Google Cloud Directory Sync - Definição das OUs onde os usuários serão alocados no painel do Google Apps

De IT's Instruções de Trabalho - FAHOR/CFJL
Ir para navegação Ir para pesquisar

Esta instrução mostra como o Google Cloud Directory Sync foi configurado para distribuir os usuários dentro das respectivas OUs no AD.

Habilitação da utilização de OUs no Google Cloud Directory Sync

  1. Dentro do Google Cloud Directory Sync, na aba General Settings do menu lateral esquerdo (1), marque a opção Organizational Units (2). Isso fará com que seja exibida uma opção chamada Org Units (3), que não aparecia anteriormente.

    ClipCapIt-240204-233125.PNG

  2. Clique na opção Org Units' do menu lateral esquerdo e, na aba LDAP Org Unit Mappings, desmarque a opção Don't delete Google Organizations not found in LDAP e marque a opção Do not create or delete Google Organizations, but move users between existing Organizations, as specified in the User Sync Rules. Ainda na aba LDAP Org Unit Mappings, não deve existir nenhum mapeamento entre LDAP DN e Google Org Unit Name. Nas abas Search Rules e Exclusion Rules também não existe nenhum registro de mapeamento. As telas ficam da seguinte forma:

    ClipCapIt-240204-234019.PNG

    ClipCapIt-240204-234123.PNG

    ClipCapIt-240204-234150.PNG

Em resumo, o que esta configuração faz é especificar que o Google Cloud Directory Sync não será responsável pela criação/exclusão de OUs no painel de controle do Google Apps, mas será responsável pela alocação/realocação dos usuários dentro das OUs correspondentes. Isso foi feito dessa forma porque o Google Cloud Directory Sync só conseguiria criar OUs no painel de controle caso a estrutura de OUs do AD fosse igual à estrutura de OUs no painel de controle do Google -- e elas não são e nem tem como ser, pois, por exemplo, colaboradores com 2 contratos podem existir tanto na OU OU = CFJL, OU = Colaboradores, OU=ISAEC, DC=CFJLFAHOR, DC=local quanto na OU OU = FAHOR, OU = Colaboradores, OU=ISAEC, DC=CFJLFAHOR, DC=local no AD, e o mapeamento de OUs do AD para OUs do painel do Google Apps precisaria ser 1 para 1.

Nos itens seguintes serão feitas as definições das regras que definem como a alocação irá ocorrer.

Criação do grupo Domínio-Local no AD que representa os integrantes da OU

Para cada OU criada no painel de controle do Google, deve existir um grupo Domínio Local correspondente no AD:

OU no painel do Google Apps Grupo Domínio Local no AD
ClipCapIt-240205-000439.PNG ClipCapIt-240205-000937.PNG

Este grupo deve ser criado dentro da OU OU=Google Apps, OU=GruposDominioLocal, OU=Domain Servers, DC=cfjlfahor, DC=local. Adicione como membros deste grupo os usuários que deverão ser alocados nesta OU no painel de controle do Google Apps.

Obs: pode-se adicionar usuários diretamente neste grupo domínio local ou então adicionar um outro grupo já existente. A busca recursiva funciona neste processo.

Mapeamento do grupo Domínio-Local no AD para a OU no painel do Google Apps

  1. No Google Cloud Directory Sync, no menu lateral esquerdo User accounts' (1), aba Search rules (2), devem ser feito o mapeamento entre a OU do painel do Google Apps e o grupo Domínio-Local correspondente no AD. Para incluir uma nova regra, clique em Add Search Rule (3).

    ClipCapIt-240205-003634.PNG

  2. Na tela de criação da regra, preencha os seguintes campos:

    ClipCapIt-240205-003940.PNG

    • Campo Org Unit Name: informe o nome da OU no painel de controle do Google
    • Campo Rule: Informe a consulta LDAP que retorna os integrantes do grupo domínio local a serem adicionados no grupo. O modelo, conforme print, encontra-se abaixo: 
      (&(objectCategory=person)(objectClass=user)(telephoneNumber=*@cfjl.com.br)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(memberOf:1.2.840.113556.1.4.1941:=CN=DL_GAPPS_OU_ADMINS_CFJL,OU=Google Apps,OU=GruposDominioLocal,OU=Domain Servers,DC=cfjlfahor,DC=local))

Observações gerais

As regras de mapeamento de usuários para OUs são processadas na ordem em que aparecem na lista dentro do Google Cloud Directory Sync. Assim, caso um usuário esteja vinculado à mais de um grupo domínio-local entre os mapeados para OUs no painel do Google, ele será efetivamente adicionado na OU correspondente à primeira regra que o retornou como membro. Se necessário, pode-se utilizar as setas existentes no final da lista de regras para reordenar as regras.

Devido à esse comportamento, a última regra é um pouco especial: ela adiciona na OU "raiz" os usuários que não foram especificamente vinculados à uma OU. Para esta regra, o campo Org Unit Name foi especificado como / (que é a forma como o painel do Google Apps chama a "OU raiz") e a consulta LDAP utilizada no campo Rule não tem a última parte (que é a parte responsável por filtrar os membros de um grupo específico). A consulta completa ficou assim para esta regra: 

(&(objectCategory=person)(objectClass=user)(telephoneNumber=*@cfjl.com.br)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Disponível em “http://wiki.fahor.com.br/index.php?title=Google_Cloud_Directory_Sync_-_Definição_das_OUs_onde_os_usuários_serão_alocados_no_painel_do_Google_Apps&oldid=21868