Benutzerverzeichnis: Google Workspace

Du kannst Nutzer und Gruppen aus Google Workspace synchronisieren. Um die Synchronisierung zu aktivieren, musst du sowohl in der Google- als auch in der Haiilo-Administration Schritte durchführen.

Bei der Synchronisierung eines Benutzerverzeichnisses werden Nutzer und Gruppen separat synchronisiert. Zuerst werden Gruppen synchronisiert, gefolgt von den Nutzern. Nutzer können nur zu den Gruppen hinzugefügt werden, die im ersten Schritt synchronisiert wurden. Alle Nutzer, die den Nutzerfiltern entsprechen, werden jedoch synchronisiert, unabhängig davon, ob sie zu den Gruppen gehören, die in der Gruppensynchronisierung synchronisiert wurden.

Bitte fülle die App-Registrierung in Google Workspace aus, wie in der Google Workspace-Authentifizierung einrichten Artikel, bevor du mit diesem Tutorial fortfährst.

Ein Dienstkonto bei Google erstellen

Du brauchst Super-Admin-Rechte in deinem Google Workspace-Konto, um die Dienstkonto zu konfigurieren.

Admin SDK API Zugang aktivieren

  1. Anmelden bei der Google Cloud Platform.
  2. Wähle das Projekt aus, das du beim Einrichten erstellt hast Google Authentifizierung für Haiilo
  3. Gehe zu Menü > APIs und Dienste > Bibliothek
  4. Suche in der API-Bibliothek nach und wähle die Admin SDK API aus
  5. Aktiviere die API für dein Projekt

Dienstkonto erstellen

  1. In Google Cloud gehst du auf Menü > APIs und Services > Zugangsdaten
  2. Wähle Anmeldeinformationen erstellen und wähle Servicekonto.
  3. Lege die Details des Servicekontos fest:
    • Gebe einen Namen ein
    • Verwende die automatisch generierte Servicekonto ID oder erstelle eine neue
    • Wähle die Rolle Besitzer
  4. Wähle das neu erstellte Servicekonto > Schlüssel
  5. Hinzufügen und erstelle dann einen neuen JSON-Schlüssel. Der Schlüssel wird auf deinen Computer heruntergeladen. Du kannst den Schlüssel zur leichteren Identifizierung umbenennen, z.B. service-account.json.
  6. Kopiere auf der Registerkarte Details die Eigene ID.

Domänen-Delegation aktivieren

  1. Öffne admin.google.com
  2. Gehe zu Menü > Sicherheit > Zugangs- und Datenkontrolle > API Controls.
  3. Wähle Domänenweite Delegierung verwalten.
  4. Wähle Neu hinzufügen und füge die Eigene ID ein, die du zuvor die du zuvor kopiert hast, in das Feld Client ID ein.
  5. In die OAuth Scopes Felder gibst du die folgenden Bereiche ein und autorisierst sie Geltungsbereiche ein:
https://www.googleapis.com/auth/admin.directory.user.readonly
https://www.googleapis.com/auth/admin.directory.group.readonly
https://www.googleapis.com/auth/admin.directory.group.member.readonly

Ein neues Benutzerverzeichnis in Haiilo einrichten

Um ein Google Nutzer-Verzeichnis in Haiilo einzurichten, brauchst du die Berechtigung "Benutzerverzeichnisse verwalten".

  1. Gehe in Haiilo auf Administration > Benutzerverzeichnisse
  2. Wähle Verzeichnis erstellen
  3. Gebe einen Namen ein
  4. Wähle den Typ: Google Workspace
  5. Kreuze Aktiv an, wenn dieses neue Benutzerverzeichnis direkt aktiviert werden soll

Fülle die Felder auf jeder Registerkarte wie unten beschrieben aus.

Verbindung

Die Informationen, die du in der Registerkarte Verbindung ausfüllen musst, findest du in der der JSON-Datei des Servicekontos, die du von der Google Cloud Console heruntergeladen hast.

  1. Servicekonto Nutzer-E-Mail: Gib die E-Mail-Adresse des Google Admin-Kontos ein, das du für die Konfiguration verwendet hast.
  2. Client-ID: Gib die "client_id" aus der JSON Datei ein
  3. Kunden-E-Mail: Gib den "client_email" aus der der JSON-Datei ein
  4. Privater Schlüssel: Gib den "private_key" aus der JSON-Datei
  5. Privater Schlüssel-ID: Gib die "private_key_id" aus der JSON-Datei ein
  6. Projekt-ID: Gib die "project_id" aus der JSON-Datei
  7. Token URI: Gib den "token_uri" aus der JSON-Datei ein Datei ein

Nutzer

  1. Benutzerfilter: Definiere Filter, um nur bestimmte Benutzer zu synchronisieren. Nutzer zu synchronisieren. Du kannst die Standard-Google-Filter verwenden, z.B., Name='Jane Smith',givenName:{B}*. Für benutzerdefinierte Felder, sollte der Feldname zusammen mit der Kategorie angegeben werden, z.B., categoryName.customField='value'.
  2. Lokale Gruppen entfernen: Überprüfe, ob du die synchronisierten Nutzer aus allen lokalen Gruppen entfernen möchtest, zu denen sie manuell hinzugefügt wurden.
  3. Andere Verzeichnisgruppen entfernen: Überprüfe, ob du die synchronisierten Nutzer aus allen anderen Benutzerverzeichnisgruppen entfernen möchtest, zu denen sie manuell hinzugefügt wurden.
  4. Benutzername: Gib das Attribut für den Benutzernamen ein. Wir empfehlen "primaryEmail" zu verwenden.
  5. Du kannst die Profilfelder der Nutzer synchronisieren. Es können nur Profilfelder synchronisiert werden, die aus einem String und nicht aus einem Array bestehen.

Gruppen

  1. Um Gruppen aus Google Workspace zu synchronisieren, aktiviere Gruppen synchronisieren.
  2. Gruppenfilter: Definiere Filter, um nur bestimmte Gruppen zu synchronisieren Gruppen zu synchronisieren. Du kannst die Standard-Google-Filter verwenden, z.B., name='Testgruppe'.
  3. Gruppen beibehalten: Wenn Gruppen synchronisieren deaktiviert ist, kannst du dieses Feld ankreuzen, um alle zuvor synchronisierten Gruppen für dieses Benutzerverzeichnis zu erhalten. Auf diese Weise kannst du die zuvor synchronisierten Gruppen einfrieren. Wenn du das Feld nicht markierst, werden alle zuvor synchronisierten Gruppen und ihre Mitgliedschaften bei der nächsten Synchronisierung entfernt.

Synchronisation

  1. Page size: Legt fest, wie viele Elemente pro Abfrage synchronisiert werden. Das Limit des LDAP-Protokolls liegt bei 1000, wähle also keinen höheren Wert.
  2. Aktivierung: Wenn diese Option aktiviert ist, werden neue und wiederhergestellte Nutzer während der Synchronisierung aktiviert. Andernfalls musst du den Status der Benutzer manuell auf Benutzer in der Benutzerverwaltung manuell auf Aktiv setzen.
  3. Verwaiste Benutzer: Wähle aus, was mit Nutzern passiert, die derzeit als aktive Benutzer auf Haiilo existieren, aber nicht mehr im Benutzerverzeichnis vorhanden sind. Wenn du Ignorieren wählst, bleiben sie unverändert.
  4. Benutzer wiederherstellen: Wenn diese Option aktiviert ist, wird ein Nutzer, der deaktiviert oder aus Haiilo gelöscht wurde, aber während der Synchronisierung wieder im Benutzerverzeichnis vorhanden ist. Synchronisierung wieder im Benutzerverzeichnis vorhanden ist, wird reaktiviert. Es ist nicht möglich, anonymisierte Nutzer wiederherzustellen. Ein zuvor anonymisierter Nutzer kann nur als neuer Nutzer angelegt werden.

Ausführung

  1. Wähle die Häufigkeit der Synchronisierung. Wenn du wählst Deaktiviert, führst du die Synchronisierung manuell durch.

War dieser Beitrag hilfreich?