Развертывание локального соединителя Microsoft SharePoint

Вы можете настроить Google Cloud Search так, чтобы он возвращал результаты из локального контента SharePoint вашей организации в дополнение к контенту Google Workspace. Вы используете локальный коннектор Google Cloud Search SharePoint и настраиваете его для доступа к определенному источнику данных SharePoint.

Важные соображения

Уважаемые настройки SharePoint

Коннектор Cloud Search SharePoint On-Prem всегда учитывает параметр видимости поиска в SharePoint, который невозможно переопределить. Для черновиков документов разрешения учетной записи пользователя (которую соединитель использует для доступа к SharePoint Online) определяют, какие черновые документы индексируются и возвращаются. Если учетная запись имеет только разрешения «Полное чтение», соединитель учитывает настройки «Видимость черновика элемента» в SharePoint.

Вы также можете настроить соединитель для ограничения результатов в зависимости от доступа к учетной записи пользователя. Вы можете использовать субъекты Google и внешние субъекты для определения списков управления доступом. Чтобы применить обрезку безопасности к содержимому SharePoint, синхронизируйте следующие внешние удостоверения с каталогом Google:

• Пользователи Active Directory
• Группы Active Directory
• Локальные группы SharePoint (с пользователями и группами Active Directory в качестве участников)

Для синхронизации пользователей и групп AD вы используете Google Cloud Directory Sync , включающий группы с сопоставлением удостоверений. Для синхронизации локальных групп SharePoint вы используете SharePoint Identity Connector.

Соединителю также необходимо выполнить поиск в AD для получения дополнительной информации для синхронизации участников. Например, поиск с помощью AD позволяет соединителю выполнять следующие действия:

• Сопоставьте SID группы домена с соответствующим именем sAMAccountName.
• Сопоставьте пользователя sAMAccountName с адресом электронной почты для членства в локальных группах SharePoint.

Поисковая оптимизация

Вы можете улучшить взаимодействие с пользователями, настроив соединитель так, чтобы он возвращал более релевантные результаты поиска.

Чтобы использовать API, задайте значения для параметров создания HTML в файле конфигурации соединителя SharePoint Online. Эти параметры позволяют вам указать, какие поля оказывают большее или меньшее влияние на совпадения.

Чтобы настроить схему, следуйте инструкциям в разделе Создание и регистрация схемы . Когда вы настраиваете схему:

• Чтобы сопоставить имена типов контента SharePoint с соответствующими определениями объектов, соединитель нормализует имена типов контента, исключая неподдерживаемые символы. Для определений объектов API Cloud Search поддерживает в качестве допустимых символов только AZ, az и 0–9. Например, тип контента «Объявления» соответствует определению объекта «Объявления». Тип контента «Статья новостей» соответствует «Статья новостей» (без пробела).

• Если соединитель не может сопоставить определение объекта с определением объекта, соединитель использует резервный тип объекта ( itemMetadata.objectType ). Узнайте больше о параметрах конфигурации метаданных .

• Чтобы сопоставить имена свойств SharePoint с определениями свойств, соединитель нормализует имена свойств, декодируя шестнадцатеричные символы и удаляя префиксы «ows_», а затем исключая неподдерживаемые символы (все символы, кроме AZ, az и 0–9, как допустимые символы).

Обработка сообщений Microsoft Outlook

Когда соединитель обнаруживает файлы Microsoft Outlook .msg при индексировании содержимого, он переопределяет тип носителя для файлов и индексирует их как application/vnd.ms-outlook.

Мультитенантные конфигурации

Если ваш SharePoint представляет собой мультитенантное развертывание, в котором несколько сайтов клиентов размещаются в одном веб-приложении, вам необходимо настроить режим семейства сайтов в файле конфигурации. В мультитенантных развертываниях вы получаете разрешения только для своего семейства веб-сайтов и не можете получить разрешения на полное чтение , как того требует коннектор SharePoint On-Prem.

Чтобы включить режим семейства веб-сайтов:

• Предоставьте учетной записи пользователя соединителя разрешения администратора семейства веб-сайтов .
• В файле конфигурации соединителя укажите для параметра sharepoint.server URL-адрес семейства веб-сайтов, например http://sharepoint.example.com/sites/sitecollection . URL-адрес не обязательно должен использовать тот же регистр, что и в SharePoint.
• Установите для sharepoint.siteCollectionOnly в файле конфигурации соединителя значение true .

Если у вас есть несколько семейств веб-сайтов для индексирования в многоарендной среде, вам необходимо настроить один экземпляр соединителя для каждого из семейств веб-сайтов.

Известные ограничения разъема

• Время, необходимое соединителю для обнаружения изменений в элементах баз данных, увеличивается с увеличением количества баз данных, которые отслеживает соединитель.
• Потребление памяти увеличивается с увеличением количества уникальных пользователей и групп, которые вы используете в списках управления доступом для каждого семейства веб-сайтов.
• Вы можете настроить соединитель с удостоверениями только из одного домена Active Directory.
• Некоторые общие принципы Active Directory и Windows, такие как Everyone , BUILTIN\Users » и All Authenticated Users , не поддерживаются.
• Уведомления об удалении не появляются мгновенно, и соединителю может потребоваться более 4 часов, чтобы распознать, что пользователь удалил контент из исходного репозитория.

Системные требования

Системные требования
Операционная система	Windows Сервер 2016 Убунту Red Hat Enterprise Linux 5.0 SUSE Enterprise Linux 10 (64-разрядная версия)
Программное обеспечение	сервер SharePoint SharePoint Сервер 2016 SharePoint Сервер 2013 Java JRE 1.8 установлена ​​на компьютере, на котором будет работать коннектор Google Cloud Search SharePoint On-Prem.
Аутентификация	НТЛМ Керберос HTTP базовый ADFS

Развертывание соединителя

Предварительные условия

1. Создайте закрытый ключ Google Workspace, который будет содержать идентификатор вашего сервисного аккаунта. Чтобы узнать, как получить закрытый ключ, перейдите в раздел Настройка доступа к API Google Cloud Search .

2. Ваш администратор Google Workspace должен добавить источник данных для поиска . Запишите идентификатор источника данных.

3. Если коннектор возвращает результаты на основе списков управления доступом (результаты не являются общедоступными), ваш администратор Google Workspace должен создать два источника удостоверений и предоставить вам их идентификаторы:

   • Источник удостоверений для синхронизации пользователей и групп Active Directory.
   • Источник удостоверений для локальных групп SharePoint.

   Администратор также должен получить идентификатор клиента Google Workspace вашей организации и передать его вам.

   Узнайте, как получить эти значения в идентификаторах пользователей карты в Cloud Search .

4. Настройте учетную запись пользователя для соединителя, который имеет разрешения на полное чтение для веб-приложения SharePoint, в политике пользователя.

5. Если веб-приложение SharePoint не имеет корневого семейства веб-сайтов, создайте его.

6. Если какое-либо семейство веб-сайтов заблокировано для записи, войдите на сервер SharePoint с учетной записью с правами администратора и запустите сценарий PrepareWriteLockedSites.ps1 .

7. Чтобы получить метрики источника данных для информации о конфигурации вашего соединителя, войдите на сервер SharePoint с учетной записью, имеющей права администратора фермы, и запустите diagnose_sp.ps1 .

   В выходных данных указывается количество веб-приложений, документов и членства в группах пользователей. Используйте эту информацию, чтобы оценить, сколько экземпляров соединителя вам нужно, требования к памяти и количество документов.

Шаг 1. Установите программное обеспечение коннектора Google Cloud Search SharePoint On-Prem.

1. Клонируйте репозиторий соединителя с GitHub.

   $ git clone https://github.com/google-cloudsearch/sharepoint-connector.git
   $ cd sharepoint-connector

2. Ознакомьтесь с желаемой версией разъема:

   $ git checkout tags/latest_version

   Где: latest_version = значение, например v1-0.0.5

3. Создайте соединитель.

   $ mvn package

   Чтобы пропустить тесты при сборке соединителя, запустите mvn package -DskipTests вместо mvn package .

4. Скопируйте zip-файл соединителя в локальный каталог установки:

   $ cp target/google-cloudsearch-sharepoint-connector-latest_version.zip installation-dir
   $ cd installation-dir
   $ unzip google-cloudsearch-sharepoint-connector-latest_version.zip
   $ cd google-cloudsearch-sharepoint-connector-latest_version

Шаг 2. Создайте файл конфигурации коннектора SharePoint On-Prem.

1. В том же каталоге, где установлен коннектор, создайте файл. Google рекомендует назвать файл connector-config.properties , чтобы для запуска соединителя не требовалось никаких дополнительных параметров командной строки. Если вы планируете запускать много экземпляров соединителя, добавьте к имени детали, чтобы его можно было отличить.

2. Добавьте к содержимому файла параметры в виде пар ключ/значение, как показано в следующем примере:

   ### Sharepoint On-Prem Connector configuration ###
   
   # Required parameters for data source access
   api.sourceId=08ef8becd116faa4546b8ca2c84b2879
   api.serviceAccountPrivateKeyFile=service_account.json
   api.identitySourceId=08ef8becd116faa475de26d9b291fed9
   
   # Required parameters for SharePoint on-premises access
   sharepoint.server=http://sp-2016:32967/sites/doc-center-site-collection
   sharepoint.siteCollectionOnly=true
   sharepoint.username=contoso\\admin
   sharepoint.password=pa$sw0rd
   sharepoint.stripDomainInUserPrincipals=true
   
   # Required parameters for AD lookup
   adLookup.host=dc.contoso.com
   adLookup.username=contoso\\admin
   adLookup.password=pa$sw0rd
   api.referenceIdentitySources=CONTOSO,contoso
   api.referenceIdentitySource.contoso.id=08ef8becd116faa5d3783f8c5a80e5aa
   api.referenceIdentitySource.CONTOSO.id=08ef8becd116faa5d3783f8c5a80e5aa
   
   # Optional parameters for schema mapping
   contentTemplate.sharepointItem.title=Title
   contentTemplate.sharepointItem.unmappedColumnsMode=APPEND
   

   Подробное описание каждого параметра можно найти в справочнике по параметрам конфигурации .

3. (Необязательно) При необходимости настройте дополнительные параметры соединителя. Подробную информацию см. в разделе «Параметры соединителя, предоставленные Google» .

Шаг 3. Для HTTPS добавьте SharePoint в качестве доверенного узла.

Если SharePoint настроен на использование HTTPS, получите сертификат SharePoint, чтобы добавить его в качестве доверенного узла для соединителя.

1. На компьютере, на котором будет работать соединитель, откройте браузер и перейдите в SharePoint.

2. На открывшейся странице предупреждения нажмите «Я понимаю риски и добавьте исключение» . На странице отображается сообщение, например «Это соединение не является доверенным», поскольку сертификат является самоподписанным и не подписан доверенным центром сертификации.

3. Когда кнопка «Просмотр» станет доступной, нажмите ее.

4. Перейдите на вкладку «Подробности» и нажмите «Экспорт» .

5. Сохраните сертификат в каталоге соединителя под именем sharepoint.crt .

6. Нажмите «Закрыть», затем «Отмена» , чтобы закрыть окна.

7. Откройте командную строку и введите следующую команду:

   $ keytool -importcert -keystore cacerts.jks -storepass changeit -file sharepoint.crt -alias sharepoint

   На вопрос «Доверять этому сертификату?» ответьте «да» .

Шаг 4. Настройте ведение журнала

1. В каталоге, содержащем двоичный файл соединителя, создайте папку с именем logs .

2. В том же каталоге (не logs ) создайте файл в кодировке Latin1 с именем logging.properties .

3. Добавьте следующий текст в logging.properties :

   handlers = java.util.logging.ConsoleHandler,java.util.logging.FileHandler
   # Default log level
   .level = INFO
   # uncomment line below to increase logging level for SharePoint APIsa
   #com.google.enterprise.cloudsearch.sharepoint.level=FINE
   
   # uncomment line below to increase logging level to enable API trace
   #com.google.api.client.http.level = FINE
   java.util.logging.ConsoleHandler.level = INFO
   java.util.logging.FileHandler.pattern=logs/connector-sharepoint.%g.log
   java.util.logging.FileHandler.limit=10485760
   java.util.logging.FileHandler.count=10
   java.util.logging.FileHandler.formatter=java.util.logging.SimpleFormatter
   

Шаг 5. Настройка соединителя удостоверений SharePoint On-Prem

Этот шаг необходим для применения списков управления доступом SharePoint On-Prem на основе удостоверений к результатам поиска. Если вы настроили соединитель с общедоступными списками управления доступом, вы можете пропустить этот шаг.

1. В том же каталоге, где установлен соединитель SharePoint Online, создайте файл и назовите его sharepoint-onprem-identity-connector.config .

2. Добавьте к содержимому файла параметры в виде пар ключ/значение, как показано в следующем примере:

   ### SharePoint On-prem identity connector configuration ###
   
   # Required parameters for data source access
   api.customerId=C05d3djk8
   api.serviceAccountPrivateKeyFile=service_account.json
   api.identitySourceId=08ef8becd116faa475de26d9b291fed9
   
   # Required parameters for SharePoint access
   sharepoint.server=http://sp-2016:32967/sites/doc-center-site-collection
   sharepoint.siteCollectionOnly=true
   sharepoint.username=contoso\\admin
   sharepoint.password=pa$sw0rd
   sharepoint.stripDomainInUserPrincipals=true
   
   # Required parameters for AD lookup
   adLookup.host=dc.contoso.com
   adLookup.username=contoso\\admin
   adLookup.password=pa$sw0rd
   api.referenceIdentitySources=CONTOSO,contoso
   api.referenceIdentitySource.contoso.id=08ef8becd116faa5d3783f8c5a80e5aa
   api.referenceIdentitySource.CONTOSO.id=08ef8becd116faa5d3783f8c5a80e5aa
   

   Значения почти такие же, как и для соединителя SharePoint On-Prem, за исключением того, что вместо api.sourceId используется параметр api.customerId . Значение api.customerId — это идентификатор клиента, который вы получили от администратора Google Workspace.

Шаг 6. Запустите коннектор SharePoint On-Prem.

На следующих шагах вы сопоставите участников как в локальной Active Directory, так и в семействе веб-сайтов SharePoint с удостоверениями в службе Cloud Identity. Эта синхронизация выполняется с помощью Google Cloud Directory Sync (GCDS) и соединителя удостоверений SharePoint On-Prem.

После того как GCDS синхронизирует пользователей и группы, чтобы синхронизировать группы семейства веб-сайтов SharePoint, запустите соединитель удостоверений SharePoint On-Prem. Наконец, запустите коннектор SharePoing On-Prem для индексации и предоставления результатов пользователям Cloud Search.

1. Если вы еще этого не сделали, настройте и запустите GCDS . Обязательно включите группы с сопоставлением идентификаторов .

2. Запустите соединитель удостоверений SharePoint On-Prem:

   $ java -Djava.util.logging.config.file=logging.properties -cp "google-cloudsearch-sharepoint-connector-version.jar" com.google.enterprise.cloudsearch.sharepoint.SharePointIdentityConnector -Dconfig=sharepoint-onprem-identity-connector.config

3. Запустите коннектор SharePoint On-Prem. Используйте синтаксис команды для обеспечения безопасности вашего сайта SharePoint:

   • HTTP (доверенный хост не требуется):

     $ java -Djava.util.logging.config.file=logging.properties -jar google-cloudsearch-sharepoint-connector-v1-version.jar

   • HTTPS (добавьте SharePoint в качестве доверенного хоста):

     $ java -Djavax.net.ssl.trustStore=cacerts.jks -Djavax.net.ssl.trustStoreType=jks -Djavax.net.ssl.trustStorePassword=changeit -Djava.util.logging.config.file=logging.properties -jar google-cloudsearch-sharepoint-connector-v1-version.jar

Справочник параметров конфигурации

Доступ к источнику данных

Параметр	Параметр
Идентификатор источника данных	api.sourceId= 1234567890abcdef Необходимый. Идентификатор источника данных Google Cloud Search, установленный администратором Google Workspace.
Путь к файлу закрытого ключа сервисного аккаунта	api.serviceAccountPrivateKeyFile= PrivateKey.json Необходимый. Путь к файлу ключа аккаунта службы Google Cloud Search.

Локальный доступ к SharePoint

Параметр	Параметр
URL-адрес сервера SharePoint	sharepoint.server= http://yoursharepoint.example.com/ Необходимый. URL-адрес сервера SharePoint в виде полного имени узла, например http://yoursharepoint.example.com/. Если имя узла не является полным, необходимо настроить переопределение DNS на узле соединителя.
Имя пользователя SharePoint	sharepoint.username= YOURDOMAIN\\ConnectorUser Требуется при запуске соединителя в Linux или на компьютере Windows, который не является частью домена AD SharePoint Server.
Пароль SharePoint	sharepoint.password= user_password Требуется при запуске соединителя в Linux или на компьютере Windows, который не является частью домена AD SharePoint Server.
Используйте живую аутентификацию для подключения к SharePoint	sharepoint.username= AdaptorUser Live Authentication Id sharepoint.password uS3R_passWoRD sharepoint.formsAuthenticationMode=LIVE
Используйте аутентификацию ADFS для подключения к SharePoint.	sharepoint.username= AdaptorUser@yourdomain.com sharepoint.password= uS3R_passWoRD sharepoint.sts.endpoint= https://adfs.example.com/adfs/services/trust/2005/usernamemixed sharepoint.sts.realm= urn:myserver:sharepoint или https://yoursharepoint.example.com/_trust sharepoint.formsAuthenticationMode=ADFS

Индексирование семейства веб-сайтов

Параметр	Параметр
Тип индекса	sharepoint.siteCollectionOnly= boolean Необязательно, за исключением мультитенантных развертываний SharePoint ( подробнее ). Установите значение true, чтобы индекс соединителя sharepoint.server использовался как семейство веб-сайтов, а не как виртуальный сервер. По умолчанию — ноль (определяется автоматически).

Сопоставление удостоверений SharePoint

Параметр	Параметр
Идентификатор источника идентификационной информации	api.identitySourceId= 1234567890abcdef Необходимый. Идентификатор источника идентификации для синхронизации локальных групп SharePoint. Идентификатор источника Google Cloud Search, настроенный администратором Google Workspace, как описано в разделе Добавление источника данных для поиска .
Справочные источники идентификационной информации	api.referenceIdentitySources= CONTOSO,contoso Список ссылочных источников удостоверений, разделенных запятыми, для участников Active Directory. Значение соответствует NETBIOS-имени Active Directory ссылочных участников активного каталога.
Идентификаторы источников эталонных идентификационных данных	api.referenceIdentitySource. DOMAIN .id= identity-source-id Необходимый. Идентификатор источника удостоверений для синхронизации участников Active Directory.

Поиск в Active Directory

Параметр	Параметр
Хост Active Directory	adLookup.host= host Необходимый. Имя хоста Active Directory, например dc.contoso.com, или IP-адрес.
Порт поиска Active Directory	adLookup.port= port Необязательный. По умолчанию — 389. Используйте 686 для SSL.
Метод поиска Active Directory	adLookup.method= value Необязательный. По умолчанию — «стандарт». Для HTTPS-соединений установите значение `ssl`.
Пользователь поиска Active Directory	adLookup.username= CONTOSO\user1 Необходимый. Пользователь имеет право выполнять поиск в активном каталоге.
Пароль для поиска в Active Directory	adLookup.password= password123 Необходимый. Пароль для пользователя, указанный в adLookup.user .

Генерация HTML-контента

Параметр	Параметр
Поле заголовка HTML-шаблона	contentTemplate.sharePointItem.title= Title Поле SharePoint, которое будет использоваться в качестве заголовка HTML-шаблона для созданного HTML.
Поля высокого качества поиска HTML-контента	contentTemplate.sharePointItem.quality.high= highField1 [, highField2 ,...] Список полей, разделенных запятыми, которые нужно включить в сгенерированный HTML как поля высокого качества. Когда условия поискового запроса соответствуют этим полям, результаты имеют более высокий рейтинг.
Поля качества поиска среды HTML-контента	contentTemplate.sharePointItem.quality.medium= mediumField1 [, mediumField2 ,...] Список полей, разделенных запятыми, которые нужно включить в сгенерированный HTML как поля среднего качества.
Поля HTML-контента с низким качеством поиска	contentTemplate.sharePointItem.quality.low= lowField1 [, lowField2 ,...] Список полей, разделенных запятыми, которые нужно включить в сгенерированный HTML как поля низкого качества.
Несопоставленные столбцы HTML-контента	contentTemplate.sharepointItem.unmappedColumnsMode= APPEND Как соединитель обрабатывает несопоставленные столбцы. Значением является APPEND (по умолчанию) или IGNORE. ДОБАВИТЬ – соединитель генерирует HTML-содержимое со всеми полями, включая поля, для которых не установлен уровень качества (высокий, средний или низкий). ИГНОРИРОВАТЬ: соединитель генерирует содержимое HTML только с сопоставленными полями.