Bereitstellung für Google Workspace konfigurieren

Online bearbeiten

Bereitstellung von Benutzern von Verify für eine Google Workspace-Anwendung.

Vorbereitende Schritte

Um die Google Workspace-Anwendung für die Bereitstellung zu konfigurieren, müssen Sie die folgenden Voraussetzungen erfüllen.
  • Ein Google Workspace-Account mit Administratorzugriff muss vorhanden sein.
  • Die Google Workspace-API Admin SDK muss aktiviert sein.
  • Die folgenden Parameter zum Konfigurieren der Benutzereinrichtung in Verify.
    • Domäne
    • Kunden-ID
    • E-Mail-Adresse des Service-Accounts
    • E-Mail-Adresse des Accounts
    • Privater Schlüssel

Informationen zu dieser Task

Die Bereitstellung umfasst die folgenden Features.
Neue Benutzer erstellen
Neue Benutzer, die über Verify erstellt werden, werden auch in der Anwendung Google Workspace erstellt.
Benutzer löschen
Wenn Sie den Benutzer inaktivieren oder den Zugriff des Benutzers auf die Anwendung in Verify inaktivieren, wird der Benutzer in der Google Workspace-Anwendung gelöscht.
Benutzerprofil ändern
Aktualisierungen am Profil des Benutzers in Verify werden mit einer Push-Operation an die Drittanbieteranwendung übertragen.
Benutzersperre und -freigabe
Wenn ein Benutzer in Verify gesperrt wird, wird der Benutzer in der Google Workspace-Anwendung inaktiviert. Wenn der Benutzer in Verify freigegeben wird, wird er in der Google Workspace-Anwendung aktiviert.
Benutzersynchronisation und Korrektur
Die Google Workspace-Anwendung unterstützt die Features Benutzersynchronisation, Korrektur und Gruppensynchronisation.

Bei der Gruppensynchronisation werden alle Zielanwendungsgruppen in Verify abgerufen und die abgerufenen Benutzer mit Benutzern in Verify abgeglichen. Die in der Anwendung definierte Übernahmerichtlinie gibt die übereinstimmenden Attribute für die Übernahme der abgeglichenen Benutzer an.

Die Korrekturrichtlinie kann konfiguriert werden, um Benutzeraccounts mit Attributwerten zu korrigieren, die zwischen Verify und der Zielanwendung unterschiedlich sind. Verify unterstützt die folgenden drei Korrekturrichtlinien.
  • NONE - Nicht konforme Accounts nicht automatisch korrigieren
  • ON_SV - Verify -Kontoattributwerte mit den Zielanwendungswerten aktualisieren.
  • ON_TARGET - Attributwerte für Zielanwendungskonto mit Verify-Werten aktualisieren.

Bei der Gruppensynchronisation werden alle Zielanwendungsgruppen in Verify abgerufen.

Differenziertes Nutzungsrecht
Differenziertes Nutzungsrecht wird für die Google Workspace-Anwendung unterstützt. Die Synchronisation ruft alle Google Workspace-Anwendungsgruppen und Administratorrollen ab. Benutzer können Gruppen und Verwaltungsrollen hinzugefügt oder daraus entfernt werden.

Vorgehensweise

  1. Führen Sie für vorhandene Google Workspace-Anwendungen unter Verifydie folgenden Schritte aus:
    1. Rufen Sie unter Verwendung der folgenden URL Ihre Google Workspace-Admin-Konsole auf:
      https://admin.google.com.
    2. Klicken Sie auf das Navigationsmenü.
    3. Navigieren Sie zu Sicherheit > Zugriffs-und Datensteuerung > API-Steuerelemente.
    4. Klicken Sie unter "Domänenweite Delegierung" auf Domänenweite Delegierung verwalten.
    5. Bearbeiten Sie Ihr Dienstkonto und fügen Sie die folgenden Details unter 'OAuth Scopes' hinzu.
      Group OAuth Scope
      https://www.googleapis.com/auth/admin.directory.group
      Role OAuth Scope
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      Org Unit OAuth Scope
      https://www.googleapis.com/auth/admin.directory.orgunit
    6. Klicken Sie auf Autorisieren.
    7. Navigieren Sie zu Accounts und kopieren Sie den Customer ID.
      Die Customer ID ist erforderlich, um die Accountsynchronisation in Verifyzu konfigurieren.
    8. Geben Sie in der Verify -Anwendung Customer IDein und klicken Sie auf Verbindung testen.
    9. Speichern Sie Ihre Änderungen.
  2. Konfigurieren Sie Google Workspace für die Benutzerbereitstellung.
    1. Melden Sie sich als Administrator bei Google Cloud Platform (GCP) Console unter Verwendung der folgenden URL an:
      https://console.cloud.google.com.
    2. Führen Sie einen der folgenden Schritte aus.
      • Wenn Sie GCP Console zum ersten Mal verwenden, stimmen Sie den Bedingungen der Servicevereinbarung zu und klicken Sie auf Projekt erstellen.
      • Wenn Sie GCP Console bereits zuvor verwendet hatten, klicken Sie oben in der Anzeige neben Ihrem aktuellen Projektnamen auf den Abwärtspfeil, um Ihre Projektliste zu öffnen. Klicken Sie anschließend auf Neues Projekt.
    3. Geben Sie unter Projektnameeinen aussagekräftigen Namen ein und klicken Sie auf Erstellen.
    4. Wählen Sie Ihr neues Projekt aus und klicken Sie auf das Navigationsmenü.
    5. Navigieren Sie zu API und Dienste > Bibliothek.
    6. Suchen Sie nach Admin SDK und wählen Sie in den Suchergebnissen die Option Admin SDK aus.
    7. Klicken Sie auf ENABLE.
    8. Navigieren Sie zu IAM und Admin > Dienstkonten.
    9. Klicken Sie auf CREATE SERVICE ACCOUNT und geben Sie die folgenden Einstellungen an:
      • Name des Dienstkontos
      • ID des Dienstkontos
    10. Klicken Sie auf Erstellen , um Ihr Servicekonto zu erstellen.
    11. Klicken Sie auf CONTINUE und anschließend auf DONE.
    12. Klicken Sie auf das Navigationsmenü.
    13. Navigieren Sie zu API und Dienste > Anmeldedaten.
    14. Klicken Sie auf Servicekonto und wählen Sie Ihr Servicekonto aus.
    15. Wählen Sie unter Schlüsselim Menü Schlüssel hinzufügen die Option Neuen Schlüssel erstellenaus.
    16. Wählen Sie das Optionsfeld JSON aus und klicken Sie auf Create.
    17. Beachten Sie die folgenden Parameter, die für die Konfiguration der Bereitstellung in Verifyerforderlich sind.
      E-Mail-Adresse des Service-Accounts
      Verwenden Sie den Wert client_email aus der Datei private key Ihres Service-Accounts.
      E-Mail-Adresse des Accounts
      Der Benutzername des Google Workspace-Accounts, der als Minimum die Rollen 'Benutzerverwaltungsadministrator' und 'Gruppenadministrator' hat. Stellen Sie sicher, dass die Geltungsbereiche der RollenAll organization unit.

      Wenn Sie in Google Workspace einem Benutzer eine Systemrolle oder eine benutzerdefinierte Rolle zuordnen, wird dieser Benutzer ein 'Stellvertretender administrativer Benutzer'. Um stellvertretende administrative Benutzer zu verwalten, muss der Benutzername des Accounts angegeben werden, der über die Superadministratorrolle verfügt.

      Privater Schlüssel
      Verwenden Sie den Wert private_key aus der Datei private key Ihres Service-Accounts.
    18. Rufen Sie unter Verwendung der folgenden URL Ihre Google Workspace-Admin-Konsole auf:
      https://admin.google.com.
    19. Klicken Sie auf das Navigationsmenü.
    20. Navigieren Sie zu Sicherheit > Zugriff und Datenkontrolle > API-Kontrollen.
    21. Klicken Sie unter "Domänenweite Delegierung" auf Domänenweite Delegierung verwalten.
    22. Klicken Sie auf Neu hinzufügen und fügen Sie die folgenden Details hinzu:
      Client-ID
      Geben Sie die Client-ID eines Service-Accounts an. Verwenden Sie den Wert client_id aus der Datei private key des Service-Accounts.
      User OAuth Scope
      https://www.googleapis.com/auth/admin.directory.user
      Group OAuth Scope
      https://www.googleapis.com/auth/admin.directory.group
      Role OAuth Scope
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      Org Unit OAuth Scope
      https://www.googleapis.com/auth/admin.directory.orgunit
    23. Klicken Sie auf Autorisieren.
    24. Kopieren Sie die Datei Customer ID.
      Die Customer ID ist erforderlich, um die Accountsynchronisation in Verifyzu konfigurieren. Es handelt sich um die Kunden-ID des Google Workspace-Accounts.
    25. Geben Sie in der Verify -Anwendung Customer IDein und klicken Sie auf Verbindung testen.
    26. Speichern Sie Ihre Änderungen.