يستند التحكُّم في الوصول في Google Cloud Search إلى حساب المستخدم على Google. عند فهرسة المحتوى، يجب أن يتم حل جميع قوائم التحكم في الوصول (ACLs) للعناصر إلى مستخدم Google صالح أو أرقام تعريف المجموعات (عناوين البريد الإلكتروني).
في كثير من الحالات، لا تكون للمستودع معرفة مباشرة بشركة Google الحسابات. بدلاً من ذلك، قد يتم تمثيل المستخدمين من خلال الحسابات المحلية أو استخدام تسجيل الدخول الموحّد مع موفر هوية ورقم تعريف، من عنوان البريد الإلكتروني للمستخدم، لتحديد كل حساب. ويسمى هذا المعرف المعرّف الخارجي.
تساعد مصادر الهوية التي تم إنشاؤها باستخدام "وحدة تحكُّم المشرف" في سد هذه الفجوة بين أنظمة الهوية من خلال:
- تحديد حقل مستخدم مخصّص لتخزين المعرّفات الخارجية. يُستخدم هذا الحقل لتحويل المعرّفات الخارجية إلى حساب في Google الحساب.
- تحديد مساحة اسم لمجموعات الأمان يديرها مستودع أو موفِّر الهوية.
يمكنك استخدام مصادر الهوية في الحالتَين التاليتَين:
- ليس لدى المستودع معرفة بعنوان البريد الإلكتروني الرئيسي المستخدم في Google Workspace أو دليل Google Cloud.
- يحدد المستودع مجموعات التحكم في الوصول التي لا تتوافق إلى المجموعات المستندة إلى البريد الإلكتروني في Google Workspace
مصادر الهوية تحسِّن كفاءة الفهرسة من خلال فصل الفهرسة من عملية تحديد الهوية. يتيح لك فصل الاقتران هذا تأجيل البحث عن المستخدم عند إنشاء قوائم التحكم في الوصول وفهرسة العناصر.
مثال على عملية النشر
يوضح الشكل 1 مثالاً لعملية نشر يتم من خلالها على الأجهزة داخل الشركة المستودعات التي تستخدمها المؤسسات يستخدم كل مستودع نوعًا مختلفًا المعرّف الخارجي للإشارة إلى المستخدمين.
يحدد المستودع 1 المستخدم باستخدام عنوان البريد الإلكتروني الذي تم تأكيده باستخدام SAML: لأنّ يعرف المستودع 1 بعنوان البريد الإلكتروني الرئيسي للمستخدم في Google Workspace أو دليل Cloud، ولا حاجة إلى مصدر هوية.
يتكامل المستودع 2 مباشرةً مع دليل داخل المؤسسة
يحدّد هوية المستخدم من خلال سمة sAMAccountName
. لأنّ المستودع 2
تستخدم سمة sAMAccountName
كمعرّف خارجي، فسيتم تحديد مصدر الهوية
احتاجت.
إنشاء مصدر هويات
إذا كنت بحاجة إلى مصدر هوية، يُرجى الاطّلاع على مقالة ربط هويات المستخدمين في Cloud Search.
يجب إنشاء مصدر هوية قبل إنشاء موصِّل محتوى للأسباب التالية:
ستحتاج إلى معرّف مصدر الهويات لإنشاء قوائم التحكم بالوصول (ACLs) وبيانات الفهرس. كما أسلفنا
سابقًا، يؤدي إنشاء مصدر هوية إلى إنشاء
خاصيّة مستخدِم مخصّصة
في دليل السحابة الإلكترونية. استخدِم هذا الموقع لتسجيل رقم التعريف الخارجي لكل
المستخدم في مستودعك. وتتم تسمية الخاصية باستخدام
الاصطلاح IDENTITY_SOURCE_ID_identity
.
يعرض الجدول التالي مصدرَي هوية، أحدهما يتضمّن أسماء حسابات SAM (sAMAccountName) كمعرّفات خارجية، ورقم واحد للاحتفاظ بأرقام تعريف المستخدمين (uid) كمعرّفات خارجية.
مصدر الهوية | خاصيّة المستخدم | المعرّف الخارجي |
---|---|---|
id1 | id1_identity | sAMAccountName |
id2 | id2_identity | uid |
إنشاء مصدر هوية لكل رقم تعريف خارجي محتمل يتم استخدامه الرجوع إلى مستخدم في مؤسستك.
يوضِّح الجدول التالي كيف يمكن لمستخدم لديه حساب على Google ورقما تعريف خارجيان. (id1_identity وid2_identity) وقيمهما في دليل السحابة الإلكترونية:
المستخدم | بريد إلكتروني | id1_identity | id2_identity |
---|---|---|---|
منى | ann@example.com | مثال\ann | 1001 |
يمكنك الإحالة إلى نفس المستخدم باستخدام ثلاثة معرّفات مختلفة، (البريد الإلكتروني لـ Google وsAMAccountName وuid) عند إنشاء قوائم التحكم بالوصول (ACLs) للفهرسة.
كتابة قوائم ACL للمستخدم
يمكنك استخدام getUserPrincpal() الطريقة أو getGroupPrincipal() لإنشاء عناصر رئيسية باستخدام معرّف خارجي مُقدّم.
يوضح المثال التالي كيفية استرداد أذونات الملفات. هذه تتضمن الأذونات اسم كل مستخدم لديه حق الوصول إلى الملف.
يعرض مقتطف الرمز التالي كيفية إنشاء المدراء الأساسيين المالكين.
باستخدام المعرّف الخارجي (externalUserName
) المخزّن في السمات.
أخيرًا، يوضح مقتطف الرمز التالي كيفية إنشاء مبادئ توجيهية هم قراء الملف.
بعد الحصول على قائمة بالقراء والمالكين، يمكنك إنشاء ACL:
تستخدم واجهة برمجة تطبيقات REST الأساسية النمط
identitysources/IDENTITY_SOURCE_ID/users/EXTERNAL_ID
للمعرف عند إنشاء المبادئ الرئيسية. بالعودة إلى الجداول السابقة،
إذا أنشأت قائمة التحكم بالوصول (ACL) باستخدام id1_identity
لـ آن (SAMAccountName)، فسيصبح رقم التعريف
التحويل إلى:
identitysources/id1_identity/users/example/ann
ويُعرف رقم التعريف هذا بالكامل باسم رقم التعريف المتوسط للمستخدم. لأنه يوفر جسرًا بين المعرّف الخارجي وأرقام تعريف Google المخزنة مع دليل السحابة الإلكترونية.
للحصول على مزيد من المعلومات حول نمذجة قوائم التحكم بالوصول المستخدمة للمستودع، راجع قوائم ACL:
مجموعات الخرائط
تعمل مصادر الهوية أيضًا كمساحة اسم للمجموعات المستخدمة في قوائم التحكم بالوصول. يمكنك استخدام ميزة مساحة الاسم هذه لإنشاء وربط المجموعات التي تُستخدم لأغراض الأمان فقط أو تكون محلية في المستودع.
استخدام Cloud Identity Groups API لإنشاء مجموعة وإدارة العضويات. لربط المجموعة بـ مصدر الهويات، يمكنك استخدام اسم مورد مصدر الهويات على أنه مساحة اسم المجموعة.
يوضح مقتطف الرمز التالي كيفية إنشاء مجموعة باستخدام واجهة Cloud Identity Groups API:
إنشاء قائمة التحكم بالوصول (ACL) للمجموعة
لإنشاء قائمة التحكم بالوصول (ACL) لمجموعة، استخدم getGroupPrincipal() لإنشاء مدير مجموعة باستخدام معرّف خارجي مُقدّم. بعد ذلك، قم ببناء باستخدام قائمة التحكم بالوصول (ACL) Acl.Builder على النحو التالي:
موصلات الهوية
وعلى الرغم من أنه يمكنك استخدام معرّفات خارجية غير تابعة لـ Google لإنشاء قوائم التحكم بالوصول (ACLs) وعناصر الفهرسة، لا يمكن للمستخدمين الاطّلاع على العناصر في عملية بحث حتى تُصدِر معرّفاتهم الخارجية رسالة رقم التعريف في دليل السحابة الإلكترونية. هناك ثلاث طرق لضمان يعرف دليل السحابة الإلكترونية كلاً من معرِّف Google والمعرِّفات الخارجية للمستخدم:
- تعديل كل ملف شخصي للمستخدم يدويًا من خلال وحدة تحكُّم المشرف يوصى بهذه العملية فقط للاختبار وإنشاء النماذج الأولية باستخدام عدد قليل من الملفات الشخصية للمستخدمين.
- ربط أرقام التعريف الخارجية بأرقام تعريف Google باستخدام Directory API. ويُنصَح باستخدام هذه العملية للمستخدمين الذين لا يمكنهم استخدام "حزمة تطوير البرامج (SDK) لموصل الهوية".
- إنشاء موصِّل هويات باستخدام حزمة تطوير البرامج لموصّل الهوية. تبسّط حزمة تطوير البرامج (SDK) هذه استخدام واجهة برمجة تطبيقات الدليل لربط أرقام التعريف.
موصِّلات الهوية هي برامج تُستخدَم لربط المعرّفات الخارجية من المؤسسة الهويات (المستخدمين والمجموعات) إلى هويات Google الداخلية التي تستخدمها Google Cloud Search. إذا كان عليك إنشاء مصدر هويات، عليك لإنشاء موصِّل هويات.
تم تفعيل أداة مزامنة دليل Google Cloud (GCP) مثال لموصل الهوية. يربط موصل الهوية هذا المستخدم معلومات المجموعة من دليل Microsoft النشط إلى دليل السحابة مع سمات المستخدم التي قد تمثل هويته في الأنظمة الأخرى.
مزامنة الهويات باستخدام واجهة برمجة تطبيقات REST
يمكنك استخدام الطريقة update
لمزامنة الهويات باستخدام واجهة برمجة تطبيقات REST.
إعادة تحديد الهويات
بعد إعادة ربط هوية أحد العناصر بهوية أخرى، يجب إعادة فهرسة العناصر. لكي يتم الاحتفاظ بالهوية الجديدة. على سبيل المثال،
- إذا حاولت إزالة تعيين من مستخدم ما أو إعادة تعيينه إلى مستخدم آخر، فإن إلى أن تتم إعادة الفهرسة.
- في حال حذف مجموعة مرتبطة موجودة في قائمة عناصر التحكم بالوصول، ثم إنشاء
مجموعة جديدة تستخدم
groupKey
نفسها، لا تتيح المجموعة الجديدة الوصول إلى إلى أن تتم إعادة فهرسة العنصر.