Как сопоставлять идентификационные данные пользователей в Cloud Search

Для соблюдения разрешений на доступ к объектам во внешнем хранилище Google Cloud Search необходимо сопоставить идентификационные данные хранилища и аккаунтов Google. Например, в базе данных пользователю может быть присвоено имя пользователя jensmith@company.com. Его необходимо сопоставить с аккаунтом Google, таким как jsmith@solarmora.com.

Для управления сопоставлением создайте источник идентификационной информации в Cloud Search. Этот источник позволяет разработчику сопоставить аккаунты пользователей стороннего хранилища с аккаунтами Google. Подробнее о том, как разработчик может синхронизировать разные системы идентификации

Подготовка

1. Создайте источник идентификационной информации

Чтобы сопоставлять сторонние имена пользователей с аккаунтами Google, создайте источник идентификационной информации.

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Приложения затем G Suite затем Cloud Search затем Настройки поиска.

    Если значка "Приложения" нет, нажмите Добавить элементы управления в нижней части страницы.

    Вам необходимо использовать аккаунт администратора с правом Сервисы > Cloud Search.

  3. Нажмите на карточку Источники идентификационной информации.

    Появится список источников идентификационной информации вашей организации.

  4. В левом верхнем углу нажмите на значок Добавить.
  5. Укажите название в текстовой строке Название источника идентификационной информации.
  6. Нажмите Добавить сервисный аккаунт.
  7. Введите адрес электронной почты сервисного аккаунта, у которого есть доступ к данным пользователей и групп через Admin SDK Users API и Cloud Identity API.

    Используйте адрес электронной почты, сгенерированный для идентификатора сервисного аккаунта при его создании.

  8. Задайте уровень доступа сервисного аккаунта к Admin SDK Users API.
    • Чтение и запись: предоставляет полный доступ к API.
    • Существующие: сохраняет уже предоставленные разрешения на доступ к API.
      Если сервисному аккаунту уже были предоставлены разрешения на чтение и запись другим источником идентификационной информации, они продолжат действовать. Если сервисному аккаунту не был предоставлен доступ, его и не будет.

      Примечание. Если источник идентификационной информации, предоставивший сервисному аккаунту разрешение на чтение и запись, удален, сервисный аккаунт потеряет это разрешение. Если данному источнику необходимо использовать этот сервисный аккаунт, выберите параметр Чтение и запись.

  9. Задайте уровень доступа сервисного аккаунта к Cloud Identity API.
    • Чтение и запись: предоставляет полный доступ к API.
    • Чтение: предоставляет разрешение на чтение API.
    • Нет доступа: запрещает доступ к API.
  10. Нажмите Добавить сервисный аккаунт.
  11. Добавьте ещё один сервисный аккаунт или нажмите Добавить источник.

    После добавления источника идентификационной информации появится сообщение с автоматически созданным идентификатором источника. Скопируйте этот идентификатор и сообщите его разработчику коннектора идентификационной информации.

  12. Нажмите ОК.

После добавления источник появится в списке источников идентификационной информации. Идентификатор источника необходим разработчику для того, чтобы у API Google был доступ к данным пользователей и групп.

Совет. Чтобы скопировать идентификатор источника идентификационной информации в буфер обмена, нажмите на значок Копировать.

2. Импортируйте сторонние аккаунты в G Suite

При создании источника идентификационной информации Cloud Search добавляет во все аккаунты пользователей Google настраиваемый атрибут. В нем хранятся идентификаторы сторонних аккаунтов, сопоставленных с аккаунтами Google.

Чтобы найти настраиваемый атрибут в консоли администратора:

  1. Перейдите в раздел Пользователи.
  2. В правом верхнем углу нажмите на значок "Управление настраиваемыми атрибутами" User attributes.

Важно! Не изменяйте настраиваемый атрибут. Если изменить его название или значения в полях, Cloud Search будет работать неправильно.

Импортировать сторонние имена пользователей в поле настраиваемого атрибута можно одним из описанных ниже способов.

Импортируйте имена пользователей сразу во все аккаунты с помощью коннектора идентификационной информации

Синхронизируйте данные пользователей и групп с помощью Google Cloud Directory Sync.
Для создания коннектора идентификационной информации вы также можете обратиться к разработчику. Подробнее…

Как импортировать имена пользователей сразу во все аккаунты с помощью Cloud Identity API

Импортируйте сторонние аккаунты пользователей в настраиваемый атрибут с помощью Cloud Identity API.

Как импортировать имена пользователей в отдельные аккаунты в консоли администратора Google

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Пользователи.
  3. На странице каждого аккаунта в разделе Управление атрибутами пользователя нажмите Изменить.
  4. В поле настраиваемого атрибута добавьте стороннее имя пользователя, соответствующее аккаунту пользователя G Suite.
  5. Нажмите Обновить пользователя.

3. Определите идентификатор клиента организации

Для настройки коннектора идентификационной информации разработчику необходим идентификатор клиента вашего аккаунта Google, который нужно указать в файле со свойствами коннектора.

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Безопасность затем Настройка системы единого входа (SSO).

    Если значка Безопасность нет, нажмите Добавить элементы управления внизу страницы. 

  3. Рядом с полем URL Системы единого входа найдите значение идентификатора поставщика услуг идентификационной информации в конце URL. Фрагмент после буквы C и является вашим идентификатором клиента.

    Например, в приведенном ниже URL идентификатор клиента – 0123tvz4:
    https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

Следующий шаг

Предоставьте идентификатор источника идентификационной информации и свой идентификатор клиента разработчику для синхронизации разных систем идентификации.

Изменение и удаление источника идентификационной информации

Как изменить источник идентификационной информации

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. Откройте Приложения затем G Suite затем Cloud Search затем Настройки источников.
  3. Нажмите на карточку "Источники идентификационной информации".
    Появится список источников идентификационной информации вашей организации.
  4. Наведите указатель на источник идентификационной информации, который нужно обновить, и нажмите на значок Изменить.
  5. В окне источника идентификационной информации выберите объект, который требуется изменить.
    • Чтобы изменить существующий сервисный аккаунт, наведите на него указатель мыши и нажмите на значок Изменить.
      Вы можете изменить название и разрешения на доступ сервисного аккаунта.
    • Чтобы добавить новый сервисный аккаунт, нажмите Добавить сервисный аккаунт.
  6. Нажмите Изменить источник идентификационной информации.

Как удалить источник идентификационной информации

  1. Войдите в консоль администратора Google.

    Используйте аккаунт администратора (он не заканчивается на @gmail.com).

  2. Откройте Приложения затем G Suite затем Cloud Search затем Настройки источников.
  3. Нажмите на карточку "Источники идентификационной информации".
    Появится список источников идентификационной информации вашей организации.
  4. Наведите указатель на источник идентификационной информации, который нужно удалить, и нажмите на значок Удалить.
  5. В окне с предупреждением нажмите Удалить.

Важно! При удалении источника идентификационной информации Cloud Search также удаляет все связанные с ним данные, в том числе все пользовательские данные и группы.