Ánh xạ danh tính người dùng trong Cloud Search

Để tuân thủ quyền truy cập của các mục trong kho lưu trữ bên thứ ba, Google Cloud Search cần phải liên kết danh tính giữa kho lưu trữ và Tài khoản Google. Ví dụ: trong cơ sở dữ liệu, người dùng có thể có tên người dùng là jensmith@your-company.com. Tên người dùng đó cần được liên kết với một Tài khoản Google, chẳng hạn như jsmith@solarmora.com.

Để quản lý mối liên kết này, hãy tạo một nguồn nhận dạng trong Cloud Search. Nguồn nhận dạng cho phép nhà phát triển ánh xạ tài khoản người dùng từ kho lưu trữ bên thứ ba sang Tài khoản Google. Tìm hiểu cách nhà phát triển có thể đồng bộ hoá các hệ thống nhận dạng khác nhau.

Trước khi bắt đầu

1. Tạo một nguồn nhận dạng

Để ánh xạ tên người dùng bên thứ ba với Tài khoản Google, hãy tạo một nguồn nhận dạng.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó  Ứng dụng sau đó Google Workspace sau đó Cloud Search.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt dịch vụ.

  2. Nhấp vào thẻ Nguồn danh tính.

    Một danh sách các nguồn nhận dạng của tổ chức sẽ xuất hiện.

  3. Ở trên cùng bên trái, hãy nhấp vào biểu tượng Thêm .

  4. Nhập tên vào dòng văn bản Identity Source Name (Tên nguồn nhận dạng).

  5. Nhấp vào Thêm tài khoản dịch vụ.

  6. Nhập địa chỉ email của một tài khoản dịch vụ có thể truy cập vào dữ liệu người dùng và nhóm thông qua Admin SDK Users API và Cloud Identity API.

    Sử dụng địa chỉ email được tạo cho mã tài khoản dịch vụ khi mã này được tạo.

  7. Đặt cấp truy cập của tài khoản dịch vụ vào API Người dùng của Admin SDK:

    • Đọc/Ghi – Cấp toàn bộ quyền truy cập vào API.

    • Hiện có – Duy trì các quyền đã cấp cho API.
      Nếu trước đây một nguồn nhận dạng khác đã cấp cho tài khoản dịch vụ quyền đọc/ghi, thì những quyền đó vẫn tiếp tục có hiệu lực. Nếu chưa được cấp quyền truy cập, tài khoản dịch vụ sẽ tiếp tục không có quyền truy cập.

      Lưu ý: Nếu nguồn nhận dạng đã cấp quyền đọc/ghi cho tài khoản dịch vụ bị xoá, thì tài khoản dịch vụ sẽ mất quyền truy cập. Nếu nguồn nhận dạng này cần sử dụng tài khoản dịch vụ này, hãy đặt lựa chọn thành Đọc/Ghi.

  8. Đặt cấp độ truy cập của tài khoản dịch vụ vào Cloud Identity API:

    • Đọc/Ghi – Cấp toàn bộ quyền truy cập vào API.
    • Đọc – Cấp quyền Đọc cho API.
    • Không có quyền truy cập – Ngăn chặn quyền truy cập vào API.

  9. Nhấp vào Thêm tài khoản dịch vụ.

  10. Thêm một tài khoản dịch vụ khác hoặc nếu bạn đã thêm xong tài khoản dịch vụ, hãy nhấp vào Thêm nguồn nhận dạng.

    Một thông báo sẽ xuất hiện khi bạn thêm thành công nguồn nhận dạng và cho biết mã nguồn nhận dạng được tạo tự động. Sao chép mã nhận dạng này và gửi cho nhà phát triển trình kết nối danh tính của bạn.

  11. Nhấp vào OK.

Sau khi bạn thêm nguồn nhận dạng, nguồn đó sẽ xuất hiện trong danh sách nguồn nhận dạng. Nhà phát triển cần mã nhận dạng nguồn danh tính cho các API của Google để truy cập vào dữ liệu người dùng và nhóm.

Lưu ý: Để sao chép mã nguồn nhận dạng vào khay nhớ tạm, hãy nhấp vào biểu tượng Sao chép .

2. Nhập tài khoản của bên thứ ba vào Google Workspace

Khi bạn tạo một nguồn nhận dạng, Cloud Search sẽ thêm một thuộc tính tùy chỉnh vào tất cả tài khoản người dùng Google của bạn. Đây là thuộc tính tuỳ chỉnh nơi bạn lưu trữ mã nhận dạng tài khoản bên thứ ba liên kết với Tài khoản Google.

Cách xem thuộc tính tuỳ chỉnh này trong Bảng điều khiển dành cho quản trị viên:

  1. Chuyển đến phần Người dùng.
  2. Ở trên cùng bên phải, hãy nhấp vào biểu tượng Quản lý thuộc tính tuỳ chỉnh .

Quan trọng: Đừng sửa đổi thuộc tính tuỳ chỉnh này. Nếu bạn thay đổi tên hoặc bất kỳ trường nào của nguồn dữ liệu, Cloud Search sẽ không hoạt động đúng cách.

Để nhập tên người dùng của bên thứ ba vào trường thuộc tính tuỳ chỉnh, hãy sử dụng một trong các phương thức sau:

Nhập vào tất cả tài khoản cùng một lúc bằng cách sử dụng một trình kết nối danh tính

Sử dụng Google Cloud Directory Sync để đồng bộ hoá dữ liệu người dùng và nhóm.

Hoặc hợp tác với một nhà phát triển để tạo trình kết nối danh tính. Tìm hiểu cách tạo trình kết nối danh tính.

Nhập vào tất cả tài khoản cùng lúc bằng Cloud Identity API

Sử dụng Cloud Identity API để nhập tài khoản người dùng bên thứ ba vào thuộc tính tùy chỉnh.

Nhập vào từng tài khoản bằng Bảng điều khiển dành cho quản trị viên của Google

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Thư mục sau đó Người dùng.

    Bạn phải có đặc quyền Quản lý người dùng phù hợp. Nếu không có đặc quyền phù hợp, bạn sẽ không thấy tất cả các chế độ kiểm soát cần thiết để hoàn tất các bước này.

  2. Trên trang tài khoản của mỗi người dùng, trong mục Quản lý thuộc tính người dùng, hãy nhấp vào Chỉnh sửa.
  3. trong trường thuộc tính tùy chỉnh, hãy thêm tên người dùng của bên thứ ba được liên kết với tài khoản người dùng Google Workspace.
  4. Nhấp vào Cập nhật người dùng.

3. Tìm mã khách hàng của tổ chức

Để thiết lập một trình kết nối danh tính, nhà phát triển của bạn cần mã khách hàng của Tài khoản Google để đưa vào tệp thuộc tính của trình kết nối.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Xác thực sau đó Đăng nhập một lần (SSO) bằng các ứng dụng SAML.

    Bạn phải đăng nhập với vai trò là quản trị viên cấp cao để thực hiện thao tác này.

  2. Bên cạnh URL SSO, hãy tìm giá trị idpid ở cuối URL. Giá trị sau chữ C là mã khách hàng của bạn.

    Ví dụ: trong URL sau, mã khách hàng là 0123tvz4:
    https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

Bước tiếp theo

Cung cấp mã nguồn nhận dạng và mã khách hàng của bạn cho nhà phát triển có thể đồng bộ hoá các hệ thống nhận dạng khác nhau.

Chỉnh sửa hoặc xoá nguồn nhận dạng

Chỉnh sửa nguồn nhận dạng

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó  Ứng dụng sau đó Google Workspace sau đó Cloud Search.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt dịch vụ.

  2. Nhấp vào thẻ Nguồn danh tính.
  3. Một danh sách các nguồn nhận dạng của tổ chức sẽ xuất hiện.
  4. Trỏ vào nguồn nhận dạng mà bạn muốn cập nhật rồi nhấp vào biểu tượng Chỉnh sửa .
  5. Trong cửa sổ nguồn nhận dạng, hãy chọn mục bạn muốn thay đổi:
    • Để cập nhật một tài khoản dịch vụ hiện có, hãy trỏ vào tài khoản dịch vụ đó rồi nhấp vào biểu tượng Chỉnh sửa .
      Bạn có thể thay đổi tên tài khoản dịch vụ và quyền truy cập.
    • Để thêm một tài khoản dịch vụ mới, hãy nhấp vào Thêm tài khoản dịch vụ.
  6. Nhấp vào Chỉnh sửa nguồn nhận dạng.

Xoá một nguồn nhận dạng

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó  Ứng dụng sau đó Google Workspace sau đó Cloud Search.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt dịch vụ.

  2. Nhấp vào thẻ Nguồn danh tính.
  3. Một danh sách các nguồn nhận dạng của tổ chức sẽ xuất hiện.
  4. Trỏ vào nguồn nhận dạng mà bạn muốn xoá rồi nhấp vào biểu tượng Xoá .
  5. Trong cửa sổ cảnh báo, hãy nhấp vào Xoá.

Quan trọng: Nếu bạn xoá một nguồn nhận dạng, Cloud Search cũng sẽ xoá tất cả dữ liệu liên kết với nguồn đó. Trong đó có cả mọi dữ liệu người dùng và nhóm tuỳ chỉnh.