Verschiedene Identitätssysteme synchronisieren

Die Zugriffssteuerung in Google Cloud Search basiert auf dem Google-Konto des Nutzers. Bei der Indexierung von Inhalten müssen alle ACLs für Elemente in gültige Google-Nutzer- oder Gruppen-IDs (E-Mail-Adressen) aufgelöst werden.

In vielen Fällen sind die Google-Konten in einem Repository nicht direkt bekannt. Stattdessen können Nutzer durch lokale Konten dargestellt werden oder die föderierte Anmeldung mit einem Identitätsanbieter und einer ID (außer der E-Mail-Adresse des Nutzers) verwenden, um jedes Konto zu identifizieren. Diese ID wird als externe ID bezeichnet.

Identitätsquellen, die in der Admin-Konsole erstellt werden, helfen dabei, die Lücke zwischen Identitätssystemen zu schließen, indem sie:

In folgenden Fällen sollten Identitätsquellen verwendet werden:

  • Das Repository enthält nicht die primäre E-Mail-Adresse des Nutzers in Google Workspace oder Google Cloud Directory.
  • Das Repository definiert Gruppen für die Zugriffssteuerung, die nicht den E-Mail-basierten Gruppen in Google Workspace entsprechen.

Identitätsquellen verbessern die Indexierungseffizienz, indem sie die Indexierung von der Identitätszuweisung entkoppeln. Durch diese Entkopplung können Sie das Aufrufen des Nutzers beim Erstellen von ACLs und beim Indexieren von Elementen auf später verschieben.

Beispiel für ein Deployment

Abbildung 1 zeigt ein Beispiel für eine Bereitstellung, bei der von einem Unternehmen sowohl lokale als auch Cloud-Repositories verwendet werden. Jedes Repository verwendet eine andere Art externer ID, um auf Nutzer zu verweisen.

Beispiel für ein Deployment
Abbildung 1. Beispiel für eine Unternehmensbereitstellung mit verschiedenen Identitätstypen

In Repository 1 wird der Nutzer anhand der E-Mail-Adresse identifiziert, die mit SAML bestätigt wird. Da Repository 1 die primäre E-Mail-Adresse des Nutzers in Google Workspace oder Cloud Directory kennt, ist keine Identitätsquelle erforderlich.

Repository 2 ist direkt in ein lokales Verzeichnis eingebunden. Der Nutzer wird über sein sAMAccountName-Attribut identifiziert. Da Repository 2 ein sAMAccountName-Attribut als externe ID verwendet, ist eine Identitätsquelle erforderlich.

Identitätsquelle erstellen

Wenn Sie eine Identitätsquelle benötigen, finden Sie im Hilfeartikel Nutzeridentitäten in Cloud Search zuordnen weitere Informationen.

Sie müssen eine Identitätsquelle erstellen, bevor Sie einen Inhaltsconnector erstellen, da Sie die ID der Identitätsquelle benötigen, um ACLs zu erstellen und Daten zu indexieren. Wie bereits erwähnt, wird beim Erstellen einer Identitätsquelle auch ein benutzerdefiniertes Nutzerattribut in Cloud Directory erstellt. Mit diesem Attribut können Sie die externe ID jedes Nutzers in Ihrem Repository aufzeichnen. Das Attribut wird nach der Konvention IDENTITY_SOURCE_ID_identity benannt.

Die folgende Tabelle zeigt zwei Identitätsquellen, eine mit SAM-Kontonamen (sAMAccountName) als externe IDs und eine mit Nutzer-IDs (UID) als externe IDs.

Identitätsquelle Nutzereigenschaft externe ID
id1 id1_identity sAMAccountName
id2 id2_identity uid

Erstellen Sie eine Identitätsquelle für jede mögliche externe ID, die verwendet wird, um auf einen Nutzer in Ihrem Unternehmen zu verweisen.

Die folgende Tabelle zeigt, wie ein Nutzer mit einem Google-Konto und zwei externen IDs (id1_identity und id2_identity) sowie deren Werte in Cloud Directory angezeigt wird:

Nutzer E-Mail id1_identity id2_identity
Anne ann@example.com beispiel\ann 1001

Beim Erstellen von ACLs für die Indexierung können Sie mit den drei verschiedenen IDs (Google-E-Mail-Adresse, sAMAccountName und UID) auf denselben Nutzer verweisen.

Nutzer-ACLs schreiben

Verwenden Sie die Methode getUserPrincpal() oder getGroupPrincipal(), um Hauptkonten mit einer bereitgestellten externen ID zu erstellen.

Das folgende Beispiel zeigt, wie Dateiberechtigungen abgerufen werden. Zu diesen Berechtigungen gehören auch die Namen der einzelnen Nutzer, die Zugriff auf die Datei haben.

FilePermissionSample.java
/**
 * Sample for mapping permissions from a source repository to Cloud Search
 * ACLs. In this example, POSIX file permissions are used a the source
 * permissions.
 *
 * @return Acl
 * @throws IOException if unable to read file permissions
 */
static Acl mapPosixFilePermissionToCloudSearchAcl(Path pathToFile) throws IOException {
  // Id of the identity source for external user/group IDs. Shown here,
  // but may be omitted in the SDK as it is automatically applied
  // based on the `api.identitySourceId` configuration parameter.
  String identitySourceId = "abcdef12345";

  // Retrieve the file system permissions for the item being indexed.
  PosixFileAttributeView attributeView = Files.getFileAttributeView(
      pathToFile,
      PosixFileAttributeView.class,
      LinkOption.NOFOLLOW_LINKS);

  if (attributeView == null) {
    // Can't read, return empty ACl
    return new Acl.Builder().build();
  }

  PosixFileAttributes attrs = attributeView.readAttributes();
  // ...
}

Das folgende Code-Snippet zeigt, wie mithilfe der in den Attributen gespeicherten externen ID (externalUserName) Hauptkonten erstellt werden, die Inhaber sind.

FilePermissionSample.java
// Owner, for search quality.
// Note that for principals the name is not the primary
// email address in Cloud Directory, but the local ID defined
// by the OS. Users and groups must be referred to by their
// external ID and mapped via an identity source.
List<Principal> owners = Collections.singletonList(
    Acl.getUserPrincipal(attrs.owner().getName(), identitySourceId)
);

Im folgenden Code-Snippet sehen Sie schließlich, wie Hauptkonten erstellt werden, die die Datei lesen.

FilePermissionSample.java
// List of users to grant access to
List<Principal> readers = new ArrayList<>();

// Add owner, group, others to readers list if permissions
// exist. For this example, other is mapped to everyone
// in the organization.
Set<PosixFilePermission> permissions = attrs.permissions();
if (permissions.contains(PosixFilePermission.OWNER_READ)) {
  readers.add(Acl.getUserPrincipal(attrs.owner().getName(), identitySourceId));
}
if (permissions.contains(PosixFilePermission.GROUP_READ)) {
  String externalGroupName = attrs.group().getName();
  Principal group = Acl.getGroupPrincipal(externalGroupName, identitySourceId);
  readers.add(group);
}
if (permissions.contains(PosixFilePermission.OTHERS_READ)) {
  Principal everyone = Acl.getCustomerPrincipal();
  readers.add(everyone);
}

Sobald Sie eine Liste der Leser und Inhaber haben, können Sie die ACL erstellen:

FilePermissionSample.java
// Build the Cloud Search ACL. Note that inheritance of permissions
// from parents is omitted. See `setInheritFrom()` and `setInheritanceType()`
// methods on the builder if required by your implementation.
Acl acl = new Acl.Builder()
    .setReaders(readers)
    .setOwners(owners)
    .build();

Die zugrunde liegende REST API verwendet beim Erstellen von Hauptkonten das Muster identitysources/IDENTITY_SOURCE_ID/users/EXTERNAL_ID als ID. Wenn Sie in den vorherigen Tabellen eine ACL mit dem id1_identity (SAMAccountName) von Ann erstellen, würde die ID so aufgelöst werden:

identitysources/id1_identity/users/example/ann

Diese gesamte ID wird als Zwischen-ID des Nutzers bezeichnet, da sie eine Brücke zwischen der externen ID und den in Cloud Directory gespeicherten Google-IDs bildet.

Weitere Informationen zur Modellierung der für ein Repository verwendeten ACLs finden Sie unter ACLs.

Gruppen zuordnen

Identitätsquellen dienen auch als Namespace für Gruppen, die in ACLs verwendet werden. Sie können diese Namespace-Funktion verwenden, um Gruppen zu erstellen und zuzuordnen, die nur zu Sicherheitszwecken verwendet werden oder die sich lokal in einem Repository befinden.

Verwenden Sie die Cloud Identity Groups API, um eine Gruppe zu erstellen und die Mitgliedschaften zu verwalten. Wenn Sie die Gruppe mit einer Identitätsquelle verknüpfen möchten, verwenden Sie den Ressourcennamen der Identitätsquelle als Gruppen-Namespace.

Das folgende Code-Snippet zeigt, wie Sie eine Gruppe mit der Cloud Identity Groups API erstellen:

CreateGroupCommand.java
String namespace = "identitysources/" + idSource;
Group group = new Group()
    .setGroupKey(new EntityKey().setNamespace(namespace).setId(groupId))
    .setDescription("Demo group")
    .setDisplayName(groupName)
    .setLabels(Collections.singletonMap("system/groups/external", ""))
    .setParent(namespace);
try {
  CloudIdentity service = Utils.buildCloudIdentityService();
  Operation createOperation = service.groups().create(group).execute();

  if (createOperation.getDone()) {
    // Note: The response contains the data for a Group object, but as
    // individual fields. To convert to a Group instance, either populate
    // the fields individually or serialize & deserialize to/from JSON.
    //
    // Example:
    // String json = service.getJsonFactory().toString(response);
    // Group createdGroup =  service.getObjectParser()
    //     .parseAndClose(new StringReader(json), Group.class);
    System.out.printf("Group: %s\n",
        createOperation.getResponse().toString());
  } else {
    // Handle case where operation not yet complete, poll for
    // completion. API is currently synchronous and all operations return
    // as completed.
    // ...
  }
} catch (Exception e) {
  System.err.printf("Unable to create group: %s", e.getMessage());
  e.printStackTrace(System.err);
}

Gruppen-ACLs erstellen

Verwenden Sie zum Erstellen einer Gruppen-ACL die Methode getGroupPrincipal(), um ein Gruppenhauptkonto mit einer bereitgestellten externen ID zu erstellen. Anschließend erstellen Sie die ACL mithilfe der Klasse Acl.Builder so:

FilePermissionSample.java
if (permissions.contains(PosixFilePermission.GROUP_READ)) {
  String externalGroupName = attrs.group().getName();
  Principal group = Acl.getGroupPrincipal(externalGroupName, identitySourceId);
  readers.add(group);
}

Identitätsconnectors

Sie können zwar externe IDs, die nicht von Google stammen, zum Erstellen von ACLs und Indexelementen verwenden. Nutzer können jedoch Elemente in einer Suche erst sehen, wenn ihre externen IDs in eine Google-ID in Cloud Directory aufgelöst werden. Es gibt drei Möglichkeiten, dafür zu sorgen, dass Cloud Directory sowohl die Google-ID als auch die externen IDs eines Nutzers kennt:

Identitätsconnectors sind Programme, mit denen externe IDs von Unternehmensidentitäten (Nutzer und Gruppen) internen Google-Identitäten zugeordnet werden, die von Google Cloud Search verwendet werden. Wenn Sie eine Identitätsquelle erstellen müssen, müssen Sie einen Identitätsconnector erstellen.

Google Cloud Directory Sync (GCDS) ist ein Beispiel für einen Identitätsconnector. Dieser Identitätsconnector ordnet Nutzer- und Gruppeninformationen aus Active Directory von Microsoft Cloud Directory zusammen mit den Nutzerattributen zu, die ihre Identität in anderen Systemen darstellen können.

Identitäten mit der REST API synchronisieren

Verwenden Sie die Methode update, um Identitäten mit der REST API zu synchronisieren.

Identitäten neu zuordnen

Nachdem Sie die Identität eines Elements einer anderen Identität neu zugeordnet haben, müssen Sie die Elemente neu indexieren, damit die neue Identität übernommen wird. Beispiel:

  • Wenn Sie versuchen, eine Zuordnung eines Nutzers zu entfernen oder sie einem anderen Nutzer neu zuzuordnen, bleibt die ursprüngliche Zuordnung so lange erhalten, bis Sie sie neu indexieren.
  • Wenn Sie eine zugeordnete Gruppe löschen, die in einer Element-ACL vorhanden ist, und dann eine neue Gruppe mit derselben groupKey erstellen, gewährt die neue Gruppe erst dann Zugriff auf das Element, wenn das Element neu indexiert wird.