Nutzeridentitäten in Cloud Search zuordnen

Damit die Zugriffsberechtigungen von Elementen aus einem Drittanbieter-Repository berücksichtigt werden, müssen die Identitäten aus dem Repository und den Google-Konten einander zugeordnet werden. Wenn ein Nutzer in einer Datenbank beispielsweise den Nutzernamen maxmustermann@IhrUnternehmen.de hat, muss dieser Name einem Google-Konto zugeordnet werden, z. B. maxmustermann@solarmora.com.

Erstellen Sie eine Identitätsquelle in Cloud Search, um die Zuordnung zu verwalten. Mithilfe der Identitätsquelle kann ein Entwickler Nutzerkonten aus dem Drittanbieter-Repository Google-Konten zuordnen. Hier erfahren Sie, wie ein Entwickler verschiedene Identitätssysteme synchronisieren kann.

Hinweis

1. Identitätsquelle erstellen

Erstellen Sie eine Identitätsquelle, um Drittanbieter-Nutzernamen den jeweiligen Google-Konten zuzuordnen.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Apps und dann Google Workspace und dann Cloud Search.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  2. Klicken Sie auf die Karte Identitätsquellen.

    Eine Liste der Identitätsquellen Ihrer Organisation wird angezeigt.

  3. Klicken Sie links oben auf „Hinzufügen“ .

  4. Geben Sie einen Namen in die Textzeile Name der Identitätsquelle ein.

  5. Klicken Sie auf Dienstkonto hinzufügen.

  6. Geben Sie die E-Mail-Adresse eines Dienstkontos ein, das über die Admin SDK Users API und die Cloud Identity API auf Nutzer- und Gruppendaten zugreifen kann.

    Verwenden Sie die E-Mail-Adresse, die bei der Erstellung der Dienstkonto-ID generiert wurde.

  7. Legen Sie die Zugriffsebene des Dienstkontos auf die Admin SDK Users API fest:

    • Lesen/Schreiben: Mit dieser Option wird der uneingeschränkte Zugriff auf die API gewährt.

    • Bestehende: Damit werden die Berechtigungen beibehalten, die bereits für die API gewährt wurden.
      Wenn dem Dienstkonto zuvor Lese-/Schreibberechtigungen von einer anderen Identitätsquelle gewährt wurden, werden diese beibehalten. Hat das Dienstkonto bisher keinen Zugriff, ist auch weiterhin kein Zugriff möglich.

      Hinweis: Wenn die Identitätsquelle, die dem Dienstkonto Lese-/Schreibzugriff gewährt hat, gelöscht wird, verliert das Dienstkonto den Zugriff. Wenn die Identitätsquelle das Dienstkonto verwenden muss, legen Sie die Option auf Lesen/Schreiben fest.

  8. Legen Sie die Zugriffsebene des Dienstkontos auf die Cloud Identity API fest:

    • Lesen/Schreiben: Mit dieser Option wird der uneingeschränkte Zugriff auf die API gewährt.
    • Lesen: Mit dieser Option wird eine Leseberechtigung für die API gewährt.
    • Kein Zugriff: Damit wird der Zugriff auf die API verhindert.

  9. Klicken Sie auf Dienstkonto hinzufügen.

  10. Wenn Sie alle gewünschten Dienstkonten hinzugefügt haben, klicken Sie auf Identitätsquelle hinzufügen.

    Wenn die Identitätsquelle hinzugefügt wurde, wird eine Nachricht angezeigt. Sie enthält die automatisch erstellte Identitätsquellen-ID. Kopieren Sie die ID und geben Sie sie an den Entwickler Ihres Identitätsconnectors weiter.

  11. Klicken Sie auf OK.

Nachdem Sie die Identitätsquelle hinzugefügt haben, wird sie in der Liste der Identitätsquellen angezeigt. Ihr Entwickler benötigt die Identitätsquellen-ID für die Google APIs, damit diese auf die Nutzer- und Gruppendaten zugreifen können.

Tipp: Sie können die Identitätsquellen-ID ganz einfach in die Zwischenablage kopieren, indem Sie auf „Kopieren“  klicken.

2. Drittanbieterkonten in Google Workspace importieren

Wenn Sie eine Identitätsquelle erstellen, fügt Cloud Search allen Ihren Google-Nutzerkonten ein benutzerdefiniertes Attribut hinzu. In diesem benutzerdefinierten Attribut speichern Sie die Konto-ID des Drittanbieters, die dem Google-Konto zugeordnet ist.

So sehen Sie sich das benutzerdefinierte Attribut in der Admin-Konsole an:

  1. Gehen Sie zu Nutzer.
  2. Klicken Sie rechts oben auf „Benutzerdefinierte Attribute verwalten“ .

Wichtig: Ändern Sie das benutzerdefinierte Attribut nicht. Wenn Sie den Namen oder eines der Felder ändern, funktioniert Cloud Search nicht richtig.

Verwenden Sie eine der folgenden Methoden, um die Drittanbieter-Nutzernamen in das Feld für benutzerdefinierte Attribute zu importieren:

Mithilfe eines Identitätsconnectors in alle Konten gleichzeitig importieren

Verwenden Sie Google Cloud Directory Sync, um Nutzer- und Gruppendaten zu synchronisieren.

Sie können auch mit einem Entwickler zusammenarbeiten, um einen Identitätsconnector zu erstellen. Weitere Informationen

Über die Cloud Identity API in alle Konten gleichzeitig importieren

Verwenden Sie die Cloud Identity API, um die Nutzerkonten von Drittanbietern in das benutzerdefinierte Attribut zu importieren.

Über die Google Admin-Konsole in einzelne Konten importieren

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Verzeichnis und dann Nutzer.

    Hierfür ist die entsprechende Berechtigung zur Nutzerverwaltung erforderlich. Andernfalls sehen Sie möglicherweise nicht alle benötigten Einstellungen.

  2. Klicken Sie auf der Kontoseite des jeweiligen Nutzers unter Nutzerattribute verwalten auf Bearbeiten.
  3. Fügen Sie im Feld für das benutzerdefinierte Attribut den Drittanbieter-Nutzernamen hinzu, der dem Google Workspace-Nutzerkonto zugeordnet ist.
  4. Klicken Sie auf Nutzer aktualisieren.

3. Kunden-ID Ihrer Organisation suchen

Soll ein Identitätsconnector eingerichtet werden, benötigt Ihr Entwickler die Kunden-ID Ihres Google-Kontos, um sie in die Datei mit den Eigenschaften des Connectors aufzunehmen.

  1. Gehen Sie in der Admin-Konsole zum Menü  und dann Sicherheit und dann Authentifizierung und dann SSO mit SAML-Anwendungen.

    Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

  2. Suchen Sie neben SSO-URL den idpid-Wert am Ende der URL. Der Wert nach dem C ist Ihre Kundennummer.

    In der folgenden URL lautet die Kundennummer beispielsweise 0123tvz4:
    https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

Nächster Schritt

Geben Sie die Identitätsquellen-ID und Ihre Kunden-ID an den Entwickler weiter. Er kann verschiedene Identitätssysteme synchronisieren.

Identitätsquellen bearbeiten oder löschen

Identitätsquelle bearbeiten

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Apps und dann Google Workspace und dann Cloud Search.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  2. Klicken Sie auf die Karte „Identitätsquellen“.
  3. Eine Liste der Identitätsquellen Ihrer Organisation wird angezeigt.
  4. Bewegen Sie den Mauszeiger auf die Identitätsquelle, die Sie aktualisieren möchten, und klicken Sie auf „Bearbeiten“ .
  5. Wählen Sie im Fenster der Identitätsquelle das Element aus, das Sie ändern möchten:
    • Um ein bestehendes Dienstkonto zu aktualisieren, bewegen Sie den Mauszeiger auf das Dienstkonto und klicken Sie auf „Bearbeiten“ .
      Sie können den Namen des Dienstkontos und die Zugriffsberechtigungen ändern.
    • Klicken Sie auf Dienstkonto hinzufügen, um ein neues Dienstkonto hinzuzufügen.
  6. Klicken Sie auf Identitätsquelle bearbeiten.

Identitätsquelle löschen

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann Apps und dann Google Workspace und dann Cloud Search.

    Erfordert die Administratorberechtigung „Diensteinstellungen“

  2. Klicken Sie auf die Karte „Identitätsquellen“.
  3. Eine Liste der Identitätsquellen Ihrer Organisation wird angezeigt.
  4. Bewegen Sie den Mauszeiger auf die Identitätsquelle, die Sie entfernen möchten, und klicken Sie auf „Löschen“ .
  5. Klicken Sie im Warnfenster auf Löschen.

Wichtig: Wenn Sie eine Identitätsquelle löschen, löscht Cloud Search auch alle zugehörigen Daten. Dazu gehören alle benutzerdefinierten Nutzerdaten und Gruppen.