GCDS: Active Directory synchroniseren met Google Workspace
Complete gids voor GCDS: Active Directory koppelen aan Google Workspace, LDAP configureren, attribuutkoppelingen instellen en wachtwoordsynchronisatie.
Google Cloud Directory Sync (GCDS) is de officiele gratis tool van Google om gebruikers, groepen en organisatie-eenheden vanuit Microsoft Active Directory te synchroniseren naar Google Workspace. Het elimineert dubbel beheer.
Wanneer gebruik je GCDS?
- Je hebt een on-premises Active Directory die de bron-van-waarheid is
- Je wilt geen gebruikers handmatig in beide systemen beheren
- Je wilt SAML SSO implementeren waarbij AD de identity provider is
Tip: GCDS synchroniseert alleen van AD naar Workspace, nooit andersom.
Architectuur
Active Directory (bron)
|
GCDS Server (on-premises of VM)
|
Google Directory API
|
Google Workspace Admin Console
GCDS installeren en configureren
1. Download GCDS
Via tools.google.com/dlpage/dirsync. Werkt op Windows Server 2016+ of Ubuntu 18.04+.
2. Autoriseer met Google Workspace
GCDS > Google Domain Configuration > Authorize Now
Log in met Super Admin
Sla credentials op
3. Verbinding met Active Directory
GCDS > LDAP Configuration
Host: dc01.bedrijf.local
Port: 636 (LDAPS, aanbevolen)
Authenticatietype: Simple
Username: CN=gcds-service,OU=ServiceAccounts,DC=bedrijf,DC=local
Tip: Maak een aparte service-account aan in AD met minimale rechten. Gebruik nooit een Domain Admin account.
4. LDAP-zoekregel voor gebruikers
Search base: OU=Medewerkers,DC=bedrijf,DC=local
Filter: (&(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
5. Attribuutkoppeling
| Google Attribuut | AD Attribuut |
|---|---|
| Primary email | |
| First name | givenName |
| Last name | sn |
| Phone number | telephoneNumber |
| Org unit | department |
Synchronisatie plannen
Testrun:
GCDS > Sync > Simulate Sync
Automatisch (Windows Taakplanner):
Programma: C:\Program Files\Google Cloud Directory Sync\sync-cmd.exe
Argumenten: -a -c C:\gcds\config.xml
Interval: Elk uur
Wachtwoordsynchronisatie
GCDS synchroniseert standaard geen wachtwoorden.
Optie A: Google Password Sync (GPS)
GPS vangt wachtwoordwijzigingen in AD op en stuurt ze direct door naar Google.
Optie B: SAML SSO (aanbevolen)
Met SAML SSO zijn geen wachtwoorden nodig: authenticatie verloopt altijd via AD.