Nutzeridentitäten in Cloud Search zuordnen

Damit die Zugriffsberechtigungen von Elementen aus einem Drittanbieter-Repository berücksichtigt werden, müssen die Identitäten aus dem Repository und den Google-Konten einander zugeordnet werden. Wenn ein Nutzer in einer Datenbank beispielsweise den Nutzernamen maxmustermann@company.com hat, muss dieser Name einem Google-Konto zugeordnet werden, z. B. maxmustermann@solarmora.com.

Erstellen Sie eine Identitätsquelle in Cloud Search, um die Zuordnung zu verwalten. Mithilfe der Identitätsquelle kann ein Entwickler Nutzerkonten aus dem Drittanbieter-Repository Google-Konten zuordnen. Hier erfahren Sie, wie ein Entwickler verschiedene Identitätssysteme synchronisieren kann.

Hinweise

1. Identitätsquelle erstellen

Erstellen Sie eine Identitätsquelle, um Drittanbieter-Nutzernamen den jeweiligen Google-Konten zuzuordnen.

  1. Anmeldung in der Google Admin-Konsole.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Öffnen Sie über die Startseite der Admin-Konsole Apps und dann G Suite und dann Cloud Search und dann Sucheinstellungen.

    Möglicherweise wird "Apps" erst nach einem Klick auf Mehr Widgets angezeigt.

    Hierfür ist die Administratorberechtigung "Dienste > Cloud Search" erforderlich.

  3. Klicken Sie auf die Karte Identitätsquellen.

    Eine Liste der Identitätsquellen Ihrer Organisation wird angezeigt.

  4. Klicken Sie links oben auf "Hinzufügen" Hinzufügen.
  5. Geben Sie einen Namen in die Textzeile Name der Identitätsquelle ein.
  6. Klicken Sie auf Dienstkonto hinzufügen.
  7. Geben Sie die E-Mail-Adresse eines Dienstkontos ein, das über die Admin SDK Users API und die Cloud Identity API auf Nutzer- und Gruppendaten zugreifen kann.

    Verwenden Sie die E-Mail-Adresse, die bei der Erstellung der Dienstkonto-ID generiert wurde.

  8. Legen Sie die Zugriffsebene des Dienstkontos auf die Admin SDK Users API fest:
    • Lesen/Schreiben: Mit dieser Option wird der uneingeschränkte Zugriff auf die API gewährt.
    • Bestehende: Damit werden die Berechtigungen beibehalten, die bereits für die API gewährt wurden.
      Wenn dem Dienstkonto zuvor Lese-/Schreibberechtigungen von einer anderen Identitätsquelle gewährt wurden, werden diese beibehalten. Hatte das Dienstkonto bisher keinen Zugriff, ist auch weiterhin kein Zugriff möglich.

      Hinweis: Wenn die Identitätsquelle, die dem Dienstkonto Lese-/Schreibzugriff gewährt hat, gelöscht wird, verliert das Dienstkonto den Zugriff. Wenn die Identitätsquelle das Dienstkonto verwenden muss, legen Sie die Option auf Lesen/Schreiben fest.

  9. Legen Sie die Zugriffsebene des Dienstkontos auf die Cloud Identity API fest:
    • Lesen/Schreiben: Mit dieser Option wird der uneingeschränkte Zugriff auf die API gewährt.
    • Lesen: Mit dieser Option wird eine Leseberechtigung für die API gewährt.
    • Kein Zugriff: Damit wird der Zugriff auf die API verhindert.
  10. Klicken Sie auf Dienstkonto hinzufügen.
  11. Wenn Sie alle gewünschten Dienstkonten hinzugefügt haben, klicken Sie auf Identitätsquelle hinzufügen.

    Wenn die Identitätsquelle hinzugefügt wurde, wird eine Nachricht angezeigt. Sie enthält die automatisch erstellte Identitätsquellen-ID. Kopieren Sie die ID und geben Sie sie an den Entwickler Ihres Identitätsconnectors weiter.

  12. Klicken Sie auf OK.

Nachdem Sie die Identitätsquelle hinzugefügt haben, wird sie in der Liste der Identitätsquellen angezeigt. Ihr Entwickler benötigt die Identitätsquellen-ID für die Google APIs, damit diese auf die Nutzer- und Gruppendaten zugreifen können.

Tipp: Sie können die Identitätsquellen-ID ganz leicht in die Zwischenablage kopieren, indem Sie auf "Kopieren" Kopieren klicken.

2. Drittanbieterkonten in die G Suite importieren

Wenn Sie eine Identitätsquelle erstellen, fügt Cloud Search allen Ihren Google-Nutzerkonten ein benutzerdefiniertes Attribut hinzu. In diesem benutzerdefinierten Attribut speichern Sie die Konto-ID des Drittanbieters, die dem Google-Konto zugeordnet ist.

So sehen Sie sich das benutzerdefinierte Attribut in der Admin-Konsole an:

  1. Gehen Sie zur Seite Nutzer.
  2. Klicken Sie rechts oben auf "Benutzerdefinierte Attribute verwalten" User attributes.

Wichtig: Ändern Sie das benutzerdefinierte Attribut nicht. Wenn Sie den Namen oder eines der Felder ändern, funktioniert Cloud Search nicht richtig.

Verwenden Sie eine der folgenden Methoden, um die Drittanbieter-Nutzernamen in das Feld für benutzerdefinierte Attribute zu importieren:

Mithilfe eines Identitätsconnectors in alle Konten gleichzeitig importieren

Verwenden Sie Google Cloud Directory Sync, um Nutzer- und Gruppendaten zu synchronisieren.
Sie können auch mit einem Entwickler zusammenarbeiten, um einen Identitätsconnector zu erstellen. Hier erfahren Sie, wie das geht.

Über die Cloud Identity API in alle Konten gleichzeitig importieren

Verwenden Sie die Cloud Identity API, um die Nutzerkonten von Drittanbietern in das benutzerdefinierte Attribut zu importieren.

Über die Google Admin-Konsole in einzelne Konten importieren

  1. Anmeldung in der Google Admin-Konsole.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Nutzer.
  3. Klicken Sie auf der Kontoseite des jeweiligen Nutzers unter Nutzerattribute verwalten auf Bearbeiten.
  4. Fügen Sie im Feld für benutzerdefinierte Attribute den Drittanbieter-Nutzernamen hinzu, der dem G Suite-Nutzerkonto zugeordnet ist.
  5. Klicken Sie auf Nutzer aktualisieren.

3. Kunden-ID Ihrer Organisation suchen

Soll ein Identitätsconnector eingerichtet werden, benötigt Ihr Entwickler die Kunden-ID Ihres Google-Kontos, um sie in die Datei mit den Eigenschaften des Connectors aufzunehmen.

  1. Anmeldung in der Google Admin-Konsole.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Sicherheit und dann Einmalanmeldung (SSO) einrichten.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit Sicherheit angezeigt wird. 

  3. Suchen Sie neben SSO-URL den idpid-Wert am Ende der URL. Der Wert nach dem C ist Ihre Kundennummer.

    In der folgenden URL lautet die Kunden-ID beispielsweise 0123tvz4:
    https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

Nächster Schritt

Geben Sie die Identitätsquellen-ID und Ihre Kunden-ID an den Entwickler weiter, der verschiedene Identitätssysteme synchronisieren kann.

Identitätsquellen bearbeiten oder löschen

Identitätsquellen bearbeiten

  1. Anmeldung in der Google Admin-Konsole.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie zu Apps und dann G Suite und dann Cloud Search und dann Quelleneinstellungen.
  3. Klicken Sie auf die Karte "Identitätsquellen".
    Eine Liste der Identitätsquellen Ihrer Organisation wird angezeigt.
  4. Bewegen Sie den Mauszeiger auf die Identitätsquelle, die Sie aktualisieren möchten, und klicken Sie auf "Bearbeiten" Ändern.
  5. Wählen Sie im Fenster der Identitätsquelle das Element aus, das Sie ändern möchten:
    • Um ein bestehendes Dienstkonto zu aktualisieren, bewegen Sie den Mauszeiger auf das Dienstkonto und klicken Sie auf "Bearbeiten" Ändern.
      Sie können den Namen des Dienstkontos und die Zugriffsberechtigungen ändern.
    • Klicken Sie auf Dienstkonto hinzufügen, um ein neues Dienstkonto hinzuzufügen.
  6. Klicken Sie auf Identitätsquelle bearbeiten.

Identitätsquellen löschen

  1. Anmeldung in der Google Admin-Konsole.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie zu Apps und dann G Suite und dann Cloud Search und dann Quelleneinstellungen.
  3. Klicken Sie auf die Karte "Identitätsquellen".
    Eine Liste der Identitätsquellen Ihrer Organisation wird angezeigt.
  4. Bewegen Sie den Mauszeiger auf die Identitätsquelle, die Sie entfernen möchten, und klicken Sie auf "Löschen" Löschen.
  5. Klicken Sie im Warnfenster auf Löschen.

Wichtig: Wenn Sie eine Identitätsquelle löschen, löscht Cloud Search auch alle zugehörigen Daten. Dazu gehören auch alle benutzerdefinierten Nutzerdaten und Gruppen.