Pour respecter les autorisations d'accès des éléments d'un dépôt tiers, Google Cloud Search doit faire correspondre les identités entre le dépôt et les comptes Google. Par exemple, dans une base de données, un utilisateur peut avoir comme nom d'utilisateur jadedupont@entreprise.com. Ce nom d'utilisateur doit correspondre à un compte Google tel que jdupont@solarmora.com.
Pour gérer ces correspondances, créez une source d'identité dans Cloud Search. La source d'identité permet au développeur d'associer les comptes utilisateur du dépôt tiers à des comptes Google. Découvrez comment un développeur peut synchroniser différents systèmes d'identité.
Avant de commencer
- Demandez à votre développeur un ID de compte de service ayant des autorisations d'accès au SDK Admin de Google Workspace et à l'API Cloud Identity.
- Ajoutez une source de données dans laquelle effectuer une recherche. Vous devez ajouter au moins une source de données avant de pouvoir créer une source d'identité.
1. Créez une source d'identité
Pour associer des noms d'utilisateur tiers à des comptes Google, créez une source d'identité.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Applications Google Workspace Cloud Search.
- Cliquez sur la fiche Sources d'identité.
Une liste des sources d'identité de votre organisation s'affiche.
- En haut à gauche, cliquez sur Ajouter .
- Saisissez un nom dans la ligne de texte Nom de la source d'identité.
- Cliquez sur Ajouter un compte de service.
- Saisissez l'adresse e-mail d'un compte de service pouvant accéder aux données des utilisateurs et des groupes via les API Admin SDK Users et Cloud Identity.
Utilisez l'adresse e-mail générée pour l'ID de compte de service lors de sa création.
- Définissez le niveau d'accès du compte de service à l'API Admin SDK Users :
- Lecture/Écriture : octroie des autorisations d'accès complet à l'API
- Existant : maintient les autorisations déjà accordées à l'API
Si des autorisations de lecture/écriture ont déjà été accordées au compte de service par une autre source d'identité, elles sont maintenues. Si l'accès n'a pas déjà été accordé au compte de service, il continue à ne pas avoir d'accès.Remarque : Si la source d'identité qui a accordé l'accès en lecture/écriture au compte de service est supprimée, le compte de service perd l'accès. Si cette source d'identité doit utiliser ce compte de service, définissez l'option sur Lecture/Écriture.
- Définissez le niveau d'accès du compte de service à l'API Cloud Identity :
- Lecture/Écriture : octroie des autorisations d'accès complet à l'API
- Lecture : accorde des autorisations de lecture de l'API
- Aucun accès : empêche l'accès à l'API
- Cliquez sur Ajouter un compte de service.
- Ajoutez un autre compte de service ou, si vous avez terminé d'ajouter des comptes de service, cliquez sur Ajouter une source d'identité.
Un message s'affiche lorsque la source d'identité a été ajoutée avec succès. Il affiche l'ID de source d'identité généré automatiquement. Copiez cet ID et transmettez-le à votre développeur de connecteur d'identité.
-
Cliquez sur OK.
Une fois que vous avez ajouté la source d’identité, elle apparaît dans la liste des sources d’identité. Votre développeur a besoin de l'ID de source d'identité pour que les API Google puissent accéder aux données des utilisateurs et des groupes.
Conseil : Pour copier l'ID de la source d'identité dans votre presse-papiers, cliquez sur Copier .
2. Importez des comptes tiers dans Google Workspace
Lorsque vous créez une source d'identité, Cloud Search ajoute un attribut personnalisé à tous vos comptes utilisateur Google. Cet attribut personnalisé correspond à l'emplacement où vous stockez l'ID de compte tiers associé au compte Google.
Pour afficher cet attribut personnalisé dans la console d'administration, procédez comme suit :
- Accédez à Utilisateurs.
- En haut à droite, cliquez sur Gérer les attributs personnalisés .
Important : Ne modifiez pas cet attribut personnalisé. Si vous modifiez son nom ou l'un de ses champs, Cloud Search ne fonctionnera pas correctement.
Afin d'importer les noms d'utilisateur tiers dans le champ d'attribut personnalisé, utilisez l'une des méthodes suivantes :
Importation simultanée dans tous les comptes à l'aide d'un connecteur d'identité
Importation simultanée dans tous les comptes à l'aide de l'API Cloud Identity
Importation dans tous les comptes individuels à l'aide de la console d'administration Google
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
- Dans la console d'administration, accédez à Menu Annuaire Utilisateurs.
- Sur la page du compte de chaque utilisateur, sous Gérer les attributs de l'utilisateur, cliquez sur Modifier.
- Dans le champ des attributs personnalisés, ajoutez le nom d'utilisateur tiers correspondant au compte utilisateur Google Workspace.
- Cliquez sur Mettre à jour le compte.
3. Trouvez l'ID client de votre organisation
Pour configurer un connecteur d'identité, votre développeur a besoin de l'ID client de votre compte Google afin de l'inclure dans le fichier de propriétés du connecteur.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Sécurité Authentification SSO avec les applications SAML.
Pour ce faire, vous devez être connecté en tant que super-administrateur.
- Recherchez la valeur idpid à la fin de l'URL d'authentification unique. La valeur figurant après la lettre C est votre ID client.
Par exemple, dans l'URL suivante, l'ID client est 0123tvz4 :
https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4
Étape suivante
Indiquez l'ID de la source d'identité et votre ID client au développeur capable de synchroniser différents systèmes d'identité.
Modifier ou supprimer une source d'identité
Modifier une source d'identité
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Applications Google Workspace Cloud Search.
- Cliquez sur la fiche "Sources d'identité".
- Une liste des sources d'identité de votre organisation s'affiche.
- Placez votre curseur sur la source d'identité que vous souhaitez modifier, puis cliquez sur Modifier .
- Dans la fenêtre de la source d'identité, sélectionnez l'élément que vous souhaitez modifier :
- Pour modifier un compte de service existant, placez votre curseur sur le compte de service, puis cliquez sur Modifier .
Vous pouvez modifier le nom du compte de service et les autorisations d'accès. - Pour ajouter un nouveau compte de service, cliquez sur Ajouter un compte de service.
- Pour modifier un compte de service existant, placez votre curseur sur le compte de service, puis cliquez sur Modifier .
- Cliquez sur Modifier la source d'identité.
Supprimer une source d'identité
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Applications Google Workspace Cloud Search.
- Cliquez sur la fiche "Sources d'identité".
- Une liste des sources d'identité de votre organisation s'affiche.
- Placez votre curseur sur la source d'identité à supprimer, puis cliquez sur Supprimer .
- Dans la fenêtre d'avertissement, cliquez sur Supprimer.
Important : Si vous supprimez une source d'identité, Cloud Search supprime également toutes les données lui étant associées. Cela inclut toutes les données d'utilisateur personnalisées et les groupes.