مزامنة أنظمة هوية مختلفة

تستند عناصر التحكّم في الوصول في Google Cloud Search إلى حساب المستخدم على Google. عند فهرسة المحتوى، يجب أن يتم تحويل جميع قوائم التحكّم بالوصول إلى أرقام تعريف (عناوين بريد إلكتروني) صالحة لمستخدمي Google أو مجموعات Google.

في كثير من الحالات، لا يتوفّر لدى المستودع معلومات مباشرة عن حسابات Google. بدلاً من ذلك، يمكن تمثيل المستخدمين من خلال حسابات محلية أو استخدام تسجيل الدخول الموحّد مع موفّر خدمة هوية ومعرّف آخر غير عنوان البريد الإلكتروني للمستخدم لتحديد كل حساب. يُطلق على هذا المعرّف اسم المعرّف الخارجي.

تساعد مصادر الهوية التي يتم إنشاؤها باستخدام "وحدة تحكّم المشرف" في سدّ هذه الفجوة بين أنظمة الهوية من خلال ما يلي:

استخدِم مصادر الهوية في الحالات التالية:

  • لا يتضمّن المستودع معلومات عن عنوان البريد الإلكتروني الأساسي للمستخدم في Google Workspace أو "دليل Google Cloud".
  • يحدّد المستودع مجموعات للتحكّم في الوصول لا تتطابق مع المجموعات المستندة إلى البريد الإلكتروني في Google Workspace.

تساهم مصادر الهوية في تحسين كفاءة الفهرسة من خلال فصل الفهرسة عن عملية تحديد الهوية. يتيح لك هذا الفصل تأجيل البحث عن المستخدم عند إنشاء قوائم التحكم بالوصول وفهرسة العناصر.

مثال على عملية النشر

يعرض الشكل 1 مثالاً على عملية نشر تستخدم فيها إحدى المؤسسات مستودعات محلية ومستندة إلى السحابة الإلكترونية. يستخدم كل مستودع نوعًا مختلفًا من أرقام التعريف الخارجية للإشارة إلى المستخدمين.

مثال على عملية النشر
الشكل 1. مثال على عملية نشر على مستوى المؤسسة باستخدام أنواع مختلفة من الهويات

يحدّد المستودع 1 هوية المستخدم باستخدام عنوان البريد الإلكتروني الذي تم تأكيده باستخدام SAML. بما أنّ المستودع 1 يعرف عنوان البريد الإلكتروني الأساسي للمستخدم في Google Workspace أو Cloud Directory، لا يلزم توفُّر مصدر هوية.

يتكامل المستودع 2 مباشرةً مع دليل محلي ويحدّد المستخدم من خلال سمة sAMAccountName. بما أنّ المستودع 2 يستخدم السمة sAMAccountName كمعرّف خارجي، يجب توفير مصدر هوية.

إنشاء مصدر هوية

إذا كنت بحاجة إلى مصدر هوية، يُرجى الاطّلاع على مقالة ربط هويات المستخدمين في Cloud Search.

يجب إنشاء مصدر هوية قبل إنشاء أداة ربط محتوى لأنّك ستحتاج إلى معرّف مصدر الهوية لإنشاء قوائم التحكّم بالوصول وفهرسة البيانات. كما ذكرنا سابقًا، يؤدي إنشاء مصدر هوية أيضًا إلى إنشاء سمة مستخدم مخصّصة في "دليل السحابة الإلكترونية". استخدِم هذه السمة لتسجيل المعرّف الخارجي لكل مستخدم في المستودع. تتم تسمية السمة باستخدام الاصطلاح IDENTITY_SOURCE_ID_identity.

يعرض الجدول التالي مصدرَي هوية، أحدهما لتخزين أسماء حسابات SAM (sAMAccountName) كمعرّفات خارجية، والآخر لتخزين أرقام تعريف المستخدمين (uid) كمعرّفات خارجية.

مصدر الهوية خاصيّة المستخدم المعرّف الخارجي
id1 id1_identity sAMAccountName
id2 id2_identity uid

أنشئ مصدر هوية لكل رقم تعريف خارجي محتمل يتم استخدامه للإشارة إلى مستخدم في مؤسستك.

يوضّح الجدول التالي كيف يظهر مستخدم لديه حساب Google ومعرّفان خارجيان (id1_identity وid2_identity) وقيمهما في Cloud Directory:

المستخدم بريد إلكتروني id1_identity id2_identity
منى ann@example.com example\ann 1001

يمكنك الرجوع إلى المستخدم نفسه باستخدام المعرّفات الثلاثة المختلفة (عنوان البريد الإلكتروني على Google وsAMAccountName وuid) عند إنشاء قوائم التحكّم بالوصول للفهرسة.

كتابة قوائم التحكم بالوصول الخاصة بالمستخدمين

استخدِم طريقة getUserPrincpal() أو طريقة getGroupPrincipal() لإنشاء كيانات أساسية باستخدام معرّف خارجي تم توفيره.

يوضّح المثال التالي كيفية استرداد أذونات الملف. وتتضمّن هذه الأذونات اسم كل مستخدم لديه إذن الوصول إلى الملف.

FilePermissionSample.java
/**
 * Sample for mapping permissions from a source repository to Cloud Search
 * ACLs. In this example, POSIX file permissions are used a the source
 * permissions.
 *
 * @return Acl
 * @throws IOException if unable to read file permissions
 */
static Acl mapPosixFilePermissionToCloudSearchAcl(Path pathToFile) throws IOException {
  // Id of the identity source for external user/group IDs. Shown here,
  // but may be omitted in the SDK as it is automatically applied
  // based on the `api.identitySourceId` configuration parameter.
  String identitySourceId = "abcdef12345";

  // Retrieve the file system permissions for the item being indexed.
  PosixFileAttributeView attributeView = Files.getFileAttributeView(
      pathToFile,
      PosixFileAttributeView.class,
      LinkOption.NOFOLLOW_LINKS);

  if (attributeView == null) {
    // Can't read, return empty ACl
    return new Acl.Builder().build();
  }

  PosixFileAttributes attrs = attributeView.readAttributes();
  // ...
}

يوضّح مقتطف الرمز البرمجي التالي كيفية إنشاء كيانات أساسية مالكة باستخدام المعرّف الخارجي (externalUserName) المخزّن في السمات.

FilePermissionSample.java
// Owner, for search quality.
// Note that for principals the name is not the primary
// email address in Cloud Directory, but the local ID defined
// by the OS. Users and groups must be referred to by their
// external ID and mapped via an identity source.
List<Principal> owners = Collections.singletonList(
    Acl.getUserPrincipal(attrs.owner().getName(), identitySourceId)
);

أخيرًا، يوضّح مقتطف الرمز التالي كيفية إنشاء كيانات أساسية يمكنها قراءة الملف.

FilePermissionSample.java
// List of users to grant access to
List<Principal> readers = new ArrayList<>();

// Add owner, group, others to readers list if permissions
// exist. For this example, other is mapped to everyone
// in the organization.
Set<PosixFilePermission> permissions = attrs.permissions();
if (permissions.contains(PosixFilePermission.OWNER_READ)) {
  readers.add(Acl.getUserPrincipal(attrs.owner().getName(), identitySourceId));
}
if (permissions.contains(PosixFilePermission.GROUP_READ)) {
  String externalGroupName = attrs.group().getName();
  Principal group = Acl.getGroupPrincipal(externalGroupName, identitySourceId);
  readers.add(group);
}
if (permissions.contains(PosixFilePermission.OTHERS_READ)) {
  Principal everyone = Acl.getCustomerPrincipal();
  readers.add(everyone);
}

بعد الحصول على قائمة بالقراء والمالكين، يمكنك إنشاء قائمة التحكّم بالوصول باتّباع الخطوات التالية:

FilePermissionSample.java
// Build the Cloud Search ACL. Note that inheritance of permissions
// from parents is omitted. See `setInheritFrom()` and `setInheritanceType()`
// methods on the builder if required by your implementation.
Acl acl = new Acl.Builder()
    .setReaders(readers)
    .setOwners(owners)
    .build();

تستخدم واجهة برمجة التطبيقات الأساسية REST النمط identitysources/IDENTITY_SOURCE_ID/users/EXTERNAL_ID للمعرّف عند إنشاء الجهات الرئيسية. بالرجوع إلى الجداول السابقة، إذا أنشأت قائمة ACL باستخدام id1_identity (SAMAccountName) الخاص بـ &quot;آنا&quot;، سيتم تحديد المعرّف على النحو التالي:

identitysources/id1_identity/users/example/ann

يُطلق على هذا المعرّف الكامل اسم المعرّف الوسيط للمستخدم، لأنّه يوفّر وسيلة ربط بين المعرّف الخارجي ومعرّفات Google المخزّنة في "دليل Cloud".

لمزيد من المعلومات حول تصميم قوائم التحكّم بالوصول المستخدَمة للمستودع، راجِع قوائم التحكّم بالوصول.

مجموعات الخرائط

تعمل مصادر الهوية أيضًا كمساحة اسم للمجموعات المستخدَمة في قوائم التحكّم بالوصول. يمكنك استخدام ميزة مساحة الاسم هذه لإنشاء مجموعات وربطها، وتُستخدم هذه المجموعات لأغراض أمان فقط أو تكون محلية لمستودع.

استخدِم Cloud Identity Groups API لإنشاء مجموعة وإدارة الاشتراكات. لربط المجموعة بمصدر هوية، استخدِم اسم مورد مصدر الهوية كاسم مساحة اسم المجموعة.

يعرض مقتطف الرمز التالي كيفية إنشاء مجموعة باستخدام Cloud Identity Groups API:

CreateGroupCommand.java
String namespace = "identitysources/" + idSource;
Group group = new Group()
    .setGroupKey(new EntityKey().setNamespace(namespace).setId(groupId))
    .setDescription("Demo group")
    .setDisplayName(groupName)
    .setLabels(Collections.singletonMap("system/groups/external", ""))
    .setParent(namespace);
try {
  CloudIdentity service = Utils.buildCloudIdentityService();
  Operation createOperation = service.groups().create(group).execute();

  if (createOperation.getDone()) {
    // Note: The response contains the data for a Group object, but as
    // individual fields. To convert to a Group instance, either populate
    // the fields individually or serialize & deserialize to/from JSON.
    //
    // Example:
    // String json = service.getJsonFactory().toString(response);
    // Group createdGroup =  service.getObjectParser()
    //     .parseAndClose(new StringReader(json), Group.class);
    System.out.printf("Group: %s\n",
        createOperation.getResponse().toString());
  } else {
    // Handle case where operation not yet complete, poll for
    // completion. API is currently synchronous and all operations return
    // as completed.
    // ...
  }
} catch (Exception e) {
  System.err.printf("Unable to create group: %s", e.getMessage());
  e.printStackTrace(System.err);
}

إنشاء قائمة التحكّم بالوصول (ACL) للمجموعة

لإنشاء قائمة التحكّم بالوصول (ACL) الخاصة بالمجموعة، استخدِم طريقة getGroupPrincipal() لإنشاء أساس المجموعة باستخدام معرّف خارجي تم توفيره. بعد ذلك، أنشئ قائمة ACL باستخدام فئة Acl.Builder على النحو التالي:

FilePermissionSample.java
if (permissions.contains(PosixFilePermission.GROUP_READ)) {
  String externalGroupName = attrs.group().getName();
  Principal group = Acl.getGroupPrincipal(externalGroupName, identitySourceId);
  readers.add(group);
}

موصّلات الهوية

على الرغم من أنّه يمكنك استخدام معرّفات خارجية غير تابعة لـ Google لإنشاء قوائم التحكّم بالوصول وفهرسة العناصر، لا يمكن للمستخدمين رؤية العناصر في نتائج البحث إلى أن يتم ربط معرّفاتهم الخارجية بمعرّف Google في Cloud Directory. هناك ثلاث طرق للتأكّد من أنّ Cloud Directory يعرف كلاً من معرّف Google والمعرّفات الخارجية للمستخدم:

  • تعديل كل ملف شخصي للمستخدم يدويًا من خلال وحدة تحكّم المشرف لا يُنصح بهذه العملية إلا للاختبار وإنشاء النماذج الأولية باستخدام عدد قليل من الملفات الشخصية للمستخدمين.
  • ربط المعرّفات الخارجية بمعرّفات Google باستخدام Directory API ننصح بهذه العملية المستخدمين الذين لا يمكنهم استخدام حزمة تطوير البرامج (SDK) الخاصة بأداة Identity Connector.
  • إنشاء موصّل هوية باستخدام Identity Connector SDK تسهّل حزمة SDK هذه استخدام Directory API لربط أرقام التعريف.

موصّلات الهوية هي برامج تُستخدم لربط أرقام التعريف الخارجية من هويات المؤسسات (المستخدمين والمجموعات) بهويات Google الداخلية التي تستخدمها Google Cloud Search. إذا كان عليك إنشاء مصدر هوية، يجب إنشاء موصّل هوية.

أداة مزامنة دليل Google Cloud ‏ (GCDS) هي مثال على أداة ربط الهوية. يربط موصّل الهوية هذا معلومات المستخدمين والمجموعات من Active Directory التابع لـ Microsoft بخدمة Cloud Directory، بالإضافة إلى سمات المستخدمين التي قد تمثّل هويتهم في أنظمة أخرى.

مزامنة الهويات باستخدام REST API

استخدِم طريقة update لمزامنة الهويات باستخدام واجهة REST API.

إعادة تحديد الهويات

بعد إعادة ربط هوية عنصر بهوية أخرى، يجب إعادة فهرسة العناصر لكي يتم تطبيق الهوية الجديدة. على سبيل المثال:

  • إذا حاولت إزالة عملية ربط من مستخدم أو إعادة ربطها بمستخدم آخر، سيتم الاحتفاظ بعملية الربط الأصلية إلى أن تعيد الفهرسة.
  • في حال حذفت مجموعة مرتبطة موجودة في قائمة التحكّم بالوصول الخاصة بأحد العناصر، ثم أنشأت مجموعة جديدة تحمل groupKey نفسه، لن تتيح المجموعة الجديدة الوصول إلى العنصر إلى أن تتم إعادة فهرسته.