Breng gebruikersidentiteiten in kaart in Cloud Search.

Om de toegangsrechten van items uit een externe opslagplaats te respecteren, moet Google Cloud Search identiteiten koppelen tussen de opslagplaats en Google-accounts. In een database kan een gebruiker bijvoorbeeld de gebruikersnaam jensmith@your-company.com hebben. Die gebruikersnaam moet worden gekoppeld aan een Google-account, zoals jsmith@solarmora.com .

Om deze koppeling te beheren, maakt u een identiteitsbron aan in Cloud Search. Met de identiteitsbron kan een ontwikkelaar gebruikersaccounts uit de externe repository koppelen aan Google-accounts. Lees hoe een ontwikkelaar verschillende identiteitssystemen kan synchroniseren .

Voordat je begint

1. Maak een identiteitsbron aan

Om gebruikersnamen van derden aan Google-accounts te koppelen, moet u een identiteitsbron aanmaken.

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Google Werkruimte en dan Cloud Search .

    Hiervoor is beheerdersrechten voor service-instellingen vereist.

  2. Klik op de kaart 'Identiteitsbronnen '.

    Er wordt een lijst weergegeven met de identiteitsbronnen van uw organisatie.

  3. Klik linksboven op Toevoegen. .

  4. Voer een naam in bij het tekstveld 'Identiteitsbronnaam' .

  5. Klik op Serviceaccount toevoegen .

  6. Voer het e-mailadres in van een serviceaccount dat toegang heeft tot gebruikers- en groepsgegevens via de Admin SDK Users API en de Cloud Identity API.

    Gebruik het e-mailadres dat is gegenereerd voor de serviceaccount-ID toen deze werd aangemaakt.

  7. Stel het toegangsniveau van het serviceaccount voor de Admin SDK Users API in:

    • Lezen/Schrijven — Verleent volledige toegang tot de API.

    • Bestaand — Behoudt de reeds verleende machtigingen aan de API.
      Als het serviceaccount eerder lees-/schrijfrechten had van een andere identiteitsbron, blijven die rechten behouden. Als het serviceaccount nog geen toegang heeft gekregen, blijft de toegang beperkt.

      Opmerking : Als de identiteitsbron die lees-/schrijftoegang aan het serviceaccount heeft verleend, wordt verwijderd, verliest het serviceaccount de toegang. Als deze identiteitsbron dit serviceaccount moet blijven gebruiken, stelt u de optie in op Lezen/Schrijven .

  8. Stel het toegangsniveau van het serviceaccount tot de Cloud Identity API in:

    • Lezen/Schrijven — Verleent volledige toegang tot de API.
    • Lezen —Verleent leesrechten aan de API.
    • Geen toegang — Voorkomt toegang tot de API.

  9. Klik op Serviceaccount toevoegen .

  10. Voeg nog een serviceaccount toe, of als u klaar bent met het toevoegen van serviceaccounts, klik dan op Identiteitsbron toevoegen .

    Er verschijnt een bericht wanneer de identiteitsbron succesvol is toegevoegd, met daarin de automatisch gegenereerde ID van de identiteitsbron. Kopieer deze ID en geef deze door aan de ontwikkelaar van uw identiteitsconnector.

  11. Klik op OK .

Nadat je de identiteitsbron hebt toegevoegd, verschijnt deze in de lijst met identiteitsbronnen. Je ontwikkelaar heeft de ID van de identiteitsbron nodig zodat de Google API's toegang hebben tot de gebruikers- en groepsgegevens.

Tip : Klik op Kopiëren om de ID van de identiteitsbron naar uw klembord te kopiëren. .

2. Importeer accounts van derden in Google Workspace

Wanneer u een identiteitsbron aanmaakt, voegt Cloud Search een aangepast kenmerk toe aan al uw Google-gebruikersaccounts. In dit aangepaste kenmerk slaat u de account-ID van de externe partij op die is gekoppeld aan het Google-account.

Om dit aangepaste attribuut in de beheerdersconsole te bekijken:

  1. Ga naar Gebruikers .
  2. Klik rechtsboven op 'Aangepaste kenmerken beheren'. .

Belangrijk : Wijzig dit aangepaste attribuut niet. Als u de naam of een van de velden wijzigt, werkt Cloud Search niet correct.

Om de gebruikersnamen van derden in het aangepaste attribuutveld te importeren, kunt u een van de volgende methoden gebruiken:

Importeer in één keer naar alle accounts met behulp van een identiteitsconnector.

Gebruik Google Cloud Directory Sync om gebruikers- en groepsgegevens te synchroniseren.

Of werk samen met een ontwikkelaar om een ​​identiteitsconnector te bouwen. Leer hoe je een identiteitsconnector maakt .

Importeer in één keer naar alle accounts met behulp van de Cloud Identity API.

Gebruik de Cloud Identity API om de gebruikersaccounts van derden in het aangepaste attribuut te importeren.

Importeer gegevens naar individuele accounts via de Google Admin-console.

  1. Ga in de Google Admin-console naar Menu. en dan Directory en dan Gebruikers .

    Hiervoor is het juiste gebruikersbeheerrecht vereist. Zonder het juiste recht ziet u niet alle benodigde opties om deze stappen te voltooien.

  2. Klik op de accountpagina van elke gebruiker onder 'Gebruikerskenmerken beheren ' op 'Bewerken' .
  3. Voeg in het veld voor aangepaste kenmerken de gebruikersnaam van de externe partij toe die is gekoppeld aan het Google Workspace-gebruikersaccount.
  4. Klik op Gebruiker bijwerken .

3. Zoek het klant-ID van uw organisatie op.

Om een ​​identiteitsconnector in te stellen, heeft uw ontwikkelaar de klant-ID van uw Google-account nodig om deze in het eigenschappenbestand van de connector op te nemen.

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Authenticatie en dan SSO met SAML-applicaties .

    Voor deze taak moet u zijn aangemeld als superbeheerder .

  2. Zoek naast de SSO-URL de waarde idpid aan het einde van de URL. De waarde na de C is uw klant-ID.

    In de volgende URL is het klant-ID bijvoorbeeld 0123tvz4:
    https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

Volgende stap

Geef de ID van de identiteitsbron en uw klant-ID door aan de ontwikkelaar, zodat deze verschillende identiteitssystemen kan synchroniseren .

Een identiteitsbron bewerken of verwijderen

Een identiteitsbron bewerken

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Google Werkruimte en dan Cloud Search .

    Hiervoor is beheerdersrechten voor service-instellingen vereist.

  2. Klik op de kaart 'Identiteitsbronnen'.
  3. Er wordt een lijst weergegeven met de identiteitsbronnen van uw organisatie.
  4. Wijs de identiteitsbron aan die u wilt bijwerken en klik op Bewerken. .
  5. Selecteer in het venster 'Identiteitsbron' het item dat u wilt wijzigen:
    • Om een ​​bestaand serviceaccount bij te werken, wijst u het serviceaccount aan en klikt u op Bewerken. .
      U kunt de naam van het serviceaccount en de toegangsrechten wijzigen.
    • Om een ​​nieuw serviceaccount toe te voegen, klikt u op Serviceaccount toevoegen .
  6. Klik op Identiteitsbron bewerken .

Een identiteitsbron verwijderen

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Google Werkruimte en dan Cloud Search .

    Hiervoor is beheerdersrechten voor service-instellingen vereist.

  2. Klik op de kaart 'Identiteitsbronnen'.
  3. Er wordt een lijst weergegeven met de identiteitsbronnen van uw organisatie.
  4. Wijs de identiteitsbron aan die u wilt verwijderen en klik op Verwijderen. .
  5. Klik in het waarschuwingsvenster op Verwijderen .

Belangrijk : Als u een identiteitsbron verwijdert, verwijdert Cloud Search ook alle bijbehorende gegevens. Dit omvat alle aangepaste gebruikersgegevens en groepen.