Итак, вы решили перейти на G Suite. Поздравляем 🎉

У вас в команде есть системные администраторы и тут вам надо решить такие, на первый взгляд простые вопросы:

  • как, после миграции, управлять инфраструктурой предприятия?
  • как предоставлять доступ к ресурсам?
  • как объединять пользователей в группы?
  • как следить за структурой объектов?

Для решения этих вопросов в Google разработали  Google Cloud Directory Sync


Google Cloud Directory Sync (GCDS) создан для синхронизации данных в вашем домене Google с сервером Microsoft® Active Directory® или LDAP. С его помощью можно обновлять сведения о пользователях, группах и общих контактах Google в соответствии с данными на сервере LDAP.Это программное обеспечение позволит тесно интегрировать инфраструктуру вашего предприятия с сервисами G Suite.

Как работает GCDS:

  • формирует списком данные с вашего сервера LDAP и экспортирует их
  • позволяет настроить правила, по которым данные будут формироваться
  • подключается к вашему домену в G Suite и синхронизирует список указанных пользователей, групп и общих контактов.

Что может GCDS:

  • Дает возможность настройки гибких правил для пользователей, групп, контактов, ресурсов календаря и формирование для них исключений.
  • Односторонняя синхронизация, позволит сохранить данные LDAP в неизменном виде.
  • Работа программы возможна только внутри сети.
  • Программа может работать в консоли, без использования GUI.
  • Есть возможность тестировать соединение и модель передачи данных.
  • Программа устанавливается пакетом со всем необходимыми компонентами.
GCDS можно синхронизировать только с одним LDAP-сервером. GCDS не синхронизирует личные контакты.

Для работы с GCDS необходимы следующие сведения:

  • Имя хоста или IP-адрес вашего LDAP-сервера.
  • Сетевой доступ, прокси-серверы и исходящие соединения.
  • Имя и пароль аккаунта с правами чтения и выполнения на LDAP-сервере.

В приложении GCDS можно настраивать синхронизацию пользователей из конкретной группы или каталога. Пример такого запроса:  

(&(memberof=cn=appsUsers,cn=users,dc=corp,dc=domain,dc=com)
(objectCategory=person)(objectClass=user)(mail=*)(!
(userAccountControl:1.2.840.113556.1.4.803:=2)))

Этот запрос возвращает всех пользователей, которые являются участниками группы, идентифицируемой по уникальному имени (DN), у которых есть адреса электронной почты и аккаунт не заблокирован.

Чтобы инструмент GCDS исключил определенную группу, задайте в конфигурации домена Google правило исключения Group Email Address (Адрес электронной почты группы).

Пример:

Type (Тип): Group email address (Адрес электронной почты группы)
Match type (Тип соответствия): Exact match (Точное соответствие)
Rule (Правило): GCP_Project1@domen.com
Важно помнить, для того чтобы группа Active Directory создалась и   синхронизировалась с G Suite, нужно сделать ее универсального типа и присвоить группе email в соответствующем поле.

В G Suite есть сервис - Google Групп для бизнеса, который обеспечивает специальные функции сотрудникам организации для простого взаимодействия друг с другом.

И если пользователи создают свои группы с помощью этого сервиса и группа LDAP совпадает с созданной пользователем, GCDS не синхронизирует ее, как если бы в GCDS для нее было задано правило исключения. GCDS не удалит группу, если она не совпадает с данными в каталоге LDAP. Если вы добавили участников в соответствующий объект в каталоге LDAP, GCDS добавит их в группу. Если вы добавили пользователей в группу Google, данные в которой не совпадают с данными в каталоге LDAP, эти участники не будут удалены во время синхронизации.

Google Группы для бизнеса – веб-сервис, позволяющий Конечным пользователям и владельцам сайтов создавать группы для совместной работы и управлять ими. Конечные пользователи могут вести обсуждения по электронной почте, обмениваться документами и данными календаря, а также предоставлять доступ к сайтам и папкам другим участникам группы. Они также могут просматривать архивы обсуждений группы и искать в них нужную информацию. Сервис недоступен в бесплатной версии G Suite.

GCDS умеет синхронизировать пароли пользователей, но лучше это делать с помощью приложения G Suite Password Sync.Приложение G Suite Password Sync (GSPS) предназначено для автоматической синхронизации паролей пользователей с паролями Microsoft® Active Directory®. Когда пароль меняется в Active Directory, GSPS сразу же обновляет его в управляемом аккаунте Google. Приложение запускается как сервис Windows, устанавливает его необходимо на доменные контроллеры организации.

Приложение GSPS никогда не меняет пароли в Active Directory: оно только переносит обновленные в этом каталоге пароли в аккаунт Google вашей организации.

Если у вашей организации существуют свои требования к организации доступа или вы хотите контролировать создание учетных записей по определенному бизнес-процессу, то тогда вам нужно рассмотреть создание своего программного обеспечения для синхронизации LDAP-каталога, например Microsoft® Active Directory®.

Для решения этой задачи ознакомьтесь с возможностями предоставляемые G Suite Admin SDK.  SDK включает в себя набор API-функций для управления различными сервисами G Suite. Например с помощью Directory API, можно управлять пользователями, группами, организационными юнитами и безопасность.

Используйте API для разработки своих механизмов взаимодействия с сервисами G Suite. Создавайте свои сервисы и интегрируйте их с Google.

Есть вопросы – пишите нам в Telegram или на google@pik.digital

Больше информации о G Suite на  нашем сайте.