将用户身份映射到 Cloud Search

Google Cloud Search 需要在第三方存储区和 Google 帐号之间映射身份,以遵循存储区中内容的访问权限设置。例如,在数据库中,用户的用户名可能为 jensmith@company.com。该用户名需要映射到 Google 帐号,例如 jsmith@solarmora.com

如要管理映射,请在 Cloud Search 中创建身份源。通过身份源,开发者可以将第三方存储区中的用户帐号映射到 Google 帐号。了解开发者如何同步不同的身份系统

准备工作

1.创建身份源

如要将第三方用户名映射到 Google 帐号,请创建身份源。

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到应用 接着点击 Google Workspace 接着点击 Cloud Search 接着点击 搜索设置

    您可能需要点击底部的更多控件,才能看到“应用”。

    需要拥有“服务”下的 Cloud Search 管理员权限

  3. 点击身份源卡片。

    您会看到贵单位的身份源列表。

  4. 点击左上角的“添加”图标 ""
  5. 身份源名称文本行内输入名称。
  6. 点击添加服务帐号
  7. 输入可通过 Admin SDK Users API 和 Cloud Identity API 访问用户和群组数据的服务帐号的电子邮件地址。

    请使用创建服务帐号 ID 时生成的电子邮件地址。

  8. 设置服务帐号对 Admin SDK Users API 的访问权限等级:
    • 读取/写入 - 授予对该 API 的完整访问权限。
    • 现有 - 沿用已经授予的 API 访问权限。
      如果其他身份源之前已授予服务帐号读取/写入权限,系统会继续使用该权限设置。如果服务帐号之前未获得任何权限,则依然不会获得权限。

      注意:如果之前向服务帐号授予读写权限的身份源遭到删除,那么服务帐号也会失去权限。如果此身份源需要使用此服务帐号,请将选项设为读取/写入

  9. 设置服务帐号对 Cloud Identity API 的访问权限等级:
    • 读取/写入 - 授予对该 API 的完整访问权限。
    • 读取 - 授予对该 API 的读取权限。
    • 无访问权限 - 禁止访问该 API。
  10. 点击添加服务帐号
  11. 添加其他服务帐号。如果您已添加完服务帐号,则请点击添加身份源

    身份源成功添加后,系统会显示一条消息,其中包括自动生成的身份源 ID。请复制此 ID,并将其提供给您的身份连接器开发者。

  12. 点击确定

您添加的身份源会显示在身份源列表中。您的开发者必须使用身份源 ID 才能让 Google API 访问用户和群组数据。

提示:点击“复制”图标 "" 即可将身份源 ID 复制到剪贴板。

2. 将第三方帐号导入至 Google Workspace

当您创建身份源时,Cloud Search 会为您的所有 Google 用户帐号添加一个自定义属性,供您存储映射到 Google 帐号的第三方帐号 ID。

如要在管理控制台中查看此自定义属性,请按以下步骤操作:

  1. 转到用户
  2. 点击右上角的“管理自定义属性”""

重要提示:请勿修改这一自定义属性。如果您修改其名称或任何字段,Cloud Search 将无法正常运行。

如要将第三方用户名导入至自定义属性字段,请使用下列任一方法:

使用身份连接器一次性导入至所有帐号

使用 Google Cloud Directory Sync 同步用户和群组数据。
您也可以与开发者合作,创建一个身份连接器。了解如何创建身份连接器

使用 Cloud Identity API 一次性导入至所有帐号

您可以使用 Cloud Identity API 将第三方用户帐号导入至自定义属性。

使用 Google 管理控制台导入至个人帐号

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到用户
  3. 在每位用户的帐号页面,点击管理用户属性下的修改
  4. 在自定义属性字段中,添加映射到 Google Workspace 用户帐号的第三方用户名。
  5. 点击更新用户

3. 查找贵单位的客户 ID

如要设置身份连接器,您的开发者需要将您 Google 帐号的客户 ID 添加到连接器的属性文件。

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到安全性 接着点击 为 SAML 应用设置单点登录 (SSO)

    您必须以超级用户身份登录,才能执行此任务。

  3. SSO 网址旁边,找到网址末尾的 idpid 值。C 之后的值就是您的客户 ID。

    例如,在以下网址中,客户 ID 是 0123tvz4:
    https://accounts.google.com/o/saml2/idp?idpid=C0123tvz4

下一步

将身份源 ID 和您的客户 ID 提供开发者,以便其同步不同的身份系统

修改或删除身份源

修改身份源

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 转到应用 接着点击 Google Workspace 接着点击 Cloud Search 接着点击 来源设置
  3. 点击“身份源”卡片。
    您会看到贵单位的身份源列表。
  4. 将光标指向您要更新的身份源,然后点击“修改”图标 ""
  5. 在身份源窗口中,选择您要更改的内容:
    • 如要更新现有服务帐号,请将光标指向该帐号,然后点击“修改”图标 ""
      您可以更改服务帐号名称和访问权限设置。
    • 如要新增服务帐号,请点击添加服务帐号
  6. 点击修改身份源

删除身份源

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 转到应用 接着点击 Google Workspace 接着点击 Cloud Search 接着点击 来源设置
  3. 点击“身份源”卡片。
    您会看到贵单位的身份源列表。
  4. 将光标指向您要移除的身份源,然后点击“删除”图标 ""
  5. 点击警告窗口中的删除

重要提示:如果您删除某一身份源,Cloud Search 也会删除与其关联的所有数据,包括所有自定义用户数据和群组数据。

需要更多帮助?

登录可获取更多支持选项,以便快速解决您的问题