Per rispettare le autorizzazioni di accesso degli elementi di un repository di terze parti, Google Cloud Search deve mappare le identità tra il repository e gli Account Google. Supponiamo ad esempio che il nome utente di una persona in un database sia alerossi@azienda.com. Quel nome utente deve essere mappato a un Account Google, ad esempio arossi@solarmora.com.
Per gestire questa mappatura, crea un'origine identità in Cloud Search. L'origine identità consente allo sviluppatore di mappare gli account utente dal repository di terze parti agli Account Google. Leggi in che modo uno sviluppatore può sincronizzare diversi sistemi di identità.
Prima di iniziare
- Chiedi al tuo sviluppatore un ID account di servizio con autorizzazioni di accesso all'SDK Admin di Google Workspace e all'API Cloud Identity.
- Aggiungi un'origine dati per la ricerca. Per creare un'origine identità devi prima aggiungere almeno un'origine dati.
1. Crea un'origine identità
Per mappare nomi utente di terze parti agli Account Google, crea un'origine identità.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu ApplicazioniGoogle WorkspaceCloud Search.
- Fai clic sulla scheda Origini identità.
Viene visualizzato un elenco delle origini identità dell'organizzazione.
- In alto a sinistra, fai clic su Aggiungi .
- Inserisci un nome nella riga di testo Nome origine identità.
- Fai clic su Aggiungi account di servizio.
- Inserisci l'indirizzo email di un account di servizio in grado di accedere ai dati di utenti e gruppi mediante l'API Users dell'SDK Admin e l'API Cloud Identity.
Utilizza l'indirizzo email che è stato generato per l'ID dell'account di servizio durante la sua creazione.
- Imposta il livello di accesso dell'account di servizio all'API Users dell'SDK Admin:
- Lettura/Scrittura: fornisce autorizzazioni di accesso completo all'API.
- Esistente: mantiene le autorizzazioni già concesse all'API.
Le eventuali autorizzazioni di lettura/scrittura concesse in precedenza all'account di servizio da un'altra origine identità restano valide. Se all'account di servizio non è già stato concesso l'accesso, continuerà a non poter accedere.Nota: se l'origine identità che ha concesso l'accesso in lettura/scrittura all'account di servizio viene eliminata, l'account di servizio perderà l'accesso. Se l'origine identità deve utilizzare questo account di servizio, imposta l'opzione su Lettura/Scrittura.
- Imposta il livello di accesso dell'account di servizio all'API Cloud Identity:
- Lettura/Scrittura: fornisce autorizzazioni di accesso completo all'API.
- Lettura: concede autorizzazioni di lettura per l'API.
- Nessun accesso: impedisce l'accesso all'API.
- Fai clic su Aggiungi account di servizio.
- Aggiungi un altro account di servizio o, se non devi aggiungerne altri, fai clic su Aggiungi origine identità.
Completata l'aggiunta dell'origine identità, viene visualizzato un messaggio che indica l'ID origine identità generato automaticamente. Copia l'ID e passalo allo sviluppatore del connettore di identità.
-
Fai clic su OK.
Una volta aggiunta, l'origine identità viene visualizzata nell'elenco delle origini identità. Lo sviluppatore dovrà utilizzare l'ID origine identità per permettere alle API di Google di accedere ai dati di utenti e gruppi.
Suggerimento: per copiare l'ID origine identità negli appunti, fai clic su Copia
2. Importa gli account di terze parti in Google Workspace
Quando crei un'origine identità, Cloud Search aggiunge un attributo personalizzato a tutti i tuoi account utente Google. Nell'attributo personalizzato memorizzi l'ID dell'account di terze parti associato all'Account Google.
Per vedere l'attributo personalizzato nella Console di amministrazione:
- Vai a Utenti.
- In alto a destra, fai clic su Gestisci attributi personalizzati .
Importante: non modificare questo attributo personalizzato. Se cambi il nome o uno dei campi dell'attributo, Cloud Search non funzionerà correttamente.
Per importare i nomi utente di terze parti nel campo dell'attributo personalizzato, utilizza uno dei metodi seguenti:
Importare in tutti gli account contemporaneamente utilizzando un connettore di identità
Importare in tutti gli account contemporaneamente utilizzando l'API Cloud Identity
Importare in singoli account utilizzando la Console di amministrazione Google
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
- Nella Console di amministrazione, vai a Menu DirectoryUtenti.
- Nella pagina dell'account di ciascun utente, in Gestisci attributi utente, fai clic su Modifica.
- Nel campo dell'attributo personalizzato, aggiungi il nome utente di terze parti associato all'account utente Google Workspace.
- Fai clic su Aggiorna utente.
3. Trova l'ID cliente della tua organizzazione
Per configurare un connettore di identità, lo sviluppatore avrà bisogno dell'ID cliente del tuo Account Google per includerlo nel file delle proprietà del connettore.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu. Sicurezza Autenticazione SSO con applicazioni SAML.
Per questa attività, devi aver eseguito l'accesso come super amministratore.
- Accanto a URL SSO, individua il valore idpid alla fine dell'URL. L'ID cliente è il valore dopo la C.
Ad esempio, nel seguente URL, l'ID cliente è 0123tvz4:
https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4
Passaggio successivo
Fornisci l'ID origine identità e l'ID cliente allo sviluppatore che può sincronizzare diversi sistemi di identità.
Modificare o eliminare un'origine identità
Modificare un'origine identità
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu ApplicazioniGoogle WorkspaceCloud Search.
- Fai clic sulla scheda Origini identità.
- Viene visualizzato un elenco delle origini identità della tua organizzazione.
- Posiziona il cursore del mouse sull'origine identità che vuoi aggiornare e fai clic su Modifica .
- Nella finestra dell'origine identità, seleziona l'elemento che vuoi modificare:
- Per aggiornare un account di servizio esistente, selezionalo e fai clic su Modifica .
Puoi modificare il nome e le autorizzazioni di accesso dell'account di servizio. - Per aggiungere un nuovo account di servizio, fai clic su Aggiungi account di servizio.
- Per aggiornare un account di servizio esistente, selezionalo e fai clic su Modifica .
- Fai clic su Modifica origine identità.
Eliminare un'origine identità
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai al Menu ApplicazioniGoogle WorkspaceCloud Search.
- Fai clic sulla scheda Origini identità.
- Viene visualizzato un elenco delle origini identità della tua organizzazione.
- Posiziona il cursore del mouse sull'origine identità che vuoi rimuovere e fai clic su Elimina .
- Nella finestra di avviso, fai clic su Elimina.
Importante: se elimini un'origine identità, Cloud Search elimina anche tutti i dati associati, inclusi tutti i dati utente personalizzati e i gruppi.