与G-Suite的密码同步

前提条件

在G-Suite中启用API访问的步骤

1. 前往 Google 管理员控制台
2. 使用您的 G-Suite 管理员账户登录
3. 创建一个名为 ADSelfService Plus 的新项目
4. 在左侧窗格中，点击 Library 链接。在 G-Suite APIs 下，找到 Admin SDK 并将其开启。
5. 在左侧窗格中，点击 Credentials 链接
6. 在右侧，点击 Create Credentials 按钮并选择 Service Account Key。
7. 点击 Service account 下拉菜单并选择 New service account。
8. 为服务账户输入一个名称，并为服务账户提供项目所有者的角色。
9. 选择 Key type 为 P12 并点击 Create。现在您将收到一个 P12 文件。将此文件保存到您的计算机并点击 Close。
10. 点击 Manage service accounts 链接。
11. 点击您创建的服务账户选项并选择 Edit。
12. 勾选 Enable G-Suite Domain-wide Delegation 旁的复选框，在 Product name for the consent screen 文本框中输入一个名称并点击 Save。
13. 点击选项列下的 View Client ID 链接，并复制客户端 ID 字段对应的值。
14. 服务账户电子邮件是 Service account 字段中提到的。
15. 授予域范围的权限 给这个服务账号，使用下面提到的步骤。

将域范围权限委派给您的服务账号

您创建的服务账号需要被授予访问您希望访问的 G-Suite 域的用户数据的权限。以下任务必须由 G-Suite 域的管理员执行。

1. 进入您的 Google 域的 管理员控制台。
2. 从控制列表中选择 Security。
3. 从选项列表中选择 Advanced settings。
4. 在 Authentication 部分中，选择 Manage API client access。
5. 在 Client name 字段中，输入您之前复制的服务账户的 Client ID。

6. 在 One or More API Scopes 字段中，输入您的应用程序应被授予访问权限的范围列表。例如，如果您需要对用户、组和组织单位的域范围访问权限，请输入：
   https://www.googleapis.com/auth/admin.directory.user,
   https://www.googleapis.com/auth/admin.directory.group,
   https://www.googleapis.com/auth/admin.directory.orgunit

7. 点击 Authorize 按钮。

现在，您的服务账户对您域中所有用户的 Google Admin SDK 目录 API 拥有域范围的访问权限。

配置 G-Suite 与 ADSelfService Plus 的步骤

1. 使用管理员凭证登录 ADSelfService Plus 管理控制台。
2. 导航到 Configuration → Self-Service → Password Sync/ Single Sign On。
3. 选择 G-Suite 应用程序。
   注意： 您还可以从左侧窗格的搜索栏或右侧窗格的按字母导航选项中找到所需的 G-Suite 应用程序。
4. 输入 应用程序名称 和 描述 .
5. 输入您的 G-Suite 域的域名（例如：adselfserviceplus.com）。
6. 在分配策略字段中，选择需要启用密码同步的策略。
   注意：ADSelfService Plus 允许为您的 AD 域创建基于组织单位和组的策略。要创建策略，请转到配置 → 自助服务 → 策略配置 → 添加新策略。
7. 选择启用密码同步。
8. 输入 G-Suite 管理员账户的用户名（例如：demo@adselfserviceplus.com）。
9. 输入在上一步中从 G-Suite 创建的服务帐户邮箱（例如：428499212222-9csoom2llko9292ro21rhm411214lkrh@developer.gserviceaccount.com）。
10. 选择 G-Suite 管理员账户的相关P12 密钥文件。
11. 点击添加应用程序。