Arquivo, CI, ERP, Funcionários, Professores, Burocratas, Administradores
2 627
edições
Mudanças
Ir para navegação
Ir para pesquisar
Google Cloud Directory Sync - Definição das OUs onde os usuários serão alocados no painel do Google Apps (ver código-fonte)
Edição das 00h54min de 5 de fevereiro de 2024
, 5 fevereiroPrimeira versão do manual.
Esta instrução mostra como o Google Cloud Directory Sync foi configurado para distribuir os usuários dentro das respectivas OUs no AD.
== Habilitação da utilização de OUs no Google Cloud Directory Sync ==
# Dentro do Google Cloud Directory Sync, na aba '''General Settings''' do menu lateral esquerdo (1), marque a opção '''Organizational Units''' (2). Isso fará com que seja exibida uma opção chamada '''Org Units''' (3), que não aparecia anteriormente.<p>[[File:ClipCapIt-240204-233125.PNG]]</p>
# Clique na opção '''Org Units''' do menu lateral esquerdo e, na aba '''LDAP Org Unit Mappings''', desmarque a opção '''Don't delete Google Organizations not found in LDAP''' e marque a opção '''Do not create or delete Google Organizations, but move users between existing Organizations, as specified in the User Sync Rules'''. Ainda na aba '''LDAP Org Unit Mappings'', não deve existir nenhum mapeamento entre '''LDAP DN''' e '''Google Org Unit Name'''. Nas abas '''Search Rules''' e '''Exclusion Rules''' também não existe nenhum registro de mapeamento. As telas ficam da seguinte forma:<p>[[File:ClipCapIt-240204-234019.PNG]]</p><p>[[File:ClipCapIt-240204-234123.PNG]]</p><p>[[File:ClipCapIt-240204-234150.PNG]]</p>
Em resumo, o que esta configuração faz é especificar que o Google Cloud Directory Sync '''não''' será responsável pela criação/exclusão de OUs no painel de controle do Google Apps, mas será responsável pela alocação/realocação dos usuários dentro das OUs correspondentes. Isso foi feito dessa forma porque o Google Cloud Directory Sync só conseguiria criar OUs no painel de controle caso a estrutura de OUs do AD fosse igual à estrutura de OUs no painel de controle do Google -- e elas não são e nem tem como ser, pois, por exemplo, colaboradores com 2 contratos podem existir tanto na OU '''OU = CFJL, OU = Colaboradores, OU=ISAEC, DC=CFJLFAHOR, DC=local''' quanto na OU '''OU = FAHOR, OU = Colaboradores, OU=ISAEC, DC=CFJLFAHOR, DC=local''' no AD, e o mapeamento de OUs do AD para OUs do painel do Google Apps precisaria ser 1 para 1.
Nos itens seguintes serão feitas as definições das regras que definem como a alocação irá ocorrer.
== Criação do grupo Domínio-Local no AD que representa os integrantes da OU ==
Para cada OU criada no painel de controle do Google, deve existir um grupo Domínio Local correspondente no AD:
{| class="wikitable"
|-
! OU no painel do Google Apps !! Grupo Domínio Local no AD
|-
| [[File:ClipCapIt-240205-000439.PNG]] || [[File:ClipCapIt-240205-000937.PNG]]
|}
Este grupo deve ser criado dentro da OU '''OU=Google Apps, OU=GruposDominioLocal, OU=Domain Servers, DC=cfjlfahor, DC=local'''. Adicione como membros deste grupo os usuários que deverão ser alocados nesta OU no painel de controle do Google Apps.
Obs: pode-se adicionar usuários diretamente neste grupo domínio local ou então adicionar um outro grupo já existente. A busca recursiva funciona neste processo.
== Mapeamento do grupo Domínio-Local no AD para a OU no painel do Google Apps ==
# No Google Cloud Directory Sync, no menu lateral esquerdo '''User accounts''' (1), aba '''Search rules'' (2), devem ser feito o mapeamento entre a OU do painel do Google Apps e o grupo Domínio-Local correspondente no AD. Para incluir uma nova regra, clique em '''Add Search Rule''' (3).<p>[[File:ClipCapIt-240205-003634.PNG]]</p>
# Na tela de criação da regra, preencha os seguintes campos:<p>[[File:ClipCapIt-240205-003940.PNG]]</p>
#* Campo '''Org Unit Name''': informe o nome da OU no painel de controle do Google
#* Campo '''Rule''': Informe a consulta LDAP que retorna os integrantes do grupo domínio local a serem adicionados no grupo. O modelo, conforme print, encontra-se abaixo:
#*: <syntaxhighlight lang="ldap">(&(objectCategory=person)(objectClass=user)(telephoneNumber=*@cfjl.com.br)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(memberOf:1.2.840.113556.1.4.1941:=CN=DL_GAPPS_OU_ADMINS_CFJL,OU=Google Apps,OU=GruposDominioLocal,OU=Domain Servers,DC=cfjlfahor,DC=local))</syntaxhighlight>
== Observações gerais ==
As regras de mapeamento de usuários para OUs são processadas na ordem em que aparecem na lista dentro do Google Cloud Directory Sync. Assim, caso um usuário esteja vinculado à mais de um grupo domínio-local entre os mapeados para OUs no painel do Google, ele será efetivamente adicionado na OU correspondente à primeira regra que o retornou como membro. Se necessário, pode-se utilizar as setas existentes no final da lista de regras para reordenar as regras.
Devido à esse comportamento, a última regra é um pouco especial: ela adiciona na OU "raiz" os usuários que não foram especificamente vinculados à uma OU. Para esta regra, o campo '''Org Unit Name''' foi especificado como '''/''' (que é a forma como o painel do Google Apps chama a "OU raiz") e a consulta LDAP utilizada no campo '''Rule''' não tem a última parte (que é a parte responsável por filtrar os membros de um grupo específico). A consulta completa ficou assim para esta regra:
<syntaxhighlight lang="ldap">(&(objectCategory=person)(objectClass=user)(telephoneNumber=*@cfjl.com.br)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))</syntaxhighlight>
== Habilitação da utilização de OUs no Google Cloud Directory Sync ==
# Dentro do Google Cloud Directory Sync, na aba '''General Settings''' do menu lateral esquerdo (1), marque a opção '''Organizational Units''' (2). Isso fará com que seja exibida uma opção chamada '''Org Units''' (3), que não aparecia anteriormente.<p>[[File:ClipCapIt-240204-233125.PNG]]</p>
# Clique na opção '''Org Units''' do menu lateral esquerdo e, na aba '''LDAP Org Unit Mappings''', desmarque a opção '''Don't delete Google Organizations not found in LDAP''' e marque a opção '''Do not create or delete Google Organizations, but move users between existing Organizations, as specified in the User Sync Rules'''. Ainda na aba '''LDAP Org Unit Mappings'', não deve existir nenhum mapeamento entre '''LDAP DN''' e '''Google Org Unit Name'''. Nas abas '''Search Rules''' e '''Exclusion Rules''' também não existe nenhum registro de mapeamento. As telas ficam da seguinte forma:<p>[[File:ClipCapIt-240204-234019.PNG]]</p><p>[[File:ClipCapIt-240204-234123.PNG]]</p><p>[[File:ClipCapIt-240204-234150.PNG]]</p>
Em resumo, o que esta configuração faz é especificar que o Google Cloud Directory Sync '''não''' será responsável pela criação/exclusão de OUs no painel de controle do Google Apps, mas será responsável pela alocação/realocação dos usuários dentro das OUs correspondentes. Isso foi feito dessa forma porque o Google Cloud Directory Sync só conseguiria criar OUs no painel de controle caso a estrutura de OUs do AD fosse igual à estrutura de OUs no painel de controle do Google -- e elas não são e nem tem como ser, pois, por exemplo, colaboradores com 2 contratos podem existir tanto na OU '''OU = CFJL, OU = Colaboradores, OU=ISAEC, DC=CFJLFAHOR, DC=local''' quanto na OU '''OU = FAHOR, OU = Colaboradores, OU=ISAEC, DC=CFJLFAHOR, DC=local''' no AD, e o mapeamento de OUs do AD para OUs do painel do Google Apps precisaria ser 1 para 1.
Nos itens seguintes serão feitas as definições das regras que definem como a alocação irá ocorrer.
== Criação do grupo Domínio-Local no AD que representa os integrantes da OU ==
Para cada OU criada no painel de controle do Google, deve existir um grupo Domínio Local correspondente no AD:
{| class="wikitable"
|-
! OU no painel do Google Apps !! Grupo Domínio Local no AD
|-
| [[File:ClipCapIt-240205-000439.PNG]] || [[File:ClipCapIt-240205-000937.PNG]]
|}
Este grupo deve ser criado dentro da OU '''OU=Google Apps, OU=GruposDominioLocal, OU=Domain Servers, DC=cfjlfahor, DC=local'''. Adicione como membros deste grupo os usuários que deverão ser alocados nesta OU no painel de controle do Google Apps.
Obs: pode-se adicionar usuários diretamente neste grupo domínio local ou então adicionar um outro grupo já existente. A busca recursiva funciona neste processo.
== Mapeamento do grupo Domínio-Local no AD para a OU no painel do Google Apps ==
# No Google Cloud Directory Sync, no menu lateral esquerdo '''User accounts''' (1), aba '''Search rules'' (2), devem ser feito o mapeamento entre a OU do painel do Google Apps e o grupo Domínio-Local correspondente no AD. Para incluir uma nova regra, clique em '''Add Search Rule''' (3).<p>[[File:ClipCapIt-240205-003634.PNG]]</p>
# Na tela de criação da regra, preencha os seguintes campos:<p>[[File:ClipCapIt-240205-003940.PNG]]</p>
#* Campo '''Org Unit Name''': informe o nome da OU no painel de controle do Google
#* Campo '''Rule''': Informe a consulta LDAP que retorna os integrantes do grupo domínio local a serem adicionados no grupo. O modelo, conforme print, encontra-se abaixo:
#*: <syntaxhighlight lang="ldap">(&(objectCategory=person)(objectClass=user)(telephoneNumber=*@cfjl.com.br)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(memberOf:1.2.840.113556.1.4.1941:=CN=DL_GAPPS_OU_ADMINS_CFJL,OU=Google Apps,OU=GruposDominioLocal,OU=Domain Servers,DC=cfjlfahor,DC=local))</syntaxhighlight>
== Observações gerais ==
As regras de mapeamento de usuários para OUs são processadas na ordem em que aparecem na lista dentro do Google Cloud Directory Sync. Assim, caso um usuário esteja vinculado à mais de um grupo domínio-local entre os mapeados para OUs no painel do Google, ele será efetivamente adicionado na OU correspondente à primeira regra que o retornou como membro. Se necessário, pode-se utilizar as setas existentes no final da lista de regras para reordenar as regras.
Devido à esse comportamento, a última regra é um pouco especial: ela adiciona na OU "raiz" os usuários que não foram especificamente vinculados à uma OU. Para esta regra, o campo '''Org Unit Name''' foi especificado como '''/''' (que é a forma como o painel do Google Apps chama a "OU raiz") e a consulta LDAP utilizada no campo '''Rule''' não tem a última parte (que é a parte responsável por filtrar os membros de um grupo específico). A consulta completa ficou assim para esta regra:
<syntaxhighlight lang="ldap">(&(objectCategory=person)(objectClass=user)(telephoneNumber=*@cfjl.com.br)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))</syntaxhighlight>