配置 Google Workspace 的供应

将用户从 Verify 分配到 Google Workspace应用程序。

准备工作

要配置 Google Workspace 应用程序进行供应,必须满足以下先决条件。
  • 具有管理员访问权的 Google Workspace 帐户。
  • 必须启用 Google Workspace Admin SDK API。
  • Verify以下参数用于配置. 中的用户配置。
    • 客户标识
    • 服务帐户电子邮件
    • 帐户电子邮件
    • 专用密钥

关于此任务

供应提供以下功能。
创建新用户
通过 Verify 创建的新用户也会在 Google Workspace 应用程序中创建。
删除用户
通过 Verify 停用用户或禁用用户对应用程序的访问权限,将从 Google Workspace应用程序中删除该用户。
修改用户概要文件
通过 Verify 对用户个人资料所做的更新将推送至第三方应用程序。
用户暂挂和复原
通过 Verify 暂停用户将使该用户处于停用状态,而通过 Verify 恢复用户则会在 Google Workspace应用程序中激活该用户。
用户同步和修正
Google Workspace 应用程序支持用户同步、修正和组同步功能。

Verify用户同步会从 中 Verify 获取所有目标应用程序的用户,并将获取到的用户与 中的用户进行匹配。 应用程序上定义的采用策略会指定匹配的属性,从而采用已协调的用户。

可以配置修复策略,以修复那些其属性值与 Verify 目标应用程序不一致的用户帐户。 Verify 支持以下三种修复策略。
  • NONE - 不自动修正不合规帐户。
  • ON _SV - 使用目标应用程序的值更新 Verify 账户属性值。
  • ON_TARGET - 使用 Verify 指定值更新目标应用程序账户的属性值。

组同步访存 Verify 中的所有目标应用程序组。

细粒度权限
Google Workspace 应用程序支持细粒度权限。 同步会访存所有 Google Workspace 应用程序组和管理员角色。 可在组中添加或移除用户,也可添加或移除的用户的管理员角色。

过程

  1. Verify对于现有运行在上的 Google Workspace应用程序,请执行以下步骤。
    1. 使用以下 URL 转至 Google Workspace 管理员控制台:
    2. 单击导航菜单。
    3. 转到 “安全” > “访问和数据控制 ” > “API 控制 ”。
    4. 在“全局委托”下,点击 “管理全局委托 ”。
    5. 编辑您的服务帐户,并在“OAuth 作用域”下添加以下详细信息。
    6. 点击 “授权”
    7. Customer ID转到 “账户 ”并复制该文件。
      Verify必须在 Customer ID 中配置账户同步。
    8. Customer ID在应用程序 Verify 中,输入 ,然后点击 “测试连接 ”。
    9. 保存所作的更改。
  2. 配置 Google Workspace 以进行用户供应。
    1. 使用以下 URL 以管理员用户身份登录到 Google Cloud Platform (GCP) 控制台:
    2. 执行以下某个步骤。
      • 如果之前未使用 GCP 控制台,那么同意服务条款,然后单击创建项目
      • 如果之前使用过 GCP 控制台,请单击屏幕顶部最近项目名称旁边的向下箭头以打开项目列表。 然后,点击 “新建项目 ”。
    3. “项目名称 ”中输入一个有意义的名称,然后单击 “创建 ”。
    4. 选择新项目,然后单击导航菜单。
    5. 转到 “API 和服务” > “库”
    6. 搜索 “Admin SDK ”,然后从搜索结果中选择 “Admin SDK ”选项。
    7. 点击 “启用”
    8. 转到 “IAM 和管理” > “服务账户 ”。
    9. 单击 “创建服务帐户 ”,并指定以下设置。
      • 服务帐户名称
      • 服务帐户标识
    10. 点击 “创建 ”以创建您的服务账户。
    11. 点击 “继续 ”,然后点击 “完成”
    12. 单击导航菜单。
    13. 转到 “API 和服务” > “凭据 ”。
    14. 单击 “服务帐户 ”,然后选择您的服务帐户。
    15. 在“键 ”下,从 “添加键 ”菜单中选择 “创建新键 ”。
    16. 选中 “JSON” 单选按钮,然后点击 “创建”
    17. Verify请注意,以下参数是配置. 中资源调配所必需的。
      服务帐户电子邮件
      使用服务帐户 private key 文件中的 client_email 值。
      帐户电子邮件
      Google Workspace 帐户的用户名至少具有“用户管理 Admin”和“组 Admin”角色。 请确保这些角色的作用域是All organization unit.

      在 Google Workspace 中,在向用户分配任何系统或定制角色时,该用户变为“授权 admin 用户”。 要访问授权管理员用户,必须指定具有超级 admin 角色的帐户的用户名。

      专用密钥
      使用服务帐户 private key 文件中的 private_key 值。
    18. 使用以下 URL 转至 Google Workspace 管理员控制台:
    19. 单击导航菜单。
    20. 转到 “安全” > “访问和数据控制 ” > “API 控制 ”。
    21. 在“全局委托”下,点击 “管理全局委托 ”。
    22. 点击 “添加新条目 ”,并填写以下信息。
      客户机标识
      提供服务帐户的客户机标识。 使用服务帐户 private key 文件中的 client_id 值。
      用户 OAuth 作用域
      https://www.googleapis.com/auth/admin.directory.user
      组 OAuth 作用域
      https://www.googleapis.com/auth/admin.directory.group
      角色 OAuth 作用域
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      组织单元 OAuth 作用域
      https://www.googleapis.com/auth/admin.directory.orgunit
    23. 点击 “授权”
    24. Customer ID复制.
      Verify必须在 Customer ID 中配置账户同步。 它是 Google Workspace 帐户的客户标识。
    25. Customer ID在应用程序 Verify 中,输入 ,然后点击 “测试连接 ”。
    26. 保存所作的更改。