サポートと今すぐチャット
サポートとのチャット

Identity Manager 9.2 - Administrationshandbuch für die Anbindung einer Google Workspace-Umgebung

Abbilden einer Google Workspace-Umgebung im One Identity Manager Synchronisieren einer Google Workspace Kunden-Umgebung
Einrichten der Initialsynchronisation einer Google Workspace Kunden-Umgebung Anpassen der Synchronisationskonfiguration für Google Workspace Kunden-Umgebungen Ausführen einer Synchronisation Aufgaben nach einer Synchronisation Fehleranalyse Datenfehler bei der Synchronisation ignorieren Verarbeitung zielsystemspezifischer Prozesse pausieren (Offline-Modus)
Managen von Google Workspace Benutzerkonten und Identitäten
Kontendefinitionen für Google Workspace Benutzerkonten Automatische Zuordnung von Identitäten zu Google Workspace Benutzerkonten Identitäten manuell mit Google Workspace Benutzerkonten verbinden Unterstützte Typen von Benutzerkonten Löschverzögerung für Google Workspace Benutzerkonten festlegen
Bereitstellen von Anmeldeinformationen für Google Workspace Benutzerkonten Managen von Google Workspace Berechtigungszuweisungen Abbilden von Google Workspace Objekten im One Identity Manager
Google Workspace Kunden Google Workspace Benutzerkonten Google Workspace Gruppen Google Workspace Produkte und SKUs Google Workspace Organisationen Google Workspace Domains Google Workspace Domain-Aliasse Google Workspace Admin-Rollen Google Workspace Admin-Berechtigungen Google Workspace Admin-Rollen-Zuordnungen Google Workspace externe E-Mail-Adressen Berichte über Google Workspace Objekte
Behandeln von Google Workspace Objekten im Web Portal Basisdaten für die Verwaltung einer Google Workspace Kunden-Umgebung Beheben von Fehlern beim Anbinden einer Google Workspace Kunden-Umgebung Konfigurationsparameter für die Verwaltung einer Google Workspace-Umgebung Standardprojektvorlage für Google Workspace API-Bereiche für das Dienstkonto Verarbeitungsmethoden von Google Workspace Systemobjekten Besonderheiten bei der Zuweisung von Google Workspace Gruppen

Synchronisieren einer Google Workspace Kunden-Umgebung

Der One Identity Manager unterstützt die Synchronisation mit Google Workspace. Für den Abgleich der Informationen zwischen der One Identity Manager-Datenbank und Google Workspace sorgt der One Identity Manager Service.

Informieren Sie sich hier:

  • wie Sie die Synchronisation einrichten, um initial Daten aus einer Kunden-Umgebung in die One Identity Manager-Datenbank einzulesen,
  • wie Sie eine Synchronisationskonfiguration anpassen, beispielsweise um verschiedene Kunden-Umgebungen mit ein und demselben Synchronisationsprojekt zu synchronisieren,
  • wie Sie die Synchronisation starten und deaktivieren,
  • wie Sie die Synchronisationsergebnisse auswerten.

TIPP: Bevor Sie die Synchronisation mit einer Kunden-Umgebung einrichten, machen Sie sich mit dem Synchronization Editor vertraut. Ausführliche Informationen über dieses Werkzeug finden Sie im One Identity Manager Referenzhandbuch für die Zielsystemsynchronisation.

Detaillierte Informationen zum Thema

Einrichten der Initialsynchronisation einer Google Workspace Kunden-Umgebung

Der Synchronization Editor stellt eine Projektvorlage bereit, mit der die Synchronisation von Benutzerkonten und Berechtigungen der Kunden-Umgebung eingerichtet werden kann. Nutzen Sie diese Projektvorlage, um Synchronisationsprojekte zu erstellen, mit denen Sie Daten aus einer Kunden-Umgebung in Ihre One Identity Manager-Datenbank einlesen. Zusätzlich werden die notwendigen Prozesse angelegt, über die Änderungen an Zielsystemobjekten aus der One Identity Manager-Datenbank in das Zielsystem provisioniert werden.

Um die Objekte einer Kunden-Umgebung initial in die One Identity Manager Datenbank einzulesen

  1. Stellen Sie in der Kunden-Umgebung einen Benutzer für die Synchronisation mit ausreichenden Berechtigungen bereit.

  2. Die One Identity Manager Bestandteile für die Verwaltung von Google Workspace sind verfügbar, wenn der Konfigurationsparameter TargetSystem | GoogleApps aktiviert ist.

    • Prüfen Sie im Designer, ob der Konfigurationsparameter aktiviert ist. Anderenfalls aktivieren Sie den Konfigurationsparameter und kompilieren Sie die Datenbank.

      HINWEIS:Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

    • Mit der Installation des Moduls werden weitere Konfigurationsparameter installiert. Prüfen Sie die Konfigurationsparameter und passen Sie die Konfigurationsparameter gegebenenfalls an das gewünschte Verhalten an.
  3. Installieren und konfigurieren Sie einen Synchronisationsserver und geben Sie den Server im One Identity Manager als Jobserver bekannt.
  4. Erstellen Sie mit dem Synchronization Editor ein Synchronisationsprojekt.
Detaillierte Informationen zum Thema

Benutzer und Berechtigungen für die Synchronisation einer Google Workspace Kunden-Umgebung

Bei der Synchronisation des One Identity Manager mit Google Workspace spielen folgende Benutzer eine Rolle.

Tabelle 2: Benutzer für die Synchronisation

Benutzer

Berechtigungen

Benutzer für den Zugriff auf das Zielsystem (Synchronisationsbenutzer)

Für eine vollständige Synchronisation von Objekten einer Kunden-Umgebung mit der ausgelieferten One Identity Manager Standardkonfiguration stellen Sie mindestens einen Nutzer mit Super Admin Berechtigungen und ein Dienstkonto zur Authentifizierung bereit.

  • Das Google Cloud Platform Projekt benötigt Zugriff auf folgende APIs:

    Admin SDK
    Enterprise License Manager API
    Groups Settings API
  • Zur Authentifizierung wird ein Dienstkonto mit der zugehörigen JSON-Schlüsseldatei und domainübergreifender Google Workspace-Delegation benötigt.

  • In der Google Admin-Konsole muss der API-Zugriff aktiviert sein.
  • In der Google Admin-Konsole muss die Client-ID des Dienstkontos auf verschiedene API-Bereiche autorisiert werden. Eine Liste der API-Bereiche finden Sie auf dem One Identity Manager-Installationsmedium. Diese Liste kann als Kopiervorlage genutzt werden.

    Verzeichnis: Modules\GAP\dvd\AddOn\ApiAccess

    Datei: GoogleWorkspaceRequiredAPIAccess.txt

Weitere Informationen finden Sie unter Einrichten der erforderlichen Berechtigungen für den Zugriff auf die Google Workspace Kunden-Umgebung.

Benutzerkonto des One Identity Manager Service

Das Benutzerkonto für den One Identity Manager Service benötigt die Benutzerrechte, um die Operationen auf Dateiebene durchzuführen, beispielsweise Verzeichnisse und Dateien anlegen und bearbeiten.

Das Benutzerkonto muss der Gruppe Domänen-Benutzer angehören.

Das Benutzerkonto benötigt das erweiterte Benutzerrecht Anmelden als Dienst.

Das Benutzerkonto benötigt Berechtigungen für den internen Webservice.

HINWEIS: Muss der One Identity Manager Service unter dem Benutzerkonto des Network Service (NT Authority\NetworkService) laufen, so können Sie die Berechtigungen für den internen Webservice über folgenden Kommandozeilenaufruf vergeben:

netsh http add urlacl url=http://<IP-Adresse>:<Portnummer>/ user="NT AUTHORITY\NETWORKSERVICE"

Für die automatische Aktualisierung des One Identity Manager Services benötigt das Benutzerkonto Vollzugriff auf das One Identity Manager-Installationsverzeichnis.

In der Standardinstallation wird der One Identity Manager installiert unter:

  • %ProgramFiles(x86)%\One Identity (auf 32-Bit Betriebssystemen)

  • %ProgramFiles%\One Identity (auf 64-Bit Betriebssystemen)

Benutzer für den Zugriff auf die One Identity Manager-Datenbank

Um die Synchronisation über einen Anwendungsserver auszuführen, wird der Standard-Systembenutzer Synchronization bereitgestellt.

Verwandte Themen

Einrichten der erforderlichen Berechtigungen für den Zugriff auf die Google Workspace Kunden-Umgebung

Damit der Google Workspace Konnektor auf das Zielsystem zugreifen kann, müssen die erforderlichen Berechtigungen in zwei Google Webfrontends eingerichtet werden.

Um das Dienstkonto zu erstellen und APIs zu aktivieren

  1. Öffnen Sie die Google Cloud Platform-Konsole (https://console.cloud.google.com).

  2. Melden Sie sich als Super Admin des Google Workspace an.

  3. Wählen Sie ein Projekt aus oder erstellen Sie ein neues Projekt.

  4. Aktivieren Sie die APIs Admin SDK, Enterprise License Manager API und Groups Settings API.

  5. Erstellen Sie ein Dienstkonto.

    Tabelle 3: Eigenschaften des Dienstkontos

    Eigenschaft

    Wert

    Rolle

     

    Neuen privaten Schlüssel bereitstellen

    aktiviert

    Schlüsseltyp

    JSON

    Domainübergreifende Google Workspace-Delegation aktivieren

    aktiviert

  6. Notieren Sie sich die Client-ID des Dienstkontos.

    Sie wird beim Einrichten der API-Berechtigungen benötigt.

  7. Speichern Sie die Schlüsseldatei lokal.

    Sie wird beim Erstellen des Synchronisationsprojekts benötigt.

Um den API-Zugriff zu aktivieren und die Client-ID des Dienstkontos auf die benötigten API-Bereiche zu autorisieren

  1. Öffnen Sie die Google Admin-Konsole (https://admin.google.com).

  2. Melden Sie sich als Super Admin des Google Workspace an.

  3. Aktivieren Sie den API-Zugriff.

  4. Autorisieren Sie die Client-ID des Dienstkontos auf die benötigten API-Bereiche.

    Weitere Informationen finden Sie unter Benutzer für den Zugriff auf das Zielsystem (Synchronisationsbenutzer).

  5. Richten Sie bei Bedarf weitere Nutzer mit Super Admin Berechtigungen ein.

    Es können bis zu acht Nutzer mit Super Admin Berechtigungen für die Synchronisation genutzt werden. Jeder Nutzer muss sich mindestens einmal an Google Workspace angemeldet und die Nutzungsbedingungen akzeptiert haben.

関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択