يستند التحكُّم في الوصول في Google Cloud Search إلى حساب المستخدم على Google. عند فهرسة المحتوى، يجب تحويل جميع قوائم التحكم في الوصول (ACLs) للعناصر إلى معرّفات صالحة لمستخدم Google أو مجموعات (عناوين بريد إلكتروني).
في كثير من الحالات، لا يكون للمستودع معرفة مباشرة بحسابات Google. بدلاً من ذلك، قد يتم تمثيل المستخدمين من خلال حسابات محلية، أو قد يتم استخدام تسجيل الدخول الموحّد مع موفِّر الهوية ورقم التعريف، بخلاف عنوان البريد الإلكتروني للمستخدم، لتحديد كل حساب. ويُطلَق على هذا المعرّف المعرّف الخارجي.
تساعد ميزة مصادر الهوية التي تم إنشاؤها باستخدام "وحدة تحكُّم المشرف" في سد هذه الفجوة بين أنظمة الهوية عن طريق:
- تحديد حقل مستخدم مخصّص لتخزين المعرّفات الخارجية ويُستخدم هذا الحقل لنقل المعرّفات الخارجية إلى حساب Google.
- حدِّد مساحة اسم لمجموعات الأمان يديرها مستودع أو موفِّر هوية.
يمكنك استخدام مصادر الهوية في الحالتَين التاليتَين:
- ليس لدى المستودع معرفة بعنوان البريد الإلكتروني الرئيسي للمستخدم في Google Workspace أو "دليل Google Cloud".
- يحدد المستودع مجموعات التحكُّم في الوصول التي لا تتوافق مع المجموعات المستندة إلى البريد الإلكتروني في Google Workspace.
تحسِّن مصادر الهوية كفاءة الفهرسة من خلال فصل الفهرسة عن عملية تحديد الهوية. يسمح لك فصل الاقتران هذا بتأجيل البحث عن المستخدم عند إنشاء قوائم التحكم في الوصول وفهرسة العناصر.
مثال على عملية النشر
يوضّح الشكل 1 مثالاً لعملية نشر تستخدم فيها إحدى المؤسسات المستودعات داخل المؤسسة والمستودعات على السحابة الإلكترونية. يستخدم كل مستودع نوعًا مختلفًا من المعرِّفات الخارجية للإشارة إلى المستخدمين.
![مثال على عملية النشر](https://google-developers.gonglchuangl.net/static/cloud-search/images/identity-arch.png?authuser=0&hl=ar)
يُحدِّد المستودع 1 المستخدم باستخدام عنوان البريد الإلكتروني الذي تم تأكيده باستخدام SAML. ليس هناك حاجة إلى مصدر هوية لأنّ المستودع 1 لديه معرفة بعنوان البريد الإلكتروني الرئيسي للمستخدم في Google Workspace أو "دليل السحابة الإلكترونية".
يتكامل المستودع 2 مباشرةً مع دليل داخل المؤسسة ويحدّد المستخدم من خلال سمة sAMAccountName
. يجب توفّر مصدر هويات لأنّ المستودع 2
يستخدم سمة sAMAccountName
كمعرّف خارجي.
إنشاء مصدر هويات
إذا كنت بحاجة إلى مصدر هوية، يُرجى الاطّلاع على مقالة ربط هويات المستخدمين في Cloud Search.
يجب إنشاء مصدر هوية قبل إنشاء موصِّل محتوى لأنك ستحتاج إلى معرّف مصدر الهويات لإنشاء قوائم ACL وفهرسة البيانات. كما ذكرنا سابقًا، يؤدي إنشاء مصدر هوية إلى إنشاء خاصيّة مستخدم مخصَّصة في "دليل السحابة الإلكترونية". استخدِم هذه السمة لتسجيل المعرّف الخارجي لكل مستخدم في مستودعك. تتم تسمية السمة باستخدام
الاصطلاح IDENTITY_SOURCE_ID_identity
.
يعرض الجدول التالي مصدرَين للهوية، أحدهما يتضمّن أسماء حسابات SAM (sAMAccountName) كمعرّفات خارجية، والآخر يتضمّن أرقام تعريف المستخدمين (uid) كمعرّفات خارجية.
مصدر الهوية | خاصيّة المستخدم | المعرّف الخارجي |
---|---|---|
id1 | id1_identity | sAMAccountName |
id2 | id2_identity | uid |
أنشِئ مصدر هوية لكل معرّف خارجي محتمل يتم استخدامه للإشارة إلى مستخدم في مؤسستك.
يوضح الجدول التالي كيف تظهر مستخدم لديه حساب Google ومعرِّفان خارجيان (id1_identity وid2_identity) وقيمه في "دليل السحابة الإلكترونية":
المستخدم | بريد إلكتروني | id1_identity | id2_identity |
---|---|---|---|
منى | ann@example.com | مثال\ann | 1001 |
يمكنك الإشارة إلى المستخدم نفسه باستخدام ثلاثة أرقام تعريف مختلفة، (البريد الإلكتروني لـ Google وsAMAccountName وuid) عند إنشاء قوائم التحكم بالوصول (ACLs) للفهرسة.
كتابة قوائم ACL للمستخدم
استخدِم طريقة getUserPrincpal() أو الطريقة getGroupPrincipal() لإنشاء مبادئ باستخدام معرّف خارجي متوفّر.
يوضح المثال التالي كيفية استرداد أذونات الملفات. تتضمن هذه الأذونات اسم كل مستخدم لديه حق الوصول إلى الملف.
يعرض مقتطف الرمز التالي كيفية إنشاء حسابات رئيسية مملوكة لهم
باستخدام المعرّف الخارجي (externalUserName
) المخزّن في السمات.
وأخيرًا، يوضح مقتطف الرمز التالي كيفية إنشاء مبادئ توجيهية تمثل قارئات الملف.
بعد الحصول على قائمة بالقراء والمالكين، يمكنك إنشاء ACL:
تستخدم واجهة برمجة تطبيقات REST الأساسية النمط
identitysources/IDENTITY_SOURCE_ID/users/EXTERNAL_ID
للمعرّف عند إنشاء العناصر الرئيسية. بالعودة إلى الجداول السابقة، إذا أنشأت قائمة التحكم بالوصول (ACL) باستخدام id1_identity
لآن (SAMAccountName)، فسيحل رقم التعريف إلى:
identitysources/id1_identity/users/example/ann
ويُعرف هذا المعرّف بالكامل باسم رقم التعريف المتوسط للمستخدم، لأنه يوفر جسرًا بين المعرّف الخارجي وأرقام تعريف Google المُخزَّنة في "دليل السحابة الإلكترونية".
للحصول على مزيد من المعلومات حول نمذجة قوائم التحكم بالوصول المستخدمة في المستودع، يمكنك الاطّلاع على قوائم التحكم في الوصول.
مجموعات الخرائط
تعمل مصادر الهوية أيضًا كمساحة اسم للمجموعات المستخدمة في قوائم التحكم بالوصول. يمكنك استخدام ميزة مساحة الاسم هذه لإنشاء وتعيين مجموعات تُستخدم لأغراض أمنية فقط أو تكون محلية في المستودع.
استخدِم Cloud Identity Groups API لإنشاء مجموعة وإدارة الاشتراكات. لربط المجموعة بمصدر هوية، استخدِم اسم مورد مصدر الهويات كمساحة اسم للمجموعة.
يعرض مقتطف الرمز التالي كيفية إنشاء مجموعة باستخدام Cloud Identity Groups API:
إنشاء قائمة التحكم بالوصول (ACL) للمجموعة
لإنشاء قائمة ACL لمجموعة، استخدِم الطريقة getGroupPrincipal() لإنشاء عنصر أساسي للمجموعة باستخدام رقم تعريف خارجي مقدّم. بعد ذلك، يمكنك إنشاء قائمة التحكم بالوصول (ACL) باستخدام فئة Acl.Builder على النحو التالي:
موصلات الهوية
في حين يمكنك استخدام أرقام تعريف خارجية غير تابعة لـ Google لإنشاء قوائم التحكم بالوصول (ACLs) وعناصر الفهرسة، لا يمكن للمستخدمين رؤية العناصر في البحث حتى يتم تحويل معرّفاتهم الخارجية إلى معرّف Google في دليل السحابة الإلكترونية. هناك ثلاث طرق للتأكد من أن "دليل السحابة الإلكترونية" يعرف كلاً من معرِّف Google والمعرِّفات الخارجية للمستخدم:
- تحديث كل ملف شخصي للمستخدم يدويًا من خلال وحدة تحكم المشرف يُنصَح بهذه العملية فقط للاختبار وإنشاء نماذج أولية باستخدام عدد قليل من الملفات الشخصية للمستخدمين.
- ربط أرقام التعريف الخارجية بأرقام تعريف Google باستخدام Directory API. ويُنصَح باستخدام هذه العملية للمستخدمين الذين لا يمكنهم استخدام "حزمة تطوير البرامج (SDK) لموصل الهوية".
- أنشئ موصِّل هويات باستخدام حزمة تطوير البرامج لموصل الهوية. تبسّط حزمة تطوير البرامج (SDK) هذه استخدام واجهة برمجة تطبيقات الدليل لربط أرقام التعريف.
موصِّلات الهوية هي برامج تُستخدَم لربط المعرّفات الخارجية من هويات المؤسسة (المستخدمون والمجموعات) إلى هويات Google الداخلية التي تستخدمها Google Cloud Search. إذا كان عليك إنشاء مصدر هويات، عليك إنشاء موصِّل هويات.
تُعد أداة مزامنة دليل Google Cloud (GCP) مثالاً على موصل الهوية. يربط موصل الهوية هذا معلومات المستخدمين والمجموعات من Microsoft Active Directory إلى دليل Cloud إلى جانب سمات المستخدمين التي قد تمثل هويتهم في الأنظمة الأخرى.
مزامنة الهويات باستخدام واجهة برمجة تطبيقات REST
يمكنك استخدام الطريقة update
لمزامنة الهويات باستخدام واجهة برمجة تطبيقات REST.
إعادة تحديد الهويات
بعد إعادة ربط هوية أحد العناصر بهوية أخرى، يجب إعادة فهرسة العناصر حتى يتم الاحتفاظ بالهوية الجديدة. على سبيل المثال:
- إذا حاولت إزالة عملية ربط من مستخدم أو إعادة تعيينها إلى مستخدم آخر، فستبقى عملية التعيين الأصلية محفوظة حتى تتم إعادة الفهرسة.
- إذا حذفت مجموعة مرتبطة مضمّنة في قائمة عناصر التحكم بالوصول، ثم أنشأت
مجموعة جديدة تستخدم السمة
groupKey
نفسها، لن تمنح المجموعة الجديدة إمكانية الوصول إلى العنصر إلا بعد إعادة فهرسة العنصر.