Synkronisera med Google Workspace

Den här artikeln hjälper dig att komma igång med att använda Directory Connector för att synkronisera användare och grupper från din Google Workspace-katalog (tidigare "G Suite") till din Bitwarden-organisation.

För att konfigurera katalogsynkronisering med Google Workspace (tidigare "G Suite") behöver du åtkomst till Google Workspace Admin Portal och Google Cloud Platform Console. Directory Connector kräver information som erhålls från dessa processer för att fungera korrekt.

Slutför följande steg för att skapa ett Google Cloud-projekt som du kan använda för att ansluta Directory Connector till din katalog. Om du redan har ett tillgängligt Google Cloud-projekt, hoppa till Aktivera Admin SDK:

1. I GCP-konsolen använder du navigeringen till vänster för att välja IAM & Admin → Hantera resurser.

2. Välj knappen Skapa projekt.

3. På skärmen Nytt projekt:

   • Ange ett Bitwarden-specifikt namn för projektet (till exempel bitwarden-dc-project).

   • Välj en organisation att koppla den till projektet.

   • Välj överordnad organisation eller mapp.

   • Välj Skapa.

Slutför följande steg för att aktivera Admin SDK API, som Directory Connector gör förfrågningar till:

1. Öppna det skapade eller redan existerande projektet i GCP-konsolen.

2. Från navigeringen till vänster väljer du API:er och tjänster → Bibliotek.

3. I sökrutan anger du Admin SDK och öppnar Admin SDK API-tjänsten.

4. Välj knappen Aktivera.

Utför följande steg för att skapa ett tjänstkonto att använda när du gör API-anrop:

1. I GCP-konsolen väljer du det skapade eller redan existerande projektet.

2. Från navigeringen till vänster väljer du API:er och tjänster → Inloggningsuppgifter.

3. Välj knappen Skapa inloggningsuppgifter och välj Servicekonto från rullgardinsmenyn.

4. Fyll i avsnittet Servicekontodetaljer och välj knappen Skapa och fortsätt.

5. I avsnittet Ge det här tjänstekontot åtkomst till projekt väljer du Projekt → Ägare från rullgardinsmenyn Roll och väljer knappen Fortsätt.

6. Välj knappen Klar.

Utför följande steg för att få lämpliga behörigheter för det skapade tjänstkontot:

1. Öppna det skapade eller redan existerande projektet i GCP-konsolen.

2. Från den vänstra navigeringen väljer du IAM & Admin → Service Accounts.

3. Välj det skapade eller redan existerande tjänstkontot.

4. På fliken Nycklar, välj knappen Lägg till nyckel och välj Skapa ny nyckel från rullgardinsmenyn.

5. Välj nyckeltypen JSON och välj knappen Skapa för att ladda ner en JSON-formaterad nyckel till din lokala dator.

6. Tillbaka på fliken Detaljer för tjänstkontot, välj rullgardinsmenyn Avancerade inställningar.

7. Bläddra till avsnittet Google Workspace Marketplace OAuth-klient och välj Skapa Google Workspace Marketplace-kompatibel OAuth-klient, eller, om du ser en ruta som läser "En OAuth-samtyckesskärm måste konfigureras för att skapa en OAuth-klient.", välj Konfigurera.

8. Välj Kom igång och i projektkonfigurationen:

   • Ange namnet på appen som ber om samtycke (t.ex. Bitwarden Directory Connector).

   • Välj en e-postadress för användarsupport.

   • I avsnittet Målgrupp väljer du Intern.

   • Fortsätt genom guiden för att skapa samtyckesskärmen.

9. När du har skapat den öppnar du fliken Dataåtkomst och väljer Lägg till eller ta bort omfång.

10. I avsnittet Lägg till omfattningar manuellt, klistra in följande:

    Plain TextCopy
    https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.group.member.readonly

    Välj Lägg till i tabell och sedan Uppdatera.

11. Klicka på Spara.

Använda tjänstekontouppgifter med CLI

Om du ska använda Directory Connector CLI kommer den JSON-formaterade nyckeln som du har laddat ner att användas för kommandot bwdc config gsuite.key, men mellanliggande steg krävs för att tillåta CLI att använda den privata nyckeln som finns i nyckelfilen:

• På Linux, kör kommandot bwdc config gsuite.key "\n$(cat projectid-key.json | jq -r '.private_key')", var noga med att ersätta projectid-key.json med namnet på din .json-fil, som vanligtvis är en kombination av projekt-ID och nyckel.

• På andra operativsystem:

  1. Kopiera värdet för private_key till en separat .crt-fil, till exempel med namnet google-bwdc-key.crt.

  2. Kör kommandot bwdc config gsuite.key "\n$(cat google-bwdc-key.crt)\n", var noga med att ersätta .crt-filnamnet med det du har skapat.

Slutför följande steg för att tillåta klienten att läsa din katalog:

1. Öppna Google Admin Portal.

2. Från den vänstra navigeringen väljer du Säkerhet → Åtkomst och datakontroll → API-kontroller.

3. Välj knappen Manage Domain Wide Delegation.

4. Välj knappen Lägg till ny.

5. I fältet Client ID, klistra in det skapade unika ID:t som du kan hitta genom att öppna GCP-konsolen, navigera till API och tjänster → Inloggningsuppgifter, öppna ditt tjänstkonto och leta efter det unika ID:t.

6. I fältet OAuth-omfång, klistra in följande värde för att bara ge läsåtkomst:

   BashCopy
   https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.group.member.readonly

7. Välj knappen Auktorisera.

Slutför följande steg för att konfigurera Directory Connector för att använda din Google-katalog:

1. Öppna skrivbordsappen Directory Connector.

2. Navigera till fliken Inställningar.

3. I rullgardinsmenyn Typ väljer du G Suite (Google).

   De tillgängliga fälten i det här avsnittet kommer att ändras enligt din valda typ.

4. Ange domänen för ditt Google-konto.

5. Ange e-postadressen till en administratörsanvändare med full åtkomst till din Google-katalog.

6. Om du har en, ange kund-ID för din katalog. Många användare kommer inte att ha eller behöva ange ett kund-ID.

7. Välj knappen Välj fil och välj den nedladdade JSON-nyckeln.

Utför följande steg för att konfigurera inställningen som används vid synkronisering med Directory Connector:

1. Öppna skrivbordsappen Directory Connector.

2. Navigera till fliken Inställningar.

3. Konfigurera följande alternativ efter önskemål i avsnittet Synkronisering:

Användarfilter

Använd kommaavgränsade listor för att ange filter för synkroniseringsinkludering eller -uteslutning. Google Workspace Directory API låter dig synkronisera användare baserat på e-post och synkronisera grupper av användare baserat på organisationsenhet. För att synkronisera en underuppsättning av din katalogs användare rekommenderar Bitwarden att du skapar en organisationsenhet och flyttar relevanta användare till den.

Synkronisera en specifik organisationsenhet

För att synkronisera användare som tilldelats en specifik organisationsenhet (OU), till exempel OU EngineeringUsers, använder du en pipe (|) för att deklarera en frågeparameter. En frågedeklaration i början av ditt användarfilter indikerar att endast matchningar på frågan ska synkroniseras:

Plain TextCopy
|orgUnitPath=/Engineering

Din rotgrupp, under vilken organisationsenheter är kapslade, hänvisas alltid till som en / i orgUnitPath. Att använda frågan |orgUnitPath=/ motsvarar att använda inget användarfilter.

Synkroniseringar baserade på organisationsenhet kan kombineras med ytterligare filter för att avgöra vilka specifika användare i organisationsenheten som ska synkroniseras, till exempel för att synkronisera användare i en organisationsenhet med en specifik orgTitel:

BashCopy
|orgUnitPath=/Engineering orgTitle:Manager

Fler användarattribut än orgTitle kan kombineras med OE-frågor för att avgöra vilka användare som ska synkroniseras, och kan hittas i Google Directory API-dokumentationen.

Inkludera eller exkludera användare via e-post

Filter för att inkludera eller exkludera specifika användare kan kombineras med OE-frågor, eller användas på egen hand, men alla inkluderar: eller exkluderar:-filter måste placeras före en frågedeklaration (|). Till exempel, för att utesluta en specifik användare från en OU-synkronisering av användare med en specifik orgTitel:

BashCopy
exclude:bill@example.com|orgUnitPath=/Engineering orgTitle:Manager

Eller för att bara synkronisera ett urval av användare baserat på deras e-post:

BashCopy
include:joe@example.com,bill@example.com,tom@example.com

Observera att i det sista exemplet krävs ingen frågedeklaration (|) eftersom inga ytterligare frågeparametrar (till exempel OU eller orgTitle) deklareras.

Gruppfilter

Använd kommaavgränsade listor för att ange filter för synkroniseringsinkludering eller -uteslutning. Google Workspace Directory API låter dig synkronisera grupper baserat på deras namn och några andra gruppattribut, som finns i Google Directory API-dokumentationen.

När ett gruppfilter används kommer alla användare som fångas av användarfiltret att få sitt gruppmedlemskap synkroniserat för grupper som fångas av gruppfiltret.

Synkronisera grupper efter namn

Enskilda grupper kan inkluderas i en synkronisering genom att specifikt filtrera på deras namnattribut, till exempel:

BashCopy
include:Group A,Group B

Genom att använda ett rör (|) för att deklarera en frågeparameter kan en delmängd av grupper också synkroniseras genom att matcha på vilken term som helst omgiven av jokertecken (*). En frågedeklaration i början av ditt gruppfilter indikerar att endast matchningar på frågan ska synkroniseras, till exempel för att endast synkronisera grupper med ett namn som innehåller termen teknik:

BashCopy
|name:*engineering*

Jokertecken stöds på båda eller båda sidor av termen, och matchningar är inte skiftlägeskänsliga.

Synkronisera grupper med medlemsnyckel

Attributet memberKey kan användas för att synkronisera alla grupper som en användare, som identifieras av nyckeln, har medlemskap. Till exempel, för att bara synkronisera de grupper som användare@företag är medlem i:

BashCopy
|memberKey=user@company.com

Observera igen att en frågedeklaration i början av ditt gruppfilter indikerar att endast matchningar på frågan ska synkroniseras, och att jokertecken också kan användas i detta sammanhang.

Filter för att inkludera eller exkludera specifika grupper kan kombineras med större frågor, men alla inkluderar: eller exkludera:-filter måste placeras före en frågedeklaration (|). Till exempel, för att synkronisera grupperna där användare@företag är medlem utom grupp A:

BashCopy
exclude:Group A|memberKey:user@company

Synkronisera grupper med grupp-e-post

Dessa gruppfilterprinciper kan också användas för att synkronisera baserat på en grupps e-postadress, till exempel:

BashCopy
exclude:Group B|email:admin*

För att testa om Directory Connector lyckas ansluta till din katalog och returnera önskade användare och grupper, navigera till fliken Dashboard och välj knappen Testa nu. Om det lyckas kommer användare och grupper att skrivas ut till fönstret Directory Connector enligt de angivna synkroniseringsalternativen och filtren:

När synkroniseringsalternativ och filter har konfigurerats och testats kan du börja synkronisera. Slutför följande steg för att starta automatisk synkronisering med Directory Connector:

1. Öppna skrivbordsappen Directory Connector.

2. Navigera till fliken Dashboard.

3. I avsnittet Synkronisering väljer du knappen Starta synkronisering.

   Du kan alternativt välja knappen Synka nu för att utföra en manuell engångssynkronisering.

Directory Connector börjar polla din katalog baserat på de konfigurerade synkroniseringsalternativen och filtren.

Om du avslutar eller stänger programmet kommer den automatiska synkroniseringen att stoppas. För att hålla Directory Connector igång i bakgrunden, minimera programmet eller dölj det i systemfältet.