Bereitstellung für Google Workspace konfigurieren

Online bearbeiten

Benutzer von Verify in eine „ Google “-Workspace-Anwendung einbinden.

Vorbereitende Schritte

Um die Google Workspace-Anwendung für die Bereitstellung zu konfigurieren, müssen Sie die folgenden Voraussetzungen erfüllen.
  • Ein Google Workspace-Account mit Administratorzugriff muss vorhanden sein.
  • Die Google Workspace-API Admin SDK muss aktiviert sein.
  • Die folgenden Parameter dienen zur Konfiguration der Benutzerverwaltung in Verify.
    • Domäne
    • Kunden-ID
    • E-Mail-Adresse des Service-Accounts
    • E-Mail-Adresse des Accounts
    • Privater Schlüssel

Informationen zu dieser Task

Die Bereitstellung umfasst die folgenden Features.
Neue Benutzer erstellen
Neue Benutzer, die über Verify angelegt werden, werden auch in der Anwendung „ Google Workspace“ angelegt.
Benutzer löschen
Wenn Sie den Benutzer inaktivieren oder den Zugriff des Benutzers auf die Anwendung in Verify inaktivieren, wird der Benutzer in der Google Workspace-Anwendung gelöscht.
Benutzerprofil ändern
Aktualisierungen am Profil des Benutzers in Verify werden mit einer Push-Operation an die Drittanbieteranwendung übertragen.
Benutzersperre und -freigabe
Wenn ein Benutzer in Verify gesperrt wird, wird der Benutzer in der Google Workspace-Anwendung inaktiviert. Wenn der Benutzer in Verify freigegeben wird, wird er in der Google Workspace-Anwendung aktiviert.
Benutzersynchronisation und Korrektur
Die Google Workspace-Anwendung unterstützt die Features Benutzersynchronisation, Korrektur und Gruppensynchronisation.

Bei der Gruppensynchronisation werden alle Zielanwendungsgruppen in Verify abgerufen und die abgerufenen Benutzer mit Benutzern in Verify abgeglichen. Die in der Anwendung definierte Übernahmerichtlinie gibt die übereinstimmenden Attribute für die Übernahme der abgeglichenen Benutzer an.

Die Korrekturrichtlinie kann so konfiguriert werden, dass Benutzerkonten korrigiert werden, deren Attributwerte von Verify denen der Zielanwendung abweichen. Verify unterstützt die folgenden drei Korrekturmaßnahmen.
  • NONE - Nicht konforme Accounts nicht automatisch korrigieren
  • ON _SV – Aktualisieren Verify Sie die Werte der Kontoattribute mit den Werten der Zielanwendung.
  • ON_TARGET - Attributwerte für Zielanwendungskonto mit Verify-Werten aktualisieren.

Bei der Gruppensynchronisation werden alle Zielanwendungsgruppen in Verify abgerufen.

Differenziertes Nutzungsrecht
Differenziertes Nutzungsrecht wird für die Google Workspace-Anwendung unterstützt. Die Synchronisation ruft alle Google Workspace-Anwendungsgruppen und Administratorrollen ab. Benutzer können Gruppen und Verwaltungsrollen hinzugefügt oder daraus entfernt werden.

Vorgehensweise

  1. VerifyFühren Sie für vorhandene „ Google Workspace“-Anwendungen die folgenden Schritte aus.
    1. Rufen Sie unter Verwendung der folgenden URL Ihre Google Workspace-Admin-Konsole auf:
      https://admin.google.com.
    2. Klicken Sie auf das Navigationsmenü.
    3. Navigieren Sie zu „Sicherheit“ > „Zugriffs- und Datenkontrolle “ > „API-Kontrollen “.
    4. Klicken Sie unter „Domänenweite Delegierung“ auf „Domänenweite Delegierung verwalten “.
    5. Bearbeiten Sie Ihr Dienstkonto und fügen Sie die folgenden Details unter 'OAuth Scopes' hinzu.
      Group OAuth Scope
      https://www.googleapis.com/auth/admin.directory.group
      Role OAuth Scope
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      Org Unit OAuth Scope
      https://www.googleapis.com/auth/admin.directory.orgunit
    6. Klicken Sie auf „Autorisieren “.
    7. Gehen Sie zu „Konten“ und kopieren Sie die Customer ID.
      VerifyDie Customer ID ist erforderlich, um die Kontosynchronisierung in zu konfigurieren.
    8. Customer IDGeben Sie in der Verify Anwendung die Daten ein und klicken Sie auf „Verbindung testen “.
    9. Speichern Sie Ihre Änderungen.
  2. Konfigurieren Sie Google Workspace für die Benutzerbereitstellung.
    1. Melden Sie sich als Administrator bei Google Cloud Platform (GCP) Console unter Verwendung der folgenden URL an:
      https://console.cloud.google.com.
    2. Führen Sie einen der folgenden Schritte aus.
      • Wenn Sie GCP Console zum ersten Mal verwenden, stimmen Sie den Bedingungen der Servicevereinbarung zu und klicken Sie auf Projekt erstellen.
      • Wenn Sie GCP Console bereits zuvor verwendet hatten, klicken Sie oben in der Anzeige neben Ihrem aktuellen Projektnamen auf den Abwärtspfeil, um Ihre Projektliste zu öffnen. Klicken Sie anschließend auf „Neues Projekt “.
    3. Geben Sie unter „Projektname “ einen aussagekräftigen Namen ein und klicken Sie auf „ERSTELLEN “.
    4. Wählen Sie Ihr neues Projekt aus und klicken Sie auf das Navigationsmenü.
    5. Navigieren Sie zu „API und Dienste “ > „Bibliothek “.
    6. Suchen Sie nach „Admin SDK“ und wählen Sie die Option „Admin SDK“ aus den Suchergebnissen aus.
    7. Klicken Sie auf „Aktivieren “.
    8. Gehen Sie zu „IAM und Verwaltung “ > „Dienstkonten “.
    9. Klicken Sie auf „Dienstkonto erstellen“ und geben Sie die folgenden Einstellungen ein.
      • Name des Dienstkontos
      • ID des Dienstkontos
    10. Klicken Sie auf „ERSTELLEN“, um Ihr Dienstkonto zu erstellen.
    11. Klicken Sie auf „Weiter“ und anschließend auf „Fertig “.
    12. Klicken Sie auf das Navigationsmenü.
    13. Navigieren Sie zu „API und Dienste “ > „Anmeldedaten “.
    14. Klicken Sie auf „Dienstkonto“ und wählen Sie Ihr Dienstkonto aus.
    15. Wählen Sie unter „Schlüssel “ im Menü „Schlüssel hinzufügendie Option „Neuen Schlüssel erstellen “.
    16. Wählen Sie das Optionsfeld „JSON“ aus und klicken Sie auf „Erstellen “.
    17. Beachten Sie die folgenden Parameter, die für die Konfiguration der Bereitstellung in Verify… erforderlich sind.
      E-Mail-Adresse des Service-Accounts
      Verwenden Sie den Wert client_email aus der Datei private key Ihres Service-Accounts.
      E-Mail-Adresse des Accounts
      Der Benutzername des Google Workspace-Accounts, der als Minimum die Rollen 'Benutzerverwaltungsadministrator' und 'Gruppenadministrator' hat. Stellen Sie sicher, dass die Zuständigkeitsbereiche der RollenAll organization unit.

      Wenn Sie in Google Workspace einem Benutzer eine Systemrolle oder eine benutzerdefinierte Rolle zuordnen, wird dieser Benutzer ein 'Stellvertretender administrativer Benutzer'. Um stellvertretende administrative Benutzer zu verwalten, muss der Benutzername des Accounts angegeben werden, der über die Superadministratorrolle verfügt.

      Privater Schlüssel
      Verwenden Sie den Wert private_key aus der Datei private key Ihres Service-Accounts.
    18. Rufen Sie unter Verwendung der folgenden URL Ihre Google Workspace-Admin-Konsole auf:
      https://admin.google.com.
    19. Klicken Sie auf das Navigationsmenü.
    20. Navigieren Sie zu „Sicherheit“ > „Zugriffs- und Datenkontrolle “ > „API-Kontrollen “.
    21. Klicken Sie unter „Domänenweite Delegierung“ auf „Domänenweite Delegierung verwalten “.
    22. Klicken Sie auf „Neu hinzufügen“ und geben Sie die folgenden Angaben ein.
      Client-ID
      Geben Sie die Client-ID eines Service-Accounts an. Verwenden Sie den Wert client_id aus der Datei private key des Service-Accounts.
      User OAuth Scope
      https://www.googleapis.com/auth/admin.directory.user
      Group OAuth Scope
      https://www.googleapis.com/auth/admin.directory.group
      Role OAuth Scope
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      Org Unit OAuth Scope
      https://www.googleapis.com/auth/admin.directory.orgunit
    23. Klicken Sie auf „Autorisieren “.
    24. Kopiere die Customer ID.
      VerifyDie Customer ID ist erforderlich, um die Kontosynchronisierung in zu konfigurieren. Es handelt sich um die Kunden-ID des Google Workspace-Accounts.
    25. Customer IDGeben Sie in der Verify Anwendung die Daten ein und klicken Sie auf „Verbindung testen “.
    26. Speichern Sie Ihre Änderungen.