Provisioning degli account utente di Active Directory

Last reviewed 2023-02-27 UTC

Questo articolo mostra come configurare il provisioning di utenti e gruppi tra Active Directory e il tuo account Cloud Identity o Google Workspace utilizzando Google Cloud Directory Sync (GCDS).

Per seguire questa guida, devi avere un utente Active Directory autorizzato a gestire utenti e gruppi in Active Directory. Inoltre, se non hai ancora un account Cloud Identity o Google Workspace, dovrai disporre dell'accesso amministrativo alla tua zona DNS per poter verificare i domini. Se hai già un account Cloud Identity o Google Workspace, assicurati che l'utente disponga dei privilegi di super-admin.

Obiettivi

  • Installa GCDS e connettilo ad Active Directory e Cloud Identity o Google Workspace.
  • Configura GCDS per eseguire il provisioning degli utenti e, facoltativamente, dei gruppi in Google Cloud.
  • Configura un'attività pianificata per il provisioning continuo.

Costi

Se stai utilizzando la versione gratuita di Cloud Identity, seguendo questa guida non utilizzerai componenti fatturabili di Google Cloud.

Prima di iniziare

  • Assicurati di comprendere come la gestione delle identità di Active Directory può essere estesa a Google Cloud.
  • Decidi come mappare identità, gruppi e domini. In particolare, assicurati di aver risposto alle seguenti domande:

    • Quale dominio DNS intendi utilizzare come dominio principale per Cloud Identity o Google Workspace? Quali domini DNS aggiuntivi prevedi di usare come domini secondari?
    • Devi utilizzare la sostituzione del dominio?
    • Prevedi di utilizzare l'indirizzo email (mail) o il nome dell'entità utente (userPrincipalName) come identificatori comuni per gli utenti?
    • Hai intenzione di eseguire il provisioning dei gruppi e, in questo caso, intendi utilizzare il nome comune (cn) o l'indirizzo email (mail) come identificatori comuni per i gruppi?

    Per indicazioni su come prendere queste decisioni, consulta il documento introduttivo sull'estensione della gestione delle identità e degli accessi di Active Directory a Google Cloud.

  • Prima di connettere la tua Active Directory di produzione a Google Cloud, valuta la possibilità di utilizzare un ambiente di test Active Directory per configurare e testare il provisioning degli utenti.

  • Registrati a Cloud Identity se non hai ancora un account e aggiungi altri domini DNS, se necessario.

  • Se utilizzi la versione gratuita di Cloud Identity e intendi eseguire il provisioning di più di 50 utenti, richiedi un aumento del numero totale di utenti Cloud Identity gratuiti tramite il tuo contatto dell'assistenza.

  • Se sospetti che uno qualsiasi dei domini che prevedi di utilizzare per Cloud Identity possa essere stato utilizzato da dipendenti per registrare account consumer, valuta la possibilità di eseguire prima la migrazione di questi account utente. Per maggiori dettagli, consulta Valutazione degli account utente esistenti.

Pianificazione del deployment di GCDS

Decidere dove eseguire il deployment di GCDS

GCDS può eseguire il provisioning di utenti e gruppi da una directory LDAP a Cloud Identity o Google Workspace. Fungendo da intermediario tra il server LDAP e Cloud Identity o Google Workspace, GCDS esegue query nella directory LDAP per recuperare le informazioni necessarie dalla directory e utilizza l'API Directory per aggiungere, modificare o eliminare utenti nel tuo account Cloud Identity o Google Workspace.

Poiché Active Directory Domain Services si basa su LDAP, GCDS è ideale per implementare il provisioning degli utenti tra Active Directory e Cloud Identity o Google Workspace.

Quando connetti un'infrastruttura Active Directory on-premise a Google Cloud, puoi eseguire GCDS on-premise o su una macchina virtuale Compute Engine in Google Cloud. Nella maggior parte dei casi, è meglio eseguire GCDS on-premise:

  • Poiché le informazioni gestite da Active Directory includono informazioni che consentono l'identificazione personale e sono generalmente considerate sensibili, potresti non voler accedere ad Active Directory dall'esterno della rete locale.
  • Per impostazione predefinita, Active Directory utilizza il protocollo LDAP non criptato. Se accedi ad Active Directory da remoto dall'interno di Google Cloud, devi utilizzare la comunicazione criptata. Anche se puoi criptare la connessione utilizzando LDAPS (LDAP+SSL) o Cloud VPN,
  • La comunicazione tra GCDS e Cloud Identity o Google Workspace viene effettuata tramite HTTPS e non sono necessarie modifiche o nessuna modifica alla configurazione del firewall.

Puoi eseguire GCDS su Windows o Linux. Sebbene sia possibile eseguire il deployment di GCDS sul controller di dominio, è preferibile eseguirlo su un computer separato. Questa macchina deve soddisfare i requisiti di sistema e disporre dell'accesso LDAP ad Active Directory. Sebbene non sia un prerequisito per l'aggiunta al dominio o l'esecuzione di Windows, questa guida presuppone che Cloud Directory Sync venga eseguito su un computer Windows aggiunto al dominio.

Per facilitare la configurazione del provisioning, GCDS include un'interfaccia utente grafica (GUI) chiamata Configuration Manager. Se il server su cui intendi eseguire GCDS è disponibile per computer, puoi eseguire Configuration Manager sul server stesso. In caso contrario, devi eseguire Configuration Manager localmente e quindi copiare il file di configurazione risultante sul server, dove potrai utilizzarlo per eseguire GCDS. Questa guida presuppone l'esecuzione di Configuration Manager su un server con una GUI.

Decidere dove recuperare i dati

GCDS utilizza LDAP per interagire con Active Directory e per recuperare informazioni su utenti e gruppi. Per rendere possibile questa interazione, GCDS richiede di fornire un nome host e una porta nella configurazione. In un ambiente Active Directory di piccole dimensioni che esegue un solo server di catalogo globale, fornire un nome host e una porta non è un problema perché puoi indirizzare GCDS direttamente al server di catalogo globale.

In un ambiente più complesso che esegue server ridondanti Global Catalog (GC), indirizzare GCDS a un singolo server non utilizza la ridondanza, pertanto non è l'ideale. Sebbene sia possibile configurare un bilanciatore del carico per distribuire le query LDAP su più server di catalogo globali e tenere traccia dei server che potrebbero essere temporaneamente non disponibili, è preferibile utilizzare il meccanismo DC Locator per individuare i server in modo dinamico.

Per impostazione predefinita, GCDS richiede di specificare esplicitamente l'endpoint di un server LDAP e non supporta l'utilizzo del meccanismo di localizzazione DC. In questa guida completerai GCDS con un piccolo script PowerShell che utilizza il meccanismo di DC Locator per evitare di configurare in modo statico gli endpoint dei server di catalogo globale.

Preparazione dell'account Cloud Identity o Google Workspace in corso...

Creare un utente per GCDS

Per consentire a GCDS di interagire con l'API Directory e l'API Domain Shared Contacts di Cloud Identity e Google Workspace, l'applicazione deve avere un account utente con privilegi amministrativi.

Quando ti sei registrato a Cloud Identity o Google Workspace, hai già creato un utente super amministratore. Anche se puoi utilizzare questo utente per GCDS, è preferibile creare un utente separato utilizzato esclusivamente da Cloud Directory Sync:

  1. Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore creato al momento della registrazione a Cloud Identity o Google Workspace.
  2. Nel menu, fai clic su Directory > Utenti, quindi fai clic su Aggiungi nuovo utente per creare un utente.
  3. Fornisci un nome e un indirizzo email appropriati, ad esempio:

    1. Nome: Google Cloud
    2. Cognome: Directory Sync
    3. Indirizzo email principale: cloud-directory-sync

    Conserva il dominio principale nell'indirizzo email, anche se il dominio non corrisponde alla foresta da cui esegui il provisioning.

  4. Assicurati che l'opzione Genera automaticamente una nuova password sia impostata su Disattivata e inserisci una password.

  5. Assicurati che l'opzione Richiedi di cambiare la password all'accesso successivo sia impostata su Disattivata.

  6. Fai clic su Aggiungi nuovo utente.

  7. Fai clic su Fine.

Per consentire a GCDS di creare, elencare ed eliminare account utente e gruppi, l'utente deve disporre di privilegi aggiuntivi. Inoltre, è consigliabile escludere l'utente dal Single Sign-On, altrimenti potresti non essere in grado di autorizzare nuovamente GCDS quando riscontri problemi di Single Sign-On. Puoi eseguire entrambe le operazioni impostando l'utente come super amministratore:

  1. Individua l'utente appena creato nell'elenco e aprilo.
  2. In Ruoli e privilegi di amministratore, fai clic su Assegna ruoli.
  3. Attiva il ruolo Super amministratore.
  4. Fai clic su Salva.

Configurare il provisioning degli utenti

Creare un utente Active Directory per GCDS

Per consentire a GCDS di recuperare informazioni su utenti e gruppi da Active Directory, GCDS richiede anche un utente di dominio con accesso sufficiente. Anziché riutilizzare un utente Windows esistente per questo scopo, crea un utente dedicato per GCDS:

Interfaccia grafica

  1. Apri lo snapshot MMC Utenti e computer di Active Directory dal menu Start.
  2. Vai al dominio e all'unità organizzativa in cui vuoi creare l'utente. Se nella foresta sono presenti più domini, crea l'utente nello stesso dominio della macchina GCDS.
  3. Fai clic con il pulsante destro del mouse nel riquadro a destra e scegli Nuovo > Utente.
  4. Fornisci un nome e un indirizzo email appropriati, ad esempio:
    1. Nome: Google Cloud
    2. Cognome: Directory Sync
    3. Nome accesso utente: gcds
    4. Nome accesso utente (versioni precedenti a Windows 2000): gcds
  5. Tocca Avanti.
  6. Fornisci una password che soddisfi i tuoi criteri per le password.
  7. Deseleziona Cambiamento obbligatorio password all'accesso successivo.
  8. Seleziona La password non scade mai.
  9. Fai clic su Avanti, quindi su Fine.

PowerShell

  1. Apri una console di PowerShell come amministratore.
  2. Crea un utente eseguendo questo comando:

     New-ADUser -Name "Google Cloud Directory Sync" `
        -GivenName "Google Cloud" `
        -Surname "Directory Sync" `
        -SamAccountName "gcds" `
        -UserPrincipalName (-Join("gcds@",(Get-ADDomain).DNSRoot)) `
        -AccountPassword(Read-Host -AsSecureString "Type password for User") `
        -Enabled $True
     

Ora disponi dei prerequisiti per installare GCDS.

Installare GCDS

Sulla macchina su cui eseguirai GCDS, scarica ed esegui il programma di installazione di GCDS. Anziché utilizzare un browser per eseguire il download, puoi utilizzare il seguente comando di PowerShell per scaricare il programma di installazione:

(New-Object net.webclient).DownloadFile("https://dl.google.com/dirsync/dirsync-win64.exe", "$(pwd)\dirsync-win64.exe")

Al termine del download, puoi avviare la procedura guidata di installazione eseguendo questo comando:

.\dirsync-win64.exe

Se hai già installato GCDS, puoi aggiornare GCDS per assicurarti di utilizzare la versione più recente.

Creare una cartella per la configurazione di GCDS

GCDS archivia la configurazione in un file XML. Poiché questa configurazione include un token di aggiornamento OAuth che GCDS utilizza per l'autenticazione con Google, assicurati di proteggere correttamente la cartella utilizzata per la configurazione.

Inoltre, poiché GCDS non richiede l'accesso a risorse locali diverse da questa cartella, puoi configurare GCDS in modo che venga eseguito come utente con limitazioni LocalService:

  1. Accedi come amministratore locale sul computer in cui hai installato GCDS.
  2. Apri una console di PowerShell con privilegi amministrativi.
  3. Esegui i comandi seguenti per creare una cartella denominata $Env:ProgramData\gcds per archiviare la configurazione e per applicare un elenco di controllo di accesso (ACL) in modo che solo GCDS e gli amministratori possano accedere:

    $gcdsDataFolder = "$Env:ProgramData\gcds"
    New-Item -ItemType directory -Path  $gcdsDataFolder
    &icacls "$gcdsDataFolder" /inheritance:r
    &icacls "$gcdsDataFolder" /grant:r "CREATOR OWNER:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "BUILTIN\Administrators:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "Domain Admins:(OI)(CI)F" /T
    &icacls "$gcdsDataFolder" /grant   "LOCAL SERVICE:(OI)(CI)F" /T
    
  4. Per determinare la posizione della cartella ProgramData, esegui il comando Write-Host $Env:ProgramData. Nelle versioni inglesi di Windows, il percorso sarà in genere c:\ProgramData. Questo percorso ti servirà in un secondo momento.

Connessione a Google

Ora utilizzerai Configuration Manager per preparare la configurazione di GCDS. Questi passaggi presuppongono che tu esegua Configuration Manager sullo stesso server in cui prevedi di eseguire GCDS.

Se utilizzi un altro computer per eseguire Configuration Manager, assicurati di copiare il file di configurazione nel server GCDS dopo l'operazione. Inoltre, tieni presente che potrebbe non essere possibile testare la configurazione su una macchina diversa.

  1. Avvia Configuration Manager. Puoi trovare Configuration Manager nel menu Start di Windows in Google Cloud Directory Sync > Configuration Manager.
  2. Fai clic su Google Domain Configuration > Connection Settings (Configurazione dominio Google > Impostazioni di connessione).

    Impostazioni di connessione" class="l10n-absolute-url-src screenshot" l10n-attrs-original-order="src,alt,class" src="https://cloud.google.com/static/solutions/images/federating-gcp-with-ad-gcds-config-settings-v4.7.6.png" />

  3. Autorizza GCDS e configura le impostazioni del dominio.

  4. Nel menu, fai clic su File > Salva con nome.

  5. Nella finestra di dialogo del file, inserisci PROGRAM_DATA\gcds\config.xml come nome file. Sostituisci PROGRAM_DATA con il percorso della cartella ProgramData restituita dal comando PowerShell quando l'hai eseguito in precedenza.

  6. Fai clic su Salva e poi su OK.

Connessione ad Active Directory

Il passaggio successivo consiste nel configurare GCDS in modo che si connetta ad Active Directory:

  1. In Configuration Manager, fai clic su LDAP Configuration > Connection Settings (Configurazione LDAP > Impostazioni di connessione).
  2. Configura le impostazioni di connessione LDAP:
    1. Tipo di server: seleziona MS Active Directory.
    2. Connection Type (Tipo di connessione): seleziona Standard LDAP o LDAP+SSL.
    3. Host Name (Nome host): inserisci il nome di un server GC. Questa impostazione viene utilizzata solo per i test. In seguito, automatizzi il rilevamento del server GC.
    4. Porta: 3268 (GC) o 3269 (GC su SSL). L'utilizzo di un server GC anziché di un controller di dominio consente di eseguire il provisioning degli utenti da tutti i domini della foresta di Active Directory. Inoltre, garantisci l'autenticazione dopo l'aggiornamento ADV190023 Microsoft.
    5. Tipo di autenticazione: Semplice.
    6. Utente autorizzato: inserisci il nome entità utente (UPN) dell'utente del dominio creato in precedenza: gcds@UPN_SUFFIX_DOMAIN. Sostituisci UPN_SUFFIX_DOMAIN con il dominio del suffisso UPN appropriato per l'utente. In alternativa, puoi anche specificare l'utente utilizzando la sintassi NETBIOS_DOMAIN_NAME\gcds.
    7. Base DN (DN di base): lascia vuoto questo campo per garantire che le ricerche vengano eseguite in tutti i domini della foresta.
  3. Per verificare le impostazioni, fai clic su Verifica connessione. Se la connessione non riesce, verifica di aver specificato il nome host di un server GC e che il nome utente e la password siano corretti.
  4. Fai clic su Chiudi.

Decidere quali dati eseguire il provisioning

Ora che hai connesso correttamente GCDS, puoi decidere di quali elementi eseguire il provisioning:

  1. In Configuration Manager, fai clic su General Settings (Impostazioni generali).
  2. Assicurati che l'opzione User Accounts (Account utente) sia selezionata.
  3. Se intendi eseguire il provisioning di gruppi, assicurati che l'opzione Gruppi sia selezionata. In caso contrario, deseleziona la casella di controllo.
  4. La sincronizzazione delle unità organizzative non rientra nell'ambito di questa guida, pertanto lascia deselezionata l'opzione Unità organizzative.
  5. Lascia deselezionate Profili utente e Schemi personalizzati.

Per maggiori dettagli, vedi Decidere di cosa eseguire il provisioning.

Provisioning degli utenti

Configurazione delle mappature utente

Il passaggio successivo consiste nel configurare la modalità di mappatura degli utenti tra Active Directory:

  1. In Configuration Manager, fai clic su User Accounts (Account utente) > Additional User Attributes (Attributi utente aggiuntivi).
  2. Fai clic su Utilizza valori predefiniti per completare automaticamente gli attributi di Nome specificato e Nome della famiglia rispettivamente con givenName e sn.

Le restanti impostazioni dipendono da se intendi utilizzare l'UPN o l'indirizzo email per mappare Active Directory agli utenti in Cloud Identity o Google Workspace e se devi applicare sostituzioni dei nomi di dominio. Se non sai qual è l'opzione più adatta alle tue esigenze, consulta l'articolo su come la gestione delle identità di Active Directory può essere estesa a Google Cloud.

UPN

  1. In Configuration Manager, fai clic su User Accounts > User Attributes (Account utente > Attributi utente).
  2. Fai clic su Usa valori predefiniti.
  3. Modifica Email Address Attribute (Attributo indirizzo email) in userPrincipalName.
  4. Fai clic su proxyAddresses > Remove se non vuoi sincronizzare gli indirizzi degli alias.
  5. Fai clic sulla scheda Regole di ricerca, quindi su Aggiungi regola di ricerca.
  6. Inserisci le seguenti impostazioni:

    1. Ambito: Sub-tree
    2. Regola:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Questa regola corrisponde a tutti gli utenti non disattivati, ma ignora gli account di servizio gestiti e del computer, nonché l'account utente gcds.

    3. Base DN (DN di base): lascia vuoto per cercare in tutti i domini della foresta.

  7. Fai clic su OK per creare la regola.

UPN: sostituzione del dominio

  1. In Configuration Manager, fai clic sulla scheda User Accounts (Account utente) > User Attributes (Attributi utente).
  2. Fai clic su Usa valori predefiniti.
  3. Cambia Email Address Attribute (Attributo indirizzo email) in userPrincipalName
  4. Fai clic su proxyAddresses > Remove se non vuoi sincronizzare gli indirizzi degli alias.
  5. Fai clic sulla scheda Regole di ricerca, quindi su Aggiungi regola di ricerca.
  6. Inserisci le seguenti impostazioni:

    1. Ambito: Sub-tree
    2. Regola:

      (&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=gcds@*)))

      Questa regola corrisponde a tutti gli utenti non disattivati, ma ignora gli account di servizio gestiti e del computer, nonché l'account utente gcds.

    3. Base DN (DN di base): lascia vuoto per cercare in tutti i domini all'interno della foresta.

  7. Fai clic su OK per creare la regola.

  8. Fai clic su Google Domain Configuration > Connection Settings (Configurazione dominio Google > Impostazioni di connessione) e scegli Sostituisci i nomi di dominio negli indirizzi email LDAP con questo nome di dominio.

Email

  1. In Configuration Manager, fai clic su User Accounts (Account utente) > User Attributes (Attributi utente).
  2. Fai clic su Usa valori predefiniti.
  3. Fai clic sulla scheda Regole di ricerca, quindi su Aggiungi regola di ricerca.
  4. Inserisci le seguenti impostazioni:

    1. Ambito: Sub-tree
    2. Regola:

      (&(objectCategory=person)(objectClass=user)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

      Questa regola corrisponde a tutti gli utenti non disattivati con un indirizzo email non vuoto, ma ignora gli account dei computer e di servizio gestiti.

    3. Base DN (DN di base): lascia vuoto per cercare in tutti i domini della foresta.

  5. Fai clic su OK per creare la regola.

Email: sostituzione del dominio

  1. In Configuration Manager, fai clic su User Accounts (Account utente) > User Attributes (Attributi utente).
  2. Fai clic su Usa valori predefiniti.
  3. Fai clic su proxyAddresses > Remove se non vuoi sincronizzare gli indirizzi degli alias.
  4. Fai clic sulla scheda Regole di ricerca, quindi su Utilizza valori predefiniti.
  5. Fai clic su Google Domain Configuration (Configurazione dominio Google) > Connection Settings (Impostazioni di connessione) e scegli Sostituisci i nomi di dominio negli indirizzi email LDAP con questo nome di dominio.

Per ulteriori dettagli sulla mappatura degli attributi utente, consulta Impostare la sincronizzazione con Configuration Manager.

Criterio di eliminazione

Finora la configurazione si è concentrata sull'aggiunta e sull'aggiornamento degli utenti in Cloud Identity o Google Workspace. Tuttavia, è anche importante che gli utenti disattivati o eliminati in Active Directory vengano sospesi o eliminati in Cloud Identity o Google Workspace.

Nell'ambito del processo di provisioning, GCDS genera un elenco di utenti in Cloud Identity o Google Workspace che non corrispondono ai risultati della query LDAP di Active Directory. Poiché la query LDAP incorpora la clausola (!(userAccountControl:1.2.840.113556.1.4.803:=2)), tutti gli utenti che sono stati disattivati o eliminati in Active Directory dall'esecuzione dell'ultimo provisioning saranno inclusi in questo elenco. Il comportamento predefinito di GCDS è l'eliminazione di questi utenti in Cloud Identity o Google Workspace, ma puoi personalizzare questo comportamento:

  1. In Configuration Manager, fai clic su User Accounts > User Attributes (Account utente > Attributi utente).
  2. In Google Domain Users Deletion/Suspension Policy (Criterio eliminazione/sospensione degli utenti del dominio Google), assicurati che l'opzione Don't suspended or delete Google domain admins not found in LDAP (Non sospendere o eliminare gli amministratori di dominio Google non presenti in LDAP) sia selezionata. Questa impostazione garantisce che GCDS non sospenda né elimini l'utente super amministratore che hai utilizzato per configurare il tuo account Cloud Identity o Google Workspace.
  3. Se vuoi, puoi modificare il criterio di eliminazione per gli utenti non amministratori.

Se utilizzi più istanze separate di GCDS per eseguire il provisioning di diversi domini o foreste in un singolo account Cloud Identity o Google Workspace, assicurati che le diverse istanze di GCDS non interferiscano tra loro. Per impostazione predefinita, gli utenti di Cloud Identity o Google Workspace di cui è stato eseguito il provisioning da un'origine diversa verranno erroneamente identificati in Active Directory come eliminati. Per evitare questa situazione, puoi spostare tutti gli utenti che esulano dall'ambito del dominio o della foresta di cui stai eseguendo il provisioning a una singola UO e poi escluderla.

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.
  3. Configura le seguenti impostazioni:

    1. Type (Tipo): Organization Complete Path (Percorso completo organizzazione)
    2. Match Type: Exact Match (Corrispondenza esatta)
    3. Esclusione regola: inserisci il percorso della UO e il relativo nome. Ad esempio:

      ROOT OU/EXCLUDED OU

      Sostituisci ROOT OU/EXCLUDED OU con il percorso della UO e il nome della UO esclusa.

  4. Fai clic su OK per creare la regola.

In alternativa, se l'esclusione di una singola UO non è adatta alla tua attività, puoi escludere il dominio o la base forestale sugli indirizzi email degli utenti.

UPN

  1. In Configuration Manager, fai clic su Google Domain Configuration > Export Rules (Configurazione del dominio Google > Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.
  3. Configura le seguenti impostazioni:

    1. Type (Tipo): User Email Address (Indirizzo email dell'utente)
    2. Match Type (Tipo di corrispondenza): Regular Expression (Espressione regolare)
    3. Regola di esclusione: se utilizzi un singolo dominio di suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$
      Sostituisci UPN_SUFFIX_DOMAIN con il tuo dominio del suffisso UPN, come in questo esempio:
      .*@((?!corp.example.com).*)$

      Se utilizzi più domini di suffissi UPN, estendi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Fai clic su OK per creare la regola.

UPN: sostituzione del dominio

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.
  3. Configura le seguenti impostazioni:

    1. Type (Tipo): User Email Address (Indirizzo email dell'utente)
    2. Match Type (Tipo di corrispondenza): Regular Expression (Espressione regolare)
    3. Regola di esclusione: se utilizzi un singolo dominio di suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio che utilizzi per sostituire il dominio del suffisso UPN, come in questo esempio:

      .*@((?!corp.example.com).*)$
  4. Fai clic su OK per creare la regola.

Email

  1. In Configuration Manager, fai clic su Google Domain Configuration (Configurazione del dominio Google) > exclusion Rules (Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.
  3. Configura le seguenti impostazioni:

    1. Type (Tipo): User Email Address (Indirizzo email dell'utente)
    2. Match Type (Tipo di corrispondenza): Regular Expression (Espressione regolare)
    3. Regola di esclusione: se utilizzi un singolo dominio di suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!MX_DOMAIN).*)$

      Sostituisci MX_DOMAIN con il nome di dominio che utilizzi negli indirizzi email, come in questo esempio:

      .*@((?!corp.example.com).*)$

      Se utilizzi più domini di suffissi UPN, estendi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Fai clic su OK per creare la regola.

Email: sostituzione del dominio

  1. In Configuration Manager, fai clic su Google Domain Configuration > Export Rules (Configurazione del dominio Google > Regole di esclusione).
  2. Fai clic su Aggiungi regola di esclusione.
  3. Configura le seguenti impostazioni:

    1. Type (Tipo): User Email Address (Indirizzo email dell'utente)
    2. Match Type (Tipo di corrispondenza): Regular Expression (Espressione regolare)
    3. Regola di esclusione: se utilizzi un singolo dominio di suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio che utilizzi per sostituire il dominio email, come in questo esempio:

      .*@((?!corp.example.com).*)$
  4. Fai clic su OK per creare la regola.

Per ulteriori dettagli sulle impostazioni di eliminazione e sospensione, consulta Scopri di più sulle opzioni di Configuration Manager.

Gruppi di provisioning

Il passaggio successivo consiste nella configurazione della mappatura dei gruppi tra Active Directory e Cloud Identity o Google Workspace. Questa procedura varia a seconda che tu voglia mappare i gruppi per nome comune o indirizzo email.

Configurazione delle mappature dei gruppi in base al nome comune

Innanzitutto, devi identificare i tipi di gruppi di sicurezza di cui intendi eseguire il provisioning, quindi formulare una query LDAP appropriata. La seguente tabella contiene le query più comuni che puoi utilizzare.

Tipo Query LDAP
Gruppi locali del dominio (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652))
Gruppi globali (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650))
Gruppi universali (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656))
Gruppi globali e universali (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656)))
Tutti i gruppi (objectCategory=group)

La query per i gruppi globali copre anche i gruppi definiti da Active Directory, come i controller di dominio. Puoi filtrare questi gruppi limitando la ricerca in base all'unità organizzativa (ou).

Le restanti impostazioni dipendono da se intendi utilizzare il codice UPN o l'indirizzo email per mappare Active Directory agli utenti in Cloud Identity o Google Workspace.

UPN

  1. In Configuration Manager, fai clic su Gruppi > Regole di ricerca.
  2. Fai clic su Utilizza valori predefiniti per aggiungere due regole predefinite.
  3. Fai clic sulla prima icona di modifica della regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Nella casella Gruppi, inserisci le seguenti impostazioni:
    1. Group Email Address Attribute (Attributo indirizzo email del gruppo): cn
    2. Attributo indirizzo email dell'utente: userPrincipalName
  6. Fai clic sulla scheda Prefisso-suffisso.
  7. Nella casella Indirizzo email del gruppo, inserisci le seguenti impostazioni:

    1. Suffisso: @PRIMARY_DOMAIN, in cui sostituisci @PRIMARY_DOMAIN con il dominio principale del tuo account Cloud Identity o Google Workspace. Sebbene l'impostazione sembri ridondante perché GCDS aggiunge il dominio automaticamente, devi specificarla in modo esplicito per impedire a più istanze di Google Cloud Directory Sync di cancellare i membri del gruppo che non avevano aggiunto.

      Esempio: @example.com

    2. Fai clic su Ok.

  8. Fai clic sulla seconda icona con croce di regole per eliminare quella regola.

Email

  1. In Configuration Manager, fai clic su Gruppi > Regole di ricerca.
  2. Fai clic su Utilizza valori predefiniti per aggiungere un paio di regole predefinite.
  3. Fai clic sulla prima icona di modifica della regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Nella casella Gruppi, modifica Attributo indirizzo email del gruppo per inserire l'impostazione cn.
  6. Fai clic su Ok.

Le stesse impostazioni si applicano anche se hai utilizzato la sostituzione del dominio quando esegui la mappatura degli utenti.

Configurazione delle mappature dei gruppi tramite indirizzo email

Innanzitutto, devi identificare i tipi di gruppi di sicurezza di cui intendi eseguire il provisioning, quindi formulare una query LDAP appropriata. La seguente tabella contiene le query più comuni che puoi utilizzare.

Tipo Query LDAP
Gruppi locali del dominio con indirizzo email (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483652)(mail=*))
Gruppi globali con indirizzo email (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483650)(mail=*))
Gruppi universali con indirizzo email (&(objectCategory=group)(groupType:1.2.840.113556.1.4.803:=2147483656)(mail=*))
Gruppi globali e universali con indirizzo email (&(objectCategory=group)(|(groupType:1.2.840.113556.1.4.803:=2147483650)(groupType:1.2.840.113556.1.4.803:=2147483656))(mail=*))
Tutti i gruppi con indirizzo email (&(objectCategory=group)(mail=*))

Le restanti impostazioni dipendono da se intendi utilizzare il protocollo UPN o l'indirizzo email per mappare Active Directory agli utenti in Cloud Identity o Google Workspace.

UPN

  1. In Configuration Manager, fai clic su Gruppi > Regole di ricerca.
  2. Fai clic su Utilizza valori predefiniti per aggiungere due regole predefinite.
  3. Fai clic sulla prima icona di modifica della regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Nella casella Gruppi, modifica Attributo nome email utente per inserire l'impostazione userPrincipalName.
  6. Fai clic su Ok.
  7. Fai clic sulla seconda icona con croce di regole per eliminare quella regola.

Email

  1. In Configuration Manager, fai clic su Gruppi > Regole di ricerca.
  2. Fai clic su Utilizza valori predefiniti per aggiungere un paio di regole predefinite.
  3. Fai clic sulla prima icona di modifica della regola.
  4. Modifica Rule (Regola) per sostituire la query LDAP.
  5. Fai clic su Ok.
  6. Fai clic sulla seconda icona a forma di croce delle regole per rimuovere questa regola.

Se hai attivato l'opzione Sostituisci i nomi di dominio negli indirizzi email LDAP con questo nome di dominio, la modifica verrà applicata anche agli indirizzi email di gruppi e membri.

Criterio di eliminazione

GCDS gestisce l'eliminazione dei gruppi in modo simile all'eliminazione degli utenti. Se utilizzi più istanze separate di GCDS per eseguire il provisioning di diversi domini o foreste in un singolo account Cloud Identity o Google Workspace, assicurati che le diverse istanze di GCDS non interferiscano tra loro.

Per impostazione predefinita, un membro del gruppo in Cloud Identity o Google Workspace di cui è stato eseguito il provisioning da un'origine diversa verrà erroneamente identificato in Active Directory come eliminato. Per evitare questa situazione, configura GCDS in modo da ignorare tutti i membri del gruppo che esulano dall'ambito del dominio o della foresta da cui esegui il provisioning.

UPN

  1. Fai clic su Configurazione del dominio Google > Regole di esclusione.
  2. Fai clic su Aggiungi regola di esclusione.
  3. Configura le seguenti impostazioni:

    1. Type (Tipo): Group Member Email Address (Indirizzo email membro del gruppo)
    2. Match Type (Tipo di corrispondenza): Regular Expression (Espressione regolare)
    3. Regola di esclusione: se utilizzi un singolo dominio di suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!UPN_SUFFIX_DOMAIN).*)$

      Sostituisci UPN_SUFFIX_DOMAIN con il tuo dominio del suffisso UPN, come nell'esempio seguente:

      .*@((?!corp.example.com).*)$

      Se utilizzi più domini di suffissi UPN, estendi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Fai clic su OK per creare la regola.

UPN: sostituzione del dominio

  1. Fai clic su Configurazione del dominio Google > Regole di esclusione.
  2. Fai clic su Aggiungi regola di esclusione.
  3. Configura le seguenti impostazioni:

    1. Type (Tipo): Group Member Email Address (Indirizzo email membro del gruppo)
    2. Match Type (Tipo di corrispondenza): Regular Expression (Espressione regolare)
    3. Regola di esclusione: se utilizzi un singolo dominio di suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio che utilizzi per sostituire il dominio del suffisso UPN, come in questo esempio:

      .*@((?!corp.example.com).*)$
  4. Fai clic su OK per creare la regola.

Email

  1. Fai clic su Configurazione del dominio Google > Regole di esclusione.
  2. Fai clic su Aggiungi regola di esclusione.
  3. Configura le seguenti impostazioni:

    1. Type (Tipo): Group Member Email Address (Indirizzo email membro del gruppo)
    2. Match Type (Tipo di corrispondenza): Regular Expression (Espressione regolare)
    3. Regola di esclusione: se utilizzi un singolo dominio di suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!MX_DOMAIN).*)$

      Sostituisci MX_DOMAIN con il nome di dominio che utilizzi negli indirizzi email, come nell'esempio seguente:

      .*@((?!corp.example.com).*)$

      Se utilizzi più domini di suffissi UPN, estendi l'espressione come mostrato:

      .*@((?!corp.example.com|branch.example.com).*)$
  4. Fai clic su OK per creare la regola.

Email: sostituzione del dominio

  1. Fai clic su Configurazione del dominio Google > Regole di esclusione.
  2. Fai clic su Aggiungi regola di esclusione.
  3. Configura le seguenti impostazioni:

    1. Type (Tipo): Group Member Email Address (Indirizzo email membro del gruppo)
    2. Match Type (Tipo di corrispondenza): Regular Expression (Espressione regolare)
    3. Regola di esclusione: se utilizzi un singolo dominio di suffisso UPN, inserisci la seguente espressione regolare:

      .*@((?!SUBSTITUTION_DOMAIN).*)$

      Sostituisci SUBSTITUTION_DOMAIN con il dominio che utilizzi per sostituire il dominio email, come nell'esempio seguente:

      .*@((?!corp.example.com).*)$
    4. Fai clic su OK per creare la regola.

Per ulteriori informazioni sulle impostazioni dei gruppi, consulta Scopri di più sulle opzioni di Configuration Manager.

Configura logging e notifiche

Mantenere gli utenti sincronizzati richiede l'esecuzione di GCDS su base pianificata. Per tenere traccia dell'attività di GCDS e dei potenziali problemi, puoi controllare come e quando GCDS scrive il proprio file di log:

  1. In Configuration Manager, fai clic su Logging.
  2. Imposta Nome file su PROGRAM_DATA\gcds\gcds_sync.#{timestamp}.log. Sostituisci PROGRAM_DATA con il percorso della cartella ProgramData restituito dal comando PowerShell durante l'esecuzione precedente.
  3. Fai clic su File > Salva per confermare le modifiche alla configurazione su disco, quindi fai clic su OK.

Oltre all'accesso, GCDS può inviare notifiche via email. Per attivare il servizio, fai clic su Notifiche e fornisci le informazioni sulla connessione per il tuo server di posta.

Simulare il provisioning degli utenti

Hai completato la configurazione di GCDS. Per verificare che la configurazione funzioni come previsto, devi prima salvarla su disco e poi simulare un'esecuzione del provisioning degli utenti. Durante la simulazione, GCDS non modificherà l'account Cloud Identity o Google Workspace, ma segnalerà le modifiche che verrebbero eseguite durante una normale esecuzione del provisioning.

  1. In Configuration Manager, fai clic su Sync (Sincronizza).
  2. Nella parte inferiore dello schermo seleziona Svuota cache, quindi fai clic su Simula sincronizzazione.
  3. Una volta completato il processo, esamina la sezione Modifiche proposte del log visualizzata nella metà inferiore della finestra di dialogo e verifica che non siano state apportate modifiche indesiderate, come l'eliminazione o la sospensione di utenti o gruppi.

Provisioning iniziale degli utenti

Ora puoi attivare il provisioning iniziale degli utenti:

Avvisi

  • L'attivazione del provisioning degli utenti apporterà modifiche permanenti agli utenti e ai gruppi nel tuo account Cloud Identity o Google Workspace.
  • Se hai un numero elevato di utenti di cui eseguire il provisioning, valuta la possibilità di modificare temporaneamente la query LDAP in modo che corrisponda solo a un sottoinsieme di questi utenti. Utilizzando questo sottoinsieme di utenti, puoi testare il processo e modificare le impostazioni, se necessario. Dopo aver convalidato i risultati, ripristina la query LDAP ed esegui il provisioning degli utenti rimanenti.
  • Evita di modificare o eliminare ripetutamente un numero elevato di utenti durante i test, perché queste azioni potrebbero essere segnalate come comportamento illecito.

Attiva l'esecuzione di un provisioning nel seguente modo:

  1. In Configuration Manager, fai clic su Sync (Sincronizza).
  2. Nella parte inferiore dello schermo, seleziona Svuota cache, quindi fai clic su Sincronizza e applica modifiche.

    Viene visualizzata una finestra di dialogo che mostra lo stato.

  3. Al termine del processo, controlla il log visualizzato nella metà inferiore della finestra di dialogo:

    1. In Modifiche utente riuscite, verifica che sia stato creato almeno un utente.
    2. In Errori, verifica che non si siano verificati errori.

Pianificazione in corso

Per assicurarti che le modifiche apportate in Active Directory vengano propagate al tuo account Cloud Identity o Google Workspace, configura un'attività pianificata che attivi un'esecuzione del provisioning ogni ora:

  1. Apri una console di PowerShell come amministratore.
  2. Verifica se il modulo di Active Directory PowerShell è disponibile nel sistema:

    import-module ActiveDirectory

    Se il comando non va a buon fine, scarica e installa gli Strumenti di amministrazione del server remoto e riprova.

  3. In Blocco note, crea un file, copia al suo interno il contenuto seguente e salva il file in %ProgramData%\gcds\sync.ps1. Al termine, chiudi il file.

    [CmdletBinding()]
    Param(
        [Parameter(Mandatory=$True]
        [string]$config,
    
        [Parameter(Mandatory=$True)]
        [string]$gcdsInstallationDir
    )
    
    import-module ActiveDirectory
    
    # Stop on error.
    $ErrorActionPreference ="stop"
    
    # Ensure it's an absolute path.
    $rawConfigPath = [System.IO.Path]::Combine((pwd).Path, $config)
    
    # Discover closest GC in current domain.
    $dc = Get-ADDomainController -discover -Service "GlobalCatalog" -NextClosestSite
    Write-Host ("Using GC server {0} of domain {1} as LDAP source" -f [string]$dc.HostName, $dc.Domain)
    
    # Load XML and replace the endpoint.
    $dom = [xml](Get-Content $rawConfigPath)
    $ldapConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.ldap.LDAPPlugin']/config")
    
    # Tweak the endpoint.
    $ldapConfigNode.hostname = [string]$dc.HostName
    $ldapConfigNode.ldapCredMachineName = [string]$dc.HostName
    $ldapConfigNode.port = "3268"   # Always use GC port
    
    # Tweak the tsv files location
    $googleConfigNode = $dom.SelectSingleNode("//plugin[@class='com.google.usersyncapp.plugin.google.GooglePlugin']/config")
    $googleConfigNode.nonAddressPrimaryKeyMapFile = [System.IO.Path]::Combine((pwd).Path, "nonAddressPrimaryKeyFile.tsv")
    $googleConfigNode.passwordTimestampFile = [System.IO.Path]::Combine((pwd).Path, "passwordTimestampCache.tsv")
    
    # Save resulting config.
    $targetConfigPath = $rawConfigPath + ".autodiscover"
    
    $writer = New-Object System.IO.StreamWriter($targetConfigPath, $False, (New-Object System.Text.UTF8Encoding($False)))
    $dom.Save($writer)
    $writer.Close()
    
    # Start provisioning.
    Start-Process -FilePath "$gcdsInstallationDir\sync-cmd" `
        -Wait -ArgumentList "--apply --config ""$targetConfigPath"""
    
  4. Configuration Manager ha creato una chiave secret per criptare le credenziali nel file di configurazione. Per assicurarti che GCDS possa comunque leggere la configurazione quando viene eseguita come attività pianificata, esegui questi comandi per copiare la chiave segreta dal tuo profilo al profilo di NT AUTHORITY\LOCAL SERVICE:

    New-Item -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp -Force;
    Copy-Item -Path Microsoft.PowerShell.Core\Registry::HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util `
        -Destination Microsoft.PowerShell.Core\Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util
    

    Se i comandi hanno esito negativo, assicurati di aver avviato la console di PowerShell come amministratore.

  5. Crea un'attività pianificata eseguendo i comandi seguenti. L'attività pianificata verrà attivata ogni ora e richiama lo script sync.ps1 come NT AUTHORITY\LOCAL SERVICE.

    $taskName = "Synchronize to Cloud Identity"
    $gcdsDir = "$Env:ProgramData\gcds"
    
    $action = New-ScheduledTaskAction -Execute 'PowerShell.exe' `
      -Argument "-ExecutionPolicy Bypass -NoProfile $gcdsDir\sync.ps1 -config $gcdsDir\config.xml -gcdsInstallationDir '$Env:Programfiles\Google Cloud Directory Sync'" `
      -WorkingDirectory $gcdsDir
    $trigger = New-ScheduledTaskTrigger `
      -Once `
      -At (Get-Date) `
      -RepetitionInterval (New-TimeSpan -Minutes 60) `
      -RepetitionDuration (New-TimeSpan -Days (365 * 20))
    
    $principal = New-ScheduledTaskPrincipal -UserID "NT AUTHORITY\LOCAL SERVICE" -LogonType ServiceAccount
    Register-ScheduledTask -Action $action -Trigger $trigger -Principal $principal -TaskName $taskName
    
    $task = Get-ScheduledTask -TaskName "$taskName"
    $task.Settings.ExecutionTimeLimit = "PT12H"
    Set-ScheduledTask $task
    

Per ulteriori informazioni, consulta la sezione Pianificare le sincronizzazioni automatiche.

Testare il provisioning degli utenti

Hai completato l'installazione e la configurazione di GCDS e l'attività pianificata attiverà un'esecuzione del provisioning ogni ora.

Per attivare manualmente un provisioning eseguito, passa alla console di PowerShell ed esegui questo comando:

Start-ScheduledTask "Synchronize to Cloud Identity"

Esegui la pulizia

Per rimuovere GCDS, segui questi passaggi:

  1. Apri il Pannello di controllo di Windows e fai clic su Programmi > Disinstalla un programma.
  2. Seleziona Google Cloud Directory Sync e fai clic su Disinstalla/Modifica per avviare la procedura guidata di disinstallazione. quindi segui le istruzioni della procedura guidata.
  3. Apri una console di PowerShell ed esegui questo comando per rimuovere l'attività pianificata:

    $taskName = "Synchronize to Cloud Identity"
    Unregister-ScheduledTask -TaskName $taskName -Confirm:$False
    
  4. Esegui questo comando per eliminare i file di configurazione e di log:

    Remove-Item -Recurse -Force "$Env:ProgramData\gcds"
    Remove-Item -Recurse -Path Registry::HKEY_USERS\S-1-5-19\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp
    

Passaggi successivi