Сопоставление идентификаторов пользователей в Cloud Search

Чтобы обеспечить соблюдение прав доступа к элементам из стороннего репозитория, Google Cloud Search необходимо сопоставить идентификаторы между репозиторием и учетными записями Google. Например, в базе данных у пользователя может быть имя пользователя jensmith@your-company.com . Это имя пользователя должно быть сопоставлено с учетной записью Google, например, jsmith@solarmora.com .

Для управления этим сопоставлением создайте источник идентификации в Cloud Search. Источник идентификации позволяет разработчику сопоставлять учетные записи пользователей из стороннего хранилища с учетными записями Google. Узнайте, как разработчик может синхронизировать различные системы идентификации .

Прежде чем начать

1. Создайте источник идентификации.

Чтобы сопоставить имена пользователей сторонних сервисов с учетными записями Google, создайте источник идентификации.

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Google Workspace а потом Облачный поиск .

    Для этого требуются права администратора в разделе «Настройки службы» .

  2. Нажмите на карточку «Источники идентификации» .

    Отображается список источников идентификации вашей организации.

  3. В левом верхнем углу нажмите «Добавить». .

  4. Введите имя в текстовой строке « Имя источника идентификации» .

  5. Нажмите «Добавить учетную запись службы» .

  6. Введите адрес электронной почты учетной записи службы, которая может получить доступ к данным пользователей и групп через API пользователей Admin SDK и API Cloud Identity.

    Используйте адрес электронной почты, который был сгенерирован для идентификатора учетной записи службы при ее создании.

  7. Установите уровень доступа учетной записи службы к API пользователей Admin SDK:

    • Чтение/Запись — Предоставляет полный доступ к API.

    • Существующий — Сохраняет разрешения, уже предоставленные API.
      Если учетной записи службы ранее были предоставлены права на чтение/запись другим источником идентификации, эти права сохраняются. Если учетной записи службы еще не был предоставлен доступ, она по-прежнему не имеет доступа.

      Примечание : Если источник идентификации, предоставивший учетной записи службы доступ на чтение/запись, будет удален, учетная запись службы потеряет доступ. Если этому источнику идентификации необходимо использовать данную учетную запись службы, установите параметр в значение «Чтение/Запись» .

  8. Установите уровень доступа учетной записи службы к API Cloud Identity:

    • Чтение/Запись — Предоставляет полный доступ к API.
    • Чтение — Предоставляет API права на чтение.
    • Запрет доступа — Предотвращает доступ к API.

  9. Нажмите «Добавить учетную запись службы» .

  10. Добавьте еще одну учетную запись службы, или, если вы закончили добавление учетных записей служб, нажмите «Добавить источник идентификации» .

    При успешном добавлении источника идентификации отображается сообщение с автоматически сгенерированным идентификатором источника идентификации. Скопируйте этот идентификатор и передайте его разработчику коннектора идентификации.

  11. Нажмите ОК .

После добавления источника идентификации он появляется в списке источников идентификации. Вашему разработчику необходим идентификатор источника идентификации, чтобы API Google могли получить доступ к данным пользователей и групп.

Совет : Чтобы скопировать идентификатор источника идентификации в буфер обмена, нажмите «Копировать». .

2. Импорт сторонних аккаунтов в Google Workspace.

При создании источника идентификации Cloud Search добавляет пользовательский атрибут ко всем вашим учетным записям пользователей Google. В этом пользовательском атрибуте хранится идентификатор сторонней учетной записи, который сопоставляется с учетной записью Google.

Чтобы увидеть этот пользовательский атрибут в консоли администратора:

  1. Перейдите в раздел «Пользователи» .
  2. В правом верхнем углу нажмите «Управление пользовательскими атрибутами». .

Важно : Не изменяйте этот пользовательский атрибут. Если вы измените его имя или любое из его полей, Cloud Search не будет работать должным образом.

Для импорта имен пользователей сторонних сервисов в поле пользовательского атрибута используйте один из следующих способов:

Импортируйте данные во все учетные записи одновременно, используя коннектор идентификации.

Используйте Google Cloud Directory Sync для синхронизации данных пользователей и групп.

Или же поработайте с разработчиком над созданием коннектора идентификации. Узнайте, как создать коннектор идентификации .

Импортируйте данные во все учетные записи одновременно, используя Cloud Identity API.

Используйте API Cloud Identity для импорта учетных записей пользователей сторонних сервисов в пользовательский атрибут.

Импортируйте данные в отдельные учетные записи с помощью консоли администратора Google.

  1. В консоли администратора Google перейдите в меню. а потом Каталог а потом Пользователи .

    Для выполнения этой операции необходимы соответствующие права на управление пользователями . Без необходимых прав вы не увидите все элементы управления, необходимые для выполнения этих шагов.

  2. На странице учетной записи каждого пользователя в разделе «Управление атрибутами пользователя » нажмите «Редактировать ».
  3. В поле пользовательского атрибута добавьте имя пользователя стороннего сервиса, которое соответствует учетной записи пользователя Google Workspace.
  4. Нажмите «Обновить пользователя» .

3. Найдите идентификатор клиента вашей организации.

Для настройки коннектора идентификации вашему разработчику потребуется идентификатор клиента вашей учетной записи Google, который необходимо включить в файл свойств коннектора.

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Аутентификация а потом Единый вход (SSO) с приложениями SAML .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Рядом с полем "SSO URL" в конце URL-адреса найдите значение idpid. Значение после буквы C — это ваш идентификатор клиента.

    Например, в следующем URL-адресе идентификатор клиента равен 0123tvz4:
    https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

Следующий шаг

Передайте разработчику идентификатор источника идентификации и идентификатор вашего клиента, чтобы он мог синхронизировать различные системы идентификации .

Редактировать или удалять источник идентификационных данных

Редактировать источник идентификационных данных

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Google Workspace а потом Облачный поиск .

    Для этого требуются права администратора в разделе «Настройки службы» .

  2. Нажмите на карточку «Источники идентификации».
  3. Отображается список источников идентификации вашей организации.
  4. Укажите источник идентификационных данных, который хотите обновить, и нажмите «Редактировать». .
  5. В окне «Источник идентификации» выберите элемент, который хотите изменить:
    • Чтобы обновить существующую учетную запись службы, наведите указатель мыши на учетную запись службы и нажмите «Редактировать». .
      Вы можете изменить имя учетной записи службы и права доступа.
    • Чтобы добавить новую учетную запись службы, нажмите кнопку «Добавить учетную запись службы» .
  6. Нажмите «Изменить источник идентификации» .

Удаление источника идентификации

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Google Workspace а потом Облачный поиск .

    Для этого требуются права администратора в разделе «Настройки службы» .

  2. Нажмите на карточку «Источники идентификации».
  3. Отображается список источников идентификации вашей организации.
  4. Укажите источник идентификационных данных, который хотите удалить, и нажмите «Удалить». .
  5. В окне предупреждения нажмите «Удалить» .

Важно : При удалении источника идентификационных данных Cloud Search также удаляет все связанные с ним данные. Это включает в себя все пользовательские данные и группы.