密码同步 - G-Suite


前提条件

在G-Suite中启用API访问

重要的:

  1. 进入Google管理控制台
  2. 使用您的G-Suite管理员账户登录。
  3. 创建新的项目,并命名为ADSelfService Plus
  4. 在左窗格中,点击链接。在G-Suite API下,找到Admin SDK并将其打开。
  5. 在左窗格中,点击凭证链接。
  6. 在右侧,点击创建凭证按钮并选择服务帐户密钥
  7. 点击服务帐户下的下拉框,然后选择新建服务帐户
  8. 输入服务帐户的名称,并为服务帐户提供项目所有者角色。
  9. 密钥类型选择P12并点击创建。您现在将收到一个P12文件。将此文件保存到您的计算机,然后点击关闭
  10. 点击管理服务账户链接。
  11. 点击您创建的服务帐户的选项,然后选择编辑
  12. 勾选启用G-Suite全域委派框,在产品名称同意界面文本框中输入名称,然后点击保存
  13. 点击“选项”列下的查看客户端ID链接,并复制客户端ID字段的值。
  14. 服务帐户邮件是服务帐户字段中提到的邮件。
  15. 使用下面提到的步骤向此服务帐户授予全域权限

将全域授权委派给您的服务帐户

您创建的服务帐户需要被授予对您要访问的G-Suite域的用户数据的访问权限。以下任务必须由G-Suite域的管理员执行。

  1. 进入您的Google域管理员控制台
  2. 从控件列表中选择安全
  3. 从选项列表中选择高级设置
  4. 身份验证部分中选择管理API客户端访问
  5. 客户端名称字段中,输入您先前复制的服务帐户的客户端ID

  6. 一个或多个API作用域字段中,输入您的应用应被授予访问权限的作用域列表。例如,如果需要对用户、组和组织单位进行域范围访问,请输入:
    https://www.googleapis.com/auth/admin.directory.user,
    https://www.googleapis.com/auth/admin.directory.group,
    https://www.googleapis.com/auth/admin.directory.orgunit

  7. 点击授权按钮。

现在,您的服务帐户可以对域中的所有用户访问Google Admin SDK Directory API。

在ADSelfService Plus中配置的步骤

  1. 使用管理员凭据登录ADSelfService Plus管理控制台。
  2. 点击应用
  3. 选择G-Suite应用。
    注意: 您还可以从左窗格中的搜索栏或右窗格中的字母导航选项中查找所需的G-Suite应用。
  4. 输入应用名称描述
  5. 输入您的G-Suite域的域名(例如: adselfserviceplus.com)
  6. 分配策略字段中,选择需要启用密码同步的策略。
    注意:ADSelfService Plus允许您为AD域创建基于OU和组的策略。创建新策略,请点击配置 → 自助服务 → 策略配置 → 新添策略
  7. 选择启用密码同步
  8. 输入G-Suite管理账户的用户名(例如: demo@adselfserviceplus.com)
  9. 输入上一步中从G-Suite创建的服务帐户邮件 (例如: 428499212222-9csoom2llko9292ro21rhm411214lkrh@developer.gserviceaccount.com)
  10. 选择G-Suite管理员帐户的相关P12密钥文件
  11. 点击添加应用
版权所有 © 2021, 卓豪(中国)技术有限公司,保留一切权利