Ihr könnt eure Nutzer auch über Google Workspace als Benutzerverzeichnis synchronisieren. Es ist notwendig, dass ihr vorweg die Schritte aus dieser Anleitung durchführt.

Konfiguration in Google

Um Google Workspace als Benutzerverzeichnis in Haiilo einzubinden, müsst ihr zunächst innerhalb der Google Administration die folgenden Schritte als Admin durchführen.

1. Meldet euch mit einem Google Admin Account bei https://console.cloud.google.com/ an
   1. Klickt oben links auf die Projekte
   2. Wählt euer Projekt für Haiilo aus
   3. Wählt im "APIs und Dienste" aus
   4. Wählt im linken Menü "Bibliothek" aus
      1. Sucht nach der API "Admin SDK API"
      2. Aktiviert diese API für euer Projekt
   5. Wählt im linken Menü "Anmeldedaten" aus
      
      1. Wählt "Anmeldedaten erstellen" aus
      2. Wählt "Dienstkonto" aus
      3. Füllt einen "Name des Dienstkontos" aus
      4. Nutzt die vorgeschlagene "Dienstkonto-ID" oder generiert eine neue
      5. Wählt die Rolle "Inhaber" aus
   6. Wählt das neu angelegte Dienstkonto aus
      1. Wählt den Tab "Details" aus
      2. Kopiert die "Eindeutige ID"
      3. Wählt den Tab "Schlüssel" aus
      4. Wählt "Schlüssel hinzufügen" aus
      5. Wählt "Neuen Schlüssel erstellen" aus
      6. Wählt "JSON" aus
      7. Speichert die JSON Datei als "service-account.json"
2. Meldet euch mit einem Google Admin Account bei https://admin.google.com/ an
   1. Wählt "Sicherheit" aus
   2. Wählt "Zugriffs- und Datenkontrolle" aus
   3. Wählt "API-Steuerung" aus
   4. Wählt im Bereich "Domainweite Delegierung" die Option "Domainweite Delegierung verwalten"
   5. Wählt "Neu hinzufügen" aus
   6. Tragt die vorher kopierte "Eindeutige ID" des neu angelegten Dienstkonto in das Feld "Client-ID" ein
   7. Gebt in "OAuth-Bereiche (kommagetrennt)" die folgenden Bereiche ein
      1. https://www.googleapis.com/auth/admin.directory.user.readonly
      2. https://www.googleapis.com/auth/admin.directory.group.readonly
      3. https://www.googleapis.com/auth/admin.directory.group.member.readonly
   8. Speichert

Konfiguration in Haiilo

Um Google Workspace als Benutzerverzeichnis in Haiilo einzubinden, müsst ihr als nächsten Schritt innerhalb der Haiilo Administration die folgenden Schritte als Admin durchführen.

1. Meldet euch mit einem Haiilo Admin Account bei eurem Haiilo an
2. Klickt oben rechts bei eurem Profilbild auf "Administration"
3. Wählt im linken Menü "Benutzerverzeichnisse" aus
4. Legt ein neues Benutzerverzeichnis an
   1. Füllt ein "Name" ein
   2. Wählt als "Typ" die Option "Google Workspace" aus
   3. Setzt bei "Aktiv" einen Haken, falls dieses neue Benutzerverzeichnis direkt aktiviert sein soll

Setzt nun noch die folgenden Informationen pro Tab.

Verbindung

Für eine Verbindung zum Google Workspace müsst ihr die folgenden Informationen eintragen.

1. Tragt bei "Servicekonto Nutzer-E-Mail" die E-Mail Adresse des Google Admin Account aus, welchen ihr bisher für die Konfiguration genutzt habt
2. Tragt bei "Client-ID" den Inhalt von "client_id" aus der "service-account.json" Datei
3. Tragt bei "Client-E-Mail" den Inhalt von "client_email" aus der "service-account.json" Datei
4. Tragt bei "Privater Schlüssel" den Inhalt von "private_key" aus der "service-account.json" Datei
5. Tragt bei "Privater Schlüssel-ID" den Inhalt von "private_key_id" aus der "service-account.json" Datei
6. Tragt bei "Projekt-ID" den Inhalt von "project_id" aus der "service-account.json" Datei
7. Tragt bei "Token uri" den Inhalt von "token_uri" aus der "service-account.json" Datei

Benutzer

Für ein Google Workspace Benutzerverzeichnis müsst ihr in der Registerkarte “Benutzer” nur das Attribut für Benutzername eingetragen. Wir empfehlen hier die “primaryEmail” zu verwenden.

Zusätzlich könnt ihr hier weitere Profilfelder mappen. Es können nur Profifelder gesynct werden, welche aus einem String und nicht aus einem Array bestehen.

Für Nutzerfilter kannst du die Standard-Google-Filter verwenden, z. B. name='Jane Smith', givenName:{B}*. Für benutzerdefinierte Felder sollte der Feldname mit der Kategorie angegeben werden, z. B. categoryName.customField='value'. Weitere Informationen zu Nutzer-Filtern findest du in den Google Developer Guides.

Gruppen

Wenn du Gruppen aus deinem Google-Arbeitsbereich synchronisieren möchtest, musst du nur die Option "Gruppen synchronisieren" auf der Registerkarte "Gruppen" aktivieren. Für Gruppenfilter kannst du die Standard-Google-Filter verwenden, z. B. name='Testgruppe'. Weitere Informationen zu Gruppenfiltern findest du in den Google Developer Guides.

Synchronisation

Der Wert in Page Size definiert, wie viele Elemente pro Abfrage synchronisiert werden sollen. Das Limit des LDAP-Protokolls liegt bei 1000. Ihr solltet also keinen höheren Wert wählen.

Die Option Aktivierung ermöglicht, dass neue und wiederhergestellte Nutzer bei der Synchronisierung aktiviert werden. Anderenfalls müsstet ihr den Status der Nutzer in der Benutzerverwaltung manuell auf "Aktiv" setzen.

Verwaiste Benutzer sind Nutzer, welche derzeit als aktiver Nutzer existieren, aber im LDAP Verzeichnis nicht mehr vorhanden sind. Es besteht die Möglichkeit, die Nutzer in Haiilo Home beim Sync zu ignorieren, deaktivieren oder zu löschen.

Der Punkt Benutzer wiederherstellen ermöglicht es deaktivierte oder gelöschte Nutzer von Haiilo Home wieder zu reaktivieren, wenn diese beim Sync im Benutzerverzeichnis wieder vorhanden sind. Es ist nicht möglich anonymisierte Nutzer wiederherzustellen. Der vorher anonymisierte Nutzer kann dann lediglich als neuer Nutzer erstellt werden. Die Anonymisierung ist standardmäßig deaktiviert und kann in den "Allgemeinen Einstellungen" der Administration aktiviert werden.

Ausführung

Hier könnt ihr die Regelmäßigkeit der Synchronisierung konfigurieren. Ihr habt die Optionen einmal pro Tag (nachts), mehrmals täglich (alle vier Stunden) und einmal pro Stunde.