Provisioning degli account utente di Active Directory

Last reviewed 2024-06-26 UTC

Questo documento mostra come configurare il provisioning di utenti e gruppi tra Active Directory e il tuo account Cloud Identity o Google Workspace utilizzando Google Cloud Directory Sync (GCDS).

Per seguire questa guida, devi disporre di un utente Active Directory autorizzato a gestire utenti e gruppi in Active Directory. Inoltre, se non hai ancora un account Cloud Identity o Google Workspace, per verificare i domini devi disporre dell'accesso amministrativo alla tua zona DNS. Se hai già un account Cloud Identity o Google Workspace, assicurati che l'utente disponga dei privilegi di super amministratore.

Obiettivi

  • Installa GCDS e connettilo ad Active Directory e Cloud Identity o Google Workspace.
  • Configura GCDS per eseguire il provisioning degli utenti e, facoltativamente, dei gruppi in Google Cloud.
  • Configura un'attività pianificata per il provisioning continuo.

Costi

Se utilizzi la versione gratuita di Cloud Identity, segui questa guida non utilizzerai componenti di Google Cloud fatturabili.

Prima di iniziare

  • Assicurati di comprendere in che modo la gestione delle identità di Active Directory può essere estesa a Google Cloud.

  • Decidi come mappare identità, gruppi e domini. In particolare, assicurati di aver risposto alle seguenti domande:

    • Quale dominio DNS prevedi di utilizzare come dominio principale per Cloud Identity o Google Workspace? Quali altri domini DNS prevedi di utilizzare come domini secondari?
    • Devi utilizzare la sostituzione del dominio?
    • Prevedi di utilizzare l'indirizzo email (mail) o il nome principale dell'utente (userPrincipalName) come identificatori comuni per gli utenti?
    • Hai intenzione di eseguire il provisioning dei gruppi? In caso affermativo, intendi utilizzare il nome comune (cn) o l'indirizzo email (mail) come identificatori comuni per i gruppi?

    Per indicazioni su come prendere queste decisioni, consulta il documento di panoramica sull'estensione di Identity and Access Management di Active Directory a Google Cloud.

  • Prima di collegare Active Directory di produzione a Google Cloud, valuta la possibilità di utilizzare un ambiente di test Active Directory per configurare e testare il provisioning degli utenti.

  • Registrati a Cloud Identity se non hai ancora un account e aggiungi altri domini DNS se necessario.

  • Se utilizzi la versione gratuita di Cloud Identity e intendi eseguire il provisioning di più di 50 utenti, richiedi un aumento del numero totale di utenti di Cloud Identity Free tramite il tuo contatto dell'assistenza.

  • Se sospetti che uno dei domini che prevedi di utilizzare per Cloud Identity possa essere stato utilizzato dai dipendenti per registrare account consumer, ti consigliamo di eseguire prima la migrazione di questi account utente. Per maggiori dettagli, consulta Valutare gli account utente esistenti.

Pianifica il deployment di GCDS

Le sezioni seguenti descrivono come pianificare il deployment di Google Cloud Data Studio.

Decidi dove eseguire il deployment di Google Cloud Data Studio

GCDS può eseguire il provisioning di utenti e gruppi da una directory LDAP in Cloud Identity o Google Workspace. Agendo da intermediario tra il server LDAP e Cloud Identity o Google Workspace, GCDS esegue query sulla directory LDAP per retrieving le informazioni necessarie dalla directory e utilizza l'API Directory per aggiungere, modificare o eliminare gli utenti nel tuo account Cloud Identity o Google Workspace.

Poiché Active Directory Domain Services è basato su LDAP, GCDS è adatto per implementare il provisioning degli utenti tra Active Directory e Cloud Identity o Google Workspace.

Quando colleghi un'infrastruttura Active Directory on-premise a Google Cloud, puoi eseguire GCDS on-premise o su una macchina virtuale Compute Engine in Google Cloud. Nella maggior parte dei casi, è meglio eseguire GCDS on-premise:

  • Poiché le informazioni gestite da Active Directory includono informazioni che consentono l'identificazione personale e sono generalmente considerate sensibili, potresti non voler consentire l'accesso ad Active Directory dall'esterno della rete locale.
  • Per impostazione predefinita, Active Directory utilizza LDAP non criptato. Se accedi ad Active Directory da remoto da Google Cloud, devi utilizzare la comunicazione criptata. Tuttavia, puoi criptare la connessione utilizzando LDAPS (LDAP+SSL) o Cloud VPN.
  • La comunicazione da GCDS a Cloud Identity o Google Workspace avviene tramite HTTPS e richiede poca o nessuna modifica alla configurazione del firewall.

Puoi eseguire GCDS su Windows o Linux. Sebbene sia possibile eseguire il deployment di GCDS sul controller di dominio, è meglio eseguire GCDS su un computer separato. Questa macchina deve soddisfare i requisiti di sistema e avere accesso LDAP ad Active Directory. Sebbene non sia un prerequisito per la partecipazione del computer al dominio o per l'esecuzione di Windows, questa guida presuppone che Cloud Directory Sync venga eseguito su un computer Windows aggiunto al dominio.

Per facilitare la configurazione del provisioning, GCDS include un'interfaccia utente grafica (GUI) chiamata Configuration Manager. Se il server su cui intendi eseguire GCDS ha un'esperienza desktop, puoi eseguire Configuration Manager sul server stesso. In caso contrario, devi eseguire Configuration Manager localmente e poi copiare il file di configurazione risultante sul server, dove puoi utilizzarlo per eseguire GCDS. Questa guida presuppone che tu esegua Configuration Manager su un server con un'interfaccia utente grafica.

Decidi dove recuperare i dati

GCDS utilizza LDAP per interagire con Active Directory e recuperare informazioni su utenti e gruppi. Per rendere possibile questa interazione, GCDS richiede di fornire un nome host e una porta nella configurazione. In un piccolo ambiente Active Directory che esegue un solo server di catalogo globale (GC), non è un problema fornire un nome host e una porta perché puoi indirizzare GCDS direttamente al server di catalogo globale.

In un ambiente più complesso che esegue server GC Cloud ridondanti, l'indicazione di GCDS a un singolo server non sfrutta la ridondanza e quindi non è ideale. Sebbene sia possibile configurare un bilanciatore del carico che distribuisca le query LDAP su più server GC e tenga traccia dei server che potrebbero essere temporaneamente non disponibili, è preferibile utilizzare il meccanismo DC Locator per individuare i server in modo dinamico.

Per impostazione predefinita, GCDS richiede di specificare esplicitamente l'endpoint di un server LDAP e non supporta l'utilizzo del meccanismo DC Locator. In questa guida, complimenti GCDS con un piccolo script PowerShell che attiva il meccanismo DC Locator in modo da non dover configurare in modo statico gli endpoint dei server di cataloghi globali.

Preparare l'account Cloud Identity o Google Workspace

Questa sezione descrive come creare un utente per GCDS. Per consentire a GCDS di interagire con l'API Directory e l'API Domain Shared Contacts di Cloud Identity e Google Workspace, l'applicazione ha bisogno di un account utente con privilegi amministrativi.

Quando hai eseguito la registrazione a Cloud Identity o Google Workspace, hai già creato un utente super amministratore. Sebbene tu possa utilizzare questo utente per GCDS, è preferibile creare un utente separato utilizzato esclusivamente da Cloud Directory Sync:

  1. Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore che hai creato durante la registrazione a Cloud Identity o Google Workspace.
  2. Nel menu, fai clic su Directory > Utenti e poi su Aggiungi nuovo utente per creare un utente.

  3. Fornisci un nome e un indirizzo email appropriati, ad esempio:

    1. Nome: Google Cloud
    2. Cognome: Directory Sync
    3. Email principale: cloud-directory-sync

    Mantieni il dominio principale nell'indirizzo email, anche se il dominio non corrisponde alla foresta da cui esegui il provisioning.

  4. Assicurati che l'opzione Genera automaticamente una nuova password sia impostata su Disattivata e inserisci una password.

  5. Assicurati che l'opzione Richiedi di cambiare la password all'accesso successivo sia impostata su Disattivata.

  6. Fai clic su Aggiungi nuovo utente.

  7. Fai clic su Fine.

Per consentire a GCDS di creare, elencare ed eliminare account utente e gruppi, l'utente necessita di privilegi aggiuntivi. Inoltre, è consigliabile esentare l'utente dal Single Sign-On, altrimenti potresti non essere in grado di autorizzare nuovamente GCDS in caso di problemi con il Single Sign-On. Entrambi possono essere eseguiti impostando l'utente come super amministratore:

  1. Individua l'utente appena creato nell'elenco e aprilo.
  2. In Ruoli e privilegi di amministratore, fai clic su Assegna ruoli.
  3. Attiva il ruolo Super amministratore.
  4. Fai clic su Salva.

Configurare il provisioning degli utenti

Le sezioni seguenti descrivono come configurare il provisioning degli utenti.

Creare un utente Active Directory per GCDS

Per consentire a GCDS di recuperare informazioni su utenti e gruppi da Active Directory, è necessario anche un utente di dominio con accesso sufficiente. Anziché riutilizzare un utente Windows esistente per questo scopo, crea un utente dedicato per GCDS:

Interfaccia grafica

  1. Apri lo snap-in MMC Utenti e computer di Active Directory dal menu Start.
  2. Vai al dominio e all'unità organizzativa in cui vuoi creare l'utente. Se la foresta contiene più domini, crea l'utente nello stesso dominio della macchina GCDS.
  3. Fai clic con il tasto destro del mouse sul riquadro della finestra a destra e scegli Nuovo > Utente.
  4. Fornisci un nome e un indirizzo email appropriati, ad esempio:
    1. Nome: Google Cloud
    2. Cognome: Directory Sync
    3. Nome di accesso utente: gcds
    4. Nome di accesso utente (precedente a Windows 2000): gcds
  5. Fai clic su Avanti.
  6. Fornisci una password che soddisfi i tuoi criteri di password.
  7. Deseleziona L'utente deve modificare la password al prossimo accesso.
  8. Seleziona La password non scade mai.
  9. Fai clic su Avanti, quindi su Fine.

PowerShell

  1. Apri una console PowerShell come amministratore.

  2. Crea un utente eseguendo il seguente comando:

     New-ADUser -Name "Google Cloud Directory Sync" `
    -GivenName "Google Cloud" `
    -Surname "Directory Sync" `
    -SamAccountName "gcds" `
    -UserPrincipalName (-Join("gcds@",(Get-ADDomain).DNSRoot)) `
    -AccountPassword(Read-Host -AsSecureString "Type password for User") `
    -Enabled $True

Ora hai i prerequisiti per installare GCDS.

Installare GCDS

Sul computer su cui eseguirai GCDS, scarica ed esegui il programma di installazione di GCDS. Anziché utilizzare un browser per eseguire il download, puoi utilizzare il seguente comando PowerShell per scaricare il programma di installazione:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Al termine del download, puoi avviare la procedura guidata di installazione eseguendo il seguente comando:

.\dirsync-win64.exe

Se hai già installato GCDS, puoi aggiornarlo per assicurarti di utilizzare la versione più recente.

Crea una cartella per la configurazione di GCDS

GCDS archivia la propria configurazione in un file XML. Poiché questa configurazione include un token di aggiornamento OAuth utilizzato da GCDS per autenticarsi con Google, assicurati di proteggere correttamente la cartella utilizzata per la configurazione.

Inoltre, poiché GCDS non richiede l'accesso a risorse locali diverse da questa cartella, puoi configurarlo in modo che venga eseguito come utente con limitazioni, LocalService:

  1. Accedi alla macchina su cui hai installato GCDS come amministratore locale.
  2. Apri una console PowerShell con privilegi amministrativi.

  3. Esegui i seguenti comandi per creare una cartella denominata $Env:ProgramData\gcds per archiviare la configurazione e applicare un elenco di controllo accessi (ACL) in modo che solo GCDS e gli amministratori abbiano accesso:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
New-Item -ItemType directory -Path  $gcdsDataFolder
&icacls "$gcdsDataFolder" /inheritance:r
&icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
&icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T

  4. Per determinare la posizione della cartella ProgramData, esegui il comando Write-Host $Env:ProgramData. Nelle versioni in inglese di Windows, questo percorso sarà in genere c:\ProgramData. Ti servirà in un secondo momento.

Connessione a Google

Ora utilizzerai Configuration Manager per preparare la configurazione di GCDS. Questi passaggi presuppongono che tu esegua Configuration Manager sullo stesso server su cui prevedi di eseguire GCDS.

Se utilizzi un computer diverso per eseguire Configuration Manager, assicurati di copiare il file di configurazione sul server GCDS in un secondo momento. Inoltre, tieni presente che potrebbe non essere possibile testare la configurazione su un'altra macchina.

  1. Avvia Configuration Manager. Puoi trovare Configuration Manager nel menu Start di Windows in Google Cloud Directory Sync > Configuration Manager.

  2. Fai clic su Configurazione del dominio Google > Impostazioni di connessione.

    Configurazione del dominio Google > Impostazioni di connessione

  3. Autorizza GCDS e configura le impostazioni del dominio.

  4. Nel menu, fai clic su File > Salva con nome.

  5. Nella finestra di dialogo del file, inserisci PROGRAM_DATA\gcds\config.xml come nome del file. Sostituisci PROGRAM_DATA con il percorso della ProgramData cartella restituito dal comando PowerShell quando lo hai eseguito in precedenza.

  6. Fai clic su Salva e poi su OK.

Connettiti ad Active Directory

Il passaggio successivo consiste nella configurazione di GCDS per la connessione ad Active Directory:

  1. In Configuration Manager, fai clic su LDAP Configuration > Connection Settings (Configurazione di LDAP > Impostazioni di connessione).
  2. Configura le impostazioni di connessione LDAP:
    1. Tipo di server: seleziona MS Active Directory.
    2. Tipo di connessione: seleziona LDAP standard o LDAP+SSL.
    3. Nome host: inserisci il nome di un server GC. Questa impostazione viene utilizzata solo per i test. In un secondo momento, automatizzerai la scoperta del server GC.
    4. Porta: 3268 (GC) o 3269 (GC su SSL). L'utilizzo di un server GC invece di un controller di dominio ti consente di eseguire il provisioning degli utenti da tutti i domini della foresta Active Directory. Inoltre, assicurati di eseguire l'autenticazione dopo l'aggiornamento ADV190023 Microsoft.
    5. Tipo di autenticazione: Semplice.
    6. Utente autorizzato: inserisci l'User Principal Name (UPN) dell'utente del dominio che hai creato in precedenza:gcds@UPN_SUFFIX_DOMAIN. Sostituisci UPN_SUFFIX_DOMAIN con il dominio del suffisso UPN appropriato per l'utente. In alternativa, puoi anche specificare l'utente utilizzando la sintassi NETBIOS_DOMAIN_NAME\gcds.
    7. DN di base: lascia vuoto questo campo per assicurarti che le ricerche vengano eseguite in tutti i domini della foresta.
  3. Per verificare le impostazioni, fai clic su Verifica connessione. Se la connessione non va a buon fine, verifica di aver specificato il nome host di un server GC e che il nome utente e la password siano corretti.
  4. Fai clic su Chiudi.

Decidi cosa eseguire il provisioning

Ora che hai collegato correttamente GCDS, puoi decidere quali elementi eseguire il provisioning:

  1. In Configuration Manager, fai clic su Impostazioni generali.
  2. Assicurati che l'opzione Account utente sia selezionata.
  3. Se intendi eseguire il provisioning dei gruppi, assicurati che sia selezionata l'opzione Gruppi; in caso contrario, deseleziona la casella di controllo.
  4. La sincronizzazione delle unità organizzative non rientra nell'ambito di questa guida, quindi lascia deselezionata l'opzione Unità organizzative.
  5. Lascia deselezionate le opzioni Profili utente e Schemi personalizzati.

Per maggiori dettagli, vedi Decidi cosa eseguire il provisioning.

Esegui il provisioning degli utenti

Per eseguire il provisioning degli utenti, configura la mappatura degli utenti tra Active Directory:

  1. In Configuration Manager, fai clic su Account utente > Attributi utente aggiuntivi.
  2. Fai clic su Usa valori predefiniti per compilare automaticamente gli attributi per Nome e Cognome con givenName e sn, rispettivamente.

Le impostazioni rimanenti dipendono dal fatto che tu intenda utilizzare l'UPN o l'indirizzo email per mappare Active Directory agli utenti di Cloud Identity o Google Workspace e se devi applicare sostituzioni dei nomi di dominio. Se hai dubbi su quale opzione sia la migliore per te, consulta l'articolo su come la gestione delle identità di Active Directory può essere estesa a Google Cloud.

UPN

  1. In Configuration Manager, fai clic su Account utente > Attributi utente.
  2. Fai clic su Utilizza valori predefiniti.
  3. Modifica Attributo indirizzo email in userPrincipalName.
  4. Fai clic su proxyAddresses > Remove se non vuoi sincronizzare gli indirizzi dell'alias.
  5. Fai clic sulla scheda Regole di ricerca e poi su Aggiungi regola di ricerca.

  6. Inserisci le seguenti impostazioni:

    1. Ambito: Albero secondario

    2. Regola:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Questa regola corrisponde a tutti gli utenti non disattivati, ma ignora gli account di computer e di servizio gestiti, nonché l'account utente gcds.

    3. DN di base: lascia vuoto per eseguire la ricerca in tutti i domini della foresta.

  7. Fai clic su OK per creare la regola.

UPN: sostituzione del dominio

  1. In Configuration Manager, fai clic sulla scheda Account utente > Attributi utente.
  2. Fai clic su Utilizza valori predefiniti.
  3. Modifica Attributo indirizzo email in userPrincipalName
  4. Fai clic su proxyAddresses > Remove se non vuoi sincronizzare gli indirizzi dell'alias.
  5. Fai clic sulla scheda Regole di ricerca e poi su Aggiungi regola di ricerca.

  6. Inserisci le seguenti impostazioni:

    1. Ambito: Albero secondario

    2. Regola:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Questa regola corrisponde a tutti gli utenti non disattivati, ma ignora gli account di computer e di servizio gestiti, nonché l'account utente gcds.

    3. DN di base: lascia vuoto per eseguire la ricerca in tutti i domini della foresta.

  7. Fai clic su OK per creare la regola.

  8. Fai clic su Google Domain Configuration > Connection Settings (Configurazione del dominio Google > Impostazioni di connessione) e scegli Replace domain names in LDAP email addresses with this domain name (Sostituisci i nomi di dominio negli indirizzi email LDAP con questo nome di dominio).

Email

  1. In Configuration Manager, fai clic su Account utente > Attributi utente.
  2. Fai clic su Utilizza valori predefiniti.
  3. Fai clic sulla scheda Regole di ricerca e poi su Aggiungi regola di ricerca.

  4. Inserisci le seguenti impostazioni:

    1. Ambito: Albero secondario

    2. Regola:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Questa regola corrisponde a tutti gli utenti non disattivati con un indirizzo email non vuoto, ma ignora gli account di servizio gestiti e dei computer.

    3. DN di base: lascia vuoto per eseguire la ricerca in tutti i domini della foresta.

  5. Fai clic su OK per creare la regola.

Email: sostituzione del dominio

  1. In Configuration Manager, fai clic su Account utente > Attributi utente.
  2. Fai clic su Utilizza valori predefiniti.
  3. Fai clic su proxyAddresses > Remove se non vuoi sincronizzare gli indirizzi dell'alias.
  4. Fai clic sulla scheda Regole di ricerca e poi su Usa i valori predefiniti.
  5. Fai clic su Google Domain Configuration (Configurazione del dominio Google) > Connection Settings (Impostazioni di connessione) e scegli Replace domain names in LDAP email addresses with this domain name (Sostituisci i nomi di dominio negli indirizzi email LDAP con questo nome di dominio).

Per ulteriori dettagli sulla mappatura degli attributi utente, vedi Impostare la sincronizzazione con Configuration Manager.

Criterio di eliminazione

Finora la configurazione si è concentrata sull'aggiunta e sull'aggiornamento degli utenti in Cloud Identity o Google Workspace. Tuttavia, è importante anche che gli utenti disattivati o eliminati in Active Directory vengano sospesi o eliminati in Cloud Identity o Google Workspace.

Nell'ambito del processo di provisioning, GCDS genera un elenco di utenti in Cloud Identity o Google Workspace che non hanno corrispondenze nei risultati della query LDAP di Active Directory. Poiché la query LDAP include la clausola (!(userAccountControl:1.2.840.113556.1.4.803:=2)), tutti gli utenti disattivati o eliminati in Active Directory dall'ultimo provisioning verranno inclusi in questo elenco. Il comportamento predefinito di GCDS è eliminare questi utenti in Cloud Identity o Google Workspace, ma puoi personalizzare questo comportamento:

  1. In Configuration Manager, fai clic su Account utente > Attributi utente.
  2. In Google domain users deletion/suspension policy (Criteri di eliminazione/sospensione degli utenti del dominio Google), assicurati che l'opzione Don't suspend or delete Google domain admins not found in LDAP (Non sospendere né eliminare gli amministratori di domini Google non presenti nei file di dati) sia selezionata. Questa impostazione garantisce che GCDS non sospenda o elimini l'utente super amministratore che hai utilizzato per configurare il tuo account Cloud Identity o Google Workspace.
  3. Se vuoi, modifica il criterio di eliminazione per gli utenti non amministratori.

Se utilizzi più istanze separate di GCDS per eseguire il provisioning di diversi domini o foreste in un unico account Cloud Identity o Google Workspace, assicurati che le diverse istanze GCDS non interferiscano tra loro. Per impostazione predefinita, gli utenti di Cloud Identity o Google Workspace di cui è stato eseguito il provisioning da un'altra origine verranno identificati erroneamente in Active Directory come eliminati. Per evitare questa situazione, puoi spostare tutti gli utenti che non rientrano nell'ambito del dominio o della foresta da cui esegui il provisioning in un'unica OU ed escluderla.

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Tipo: Percorso completo dell'organizzazione
    2. Tipo di corrispondenza: Corrispondenza esatta

    3. Regola di esclusione: inserisci il percorso dell'OU e il relativo nome. Ad esempio:

      ROOT OU/EXCLUDED OU

      Sostituisci ROOT OU/EXCLUDED OU con il percorso dell'OU e il nome dell'OU esclusa.

  4. Fai clic su OK per creare la regola.

In alternativa, se l'esclusione di una singola OU non è adatta alla tua attività, puoi escludere il dominio o la foresta in base agli indirizzi email degli utenti.

UPN

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Tipo: Indirizzo email utente
    2. Tipo di corrispondenza: Espressione regolare

    3. Regola di esclusione: se utilizzi un singolo dominio del suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$
       Sostituisci UPN_SUFFIX_DOMAIN con il dominio del suffisso UPN, come in questo esempio: 
      .*@((?!corp.example.com).*)$

      Se utilizzi più di un dominio del suffisso UPN, espandi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Fai clic su OK per creare la regola.

UPN: sostituzione del dominio

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Tipo: Indirizzo email utente
    2. Tipo di corrispondenza: Espressione regolare

    3. Regola di esclusione: se utilizzi un singolo dominio del suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio che utilizzi per sostituire il dominio del suffisso UPN, come in questo esempio:

      .*@((?!corp.example.com).*)$

  4. Fai clic su OK per creare la regola.

Email

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Tipo: Indirizzo email utente
    2. Tipo di corrispondenza: Espressione regolare

    3. Regola di esclusione: se utilizzi un singolo dominio del suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!MX_DOMAIN).*)$

      Sostituisci MX_DOMAIN con il nome di dominio che utilizzi negli indirizzi email, come in questo esempio:

      .*@((?!corp.example.com).*)$

      Se utilizzi più di un dominio del suffisso UPN, espandi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Fai clic su OK per creare la regola.

Email: sostituzione del dominio

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Tipo: Indirizzo email utente
    2. Tipo di corrispondenza: Espressione regolare

    3. Regola di esclusione: se utilizzi un singolo dominio del suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio che utilizzi per sostituire il dominio email, come in questo esempio:

      .*@((?!corp.example.com).*)$

  4. Fai clic su OK per creare la regola.

Per ulteriori dettagli sulle impostazioni di eliminazione e sospensione, consulta Scopri di più sulle opzioni di Configuration Manager.

Gruppi di provisioning

Il passaggio successivo consiste nel configurare la mappatura dei gruppi tra Active Directory e Cloud Identity o Google Workspace. Questa procedura varia a seconda che tu voglia mappare i gruppi per nome comune o per indirizzo email.

Configurare le mappature dei gruppi per nome comune

Innanzitutto, devi identificare i tipi di gruppi di sicurezza che intendi eseguire il provisioning e poi formulare una query LDAP appropriata. La tabella seguente contiene le query comuni che puoi utilizzare.

Tipo Query LDAP
Gruppi locali di dominio (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Gruppi globali (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Gruppi universali (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Gruppi globali e universali (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))
Tutti i gruppi (objectCategory=group)

La query per i gruppi globali riguarda anche i gruppi definiti da Active Directory, come i controller di dominio. Puoi filtrare questi gruppi limitando la ricerca per unità organizzativa (ou).

Le impostazioni rimanenti dipendono dal fatto che tu intenda utilizzare l'UPN o l'indirizzo email per mappare Active Directory agli utenti in Cloud Identity o Google Workspace.

UPN

  1. In Configuration Manager, fai clic su Gruppi > Regole di ricerca.
  2. Fai clic su Usa valori predefiniti per aggiungere due regole predefinite.
  3. Fai clic sull'icona di modifica della prima regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Nella casella Gruppi, inserisci le seguenti impostazioni:
    1. Attributo indirizzo email gruppo: cn
    2. Attributo indirizzo email utente: userPrincipalName
  6. Fai clic sulla scheda Prefisso-Suffisso.

  7. Nella casella Indirizzo email del gruppo, inserisci le seguenti impostazioni:

    1. Suffisso: @PRIMARY_DOMAIN, dove sostituirai @PRIMARY_DOMAIN con il dominio primario del tuo account Cloud Identity o Google Workspace. Sebbene l'impostazione sembri ridondante perché GCDS aggiunge il dominio automaticamente, devi specificarla esplicitamente per evitare che più istanze GCDS cancellino i membri del gruppo che non avevano aggiunto.

      Esempio: @example.com

    2. Fai clic su OK.

  8. Fai clic sulla seconda icona a forma di X per eliminare la regola.

Email

  1. In Configuration Manager, fai clic su Gruppi > Regole di ricerca.
  2. Fai clic su Usa valori predefiniti per aggiungere un paio di regole predefinite.
  3. Fai clic sull'icona di modifica della prima regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Nella casella Gruppi, modifica Attributo indirizzo email gruppo per inserire l'impostazione cn.
  6. Fai clic su OK.

Le stesse impostazioni si applicano anche se hai utilizzato la sostituzione del dominio durante la mappatura degli utenti.

Configurare le mappature dei gruppi per indirizzo email

Innanzitutto, devi identificare i tipi di gruppi di sicurezza che intendi eseguire il provisioning e poi formulare una query LDAP appropriata. La tabella seguente contiene le query comuni che puoi utilizzare.

Tipo Query LDAP
Gruppi locali del dominio con indirizzo email (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Gruppi globali con indirizzo email (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Gruppi universali con indirizzo email (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Gruppi globali e universali con indirizzo email (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))
Tutti i gruppi con indirizzo email (&(objectCategory=group)(mail=*))

Le impostazioni rimanenti dipendono dal fatto che tu intenda utilizzare l'UPN o l'indirizzo email per mappare Active Directory agli utenti in Cloud Identity o Google Workspace.

UPN

  1. In Configuration Manager, fai clic su Gruppi > Regole di ricerca.
  2. Fai clic su Usa valori predefiniti per aggiungere due regole predefinite.
  3. Fai clic sull'icona di modifica della prima regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Nella casella Gruppi, modifica Attributo nome email utente per inserire l'impostazione userPrincipalName.
  6. Fai clic su OK.
  7. Fai clic sulla seconda icona a forma di X per eliminare la regola.

Email

  1. In Configuration Manager, fai clic su Gruppi > Regole di ricerca.
  2. Fai clic su Usa valori predefiniti per aggiungere un paio di regole predefinite.
  3. Fai clic sull'icona di modifica della prima regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Fai clic su OK.
  6. Fai clic sulla seconda icona a forma di croce per rimuovere la regola.

Se hai attivato l'opzione Sostituisci i nomi di dominio negli indirizzi email LDAP con questo nome di dominio, questa si applica anche agli indirizzi email di gruppi e membri.

Criterio di eliminazione

GCDS gestisce l'eliminazione dei gruppi in modo simile all'eliminazione degli utenti. Se utilizzi più istanze separate di GCDS per eseguire il provisioning di diversi domini o foreste in un unico account Cloud Identity o Google Workspace, assicurati che le diverse istanze GCDS non interferiscano tra loro.

Per impostazione predefinita, un membro di un gruppo in Cloud Identity o Google Workspace per il quale è stato eseguito il provisioning da un'altra origine verrà erroneamente identificato in Active Directory come eliminato. Per evitare questa situazione, configura GCDS in modo da ignorare tutti i membri del gruppo che non rientrano nell'ambito del dominio o della foresta da cui esegui il provisioning.

UPN

  1. Fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Tipo: Indirizzo email membro del gruppo
    2. Tipo di corrispondenza: Espressione regolare

    3. Regola di esclusione: se utilizzi un singolo dominio del suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$

      Sostituisci UPN_SUFFIX_DOMAIN con il dominio del suffisso UPN, come nell'esempio seguente:

      .*@((?!corp.example.com).*)$

      Se utilizzi più di un dominio del suffisso UPN, espandi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Fai clic su OK per creare la regola.

UPN: sostituzione del dominio

  1. Fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Tipo: Indirizzo email membro del gruppo
    2. Tipo di corrispondenza: Espressione regolare

    3. Regola di esclusione: se utilizzi un singolo dominio del suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio che utilizzi per sostituire il dominio del suffisso UPN, come in questo esempio:

      .*@((?!corp.example.com).*)$

  4. Fai clic su OK per creare la regola.

Email

  1. Fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Tipo: Indirizzo email membro del gruppo
    2. Tipo di corrispondenza: Espressione regolare

    3. Regola di esclusione: se utilizzi un singolo dominio del suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!MX_DOMAIN).*)$

      Sostituisci MX_DOMAIN con il nome di dominio che utilizzi negli indirizzi email, come nell'esempio seguente:

      .*@((?!corp.example.com).*)$

      Se utilizzi più di un dominio del suffisso UPN, espandi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$

  4. Fai clic su OK per creare la regola.

Email: sostituzione del dominio

  1. Fai clic su Google Domain Configuration (Configurazione del dominio Google) > Exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.

  3. Configura le seguenti impostazioni:

    1. Tipo: Indirizzo email membro del gruppo
    2. Tipo di corrispondenza: Espressione regolare

    3. Regola di esclusione: se utilizzi un singolo dominio del suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio che utilizzi per sostituire il dominio email, come nell'esempio seguente:

      .*@((?!corp.example.com).*)$

    4. Fai clic su OK per creare la regola.

Per ulteriori informazioni sulle impostazioni dei gruppi, consulta Scopri di più sulle opzioni di Configuration Manager.

Configurare il logging e le notifiche

Per mantenere sincronizzati gli utenti, devi eseguire GCDS in modo pianificato. Per consentirti di tenere traccia dell'attività di GCDS e dei potenziali problemi, puoi controllare come e quando GCDS scrive il file di log:

  1. In Configuration Manager, fai clic su Logging (Registrazione nel log).
  2. Imposta Nome file su PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log. Sostituisci PROGRAM_DATA con il percorso della cartella ProgramData restituito dal comando PowerShell quando lo hai eseguito in precedenza.

  3. Fai clic su File > Salva per applicare le modifiche alla configurazione sul disco, quindi fai clic su OK.

Oltre a eseguire il registro, GCDS può inviare notifiche via email. Per attivare questo servizio, fai clic su Notifiche e fornisci le informazioni di connessione per il tuo server della posta.

Simulare il provisioning degli utenti

Hai completato la configurazione di Google Cloud Data Studio. Per verificare che la configurazione funzioni come previsto, devi prima salvarla sul disco e poi simulare un'esecuzione del provisioning degli utenti. Durante la simulazione, GCDS non apporterà modifiche al tuo account Cloud Identity o Google Workspace, ma segnalerà le modifiche che apporterebbe durante un'esecuzione di provisioning normale.

  1. In Configuration Manager, fai clic su Sincronizza.
  2. Nella parte inferiore dello schermo, seleziona Svuota cache, quindi fai clic su Simula sincronizzazione.
  3. Al termine del processo, esamina la sezione Modifiche proposte del log visualizzata nella metà inferiore della finestra di dialogo e verifica che non siano presenti modifiche indesiderate, come l'eliminazione o la sospensione di utenti o gruppi.

Provisioning iniziale degli utenti

Ora puoi attivare il provisioning iniziale degli utenti:

Avvisi

  • L'attivazione del provisioning degli utenti apporta modifiche permanenti agli utenti e ai gruppi nel tuo account Cloud Identity o Google Workspace.
  • Se devi eseguire il provisioning di un numero elevato di utenti, ti consigliamo di modificare temporaneamente la query LDAP in modo che corrisponda solo a un sottoinsieme di questi utenti. Utilizzando questo sottoinsieme di utenti, puoi testare la procedura e modificare le impostazioni, se necessario. Dopo aver confermato la convalida dei risultati, ripristina la query LDAP e esegui il provisioning degli utenti rimanenti.
  • Evita di modificare o eliminare ripetutamente un numero elevato di utenti durante i test, perché queste azioni potrebbero essere segnalate come comportamenti illeciti.

Attiva un'esecuzione di provisioning come segue:

  1. In Configuration Manager, fai clic su Sincronizza.

  2. Nella parte inferiore dello schermo, seleziona Svuota cache e poi fai clic su Sincronizza e applica modifiche.

    Viene visualizzata una finestra di dialogo che mostra lo stato.

  3. Al termine della procedura, controlla il log visualizzato nella metà inferiore della finestra di dialogo:

    1. In Modifiche utente riuscite, verifica che sia stato creato almeno un utente.
    2. In Errori, verifica che non siano stati rilevati errori.

Pianifica il provisioning

Per assicurarti che le modifiche apportate in Active Directory vengano propagate al tuo account Cloud Identity o Google Workspace, configura un'attività pianificata che attivi un'esecuzione del provisioning ogni ora:

  1. Apri una console PowerShell come amministratore.

  2. Controlla se il modulo PowerShell di Active Directory è disponibile sul sistema:

    import-module ActiveDirectory

    Se il comando non va a buon fine, scarica e installa gli strumenti di amministrazione del server remoto e riprova.

  3. In Notepad, crea un file, copia al suo interno i contenuti riportati di seguito e salvalo in %ProgramData%\gcds\sync.ps1. Al termine, chiudi il file.

    [CmdletBinding()]
Param(
    [Parameter(Mandatory=$True)]
    [string]$config,

    [Parameter(Mandatory=$True)]
    [string]$gcdsInstallationDir
)

import-module ActiveDirectory

# Stop on error.
$ErrorActionPreference ="stop"

# Ensure it's an absolute path.
$rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)

# Discover closest GC in current domain.
$dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)

# Load XML and replace the endpoint.
$dom = [xml](Get-Content $rawConfigPath)
$ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")

# Tweak the endpoint.
$ldapConfigNode.hostname = [string]$dc.HostName
$ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
$ldapConfigNode.port = "3268"   # Always use GC port

# Tweak the tsv files location
$googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
$googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
$googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")

# Save resulting config.
$targetConfigPath = $rawConfigPath + ".autodiscover"

$writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
$dom.Save($writer)
$writer.Close()

# Start provisioning.
Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
    -Wait -ArgumentList "--apply --config ""$targetConfigPath"""

  4. Configuration Manager ha creato una chiave segreta per criptare le credenziali nel file di configurazione. Per assicurarti che GCDS possa comunque leggere la configurazione quando viene eseguito come attività pianificata, esegui i seguenti comandi per copiare la chiave segreta dal tuo profilo a quello di NT AUTHORITY\LOCAL SERVICE:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
    -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util

    Se i comandi non vanno a buon fine, assicurati di aver avviato la console PowerShell come amministratore.

  5. Crea un'attività pianificata eseguendo i seguenti comandi. L'attività pianificata verrà attivata ogni ora e chiamerà lo script sync.ps1 come NT AUTHORITY\LOCAL SERVICE.

    $taskName = "Synchronize to Cloud Identity"
$gcdsDir = "$Env:ProgramData\gcds"

$action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
  -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
  -WorkingDirectory $gcdsDir
$trigger = New-ScheduledTaskTrigger `
  -Once `
  -At (Get-Date) `
  -RepetitionInterval (New-TimeSpan -Minutes 60) `
  -RepetitionDuration (New-TimeSpan -Days (365 * 20))

$principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName

$task = Get-ScheduledTask -TaskName "$taskName"
$task.Settings.ExecutionTimeLimit = "PT12H"
Set-ScheduledTask $task

Per ulteriori informazioni, consulta Programmare sincronizzazioni automatiche.

Testare il provisioning degli utenti

Hai completato l'installazione e la configurazione di Google Cloud Data Studio e la pianificazione attiverà un'esecuzione di provisioning ogni ora.

Per attivare manualmente un'esecuzione di provisioning, passa alla console PowerShell ed esegui il seguente comando:

Start-ScheduledTask "Synchronize to Cloud Identity"

Esegui la pulizia

Per rimuovere GCDS:

  1. Apri il Pannello di controllo di Windows e fai clic su Programmi > Disinstalla un programma.
  2. Seleziona Google Cloud Directory Sync e fai clic su Disinstalla/Cambia per avviare la procedura guidata di disinstallazione. quindi segui le istruzioni della procedura guidata.

  3. Apri una console PowerShell ed esegui il seguente comando per rimuovere la tâche pianificata:

    $taskName = "Synchronize to Cloud Identity"
Unregister-ScheduledTask -TaskName $taskName -Confirm:$False

  4. Esegui il seguente comando per eliminare i file di configurazione e log:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp

Passaggi successivi