在 Cloud Search 中映射用户身份

Google Cloud Search 需要在第三方存储区和 Google 账号之间映射身份,以遵循存储区中内容的访问权限设置。例如,在数据库中,用户的用户名可能为 jensmith@your-company.com。该用户名需要映射到 Google 账号,例如 jsmith@solarmora.com

如要管理此映射,请在 Cloud Search 中创建身份源。通过身份源,开发者可以将第三方存储区中的用户账号映射到 Google 账号。了解开发者如何同步不同的身份系统

准备工作

1. 创建身份源

如要将第三方用户名映射到 Google 账号,请创建身份源。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后  应用 然后 Google Workspace 然后 Cloud Search

    需要拥有“服务设置”管理员权限

  2. 点击身份源卡片。

    您会看到贵组织的身份源列表。

  3. 点击左上角的“添加”图标

  4. 身份源名称文本行内输入名称。

  5. 点击添加服务账号

  6. 输入可通过 Admin SDK Users API 和 Cloud Identity API 访问用户和群组数据的服务账号的电子邮件地址。

    请使用创建服务账号 ID 时生成的电子邮件地址。

  7. 设置服务账号对 Admin SDK Users API 的访问权限等级:

    • 读取/写入 - 授予对该 API 的完整访问权限。

    • 现有 - 沿用已经授予的 API 访问权限。
      如果其他身份源之前已授予服务账号读取/写入权限,系统会继续使用该权限设置。如果服务账号之前未获得任何权限,则依然不会获得权限。

      注意:如果之前向服务账号授予读写权限的身份源遭到删除,那么服务账号也会失去权限。如果此身份源需要使用此服务账号,请将选项设为读取/写入

  8. 设置服务账号对 Cloud Identity API 的访问权限等级:

    • 读取/写入 - 授予对该 API 的完整访问权限。
    • 读取 - 授予对该 API 的读取权限。
    • 无访问权限 - 禁止访问该 API。

  9. 点击添加服务账号

  10. 添加其他服务账号。如果您已添加完服务账号,则请点击添加身份源

    身份源成功添加后,系统会显示一条消息,其中包括自动生成的身份源 ID。复制此 ID,并将其提供给您的身份连接器开发者。

  11. 点击确定

您添加的身份源会显示在身份源列表中。您的开发者必须使用身份源 ID 才能让 Google API 访问用户和群组数据。

提示:点击“复制”图标 即可将身份源 ID 复制到剪贴板。

2. 将第三方账号导入 Google Workspace

当您创建身份源时,Cloud Search 会为您的所有 Google 用户账号添加一个自定义属性,此自定义属性用于存储映射到 Google 账号的第三方账号 ID。

如要在管理控制台中查看此自定义属性,请按以下步骤操作:

  1. 前往用户
  2. 点击右上角的“管理自定义属性”图标

重要提示:请勿修改这一自定义属性。如果您修改其名称或任何字段,Cloud Search 将无法正常运行。

如要将第三方用户名导入至自定义属性字段,请使用下列任一方法:

使用身份连接器一次性导入至所有账号

使用 Google Cloud Directory Sync 同步用户和群组数据。

您也可以与开发者合作,创建一个身份连接器。了解如何创建身份连接器

使用 Cloud Identity API 一次性导入至所有账号

您可以使用 Cloud Identity API 将第三方用户账号导入至自定义属性。

使用 Google 管理控制台导入至个人账号

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 目录 然后 用户

    需要拥有相应的用户管理权限。如果您没有正确的权限,则无法看到完成这些步骤所需的所有控件。

  2. 在每位用户的账号页面上,点击管理用户属性下的修改
  3. 在自定义属性字段中,添加映射到 Google Workspace 用户账号的第三方用户名。
  4. 点击更新用户

3. 查找贵组织的客户 ID

如要设置身份连接器,您的开发者需要将您 Google 账号的客户 ID 添加到连接器的属性文件。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 身份验证 然后 SAML 应用的单点登录服务

    您必须以超级用户身份登录,才能执行此任务。

  2. SSO 网址旁边,找到网址末尾的 idpid 值。C 之后的值就是您的客户 ID。

    例如,在以下网址中,客户 ID 是 0123tvz4:
    https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

后续步骤

将身份源 ID 和您的客户 ID 提供给开发者,以便其同步不同的身份系统

修改或删除身份源

修改身份源

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后  应用 然后 Google Workspace 然后 Cloud Search

    需要拥有“服务设置”管理员权限

  2. 点击“身份源”卡片。
  3. 您会看到贵组织的身份源列表。
  4. 将光标指向您要更新的身份源,然后点击“修改”图标
  5. 在身份源窗口中,选择您要更改的内容:
    • 如要更新现有服务账号,请将光标指向该账号,然后点击“修改”图标
      您可以更改服务账号名称和访问权限设置。
    • 如要新增服务账号,请点击添加服务账号
  6. 点击修改身份源

删除身份源

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后  应用 然后 Google Workspace 然后 Cloud Search

    需要拥有“服务设置”管理员权限

  2. 点击“身份源”卡片。
  3. 您会看到贵组织的身份源列表。
  4. 将光标指向您要移除的身份源,然后点击“删除”图标
  5. 点击警告窗口中的删除

重要提示:如果您删除某一身份源,Cloud Search 也会删除与其关联的所有数据,包括所有自定义用户数据和群组数据。