simulasi, GCDS tidak akan melakukan perubahan apa pun pada akun Cloud Identity atau Google Workspace Anda, tetapi akan melaporkan perubahan mana yang akan dijalankan selama proses penyediaan reguler.
- Di Configuration Manager, klik Sync.
- Di bagian bawah layar, pilih Clear cache, lalu klik Simulate sync.
- Setelah proses selesai, tinjau bagian Proposed changes dari log yang ditampilkan di paruh bawah dialog dan verifikasi bahwa tidak ada perubahan yang tidak diinginkan seperti menghapus atau menangguhkan pengguna atau grup.
Penyediaan pengguna awal
Anda kini dapat memicu penyediaan pengguna awal:
Peringatan
- Memicu penyediaan pengguna akan membuat perubahan permanen pada pengguna dan grup di akun Cloud Identity atau Google Workspace Anda.
- Jika Anda memiliki banyak pengguna untuk disediakan, pertimbangkan untuk mengubah kueri LDAP untuk sementara agar cocok dengan subset pengguna tersebut saja. Dengan menggunakan subset pengguna ini, Anda dapat menguji prosesnya dan menyesuaikan setelan jika perlu. Setelah Anda berhasil memvalidasi hasil, ubah kembali kueri LDAP dan sediakan pengguna yang tersisa.
- Hindari memodifikasi atau menghapus pengguna dalam jumlah besar berulang kali saat melakukan pengujian karena tindakan tersebut dapat ditandai sebagai perilaku penyalahgunaan.
Picu proses penyediaan sebagai berikut:
- Di Configuration Manager, klik Sync.
Di bagian bawah layar, pilih Clear cache, lalu klik Sync & apply changes.
Dialog akan muncul dan menampilkan status.
Setelah proses selesai, periksa log yang ditampilkan di paruh bawah dialog:
- Di bagian Successful user changes, verifikasi bahwa setidaknya satu pengguna telah dibuat.
- Pada bagian Failures, pastikan tidak ada kegagalan.
Penjadwalan
Untuk memastikan bahwa perubahan yang dilakukan di Active Directory diterapkan ke akun Cloud Identity atau Google Workspace Anda, siapkan tugas terjadwal yang memicu proses penyediaan setiap jam:
- Buka konsol PowerShell sebagai Administrator.
Periksa apakah modul Active Directory PowerShell tersedia di sistem:
import-module ActiveDirectory
Jika perintah gagal, download dan instal Alat Administrasi Server Jarak Jauh, lalu coba lagi.
Di Notepad, buat file, salin konten berikut ke dalamnya, dan simpan file ke
%ProgramData%\gcds\sync.ps1
. Setelah selesai, tutup file tersebut.[CmdletBinding()] Param( [Parameter(Mandatory=$True)] [string]$config, [Parameter(Mandatory=$True)] [string]$gcdsInstallationDir ) import-module ActiveDirectory # Stop on error. $ErrorActionPreference ="stop" # Ensure it's an absolute path. $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config) # Discover closest GC in current domain. $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain) # Load XML and replace the endpoint. $dom = [xml](Get-Content $rawConfigPath) $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config") # Tweak the endpoint. $ldapConfigNode.hostname = [string]$dc.HostName $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName $ldapConfigNode.port = "3268" # Always use GC port # Tweak the tsv files location $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config") $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv") $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv") # Save resulting config. $targetConfigPath = $rawConfigPath + ".autodiscover" $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False))) $dom.Save($writer) $writer.Close() # Start provisioning. Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" ` -Wait -ArgumentList "--apply --config ""$targetConfigPath"""
Configuration Manager membuat kunci rahasia untuk mengenkripsi kredensial dalam file konfigurasi. Untuk memastikan bahwa GCDS tetap dapat membaca konfigurasi saat dijalankan sebagai tugas terjadwal, jalankan perintah berikut untuk menyalin kunci rahasia tersebut dari profil Anda sendiri ke profil
NT AUTHORITY\LOCAL SERVICE
:New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force; Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util ` -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
Jika perintah gagal, pastikan Anda memulai konsol PowerShell sebagai Administrator.
Buat tugas terjadwal dengan menjalankan perintah berikut. Tugas terjadwal akan dipicu setiap jam dan memanggil skrip
sync.ps1
sebagaiNT AUTHORITY\LOCAL SERVICE
.$taskName = "Synchronize to Cloud Identity" $gcdsDir = "$Env:ProgramData\gcds" $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' ` -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" ` -WorkingDirectory $gcdsDir $trigger = New-ScheduledTaskTrigger ` -Once ` -At (Get-Date) ` -RepetitionInterval (New-TimeSpan -Minutes 60) ` -RepetitionDuration (New-TimeSpan -Days (365 * 20)) $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName $task = Get-ScheduledTask -TaskName "$taskName" $task.Settings.ExecutionTimeLimit = "PT12H" Set-ScheduledTask $task
Untuk informasi selengkapnya, lihat Menjadwalkan sinkronisasi otomatis.
Menguji penyediaan pengguna
Anda telah menyelesaikan penginstalan dan konfigurasi GCDS, dan tugas terjadwal akan memicu penyediaan yang berjalan setiap jam.
Untuk memicu proses penyediaan secara manual, beralihlah ke konsol PowerShell dan jalankan perintah berikut:
Start-ScheduledTask "Synchronize to Cloud Identity"
Pembersihan
Untuk menghapus GCDS, lakukan langkah-langkah berikut:
- Buka Panel Kontrol Windows dan klik Programs > Uninstall a program.
- Pilih Google Cloud Directory Sync, lalu klik Uninstall/Change untuk meluncurkan wizard uninstal. Lalu, ikuti petunjuk di wizard.
Buka konsol PowerShell dan jalankan perintah berikut untuk menghapus tugas terjadwal:
$taskName = "Synchronize to Cloud Identity" Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
Jalankan perintah berikut untuk menghapus file log dan konfigurasi:
Remove-Item -Recurse -Force "$Env:ProgramData\gcds" Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
Langkah selanjutnya
- Konfigurasikan single sign-on antara Active Directory dan Google Cloud.
- Tinjau praktik terbaik GCDS dan FAQ kami.
- Cari tahu cara memecahkan masalah umum GCDS.
- Baca praktik terbaik untuk merencanakan akun dan organisasi serta praktik terbaik untuk menggabungkan Google Cloud dengan penyedia identitas eksternal.
- Pelajari praktik terbaik untuk mengelola pengguna admin super.