Ánh xạ danh tính người dùng trong Cloud Search

Để tôn trọng quyền truy cập vào các mục trong kho lưu trữ của bên thứ ba, Google Cloud Search cần ánh xạ danh tính giữa kho lưu trữ và Tài khoản Google. Ví dụ: trong một cơ sở dữ liệu, người dùng có thể có tên người dùng jensmith@your-company.com. Tên người dùng đó cần được ánh xạ đến một Tài khoản Google, chẳng hạn như jsmith@solarmora.com.

Để quản lý việc ánh xạ này, hãy tạo một nguồn nhận dạng trong Cloud Search. Nguồn nhận dạng cho phép nhà phát triển ánh xạ tài khoản người dùng từ kho lưu trữ của bên thứ ba đến Tài khoản Google. Tìm hiểu cách nhà phát triển có thể đồng bộ hoá các hệ thống nhận dạng khác nhau.

Trước khi bắt đầu

1. Tạo nguồn nhận dạng

Để ánh xạ tên người dùng của bên thứ ba đến Tài khoản Google, hãy tạo một nguồn nhận dạng.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó  Ứng dụng sau đó Google Workspace sau đó Cloud Search.

    Yêu cầu có đặc quyền của quản trị viên Cài đặt dịch vụ.

  2. Nhấp vào thẻ Nguồn nhận dạng.

    Một danh sách các nguồn nhận dạng của tổ chức sẽ xuất hiện.

  3. Ở trên cùng bên trái, hãy nhấp vào biểu tượng Thêm .

  4. Nhập tên vào dòng văn bản Tên nguồn nhận dạng.

  5. Nhấp vào Thêm tài khoản dịch vụ.

  6. Nhập địa chỉ email của một tài khoản dịch vụ có thể truy cập vào dữ liệu người dùng và nhóm thông qua Admin SDK Users API và Cloud Identity API.

    Sử dụng địa chỉ email được tạo cho mã tài khoản dịch vụ khi tài khoản đó được tạo.

  7. Đặt cấp độ truy cập của tài khoản dịch vụ vào Admin SDK Users API:

    • Đọc/Ghi – Cấp quyền truy cập đầy đủ vào API.

    • Hiện có – Duy trì các quyền đã được cấp cho API.
      Nếu tài khoản dịch vụ đã được một nguồn nhận dạng khác cấp quyền đọc/ghi, thì các quyền đó sẽ tiếp tục. Nếu tài khoản dịch vụ chưa được cấp quyền truy cập, thì tài khoản đó sẽ tiếp tục không có quyền truy cập.

      Lưu ý: Nếu nguồn nhận dạng đã cấp quyền truy cập đọc/ghi cho tài khoản dịch vụ bị xoá, thì tài khoản dịch vụ sẽ mất quyền truy cập. Nếu nguồn nhận dạng này cần sử dụng tài khoản dịch vụ này, hãy đặt tuỳ chọn thành Đọc/Ghi.

  8. Đặt cấp độ truy cập của tài khoản dịch vụ vào Cloud Identity API:

    • Đọc/Ghi – Cấp quyền truy cập đầy đủ vào API.
    • Đọc—Cấp quyền Đọc vào API.
    • Không có quyền truy cập—Ngăn chặn quyền truy cập vào API.

  9. Nhấp vào Thêm tài khoản dịch vụ.

  10. Thêm một tài khoản dịch vụ khác hoặc nếu bạn đã thêm xong tài khoản dịch vụ, hãy nhấp vào Thêm nguồn nhận dạng.

    Một thông báo sẽ xuất hiện khi nguồn nhận dạng được thêm thành công và hiển thị mã nguồn nhận dạng được tạo tự động. Sao chép mã này và cung cấp cho nhà phát triển trình kết nối danh tính.

  11. Nhấp vào OK.

Sau khi bạn thêm nguồn nhận dạng, nguồn đó sẽ xuất hiện trong danh sách nguồn nhận dạng. Nhà phát triển cần có mã nguồn nhận dạng cho các API của Google để truy cập vào dữ liệu người dùng và nhóm.

Mẹo: Để sao chép mã nguồn nhận dạng vào khay nhớ tạm, hãy nhấp vào biểu tượng Sao chép .

2. Nhập tài khoản của bên thứ ba vào Google Workspace

Khi bạn tạo một nguồn nhận dạng, Cloud Search sẽ thêm một thuộc tính tùy chỉnh vào tất cả tài khoản người dùng Google của bạn. Thuộc tính tuỳ chỉnh này là nơi bạn lưu trữ mã tài khoản của bên thứ ba ánh xạ đến Tài khoản Google.

Cách xem thuộc tính tuỳ chỉnh này trong Bảng điều khiển dành cho quản trị viên:

  1. Chuyển đến phần Người dùng.
  2. Ở trên cùng bên phải, hãy nhấp vào Quản lý thuộc tính tuỳ chỉnh .

Quan trọng: Không sửa đổi thuộc tính tuỳ chỉnh này. Nếu bạn thay đổi tên hoặc bất kỳ trường nào của thuộc tính này, Cloud Search sẽ không hoạt động đúng cách.

Để nhập tên người dùng của bên thứ ba vào trường thuộc tính tuỳ chỉnh, hãy sử dụng một trong các phương thức sau:

Nhập vào tất cả tài khoản cùng một lúc bằng trình kết nối danh tính

Sử dụng Google Cloud Directory Sync để đồng bộ hoá dữ liệu người dùng và nhóm.

Hoặc làm việc với nhà phát triển để xây dựng trình kết nối danh tính. Tìm hiểu cách tạo trình kết nối danh tính.

Nhập vào tất cả tài khoản cùng một lúc bằng Cloud Identity API

Sử dụng Cloud Identity API để nhập tài khoản người dùng của bên thứ ba vào thuộc tính tùy chỉnh.

Nhập vào từng tài khoản bằng Bảng điều khiển dành cho quản trị viên của Google

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Thư mục sau đó Người dùng.

    Yêu cầu có đặc quyền phù hợp về Quản lý người dùng. Nếu không có đặc quyền phù hợp, bạn sẽ không thấy tất cả các chế độ điều khiển cần thiết để hoàn tất các bước này.

  2. Trên trang tài khoản của mỗi người dùng, trong phần Quản lý thuộc tính người dùng, hãy nhấp vào Chỉnh sửa.
  3. trong trường thuộc tính tùy chỉnh, hãy thêm tên người dùng của bên thứ ba ánh xạ đến tài khoản người dùng Google Workspace.
  4. Nhấp vào Cập nhật người dùng.

3. Tìm mã khách hàng của tổ chức

Để thiết lập trình kết nối danh tính, nhà phát triển cần có mã khách hàng của Tài khoản Google để đưa vào tệp thuộc tính của trình kết nối.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Xác thực sau đó Đăng nhập một lần (SSO) bằng các ứng dụng SAML.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Bên cạnh URL đăng nhập một lần (SSO), hãy tìm giá trị idpid ở cuối URL. Giá trị sau chữ C là mã khách hàng của bạn.

    Ví dụ: trong URL sau, mã khách hàng là 0123tvz4:
    https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

Bước tiếp theo

Cung cấp mã nguồn nhận dạng và mã khách hàng cho nhà phát triển có thể đồng bộ hoá các hệ thống nhận dạng khác nhau.

Chỉnh sửa hoặc xoá nguồn nhận dạng

Chỉnh sửa nguồn nhận dạng

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó  Ứng dụng sau đó Google Workspace sau đó Cloud Search.

    Yêu cầu có đặc quyền của quản trị viên Cài đặt dịch vụ.

  2. Nhấp vào thẻ Nguồn nhận dạng.
  3. Một danh sách các nguồn nhận dạng của tổ chức sẽ xuất hiện.
  4. Trỏ vào nguồn nhận dạng mà bạn muốn cập nhật rồi nhấp vào Chỉnh sửa .
  5. Trong cửa sổ nguồn nhận dạng, hãy chọn mục mà bạn muốn thay đổi:
    • Để cập nhật một tài khoản dịch vụ hiện có, hãy trỏ vào tài khoản dịch vụ đó rồi nhấp vào Chỉnh sửa .
      Bạn có thể thay đổi tên tài khoản dịch vụ và quyền truy cập.
    • Để thêm một tài khoản dịch vụ mới, hãy nhấp vào Thêm tài khoản dịch vụ.
  6. Nhấp vào Chỉnh sửa nguồn nhận dạng.

Xoá nguồn nhận dạng

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó  Ứng dụng sau đó Google Workspace sau đó Cloud Search.

    Yêu cầu có đặc quyền của quản trị viên Cài đặt dịch vụ.

  2. Nhấp vào thẻ Nguồn nhận dạng.
  3. Một danh sách các nguồn nhận dạng của tổ chức sẽ xuất hiện.
  4. Trỏ vào nguồn nhận dạng mà bạn muốn xoá rồi nhấp vào biểu tượng Xoá .
  5. Trong cửa sổ cảnh báo, hãy nhấp vào Xoá.

Quan trọng: Nếu bạn xoá một nguồn nhận dạng, Cloud Search cũng sẽ xoá tất cả dữ liệu liên quan đến nguồn đó. Dữ liệu này bao gồm tất cả dữ liệu người dùng và nhóm tuỳ chỉnh.