การควบคุมการเข้าถึงใน Google Cloud Search จะอิงตามบัญชี Google ของผู้ใช้ เมื่อจัดทำดัชนีเนื้อหา ACL ทั้งหมดในรายการจะต้องเปลี่ยนเป็นรหัสผู้ใช้หรือรหัสกลุ่มสินค้า (อีเมล) ของ Google ที่ถูกต้อง
ในหลายกรณี ที่เก็บไม่ได้มีความรู้โดยตรงเกี่ยวกับบัญชี Google แต่อาจมีการนำเสนอผู้ใช้โดยบัญชีในเครื่องหรือใช้การลงชื่อเข้าใช้แบบรวมศูนย์ด้วยผู้ให้บริการข้อมูลประจำตัวและรหัสอื่นๆ เพื่อระบุแต่ละบัญชีนอกเหนือจากอีเมลของผู้ใช้ รหัสนี้เรียกว่า รหัสภายนอก
แหล่งที่มาของข้อมูลประจำตัวที่สร้างขึ้นโดยใช้คอนโซลผู้ดูแลระบบจะช่วยเชื่อมโยงช่องว่างนี้ระหว่างระบบข้อมูลประจำตัวดังนี้
- การกำหนดช่องผู้ใช้ที่กำหนดเอง เพื่อจัดเก็บรหัสภายนอก ช่องนี้ใช้เพื่อแก้ไขรหัสภายนอกให้เป็นบัญชี Google
- กำหนด Namespace สำหรับกลุ่มความปลอดภัย ที่จัดการโดยที่เก็บหรือ ผู้ให้บริการข้อมูลประจำตัว
ใช้แหล่งที่มาของข้อมูลประจำตัวในกรณีต่อไปนี้
- ที่เก็บไม่มีข้อมูลเกี่ยวกับอีเมลหลักของผู้ใช้ใน Google Workspace หรือ Google Cloud Directory
- ที่เก็บจะกำหนดกลุ่มสำหรับการควบคุมการเข้าถึงซึ่งไม่ตรงกับกลุ่มที่ใช้อีเมลใน Google Workspace
แหล่งที่มาของข้อมูลประจำตัวจะช่วยปรับปรุงประสิทธิภาพการจัดทำดัชนีโดยการแยกการจัดทำดัชนีออกจากการแมปข้อมูลประจำตัว การแยกส่วนนี้จะช่วยให้คุณเลื่อนเวลาการค้นหาผู้ใช้ออกไปได้เมื่อสร้าง ACL และรายการการจัดทำดัชนี
ตัวอย่างการทำให้ใช้งานได้
รูปที่ 1 แสดงตัวอย่างการทำให้ใช้งานได้ที่องค์กรใช้ทั้งที่เก็บภายในองค์กรและระบบคลาวด์ ที่เก็บแต่ละรายการจะใช้รหัสภายนอก คนละประเภทเพื่ออ้างอิงผู้ใช้
![ตัวอย่างการทำให้ใช้งานได้](https://developers-dot-devsite-v2-prod.appspot.com/static/cloud-search/images/identity-arch.png?authuser=6&hl=th)
ที่เก็บ 1 จะระบุผู้ใช้โดยใช้อีเมลที่ยืนยันแล้วโดยใช้ SAML เนื่องจากที่เก็บ 1 ทราบอีเมลหลักของผู้ใช้ใน Google Workspace หรือ Cloud Directory จึงไม่จำเป็นต้องใช้แหล่งที่มาของข้อมูลประจำตัว
ที่เก็บ 2 จะผสานรวมกับไดเรกทอรีภายในองค์กรโดยตรงและจะระบุผู้ใช้ด้วยแอตทริบิวต์ sAMAccountName
เนื่องจากที่เก็บ 2 ใช้แอตทริบิวต์ sAMAccountName
เป็นรหัสภายนอก จึงจำเป็นต้องมีแหล่งที่มาของข้อมูลประจำตัว
สร้างแหล่งที่มาของข้อมูลประจำตัว
หากต้องการแหล่งที่มาของข้อมูลประจำตัว โปรดดูหัวข้อจับคู่ข้อมูลประจำตัวของผู้ใช้ใน Cloud Search
คุณต้องสร้างแหล่งที่มาของข้อมูลประจำตัวก่อนสร้างเครื่องมือเชื่อมต่อเนื้อหา เนื่องจากคุณจะต้องใช้รหัสแหล่งที่มาของข้อมูลประจำตัวเพื่อสร้าง ACL และข้อมูลดัชนี ตามที่ได้กล่าวไปก่อนหน้านี้ การสร้างแหล่งที่มาของข้อมูลประจำตัวจะเป็นการสร้างพร็อพเพอร์ตี้ผู้ใช้ที่กำหนดเองใน Cloud Directory ด้วย ใช้พร็อพเพอร์ตี้นี้เพื่อบันทึกรหัสภายนอกสำหรับผู้ใช้แต่ละรายในที่เก็บ จะตั้งชื่อพร็อพเพอร์ตี้ตามกฎ IDENTITY_SOURCE_ID_identity
ตารางต่อไปนี้แสดงแหล่งที่มาของข้อมูลประจำตัว 2 แหล่ง แหล่งแรกสำหรับเก็บชื่อบัญชี SAM (sAMAccountName) เป็นรหัสภายนอก ส่วนอีกแหล่งสำหรับเก็บรหัสผู้ใช้ (uid) เป็นรหัสภายนอก
แหล่งที่มาของข้อมูลประจำตัว | พร็อพเพอร์ตี้ผู้ใช้ | รหัสภายนอก |
---|---|---|
id1 | id1_identity | sAMAccountName |
id2 | id2_identity | uid |
สร้างแหล่งที่มาของข้อมูลประจำตัวสำหรับรหัสภายนอกที่เป็นไปได้แต่ละรายการที่ใช้อ้างอิงถึงผู้ใช้ในองค์กร
ตารางต่อไปนี้แสดงวิธีที่ผู้ใช้มีบัญชี Google และรหัสภายนอก 2 รหัส (id1_identity และ id2_identity) และค่าต่างๆ จะปรากฏใน Cloud Directory
ผู้ใช้ | อีเมล | id1_identity | id2_identity |
---|---|---|---|
Ann | ann@example.com | ตัวอย่าง | 1001 |
คุณอ้างอิงผู้ใช้รายเดียวกันได้โดยใช้รหัสที่แตกต่างกัน 3 รหัส (อีเมลของ Google, sAMAccountName และ uid) เมื่อสร้าง ACL สำหรับการจัดทำดัชนี
เขียน ACL ของผู้ใช้
ใช้เมธอด getUserPrincpal() หรือเมธอด getGroupPrincipal() เพื่อสร้างผู้ใช้หลักโดยใช้รหัสภายนอกที่ระบุ
ตัวอย่างต่อไปนี้แสดงวิธีการเรียกสิทธิ์ในไฟล์ สิทธิ์เหล่านี้รวมถึงชื่อของผู้ใช้แต่ละคนที่มีสิทธิ์เข้าถึงไฟล์
ข้อมูลโค้ดต่อไปนี้แสดงวิธีสร้างผู้ใช้หลักที่เป็นเจ้าของโดยใช้รหัสภายนอก (externalUserName
) ที่จัดเก็บไว้ในแอตทริบิวต์
สุดท้าย ข้อมูลโค้ดต่อไปนี้จะแสดงวิธีสร้างผู้ใช้หลักที่เป็นผู้อ่านไฟล์
เมื่อมีรายชื่อผู้อ่านและเจ้าของแล้ว คุณสามารถสร้าง ACL ได้โดยทำดังนี้
REST API ที่สำคัญจะใช้รูปแบบ identitysources/IDENTITY_SOURCE_ID/users/EXTERNAL_ID
สำหรับรหัสเมื่อสร้างผู้ใช้หลัก อ้างอิงกลับไปที่ตารางก่อนหน้า หากคุณสร้าง ACL ด้วย id1_identity
(SAMAccountName) ของ Ann รหัสจะเป็นดังนี้
identitysources/id1_identity/users/example/ann
รหัสนี้เรียกว่ารหัสกลางของผู้ใช้ เนื่องจากมีการเชื่อมโยงระหว่างรหัสภายนอกกับรหัส Google ที่เก็บไว้กับ Cloud Directory
ดูข้อมูลเพิ่มเติมเกี่ยวกับการประมาณ ACL ที่ใช้สำหรับที่เก็บได้ที่ ACL
แมปกลุ่ม
นอกจากนี้ แหล่งที่มาของข้อมูลประจำตัวยังทำหน้าที่เป็นเนมสเปซสำหรับกลุ่มที่ใช้ใน ACL คุณสามารถใช้ฟีเจอร์เนมสเปซนี้เพื่อสร้างและแมปกลุ่มที่ใช้เพื่อวัตถุประสงค์ด้านความปลอดภัยเท่านั้นหรืออยู่ในที่เก็บในที่เก็บ
โปรดใช้ Cloud Identity Groups API เพื่อสร้างกลุ่มและจัดการการเป็นสมาชิก หากต้องการเชื่อมโยงกลุ่มกับแหล่งที่มาของข้อมูลประจำตัว ให้ใช้ชื่อทรัพยากรแหล่งที่มาของข้อมูลประจำตัวเป็นเนมสเปซของกลุ่ม
ข้อมูลโค้ดต่อไปนี้แสดงวิธีสร้างกลุ่มโดยใช้ Cloud Identity Groups API
สร้าง ACL ของกลุ่ม
หากต้องการสร้าง ACL ของกลุ่ม ให้ใช้เมธอด getGroupPrincipal() เพื่อสร้างผู้ใช้หลักของกลุ่มโดยใช้รหัสภายนอกที่ระบุ จากนั้นสร้าง ACL โดยใช้คลาส Acl.Builder ดังนี้
เครื่องมือเชื่อมต่อข้อมูลประจำตัว
แม้ว่าคุณจะใช้รหัสภายนอกที่ไม่ใช่ของ Google เพื่อสร้าง ACL และรายการดัชนีได้ แต่ผู้ใช้จะไม่เห็นรายการในการค้นหาจนกว่ารหัสภายนอกจะเปลี่ยนเป็นรหัส Google ในไดเรกทอรีระบบคลาวด์ การตรวจสอบว่า Cloud Directory รู้ทั้งรหัส Google และรหัสภายนอกของผู้ใช้ทำได้ 3 วิธีดังนี้
- อัปเดตโปรไฟล์ผู้ใช้แต่ละรายการด้วยตนเองผ่านคอนโซลผู้ดูแลระบบ กระบวนการนี้แนะนำสำหรับการทดสอบและสร้างต้นแบบโดยใช้โปรไฟล์ผู้ใช้ไม่กี่โปรไฟล์เท่านั้น
- แมปรหัสภายนอกกับรหัส Google โดยใช้ Directory API เราแนะนำขั้นตอนนี้สำหรับผู้ที่ไม่สามารถใช้ Identity Connector SDK
- สร้างเครื่องมือเชื่อมต่อข้อมูลประจำตัวโดยใช้ Identity Connector SDK SDK นี้ช่วยลดความซับซ้อนในการใช้ Directory API เพื่อแมปรหัส
เครื่องมือเชื่อมต่อข้อมูลประจำตัวเป็นโปรแกรมที่ใช้แมปรหัสภายนอกจากข้อมูลประจำตัวขององค์กร (ผู้ใช้และกลุ่ม) กับข้อมูลประจำตัวภายในของ Google ที่ Google Cloud Search ใช้ หากต้องสร้างแหล่งที่มาของข้อมูลประจำตัว คุณต้องสร้างเครื่องมือเชื่อมต่อข้อมูลประจำตัว
Google Cloud Directory Sync (GCDS) เป็น ตัวอย่างของเครื่องมือเชื่อมต่อข้อมูลประจำตัว เครื่องมือเชื่อมต่อข้อมูลประจำตัวนี้จะแมปข้อมูลผู้ใช้และกลุ่มจาก Active Directory ของ Microsoft กับ Cloud Directory พร้อมกับแอตทริบิวต์ผู้ใช้ที่อาจแสดงถึงข้อมูลระบุตัวตนของผู้ใช้ในระบบอื่นๆ
ซิงค์ข้อมูลประจำตัวโดยใช้ REST API
ใช้เมธอด update
เพื่อซิงค์ข้อมูลประจำตัวโดยใช้ REST API
การแมปข้อมูลประจำตัวอีกครั้ง
หลังจากรีแมปข้อมูลประจำตัวของรายการกับข้อมูลประจำตัวอื่นแล้ว คุณต้องจัดทำดัชนีรายการอีกครั้งเพื่อให้ข้อมูลประจำตัวใหม่นั้นถูกระงับ ตัวอย่างเช่น
- หากพยายามนำการแมปออกจากผู้ใช้หรือแมปกับผู้ใช้อื่นใหม่ การแมปเดิมจะยังคงอยู่จนกว่าคุณจะจัดทำดัชนีอีกครั้ง
- หากคุณลบกลุ่มที่แมปแล้วซึ่งอยู่ใน ACL ของรายการ แล้วสร้างกลุ่มใหม่ที่มี
groupKey
เดียวกัน กลุ่มใหม่จะไม่ให้สิทธิ์เข้าถึงรายการจนกว่าจะมีการจัดทำดัชนีรายการอีกครั้ง