מיפוי זהויות משתמשים ב-Cloud Search

כדי לכבד את הרשאות הגישה לפריטים ממאגר של צד שלישי, צריך למפות את הזהויות בין המאגר לבין חשבונות Google ב-Google Cloud Search. לדוגמה, במסד נתונים, יכול להיות שלמשתמש יש את שם המשתמש jensmith@your-company.com. שם המשתמש הזה צריך להיות ממופה לחשבון Google, כמו jsmith@solarmora.com.

כדי לנהל את המיפוי הזה, צריך ליצור מקור זהויות ב-Cloud Search. מקור הזהויות מאפשר למפתחים למפות חשבונות משתמשים ממאגר צד שלישי לחשבונות Google. איך מפתחים יכולים לסנכרן מערכות שונות של ניהול זהויות

לפני שמתחילים

1. יצירת מקור זהות

כדי למפות שמות משתמשים של צד שלישי לחשבונות Google, צריך ליצור מקור זהויות.

  1. במסוף Google Admin, נכנסים לתפריט ואז  אפליקציות and then Google Workspace ואז Cloud Search.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על הכרטיס מקורות לזיהוי.

    תוצג רשימה של מקורות הזהויות של הארגון.

  3. בפינה הימנית העליונה, לוחצים על סמל ההוספה .

  4. מזינים שם בשורת הטקסט שם מקור הזהויות.

  5. לוחצים על הוספת חשבון שירות.

  6. צריך להזין את כתובת האימייל של חשבון שירות שיכול לגשת לנתונים של משתמשים וקבוצות באמצעות Admin SDK Users API ו-Cloud Identity API.

    משתמשים בכתובת האימייל שנוצרה למזהה של חשבון השירות כשהוא נוצר.

  7. מגדירים את רמת הגישה של חשבון השירות ל-Admin SDK Users API:

    • קריאה/כתיבה – מעניקה הרשאות גישה מלאות ל-API.

    • קיימות – ההרשאות שכבר ניתנו ל-API נשמרות.
      אם לחשבון השירות הוענקו בעבר הרשאות קריאה/כתיבה ממקור זהות אחר, ההרשאות האלה ימשיכו לחול. אם לחשבון השירות עדיין אין גישה, הוא לא יקבל גישה גם אחרי שתנסו להפעיל אותו.

      הערה: אם מוחקים את מקור הזהות שהעניק לחשבון השירות הרשאת קריאה/כתיבה, חשבון השירות מאבד את הגישה. אם מקור הזהויות הזה צריך להשתמש בחשבון השירות הזה, צריך להגדיר את האפשרות קריאה/כתיבה.

  8. הגדרת רמת הגישה של חשבון השירות ל-Cloud Identity API:

    • קריאה/כתיבה – מעניקה הרשאות גישה מלאות ל-API.
    • קריאה – מעניקה הרשאות קריאה ל-API.
    • אין גישה – מונעת גישה ל-API.

  9. לוחצים על הוספת חשבון שירות.

  10. מוסיפים עוד חשבון שירות, או אם סיימתם להוסיף חשבונות שירות, לוחצים על הוספת מקור זהויות.

    הודעה תוצג כשהזהות תתווסף בהצלחה, ויוצג בה מזהה הזהות שנוצר אוטומטית. מעתיקים את המזהה הזה ומעבירים אותו למפתח של מחבר הזהויות.

  11. לוחצים על אישור.

אחרי שמוסיפים את מקור הזהויות, הוא מופיע ברשימת מקורות הזהויות. המפתח צריך את מזהה מקור הזהויות של Google APIs כדי לגשת לנתונים של המשתמשים והקבוצות.

טיפ: כדי להעתיק את המזהה של מקור הזהות ללוח, לוחצים על סמל ההעתקה .

2. ייבוא חשבונות של צד שלישי ל-Google Workspace

כשיוצרים מקור זהויות, Cloud Search מוסיף מאפיין בהתאמה אישית לכל חשבונות המשתמשים ב-Google. במאפיין המותאם אישית הזה מאחסנים את מזהה החשבון של הצד השלישי שממופה לחשבון Google.

כדי לראות את המאפיין המותאם אישית הזה במסוף Admin:

  1. עוברים אל משתמשים.
  2. בפינה השמאלית העליונה, לוחצים על סמל ניהול המאפיינים המותאמים אישית .

חשוב: אין לשנות את המאפיין המותאם אישית הזה. אם תשנו את השם או את אחד השדות, Cloud Search לא יפעל כמו שצריך.

כדי לייבא את שמות המשתמשים של הצד השלישי לשדה המאפיין המותאם אישית, משתמשים באחת מהשיטות הבאות:

ייבוא לכל החשבונות בבת אחת באמצעות מחבר זהויות

להשתמש ב-Google Cloud Directory Sync כדי לסנכרן את הנתונים של המשתמשים והקבוצות.

אפשר גם לעבוד עם מפתח כדי ליצור מחבר זהויות. איך יוצרים מחבר זהויות

ייבוא לכל החשבונות בבת אחת באמצעות Cloud Identity API

משתמשים ב-Cloud Identity API כדי לייבא את חשבונות המשתמשים של הצד השלישי אל המאפיין המותאם אישית.

ייבוא לחשבונות נפרדים באמצעות מסוף Google Admin

  1. במסוף Google Admin, נכנסים לתפריט ואז הארגון שלי ואז משתמשים.

    כדי לעשות את זה, צריך הרשאת אדמין לניהול משתמשים. ללא ההרשאה הנכונה, לא יוצגו כל אמצעי הבקרה שדרושים להשלמת השלבים.

  2. בדף של כל חשבון משתמש, בקטע ניהול מאפייני משתמש, לוחצים על עריכה.
  3. בשדה של מאפיין מותאם אישית, מוסיפים את שם המשתמש של הצד השלישי שממופה לחשבון המשתמש ב-Google Workspace.
  4. לוחצים על עדכון משתמש.

3. איך מוצאים את מספר הלקוח של הארגון

כדי להגדיר מחבר זהויות, המפתח צריך את מספר הלקוח של חשבון Google שלכם כדי לכלול אותו בקובץ המאפיינים של המחבר.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה and then אימות ואז SSO עם אפליקציות SAML.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. ליד ה-URL של ה-SSO, מאתרים את הערך idpid בסוף כתובת ה-URL. הערך אחרי האות C הוא מספר הלקוח.

    לדוגמה, בכתובת ה-URL הבאה, מספר הלקוח הוא 0123tvz4:
    https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

השלב הבא

מעבירים למפתח את מזהה מקור הזהויות ואת מזהה הלקוח שלכם כדי שיוכל לסנכרן בין מערכות שונות של זהויות.

עריכה או מחיקה של מקור זהות

עריכה של מקור זהות

  1. במסוף Google Admin, נכנסים לתפריט ואז  אפליקציות and then Google Workspace ואז Cloud Search.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על הכרטיס 'מקורות זהויות'.
  3. תוצג רשימה של מקורות הזהויות של הארגון.
  4. מצביעים על מקור הזהויות שרוצים לעדכן ולוחצים על סמל העריכה .
  5. בחלון של מקור הזהויות, בוחרים את הפריט שרוצים לשנות:
    • כדי לעדכן חשבון שירות קיים, מצביעים על חשבון השירות ולוחצים על סמל העריכה .
      אפשר לשנות את השם של חשבון השירות ואת הרשאות הגישה.
    • כדי להוסיף חשבון שירות חדש, לוחצים על הוספת חשבון שירות.
  6. לוחצים על עריכת מקור הזהות.

מחיקה של מקור זהות

  1. במסוף Google Admin, נכנסים לתפריט ואז  אפליקציות and then Google Workspace ואז Cloud Search.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.

  2. לוחצים על הכרטיס 'מקורות זהויות'.
  3. תוצג רשימה של מקורות הזהויות של הארגון.
  4. מעבירים את העכבר מעל מקור הזהויות שרוצים להסיר ולוחצים על סמל המחיקה .
  5. בחלון האזהרה, לוחצים על מחיקה.

חשוב: אם מוחקים מקור זהויות, Cloud Search מוחק גם את כל הנתונים שמשויכים אליו. הפעולה הזו כוללת את כל נתוני המשתמשים והקבוצות המותאמים אישית.