配置 Google Workspace 的供应

在线编辑

Verify 向 Google Workspace 应用程序供应用户。

准备工作

要配置 Google Workspace 应用程序进行供应,必须满足以下先决条件。
  • 具有管理员访问权的 Google Workspace 帐户。
  • 必须启用 Google Workspace Admin SDK API。
  • 以下参数用于在 Verify中配置用户供应。
    • 客户标识
    • 服务帐户电子邮件
    • 帐户电子邮件
    • 专用密钥

关于此任务

供应提供以下功能。
创建新用户
还会在 Google Workspace 应用程序中创建通过 Verify 创建的新用户。
删除用户
通过 Verify 取消激活用户或禁用用户对应用程序的访问权将删除 Google Workspace 应用程序中的用户。
修改用户概要文件
通过 Verify 对用户概要文件进行的更新将推送到第三方应用程序。
用户暂挂和复原
通过 Verify 暂挂用户将取消激活该用户,通过 Verify 复原该用户将在 Google Workspace 应用程序中激活该用户。
用户同步和修正
Google Workspace 应用程序支持用户同步、修正和组同步功能。

用户同步将访存 Verify 中的所有目标应用程序用户,并将访存的用户与 Verify中的用户相匹配。 应用程序上定义的采用策略会指定匹配的属性,从而采用已协调的用户。

可以配置补救策略,以使用 Verify 与目标应用程序之间不同的属性值来补救用户帐户。 Verify 支持以下三个补救策略。
  • NONE - 不自动修正不合规帐户。
  • ON_SV -使用目标应用程序值更新 Verify 帐户属性值。
  • ON_TARGET-使用 Verify 值更新目标应用程序帐户属性值。

组同步访存 Verify 中的所有目标应用程序组。

细粒度权限
Google Workspace 应用程序支持细粒度权限。 同步会访存所有 Google Workspace 应用程序组和管理员角色。 可在组中添加或移除用户,也可添加或移除的用户的管理员角色。

过程

  1. 对于 Verify上的现有 Google Workspace 应用程序,请执行以下步骤。
    1. 使用以下 URL 转至 Google Workspace 管理员控制台:
      https://admin.google.com.
    2. 单击导航菜单。
    3. 浏览至 安全 > 访问和数据控制 > API 控制
    4. 在 "域范围委派" 下,单击 管理域范围委派
    5. 编辑您的服务帐户,并在“OAuth 作用域”下添加以下详细信息。
      组 OAuth 作用域
      https://www.googleapis.com/auth/admin.directory.group
      角色 OAuth 作用域
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      组织单元 OAuth 作用域
      https://www.googleapis.com/auth/admin.directory.orgunit
    6. 单击 授权
    7. 浏览至 帐户 并复制 Customer ID
      需要 Customer ID 才能在 Verify中配置帐户同步。
    8. Verify 应用程序上,输入 Customer ID,然后单击 测试连接
    9. 保存所作的更改。
  2. 配置 Google Workspace 以进行用户供应。
    1. 使用以下 URL 以管理员用户身份登录到 Google Cloud Platform (GCP) 控制台:
      https://console.cloud.google.com.
    2. 执行以下某个步骤。
      • 如果之前未使用 GCP 控制台,那么同意服务条款,然后单击创建项目
      • 如果之前使用过 GCP 控制台,请单击屏幕顶部最近项目名称旁边的向下箭头以打开项目列表。 然后,单击 新建项目
    3. 项目名称中,输入有意义的名称,然后单击 创建
    4. 选择新项目,然后单击导航菜单。
    5. 导航至 API 和服务 >
    6. 搜索 管理 SDK ,然后从搜索结果中选择 管理 SDK 选项。
    7. 单击 ENABLE
    8. 导航至 IAM 和管理员 > 服务账户
    9. 单击 CREATE SERVICE ACCOUNT 并指定以下设置。
      • 服务帐户名称
      • 服务帐户标识
    10. 单击 创建 以创建服务帐户。
    11. 单击 继续 ,然后单击 完成
    12. 单击导航菜单。
    13. 导航至 API 和服务 > 凭据
    14. 单击 服务帐户 ,然后选择服务帐户。
    15. 密钥下,从 添加密钥 菜单中选择 创建新密钥
    16. 选择 JSON 单选按钮,然后单击 创建
    17. 请注意在 Verify中配置供应所需的以下参数。
      服务帐户电子邮件
      使用服务帐户 private key 文件中的 client_email 值。
      帐户电子邮件
      Google Workspace 帐户的用户名至少具有“用户管理 Admin”和“组 Admin”角色。 确保角色的作用域是All organization unit.

      在 Google Workspace 中,在向用户分配任何系统或定制角色时,该用户变为“授权 admin 用户”。 要访问授权管理员用户,必须指定具有超级 admin 角色的帐户的用户名。

      专用密钥
      使用服务帐户 private key 文件中的 private_key 值。
    18. 使用以下 URL 转至 Google Workspace 管理员控制台:
      https://admin.google.com.
    19. 单击导航菜单。
    20. 导航至“安全” > “访问和数据控制 ”> “API 控制 ”。
    21. 在 "域范围委派" 下,单击 管理域范围委派
    22. 单击 添加新项 并添加以下详细信息。
      客户机标识
      提供服务帐户的客户机标识。 使用服务帐户 private key 文件中的 client_id 值。
      用户 OAuth 作用域
      https://www.googleapis.com/auth/admin.directory.user
      组 OAuth 作用域
      https://www.googleapis.com/auth/admin.directory.group
      角色 OAuth 作用域
      https://www.googleapis.com/auth/admin.directory.rolemanagement
      组织单元 OAuth 作用域
      https://www.googleapis.com/auth/admin.directory.orgunit
    23. 单击 授权
    24. 复制 Customer ID
      需要 Customer ID 才能在 Verify中配置帐户同步。 它是 Google Workspace 帐户的客户标识。
    25. Verify 应用程序上,输入 Customer ID,然后单击 测试连接
    26. 保存所作的更改。