Standardmäßig erkennt Google Cloud Search nur Google-Identitäten, die in Google Cloud Directory gespeichert sind (Nutzer und Gruppen). Identitätsconnectors werden verwendet, um die Identitäten Ihres Unternehmens mit Google-Identitäten zu synchronisieren, die von Google Cloud Search verwendet werden.
Google bietet die folgenden Optionen zum Entwickeln von Identitäts-Connectors:
Das Identity Connector SDK. Diese Option ist für Entwickler gedacht, die in der Programmiersprache Java programmieren. Das Identity Connector SDK ist ein Wrapper für die REST API, mit dem Sie schnell Connectors erstellen können. Weitere Informationen zum Erstellen eines Identitätsconnectors mit dem SDK
Eine Low-Level-REST API und API-Bibliotheken. Diese Optionen sind für Entwickler gedacht, die möglicherweise nicht in Java programmieren oder deren Codebasis eine REST API oder eine Bibliothek besser unterstützt. Wie Sie mit der REST API einen Identitätsconnector erstellen, erfahren Sie unter Directory API: Nutzerkonten und in der Dokumentation zu Cloud Identity.
Mit dem Identity Connector SDK einen Identitätsconnector erstellen
Ein typischer Identitätsconnector führt die folgenden Aufgaben aus:
- Konfigurieren Sie den Connector.
- Rufen Sie alle Nutzer aus dem Identitätssystem Ihres Unternehmens ab und senden Sie sie zur Synchronisierung mit Google-Identitäten an Google.
- Rufen Sie alle Gruppen aus dem Identitätssystem Ihres Unternehmens ab und senden Sie sie zur Synchronisierung mit Google-Identitäten an Google.
Abhängigkeiten einrichten
Sie müssen bestimmte Abhängigkeiten in Ihre Build-Datei aufnehmen, um das SDK verwenden zu können. Klicken Sie unten auf einen Tab, um die Abhängigkeiten für Ihre Build-Umgebung anzusehen:
Maven
<dependency>
<groupId>com.google.enterprise.cloudsearch</groupId>
<artifactId>google-cloudsearch-identity-connector-sdk</artifactId>
<version>v1-0.0.3</version>
</dependency>
Gradle
compile group: 'com.google.enterprise.cloudsearch',
name: 'google-cloudsearch-identity-connector-sdk',
version: 'v1-0.0.3'
Connector-Konfiguration erstellen
Jeder Connector hat eine Konfigurationsdatei mit Parametern, die vom Connector verwendet werden, z. B. die ID für Ihr Repository. Parameter werden als Schlüssel/Wert-Paare wie api.sourceId=1234567890abcdef
definiert.
Das Google Cloud Search SDK enthält mehrere von Google bereitgestellte Konfigurationsparameter, die von allen Connectors verwendet werden. Sie müssen die folgenden von Google bereitgestellten Parameter in Ihrer Konfigurationsdatei deklarieren:
- Für einen Inhaltsconnector müssen Sie
api.sourceId
undapi.serviceAccountPrivateKeyFile
deklarieren, da diese Parameter den Speicherort Ihres Repositorys und des privaten Schlüssels angeben, der für den Zugriff auf das Repository benötigt wird.
- Für einen Identitätsconnector benötigen Sie den
api.identitySourceId
, da dieser Parameter den Speicherort Ihrer externen Identitätsquelle angibt. Wenn Sie Nutzer synchronisieren, müssen Sie auchapi.customerId
als eindeutige ID für das Google Workspace-Konto Ihres Unternehmens deklarieren.
Wenn Sie die Standardwerte anderer von Google bereitgestellter Parameter nicht überschreiben möchten, müssen Sie diese nicht in Ihrer Konfigurationsdatei deklarieren. Weitere Informationen zu den von Google bereitgestellten Konfigurationsparametern, z. B. zum Generieren bestimmter IDs und Schlüssel, finden Sie unter Von Google bereitgestellte Konfigurationsparameter.
Sie können auch eigene Repository-spezifische Parameter zur Verwendung in Ihrer Konfigurationsdatei definieren.
Konfigurationsdatei an den Connector übergeben
Legen Sie das Systemattribut config
fest, um die Konfigurationsdatei an Ihren Connector zu übergeben. Dazu verwenden Sie beim Starten des Connectors das Argument -D
. Mit dem folgenden Befehl wird der Connector beispielsweise mit der Konfigurationsdatei MyConfig.properties
gestartet:
java -classpath myconnector.jar;... -Dconfig=MyConfig.properties MyConnector
Wenn dieses Argument fehlt, versucht das SDK, auf eine Standardkonfigurationsdatei mit dem Namen connector-config.properties
zuzugreifen.
Identitätskonnektor für die vollständige Synchronisierung mithilfe einer Vorlagenklasse erstellen
Das Identity Connector SDK enthält eine Vorlagenklasse FullSyncIdentityConnector
, mit der Sie alle Nutzer und Gruppen aus dem Identitäts-Repository mit Google-Identitäten synchronisieren können. In diesem Abschnitt wird erläutert, wie Sie mit der Vorlage FullSyncIdentityConnector
eine vollständige Synchronisierung von Nutzern und Gruppen aus einem Identitäts-Repository durchführen, das nicht von Google stammt.
Dieser Abschnitt bezieht sich auf Code-Snippets aus dem Beispiel IdentityConnecorSample.java
. In diesem Beispiel werden Nutzer- und Gruppenidentitäten aus zwei CSV-Dateien gelesen und mit Google-Identitäten synchronisiert.
Einstiegspunkt des Connectors implementieren
Der Einstiegspunkt für einen Connector ist die Methode main()
. Die primäre Aufgabe dieser Methode besteht darin, eine Instanz der Klasse Application
zu erstellen und die Methode start()
aufzurufen, um den Connector auszuführen.
Verwenden Sie vor dem Aufrufen von application.start()
die Klasse IdentityApplication.Builder
, um die Vorlage FullSyncIdentityConnector
zu instanziieren. Für FullSyncIdentityConnector
kann ein Repository
-Objekt verwendet werden, dessen Methoden Sie implementieren.
Das folgende Code-Snippet zeigt, wie die Methode main()
implementiert wird:
Das SDK ruft im Hintergrund die Methode initConfig()
auf, nachdem die Methode main()
Ihres Connectors Application.build
aufgerufen hat.
Die Methode initConfig()
führt die folgenden Aufgaben aus:
- Ruft die Methode
Configuation.isInitialized()
auf, um zu prüfen, ob dasConfiguration
-Element noch nicht initialisiert wurde. - Ein
Configuration
-Objekt wird mit den von Google bereitgestellten Schlüssel/Wert-Paaren initialisiert. Jedes Schlüssel/Wert-Paar wird in einemConfigValue
-Objekt innerhalb desConfiguration
-Objekts gespeichert.
Repository
-Oberfläche implementieren
Die einzige Aufgabe des Repository
-Objekts besteht darin, die Repository-Identitäten mit den Google-Identitäten zu synchronisieren. Wenn Sie eine Vorlage verwenden, müssen Sie nur bestimmte Methoden in der Repository
-Schnittstelle überschreiben, um einen Identitätsconnector zu erstellen. Für FullTraversalConnector
überschreiben Sie wahrscheinlich die folgenden Methoden:
Die Methode
init()
. Wenn Sie ein Identitäts-Repository einrichten und initialisieren möchten, überschreiben Sie die Methode „init()“.Die Methode
listUsers()
. Wenn Sie alle Nutzer im Identitäts-Repository mit Google-Nutzern synchronisieren möchten, überschreiben Sie die MethodelistUsers()
.Die Methode
listGroups()
. Wenn Sie alle Gruppen im Identitäts-Repository mit Google Groups synchronisieren möchten, überschreiben Sie die MethodelistGroups()
.Optional: Die Methode
close()
. Wenn Sie eine Repository-Bereinigung ausführen müssen, überschreiben Sie die Methodeclose()
. Diese Methode wird beim Herunterfahren des Connectors einmal aufgerufen.
Benutzerdefinierte Konfigurationsparameter abrufen
Im Rahmen der Konfiguration des Connectors müssen Sie alle benutzerdefinierten Parameter aus dem Configuration
-Objekt abrufen. Diese Aufgabe wird normalerweise in der Methode init()
einer Repository
-Klasse ausgeführt.
Die Klasse Configuration
bietet mehrere Methoden zum Abrufen verschiedener Datentypen aus einer Konfiguration. Bei jeder Methode wird ein ConfigValue
-Objekt zurückgegeben. Anschließend verwenden Sie die Methode get()
des ConfigValue
-Objekts, um den tatsächlichen Wert abzurufen.
Das folgende Snippet zeigt, wie die Werte userMappingCsvPath
und groupMappingCsvPath
aus einem Configuration
-Objekt abgerufen werden:
Verwenden Sie zum Abrufen und Parsen eines Parameters, der mehrere Werte enthält, einen Typparser der Configuration
-Klasse, um die Daten in separate Blöcke zu parsen.
Das folgende Snippet aus dem Connector für diese Anleitung verwendet die Methode getMultiValue
, um eine Liste der Namen von GitHub-Repositories abzurufen:
Zuordnung für alle Nutzer abrufen
Überschreiben Sie listUsers()
, um die Zuordnung für alle Nutzer aus Ihrem Identitäts-Repository abzurufen. Die Methode listUsers()
akzeptiert einen Prüfpunkt, der die letzte zu synchronisierende Identität darstellt. Damit kann die Synchronisierung fortgesetzt werden, wenn der Prozess unterbrochen wird. Führen Sie für jeden Nutzer in Ihrem Repository die folgenden Schritte in der Methode listUsers()
aus:
- Rufen Sie eine Zuordnung ab, die aus der Google-Identität und der zugehörigen externen Identität besteht.
- Fügen Sie das Paar einem Iterator hinzu, der von der Methode
listUsers()
zurückgegeben wird.
Nutzerzuordnung abrufen
Das folgende Code-Snippet zeigt, wie die in einer CSV-Datei gespeicherten Identitätszuweisungen abgerufen werden:
Nutzerzuordnung in einen Iterator verpacken
Die Methode listUsers()
gibt ein Iterator
zurück, genauer gesagt ein CheckpointCloseableIterable
von IdentityUser
-Objekten. Mit der Klasse CheckpointClosableIterableImpl.Builder
können Sie einen Iterator erstellen und zurückgeben. Das folgende Code-Snippet zeigt, wie jede Zuordnung in eine Liste verpackt wird, um den Iterator aus dieser Liste zu erstellen:
Gruppe abrufen
Überschreiben Sie listGroups()
, um alle Gruppen und deren Mitglieder aus Ihrem Identitäts-Repository abzurufen. Für die Methode listGroups()
kann ein Prüfpunkt verwendet werden, der die letzte zu synchronisierende Identität darstellt. Mithilfe dieses Prüfpunkts kann die Synchronisierung nach einer möglichen Unterbrechung fortgesetzt werden. Führen Sie in der Methode listGroups()
die folgenden Schritte für jeden Nutzer in Ihrem Repository aus:
- Gruppe und ihre Mitglieder abrufen
- Fassen Sie alle Gruppen und Mitglieder einem Iterator zusammen, der von der Methode
listGroups()
zurückgegeben wird.
Gruppenidentität abrufen
Das folgende Code-Snippet zeigt, wie die in einer CSV-Datei gespeicherten Gruppen und Mitglieder abgerufen werden:
Gruppe und Mitglieder in einen Iterator verpacken
Die Methode listGroups()
gibt ein Iterator
zurück, genauer gesagt ein CheckpointCloseableIterable
von IdentityGroup
-Objekten.
Mit der Klasse CheckpointClosableIterableImpl.Builder
können Sie einen Iterator erstellen und zurückgeben. Das folgende Code-Snippet zeigt, wie Sie jede Gruppe und jedes Mitglied in einer Liste verpacken und den Iterator aus dieser Liste erstellen:
Nächste Schritte
Als Nächstes könnten Sie Folgendes tun:
- Optional: Methode close() implementieren, um vor dem Herunterfahren alle Ressourcen freizugeben
- Optional: Mit dem Content Connector SDK einen Inhaltsconnector erstellen