Mapear identidades de usuários no Cloud Search

Para respeitar as permissões de acesso dos itens de um repositório de terceiros, o Google Cloud Search precisa mapear identidades entre o repositório e as Contas do Google. Por exemplo, em um banco de dados, um usuário pode ter o nome de usuário janesilva@sua-empresa.com. Esse nome de usuário precisa ser mapeado para uma Conta do Google, como jsilva@solarmora.com.

Para gerenciar esse mapeamento, crie uma origem de identidade no Cloud Search. A origem de identidade permite que um desenvolvedor mapeie contas de usuário do repositório de terceiros para as Contas do Google. Saiba como um desenvolvedor pode sincronizar sistemas de identidade diferentes.

Antes de começar

1. Criar uma origem de identidade

Se você quiser mapear nomes de usuários de terceiros para as Contas do Google, crie uma origem de identidade.

  1. No Admin Console do Google, acesse Menu e depois Apps e depois Google Workspace e depois Cloud Search.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique no card Origens de identidade.

    Você vai ver uma lista com as origens de identidade da organização.

  3. No canto superior esquerdo, clique em Adicionar .

  4. Digite um nome na linha de texto Nome da origem de identidade.

  5. Clique em Adicionar conta de serviço.

  6. Insira o endereço de e-mail de uma conta de serviço que possa acessar dados de usuários e grupos usando a API Admin SDK Users e a API Cloud Identity.

    Use o endereço de e-mail gerado na criação do ID da conta de serviço.

  7. Defina o nível de acesso da conta de serviço à API Admin SDK Users:

    • Leitura/gravação: concede permissões de acesso total à API.

    • Existente: mantém as permissões já concedidas à API.
      Se a conta de serviço tiver recebido permissões de leitura/gravação de outra origem de identidade, elas vão continuar em vigor. Se a conta de serviço ainda não tiver acesso, ela continuará sem acesso.

      Observação: se a origem de identidade que concedeu acesso de leitura/gravação à conta de serviço for excluída, a conta de serviço perderá o acesso. Se essa origem de identidade precisar usar a conta de serviço, defina a opção como Leitura/gravação.

  8. Defina o nível de acesso da conta de serviço à API Cloud Identity:

    • Leitura/gravação: concede permissões de acesso total à API.
    • Leitura: concede permissões de leitura à API.
    • Sem acesso: impede o acesso à API.

  9. Clique em Adicionar conta de serviço.

  10. Adicione outra conta de serviço ou, se você tiver terminado de adicionar contas de serviço, clique em Adicionar origem de identidade.

    Quando a origem de identidade é adicionada, aparece uma mensagem com o respectivo ID gerado automaticamente. Copie esse ID e envie para o desenvolvedor do conector de identidade.

  11. Clique em OK.

Depois que você adiciona a origem de identidade, ela aparece na lista de origens de identidade. O desenvolvedor precisa do ID da origem de identidade das APIs do Google para acessar os dados do usuário e do grupo.

Dica: para copiar o ID da origem de identidade para a área de transferência, clique em Copiar .

2. Importar contas de terceiros para o Google Workspace

Quando você cria uma origem de identidade, o Cloud Search adiciona um atributo personalizado a todas as suas contas de usuário do Google. Nesse atributo personalizado, você armazena o ID da conta de terceiros que mapeia para a Conta do Google.

Para ver o atributo personalizado no Admin Console:

  1. Acesse Usuários.
  2. No canto superior direito, clique em Gerenciar atributos personalizados .

Importante: não modifique o atributo personalizado. Se você mudar o nome ou qualquer um dos campos, o Cloud Search não vai funcionar corretamente.

Para importar os nomes de usuários de terceiros para o campo de atributo personalizado, use um destes métodos:

Importar para todas as contas ao mesmo tempo usando um conector de identidade

Use o Google Cloud Directory Sync para sincronizar dados de usuários e grupos.

Você também pode trabalhar com um desenvolvedor para criar um conector de identidade. Aprenda a criar um conector de identidade.

Importar para todas as contas ao mesmo tempo usando a API Cloud Identity

Use a API Cloud Identity e importe as contas de usuário de terceiros para o atributo personalizado.

Importar para contas individuais usando o Google Admin Console

  1. No Google Admin Console, acesse Menu e depois Diretório e depois Usuários.

    Exige o privilégio de gerenciamento de usuários adequado. Sem o privilégio correto, você não vai ter acesso a todos os controles necessários para fazer isso.

  2. Na página da conta de cada usuário, em Gerenciar atributos do usuário, clique em Editar.
  3. No campo do atributo personalizado, adicione o nome de usuário de terceiros que mapeia para a conta de usuário do Google Workspace.
  4. Clique em Update User.

3. Encontrar o ID de cliente da organização

Para configurar um conector de identidade, o desenvolvedor precisa que o ID de cliente da sua Conta do Google seja incluído no arquivo de propriedades do conector.

  1. No Google Admin Console, acesse Menu e depois Segurança e depois Autenticação e depois SSO com aplicativos SAML.

    Para realizar essa tarefa, você precisa fazer login como superadministrador.

  2. Ao lado de URL do SSO, localize o valor "idpid" no fim do URL. O valor após o "C" é o ID de cliente.

    Por exemplo, neste URL, o ID de cliente é 0123tvz4:
    https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

Próxima etapa

Informe o ID da origem de identidade e o ID de cliente ao desenvolvedor, que pode sincronizar sistemas de identidade diferentes.

Editar ou excluir uma origem de identidade

Editar uma origem de identidade

  1. No Admin Console do Google, acesse Menu e depois Apps e depois Google Workspace e depois Cloud Search.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique no card "Origens de identidade".
  3. Você vai ver uma lista com as origens de identidade da organização.
  4. Aponte para a origem de identidade que você quer atualizar e clique em Editar .
  5. Na janela da origem de identidade, selecione o item que você quer mudar:
    • Para atualizar uma conta de serviço, aponte para ela e clique em Editar .
      Você pode mudar o nome da conta de serviço e as permissões de acesso.
    • Para adicionar uma nova conta de serviço, clique em Adicionar conta de serviço.
  6. Clique em Editar origem de identidade.

Excluir uma origem de identidade

  1. No Admin Console do Google, acesse Menu e depois Apps e depois Google Workspace e depois Cloud Search.

    Exige o privilégio de administrador "Configurações do serviço".

  2. Clique no card "Origens de identidade".
  3. Você vai ver uma lista com as origens de identidade da organização.
  4. Aponte para a origem de identidade que você quer remover e clique em Excluir .
  5. Na janela de aviso, clique em Excluir.

Importante: se você excluir uma origem de identidade, o Cloud Search também vai excluir todos os dados associados. Isso inclui todos os dados do usuário e grupos personalizados.