Du kannst Nutzer und Gruppen aus Google Workspace synchronisieren. Um die Synchronisierung zu aktivieren, musst Du Schritte sowohl in der Google als auch in der Haiilo Administration abschließen.
Bei der Synchronisierung eines Benutzerverzeichnisses werden Nutzer und Gruppen separat synchronisiert. Zuerst werden Gruppen synchronisiert, gefolgt von Nutzern. Nutzer können nur zu den in Schritt eins synchronisierten Gruppen hinzugefügt werden. Alle Nutzer, die den Nutzerfiltern entsprechen, werden jedoch synchronisiert, unabhängig davon, ob sie zu den in der Gruppensynchronisierung synchronisierten Gruppen gehören.
Bitte schließe die App-Registrierung in Google Workspace gemäß den Details im Artikel Google Workspace-Authentifizierung einrichten ab, bevor Du mit diesem Tutorial fortfährst.
Ein Dienstkonto in Google erstellen
Du benötigst Super-Admin-Rechte in Deinem Google Workspace-Konto, um die Konfiguration des Dienstaccounts abzuschließen.
Zugriff auf die Admin SDK API aktivieren
- Melde Dich bei der Google Cloud Platform an.
- Wähle das Projekt aus, das Du erstellt hast, als Du die Google-Authentifizierung für Haiilo eingerichtet hast.
- Gehe zu Menü > APIs und Dienste > Bibliothek
- Suche in der API-Bibliothek nach und wähle die Admin SDK API
- Aktiviere die API für Dein Projekt
Ein Dienstkonto erstellen
- In der Google Cloud gehe zu Menü > APIs und Dienste > Anmeldedaten
- Wähle Anmeldedaten erstellen und wähle Dienstaccount aus.
- Definiere die Details des Dienstaccounts:
- Gib einen Namen ein
- Verwende die automatisch generierte Dienstkontonummer oder generiere eine neue
- Wähle die Rolle Inhaber
- Wähle den neu erstellten Dienstaccount > Schlüssel
- Füge einen neuen JSON-Schlüssel hinzu und erstelle ihn. Der Schlüssel wird auf Deinen Computer heruntergeladen. Du kannst den Schlüssel zur einfacheren Identifizierung umbenennen, z.B. service-account.json.
- Kopiere aus dem Tab Details die Eindeutige ID
Die Domänen-Delegation aktivieren
- Öffne
admin.google.com
- Gehe zu Menü > Sicherheit > Zugriff und Datenkontrolle > API-Steuerungen.
- Wähle Domänenweite Delegierung verwalten.
- Wähle Neu hinzufügen und füge die zuvor kopierte Eindeutige ID im Feld Client-ID ein
- Gib in den OAuth-Berechtigungen Feldern die folgenden Berechtigungen ein und autorisiere sie:
https://www.googleapis.com/auth/admin.directory.user.readonly
https://www.googleapis.com/auth/admin.directory.group.readonly
https://www.googleapis.com/auth/admin.directory.group.member.readonly
Ein neues Benutzerverzeichnis in Haiilo einrichten
Du benötigst die Berechtigung "Verwaltung der Benutzerverzeichnisse", um ein Google-Benutzerverzeichnis in Haiilo einzurichten.
- Gehe in Haiilo zu Administration > Benutzerverzeichnisse
- Wähle Verzeichnis anlegen
- Gib einen Namen ein
- Wähle den Typ: Google Workspace
- Setze ein Häkchen bei Aktiv, wenn dieses neue Benutzerverzeichnis direkt aktiviert werden soll
Fülle die Felder auf jedem Tab wie unten detailliert aus.
Verbindung
Die Informationen für das Ausfüllen des Tabs Verbindung findest Du in der Servicekonto-JSON-Datei, die Du aus der Google Cloud Console heruntergeladen hast.
- Servicekonto Nutzer E-Mail: Gib die E-Mail-Adresse des Google Admin-Kontos ein, das Du für die Konfiguration verwendet hast
-
Client-ID: Gib die
"client_id"
aus der JSON-Datei ein -
Client-E-Mail: Gib die
"client_email"
aus der JSON-Datei ein -
Privater Schlüssel: Gib den
"private_key"
aus der JSON-Datei ein -
Privat-Schlüssel-ID: Gib die
"private_key_id"
aus der JSON-Datei ein -
Projekt-ID: Gib die
"project_id"
aus der JSON-Datei ein -
Token-URI: Gib die
"token_uri"
aus der JSON-Datei ein
Benutzer
-
Benutzerfilter: Definiere Filter, um nur bestimmte Benutzer zu synchronisieren. Du kannst die Standard-Google-Filter verwenden, z.B.,
name='Jane Smith'
,givenName:{B}*
. Für benutzerdefinierte Felder sollte der Feldname mit der Kategorie angegeben werden, z.B.,categoryName.customField='Wert'
.- Weitere Informationen zu Benutzerfiltern findest Du in den Entwicklerleitfäden von Google.
- Lokale Gruppen entfernen: Setze ein Häkchen, wenn die synchronisierten Benutzer aus allen lokalen Gruppen entfernt werden sollen, zu denen sie manuell hinzugefügt wurden.
- Andere Verzeichnisgruppen entfernen: Setze ein Häkchen, wenn die synchronisierten Benutzer aus allen anderen Benutzerverzeichnisgruppen entfernt werden sollen, zu denen sie manuell hinzugefügt wurden.
-
Benutzername: Gib das Attribut für den Benutzernamen ein. Wir empfehlen die Verwendung von
primaryEmail
. - Du kannst die Profilfelder der Benutzer synchronisieren. Es können nur professionelle Felder synchronisiert werden, die aus einem String und nicht aus einem Array bestehen.
Gruppen
- Um Gruppen aus Google Workspace zu synchronisieren, aktiviere Gruppen synchronisieren.
-
Gruppenfilter: Definiere Filter, um nur bestimmte Gruppen zu synchronisieren. Du kannst die Standard-Google-Filter verwenden, z.B.
name='Testgruppe'
.- Weitere Informationen zu Gruppenfiltern findest Du in den Entwicklerleitfäden von Google.
- Nur Benutzer aus Gruppen: Aktiviere diese Option, wenn Du nur Nutzer synchronisieren möchtest, die Teil einer synchronisierten Gruppe sind. Wenn dies aktiviert ist, werden nur die Nutzer synchronisiert, die dem Nutzerfilter entsprechen und auch einer Gruppe angehören, die in der Gruppensynchronisierung synchronisiert wird.
- Gruppen erhalten: Wenn Gruppen synchronisieren deaktiviert ist, kannst Du dieses Feld aktivieren, um alle zuvor synchronisierten Gruppen für dieses spezifische Benutzerverzeichnis zu erhalten. Auf diese Weise kannst Du die zuvor synchronisierten Gruppen einfrieren. Wenn es nicht aktiviert ist, werden bei der nächsten Synchronisierung alle zuvor synchronisierten Gruppen und deren Mitgliedschaften entfernt.
Synchronisation
- Page Size: Definiert, wie viele Elemente pro Abfrage synchronisiert werden. Das Limit des LDAP-Protokolls beträgt 1000, wähle also keinen höheren Wert.
- Aktivierung: Wenn aktiviert, werden neue und wiederhergestellte Nutzer während der Synchronisation aktiviert. Andernfalls musst Du den Status der Nutzer im Nutzermanagement manuell auf Aktiv setzen.
- Verwaiste Benutzer: Wähle aus, was mit Nutzern geschehen soll, die derzeit als aktive Nutzer auf Haiilo existieren, aber nicht mehr im Benutzerverzeichnis vorhanden sind. Wenn Du Ignorieren wählst, bleiben sie unverändert.
- Benutzer wiederherstellen: Wenn aktiviert, wird ein Nutzer, der bei Haiilo deaktiviert oder gelöscht wurde, aber während der Synchronisation erneut im Benutzerverzeichnis vorhanden ist, wieder aktiviert. Es ist nicht möglich, anonymisierte Nutzer wiederherzustellen. Ein zuvor anonymisierter Nutzer kann nur als neuer Nutzer erstellt werden.
Planung
- Wähle die Synchronisationsfrequenz. Wenn Du Deaktiviert wählst, führst Du die Synchronisation manuell durch.