Synchronisation mit Google Workspace
Dieser Artikel wird Ihnen helfen, den Directory Connector zu verwenden, um Benutzer und Gruppen aus Ihrem Google Workspace (ehemals "G Suite") Verzeichnis mit Ihrer Bitwarden Organisation zu synchronisieren.
Um die Verzeichnissynchronisation mit Google Workspace (ehemals "G Suite") einzurichten, benötigen Sie Zugang zum Google Workspace Administrator Portal und zur Google Cloud Platform Konsole. Der Directory Connector benötigt Informationen, die aus diesen Prozessen gewonnen wurden, um ordnungsgemäß zu funktionieren.
Führen Sie die folgenden Schritte aus, um ein Google Cloud-Projekt zu erstellen, das Sie verwenden können, um den Directory Connector mit Ihrem Verzeichnis zu verbinden. Wenn Sie bereits ein Google Cloud-Projekt zur Verfügung haben, springen Sie zu Admin SDK aktivieren:
Im GCP-Konsole, wählen Sie die Projekt erstellen Schaltfläche.
Geben Sie einen Bitwarden-spezifischen Namen für das Projekt ein (zum Beispiel,
bitwarden-dc-project) und wählen Sie die Erstellen Schaltfläche.
Führen Sie die folgenden Schritte aus, um die Admin SDK API zu aktivieren, an die der Directory Connector Anfragen stellen wird:
Im GCP-Konsole wählen Sie das erstellte oder bereits vorhandene Projekt aus.
Wählen Sie aus der linken Navigation APIs & Dienste → Bibliothek.
Geben Sie in das Suchfeld
Admin SDKein und öffnen Sie den Admin SDK API Dienst.Wählen Sie die Schaltfläche Aktivieren.
Führen Sie die folgenden Schritte aus, um ein Dienstkonto zu erstellen, das Sie bei API-Aufrufen verwenden können:
Im GCP-Konsole wählen Sie das erstellte oder bereits vorhandene Projekt aus.
Wählen Sie aus der linken Navigation APIs & Dienste → Anmeldedaten.
Wählen Sie die Schaltfläche Anmeldedaten erstellen und wählen Sie Dienstkonto aus dem Dropdown-Menü.
Füllen Sie den Abschnitt Details zum Service-Konto aus und wählen Sie die Schaltfläche Erstellen.
Im Abschnitt Diesem Servicekonto Zugriff auf das Projekt gewähren, wählen Sie Projekt → Eigentümer aus dem Rolle Dropdown-Menü und klicken Sie auf die Schaltfläche Fortsetzen.
Wählen Sie die Fertig Schaltfläche.
Führen Sie die folgenden Schritte aus, um die entsprechenden Berechtigungen für das erstellte Dienstkonto zu erhalten:
Im GCP-Konsole wählen Sie das erstellte oder bereits vorhandene Projekt aus.
Wählen Sie in der linken Navigation IAM & Administrator → Service Konten.
Wählen Sie das erstellte Service-Konto aus.
Auf der Seite mit den Details zum Servicekonto wählen Sie die Schaltfläche Schlüssel hinzufügen und wählen Sie Neuen Schlüssel erstellen aus dem Dropdown-Menü.
Wählen Sie den Schlüsseltyp JSON und klicken Sie auf die Schaltfläche Erstellen, um einen JSON-formatierten Schlüssel auf Ihren lokalen Rechner herunterzuladen.
Zurück auf der Detailseite Ihres Service-Kontos, wählen Sie das Dropdown-Menü Domain-weite Delegation anzeigen.
Folgen Sie diesen Schritten, um die delegierte Domain-weite Autorität zu aktivieren.
Geben Sie einen Produktnamen für den Zustimmungsbildschirm ein.
Wählen Sie Speichern.
Führen Sie die folgenden Schritte aus, um dem Client die Berechtigung zum Lesen Ihres Verzeichnisses zu erteilen:
Öffnen Sie das Google Administrator Portal.
Wählen Sie aus der linken Navigation Sicherheit → API-Kontrollen.
Wählen Sie die Schaltfläche Domainweite Delegation verwalten.
Wählen Sie die Schaltfläche Neu hinzufügen.
Fügen Sie die erstellte Client ID in das Feld "Client ID" ein.
Um die erstellte Client-ID abzurufen, öffnen Sie die GCP-Konsole und navigieren Sie zu API & Dienste → Anmeldedaten.
Im OAuth-Berechtigungsfeld fügen Sie den folgenden Wert ein, um nur schreibgeschützten Zugriff zu gewähren:
Bashhttps://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.group.member.readonlyWählen Sie die Autorisieren Schaltfläche.
Führen Sie die folgenden Schritte aus, um den Directory Connector für die Verwendung Ihres Google-Verzeichnisses zu konfigurieren:
Öffnen Sie die Directory Connector Desktop-App.
Navigieren Sie zum Einstellungen Tab.
Wählen Sie aus dem Typ-Dropdown G Suite (Google) aus.
Die verfügbaren Felder in diesem Abschnitt ändern sich je nach Ihrem ausgewählten Typ.
Geben Sie die Domain Ihres Google-Kontos ein.
Geben Sie die E-Mail-Adresse eines Administrator Benutzers mit vollständigem Zugriff auf Ihr Google-Verzeichnis ein.
Falls vorhanden, geben Sie die Kunden-ID Ihres Verzeichnisses ein. Viele Benutzer werden keine Kunden-ID haben oder müssen diese nicht eingeben.
Wählen Sie die Schaltfläche Datei auswählen und wählen Sie den heruntergeladenen JSON-Schlüssel aus.
Tipp
When you're finished configuring, navigate to the More tab and select the Clear Sync Cache button to prevent potential conflicts with prior sync operations. For more information, see Clear Sync Cache.
Führen Sie die folgenden Schritte aus, um die Einstellung zu konfigurieren, die verwendet wird, wenn die Synchronisation mit dem Directory Connector durchgeführt wird:
Öffnen Sie die Directory Connector Desktop-App.
Navigieren Sie zum Einstellungen Tab.
Im Abschnitt Synchronisation konfigurieren Sie die folgenden Optionen nach Wunsch:
Option | Beschreibung |
|---|---|
Intervall | Zeit zwischen automatischen Synchronisationsprüfungen (in Minuten). |
Entfernen Sie deaktivierte Benutzer während der Synchronisation | Markieren Sie dieses Kästchen, um Benutzer aus der Bitwarden Organisation zu entfernen, die in Ihrem Verzeichnis deaktiviert wurden. |
Überschreiben Sie vorhandene Benutzer der Organisation basierend auf den aktuellen Synchronisationseinstellungen | Markieren Sie dieses Kästchen, um immer eine vollständige Synchronisation durchzuführen und alle Benutzer aus der Bitwarden Organisation zu entfernen, wenn sie nicht im synchronisierten Benutzersatz enthalten sind. |
Es wird erwartet, dass mehr als 2000 Benutzer oder Gruppen eine Synchronisation durchführen. | Markieren Sie dieses Kästchen, wenn Sie erwarten, 2000+ Benutzer oder Gruppen zu synchronisieren. Wenn Sie dieses Kästchen nicht ankreuzen, wird der Directory Connector eine Synchronisation auf 2000 Benutzer oder Gruppen beschränken. |
Benutzer synchronisieren | Markieren Sie dieses Kästchen, um Benutzer mit Ihrer Organisation zu synchronisieren. |
Benutzerfilter | |
Gruppen Synchronisation | Markieren Sie dieses Kästchen, um Gruppen mit Ihrer Organisation zu synchronisieren. |
Gruppenfilter |
Verwenden Sie durch Kommas getrennte Listen, um basierend auf der Benutzer-E-Mail-Adresse oder Gruppe eine Synchronisation einzuschließen oder auszuschließen.
Die Admin SDK API bietet begrenzte Filterfunktionen für Benutzer und Gruppen mit einem Abfrage Parameter. Um mehr zu erfahren:
Benutzerfilter
Die folgenden Filter-Syntaxen sollten im Feld Benutzerfilter verwendet werden:
Benutzer per E-Mail-Adresse einbeziehen/ausschließen
Um bestimmte Benutzer basierend auf der E-Mail-Adresse in eine Synchronisation einzubeziehen oder auszuschließen:
Bashinclude:joe@example.com,bill@example.com,tom@example.com
Bashexclude:joe@example.com,bill@example,tom@example.com
Verknüpfen Sie mit Abfrage
Um einen Benutzerfilter mit dem Abfrage-Parameter zu verketten, verwenden Sie ein Pipe-Zeichen (|):
Bashinclude:john@example.com,bill@example.com|orgName=Engineering orgTitle:Manager
Bashexclude:john@example.com,bill@example.com|orgName=Engineering orgTitle:Manager
Verwenden Sie nur Abfrage
Um nur den Abfrage-Parameter zu verwenden, stellen Sie der Abfrage ein Pipe-Zeichen (|) voran:
Bash|orgName=Engineering orgTitle:Manager
Gruppenfilter
Hinweis
Syncing nested groups is not supported by Google Workspace.
Die folgenden Filtersyntaxen sollten im Feld Gruppenfilter verwendet werden:
Gruppen einbeziehen/ausschließen
Um Gruppen basierend auf dem Gruppennamen in eine Synchronisation einzubeziehen oder auszuschließen:
Bashinclude:Group A,Group B
Bashexclude:Group A,Group B
Gruppen mit Platzhalter einbeziehen
Bash|name:*marketing*
Platzhalter * werden auf beiden Seiten des Suchparameters unterstützt. Zusätzlich ist die Suche nicht auf Groß- und Kleinschreibung angewiesen.
Verknüpfen Sie mit Abfrage
Um einen Gruppenfilter mit dem Abfrage-Parameter zu verketten, verwenden Sie ein Pipe (|):
Bashinclude:name='Engineering'|email:admin*Bashexclude:name='Engineering'|email:admin*Verwenden Sie nur Abfrage
Um nur den Abfrage-Parameter zu verwenden, stellen Sie der Abfrage ein Pipe-Zeichen (|) voran:
Bash|memberKey=user@company.com
Tipp
Before testing or executing a sync, check that Directory Connector is connected to the right cloud server (e.g. US or EU) or self-hosted server. Learn how to do so with the desktop app or CLI.
Um zu testen, ob der Directory Connector erfolgreich eine Verbindung zu Ihrem Verzeichnis herstellt und die gewünschten Benutzer und Gruppen zurückgibt, navigieren Sie zum Dashboard Tab und wählen Sie die Jetzt testen Schaltfläche aus. Wenn erfolgreich, werden Benutzer und Gruppen gemäß den angegebenen Synchronisationsoptionen und Filtern im Directory Connector-Fenster angezeigt:
Sobald die Synchronisationsoptionen und Filter konfiguriert und getestet sind, können Sie mit der Synchronisation beginnen. Führen Sie die folgenden Schritte aus, um die automatische Synchronisation mit dem Directory Connector zu starten:
Öffnen Sie die Directory Connector Desktop-App.
Navigieren Sie zum Dashboard Tab.
Im Abschnitt Synchronisation, wählen Sie die Schaltfläche Synchronisation starten.
Sie können alternativ die Schaltfläche Jetzt synchronisieren auswählen, um eine einmalige manuelle Synchronisation auszuführen.
Der Directory Connector beginnt mit dem Abfragen Ihres Verzeichnisses basierend auf den konfigurierten Synchronisationsoptionen und Filtern.
Wenn Sie die Anwendung beenden oder schließen, wird die automatische Synchronisation gestoppt. Um den Directory Connector im Hintergrund laufen zu lassen, minimieren Sie die Anwendung oder verstecken Sie sie im Infobereich.
Hinweis
Wenn Sie den Teams Starter Plan haben, sind Sie auf 10 Mitglieder begrenzt. Der Directory Connector zeigt einen Fehler an und stoppt die Synchronisation, wenn Sie versuchen, mehr als 10 Mitglieder zu synchronisieren.