将用户身份映射到 Cloud Search

Google Cloud Search 需要在第三方存储区和 Google 帐号之间映射身份，以遵循存储区中内容的访问权限设置。例如，在数据库中，用户的用户名可能为 jensmith@company.com。该用户名需要映射到 Google 帐号，例如 jsmith@solarmora.com。

如要管理映射，请在 Cloud Search 中创建身份源。通过身份源，开发者可以将第三方存储区中的用户帐号映射到 Google 帐号。了解开发者如何同步不同的身份系统。

准备工作

请开发者为您提供一个有权访问 Google Workspace Admin SDK 和 Cloud Identity API 的服务帐号 ID。
添加可供搜索的数据源您必须至少添加一个数据源，然后才能创建身份源。

1.创建身份源

如要将第三方用户名映射到 Google 帐号，请创建身份源。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标应用 Google Workspace Cloud Search。
点击身份源卡片。
您会看到贵单位的身份源列表。
点击左上角的“添加”图标。
在身份源名称文本行内输入名称。
点击添加服务帐号。
输入可通过 Admin SDK Users API 和 Cloud Identity API 访问用户和群组数据的服务帐号的电子邮件地址。
请使用创建服务帐号 ID 时生成的电子邮件地址。
设置服务帐号对 Admin SDK Users API 的访问权限等级：
- 读取/写入 - 授予对该 API 的完整访问权限。
- 现有 - 沿用已经授予的 API 访问权限。
  如果其他身份源之前已授予服务帐号读取/写入权限，系统会继续使用该权限设置。如果服务帐号之前未获得任何权限，则依然不会获得权限。
  注意：如果之前向服务帐号授予读写权限的身份源遭到删除，那么服务帐号也会失去权限。如果此身份源需要使用此服务帐号，请将选项设为读取/写入。
设置服务帐号对 Cloud Identity API 的访问权限等级：
- 读取/写入 - 授予对该 API 的完整访问权限。
- 读取 - 授予对该 API 的读取权限。
- 无访问权限 - 禁止访问该 API。
点击添加服务帐号。
添加其他服务帐号。如果您已添加完服务帐号，则请点击添加身份源。
身份源成功添加后，系统会显示一条消息，其中包括自动生成的身份源 ID。请复制此 ID，并将其提供给您的身份连接器开发者。
点击确定。

您添加的身份源会显示在身份源列表中。您的开发者必须使用身份源 ID 才能让 Google API 访问用户和群组数据。

提示：点击“复制”图标即可将身份源 ID 复制到剪贴板。

2. 将第三方帐号导入至 Google Workspace

当您创建身份源时，Cloud Search 会为您的所有 Google 用户帐号添加一个自定义属性，供您存储映射到 Google 帐号的第三方帐号 ID。

如要在管理控制台中查看此自定义属性，请按以下步骤操作：

转到用户。
点击右上角的“管理自定义属性”。

重要提示：请勿修改这一自定义属性。如果您修改其名称或任何字段，Cloud Search 将无法正常运行。

如要将第三方用户名导入至自定义属性字段，请使用下列任一方法：

使用身份连接器一次性导入至所有帐号

使用 Google Cloud Directory Sync 同步用户和群组数据。

您也可以与开发者合作，创建一个身份连接器。了解如何创建身份连接器。

使用 Cloud Identity API 一次性导入至所有帐号

您可以使用 Cloud Identity API 将第三方用户帐号导入至自定义属性。

使用 Google 管理控制台导入至个人帐号

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标目录用户。
在每位用户的帐号页面，点击管理用户属性下的修改。
在自定义属性字段中，添加映射到 Google Workspace 用户帐号的第三方用户名。
点击更新用户。

3. 查找贵单位的客户 ID

如要设置身份连接器，您的开发者需要将您 Google 帐号的客户 ID 添加到连接器的属性文件。

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标 安全性身份验证 SAML 应用的单点登录服务。
您必须以超级用户身份登录，才能执行此任务。
在 SSO 网址旁边，找到网址末尾的 idpid 值。C 之后的值就是您的客户 ID。
例如，在以下网址中，客户 ID 是 0123tvz4：
https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

下一步

将身份源 ID 和您的客户 ID 提供开发者，以便其同步不同的身份系统。

修改或删除身份源

修改身份源

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标应用 Google Workspace Cloud Search。
点击“身份源”卡片。
您会看到贵单位的身份源列表。
将光标指向您要更新的身份源，然后点击“修改”图标。
在身份源窗口中，选择您要更改的内容：
- 如要更新现有服务帐号，请将光标指向该帐号，然后点击“修改”图标。
  您可以更改服务帐号名称和访问权限设置。
- 如要新增服务帐号，请点击添加服务帐号。
点击修改身份源。

删除身份源

登录您的 Google 管理控制台。
请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。
在管理控制台中，依次点击“菜单”图标应用 Google Workspace Cloud Search。
点击“身份源”卡片。
您会看到贵单位的身份源列表。
将光标指向您要移除的身份源，然后点击“删除”图标。
点击警告窗口中的删除。

重要提示：如果您删除某一身份源，Cloud Search 也会删除与其关联的所有数据，包括所有自定义用户数据和群组数据。

该内容对您有帮助吗？

您有什么改进建议？