Для соблюдения разрешений на доступ к объектам во внешнем хранилище Google Cloud Search необходимо сопоставить идентификационные данные хранилища и аккаунтов Google. Например, в базе данных у пользователя может быть имя aivanova@company.com. Это имя нужно сопоставить с аккаунтом Google этого пользователя, например a_ivanova@solarmora.com.
Для управления сопоставлением создайте источник идентификационной информации в Cloud Search. Этот источник позволяет разработчику сопоставить аккаунты пользователей стороннего хранилища с аккаунтами Google. Подробнее о том, как разработчик может синхронизировать разные системы идентификации…
Подготовка
- Попросите разработчика предоставить идентификатор сервисного аккаунта с разрешениями на доступ к Google Workspace Admin SDK и Cloud Identity API.
- Добавьте источник данных в поиск. Чтобы создать источник идентификационной информации, нужно добавить хотя бы один источник данных.
1. Создайте источник идентификационной информации
Чтобы сопоставлять сторонние имена пользователей с аккаунтами Google, создайте источник идентификационной информации.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Приложения
Google Workspace
- Нажмите на карточку Источники идентификационной информации.
Появится список источников идентификационной информации вашей организации.
- В левом верхнем углу нажмите на значок "Добавить"
.
- Укажите название в текстовой строке Название источника идентификационной информации.
- Нажмите Добавить сервисный аккаунт.
- Введите адрес электронной почты сервисного аккаунта, у которого есть доступ к данным пользователей и групп через Admin SDK Users API и Cloud Identity API.
Используйте адрес электронной почты, сгенерированный для идентификатора сервисного аккаунта при его создании.
- Задайте уровень доступа сервисного аккаунта к Admin SDK Users API.
- Чтение/запись: предоставляет полный доступ к API.
- Существующие: сохраняет уже предоставленные разрешения на доступ к API.
Если сервисному аккаунту уже были предоставлены разрешения на чтение и запись другим источником идентификационной информации, они продолжат действовать. Если сервисному аккаунту не был предоставлен доступ, его по-прежнему не будет.Примечание. Если источник идентификационной информации, предоставивший сервисному аккаунту разрешение на чтение и запись, удален, сервисный аккаунт потеряет это разрешение. Если данному источнику необходимо использовать этот сервисный аккаунт, выберите параметр Чтение/запись.
- Задайте уровень доступа сервисного аккаунта к Cloud Identity API.
- Чтение/запись: предоставляет полный доступ к API.
- Чтение: предоставляет разрешение на чтение API.
- Нет доступа: запрещает доступ к API.
- Нажмите Добавить сервисный аккаунт.
- Добавьте ещё один сервисный аккаунт или нажмите Добавить источник.
После добавления источника идентификационной информации появится сообщение с автоматически созданным идентификатором источника. Скопируйте этот идентификатор и сообщите его разработчику коннектора идентификационной информации.
-
Нажмите ОК.
После добавления источник появится в списке источников идентификационной информации. Идентификатор источника необходим разработчику для того, чтобы у API Google был доступ к данным пользователей и групп.
Совет. Чтобы скопировать идентификатор источника идентификационной информации в буфер обмена, нажмите на значок .
2. Импортируйте сторонние аккаунты в Google Workspace
При создании источника идентификационной информации Cloud Search добавляет во все аккаунты пользователей Google настраиваемый атрибут. В нем хранятся идентификаторы сторонних аккаунтов, сопоставленных с аккаунтами Google.
Чтобы найти настраиваемый атрибут в консоли администратора:
- Перейдите в раздел Пользователи.
- В правом верхнем углу нажмите на значок "Управление настраиваемыми атрибутами"
.
Важно! Не изменяйте настраиваемый атрибут. Если изменить его название или значения в полях, Cloud Search будет работать неправильно.
Импортировать сторонние имена пользователей в поле настраиваемого атрибута можно одним из описанных ниже способов.
Как импортировать имена пользователей сразу во все аккаунты с помощью коннектора идентификационной информации.
Как импортировать имена пользователей сразу во все аккаунты с помощью Cloud Identity API
Как импортировать имена пользователей в отдельные аккаунты в консоли администратора Google
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
- В консоли администратора нажмите на значок меню
Каталог
- На странице каждого аккаунта в разделе Управление атрибутами пользователя нажмите Изменить.
- В поле настраиваемого атрибута введите стороннее имя пользователя, которое сопоставлено с аккаунтом пользователя в Google Workspace.
- Нажмите Обновить пользователя.
3. Определите идентификатор клиента организации
Для настройки коннектора идентификационной информации разработчику необходим идентификатор клиента вашего аккаунта Google, который нужно указать в файле со свойствами коннектора.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
- Рядом с полем URL системы единого входа найдите значение идентификатора поставщика услуг идентификационной информации в конце URL. Фрагмент после буквы C и является вашим идентификатором клиента.
Например, в следующем URL идентификатор клиента – 0123tvz4:
https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4
Следующий шаг
Предоставьте идентификатор источника идентификационной информации и свой идентификатор клиента разработчику для синхронизации разных систем идентификации.
Изменение и удаление источника идентификационной информации
Как изменить источник идентификационной информации
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
- Нажмите на карточку "Источники идентификационной информации".
- Появится список источников идентификационной информации вашей организации.
- Наведите указатель на источник идентификационной информации, который нужно обновить, и нажмите на значок "Изменить"
.
- В окне источника идентификационной информации выберите объект, который требуется изменить.
- Чтобы изменить существующий сервисный аккаунт, наведите на него указатель мыши и нажмите на значок
Вы можете изменить название и разрешения на доступ сервисного аккаунта. - Чтобы добавить новый сервисный аккаунт, нажмите Добавить сервисный аккаунт.
- Чтобы изменить существующий сервисный аккаунт, наведите на него указатель мыши и нажмите на значок
- Нажмите Изменить источник идентификационной информации.
Как удалить источник идентификационной информации
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
- Нажмите на карточку "Источники идентификационной информации".
- Появится список источников идентификационной информации вашей организации.
- Наведите указатель на источник идентификационной информации, который нужно удалить, и нажмите на значок
.
- В окне с предупреждением нажмите Удалить.
Важно! При удалении источника идентификационной информации Cloud Search также удаляет все связанные с ним данные, в том числе все пользовательские данные и группы.
