集成谷歌目录
与Google Directory集成,在任何设备、intranet或messenger上与整个组织共享员工联系信息。确保满足先决条件、启用API并创建服务帐户。完成此过程后,现有级别的审核日志记录将保持不变,包括使用Citrix MicroApp执行的任何操作。
注意:
我们提供了两个谷歌目录集成模板供您使用。对于大多数用例,我们建议使用更新的HTTP集成,特别是谷歌Directory工作流。HTTP集成提供了更强大的功能来配置缓存的数据结构。在本文的末尾,您可以找到关于遗留谷歌目录集成模板.谷歌日历集成的详细信息请参见集成谷歌日历.
检查先决条件
这些先决条件假定您管理组织的Google Directory实例以设置集成。
- 这种集成需要一个专用的Google帐户,用于将日历数据与工作区同步。此帐户必须具有管理员API权限Users/Read或包含此权限的标准管理员角色。
- 如果承载工作区的内部服务器位于防火墙之后,则必须允许使用端口443访问主机名www.google.com,以便工作区能够连接。
- 获取新的oauth2 client_id和client_secret,并定义客户端应用程序的范围。
- 将Citrix Gateway配置为支持Google Directory的单点登录,以便用户登录后自动再次登录,而无需再次输入凭据。按照中的说明操作谷歌目录单点登录配置. 有关配置SSO的详细信息,请参阅Citrix网关服务.
在Citrix Workspace Microapps中添加谷歌目录集成必须具备以下细节:
- 客户端ID
- 客户机密
- 域
- 有效的谷歌目录帐号和密码
启用API
为您需要的服务启用api。
遵循以下步骤:
- 登录到https://console.developers.google.com使用管理员帐户,并选择创造创建一个新项目。您还可以更新现有项目。
- 选择启用API和服务搜索管理SDK.选择它,然后选择启用.
- 搜索谷歌日历API.选择它,然后选择启用.
创建服务帐户
- 选择设置左上角的图标,鼠标悬停IAM与行政部,然后选择服务帐户.
- 选择创建服务帐户.
- 输入您的服务帐户名A.服务帐户ID(默认情况下,自动生成)服务帐户描述,然后单击创建.
- 选择选择一个角色菜单,然后选择一个老板的角色.
- 选择继续然后选择完成.
启用Google委派并创建服务帐户密钥
要启用谷歌域授权并创建服务帐户密钥,请遵循以下步骤:
- 在您的服务帐户列表中,找到您创建的帐户。选择操作>编辑.
- 选择显示域范围的委派. 选择启用谷歌域委派复选框。
要创建私钥,请选择+创建密钥中,选择JSON,然后选择创建.
私钥将保存到您的计算机中。
- 将JSON文件存储在一个安全的位置。在配置Calendar集成时需要它。
- 选择关闭选择拯救.
启用和管理API访问
- 导航到https://admin.google.com中,选择安全> API引用.确保启用API访问被选中。
- 选择高级设置>管理API客户端访问. 添加服务帐户名进入授权API客户端列表。
- 下客户名称,输入客户识别码从您下载的私钥JSON文件。
将以下以逗号分隔的作用域列表输入到一个或多个API作用域字段:
' ' ', ' ' ' < https://www.googleapis.com/auth/admin.directory.user.readonly > < !——NeedCopy >- 选择批准.
添加回调url到谷歌API控制台
允许访问私人数据,并提供指向服务条款和隐私政策的链接。回调取决于目标应用程序,在创建集成时可以在URL地址栏中找到。部分{yourmicroappserverurl}由租户部分、区域部分和环境部分组成:https://{tenantID}.{region(us/eu/ap-s)}.iws.cloud.com.
- 去https://console.developers.google.com并使用您的凭证登录。
- 选择OAuth同意屏幕从左侧导航。
- 下授权域名,添加此域:
cloud.com,按return,然后选择拯救. - 要创建OAuth客户端ID,请选择凭证从左侧导航。选择创建凭据和Oauth客户端ID.
选择Web应用程序并添加以下uri,遵循之前添加的风格,以允许访问私有数据,并启用OAuth认证的用户操作:
授权重定向URL:
https://{yourmoappserverurl}/admin/api/external services/com.sapho.services.googlecalendar.GoogleCalendarService/auth/serverContext,https://{yourmoappserverurl}/app/api/auth/serviceAction/callback对于Google目录,请使用:
https:// {yourmicroappserverurl} / admin / api /外部服务/ com.sapho.services.googleforwork.GoogleForWorkService /认证/ serverContext, https:// {yourmicroappserverurl} / app / api /认证/ serviceAction /回调添加每个URL后,按Enter键。添加所有所需uri之后,向下滚动并选择创造.
注意:
如果您没有访问权限,请为自己设置接受OAuth权限的权限。去管理控制台>安全> API权限. 在下面内部应用程序设置,选择信任域拥有的应用程序复选框。
将集成添加到Citrix Workspace Microapps中
将Google目录集成添加到Citrix Workspace MicroApp以连接到您的应用程序。这提供了现成的MicroApp,带有预先配置的通知和操作,可以在您的工作区内使用。我们提供两个谷歌目录集成模板供您使用。我们建议对大多数用例使用较新的HTTP集成。
按照以下步骤设置Google Directory HTTP集成。身份验证选项是预选的。确保在完成流程时选择了这些选项。我们建议对大多数用例使用这种较新的HTTP集成。HTTP集成提供了更多配置缓存数据结构的功能。
遵循以下步骤:
- 从Microapp集成第页,选择添加新的集成和从citrix提供的模板添加新的集成.
- 选择Google目录磁贴。
- 输入集成的名字为了整合。
- 输入连接器参数.
- 输入实例基URL或简单地替换
{客户id}在示例中使用您的客户ID。 - 选择一个偶像,或者将其保留为默认的谷歌Directory图标。
![Google目录HTTP参数]()
- 启用本地实例如果要创建本地连接,请切换。有关详细信息,请参阅本地实例.
![本地谷歌目录HTTP]()
- 输入实例基URL或简单地替换
下服务认证中,选择OAuth 2.0从身份验证方法菜单并完成身份验证细节。已预先选择身份验证选项。确保在完成流程时选择了这些选项。使用OAuth 2.0安全协议为委托访问生成请求/授权令牌。建议您始终使用OAuth 2.0作为您的服务身份验证方法。OAuth 2.0确保您的集成符合配置microapp的最大安全遵从性。
- 选择授权代码从格兰特类型菜单这将授予客户端交换访问令牌的临时代码。代码是从授权服务器获得的,您可以在该服务器上查看客户端请求的信息。只有此授权类型才能启用安全的用户模拟。这将显示回调URL,注册应用程序时使用
- 选择授权头从令牌授权菜单
- 输入您的授权URL.或简单地替换
{客户id}在示例中,使用您的客户ID。这是设置目标应用程序集成时提供的授权服务器URL。 - 输入您的令牌URL或简单地替换
{客户id}在示例中使用您的客户ID。这是访问授权令牌的URL。 - 确保输入以下内容范围.要同步其他实体,必须在此处添加作用域。使用下列句子,用空格分隔:
https://www.googleapis.com/auth/admin.directory.user https://www.googleapis.com/auth/admin.directory.orgunit https://www.googleapis.com/auth/admin.directory.group. - 输入您的客户端ID. 客户端ID是表示授权服务器特有的客户端注册信息的字符串。您可以通过在您的Google帐户中注册OAuth客户端来收集这些信息和秘密。您需要添加回调URL您可以在集成配置页面上看到。
- 输入您的客户机密.客户端秘密是在设置目标应用程序集成时发出的唯一字符串。
输入您的标题前缀. (可选)如果您的承载前缀与默认标头不同,请输入标头前缀。
![谷歌目录HTTP服务认证]()
如果你选择OAuth 2.0身份验证方法,可选择+添加参数包括访问令牌参数. 访问令牌参数根据目标应用程序授权服务器的需要(如果需要)定义访问令牌参数。
![谷歌目录HTTP令牌]()
下服务操作验证,使在操作中使用单独的用户身份验证切换。服务操作身份验证在服务操作级别进行身份验证。已预先选择身份验证选项。确保在完成流程时选择了这些选项。
- 选择OAuth 2.0从身份验证方法菜单并完成身份验证细节。
- 选择授权代码从格兰特类型菜单这将授予客户端交换访问令牌的临时代码。代码是从授权服务器获得的,您可以在该服务器上查看客户端请求的信息。只有此授权类型才能启用安全的用户模拟。这将显示回调URL,注册应用程序时使用
- 选择授权头从令牌授权菜单
- 输入您的授权URL.或简单地替换
{客户id}在示例中,使用您的客户ID。这是设置目标应用程序集成时提供的授权服务器URL。 - 输入您的令牌URL或简单地替换
{客户id}在示例中使用您的客户ID。这是访问授权令牌的URL。 - 确保输入以下内容范围.要同步其他实体,必须在此处添加作用域。使用以下:
https://www.googleapis.com/auth/admin.directory.user. - 输入您的客户端ID.客户端ID是表示授权服务器唯一的客户端注册信息的字符串。客户端ID是表示授权服务器唯一的客户端注册信息的字符串。您可以通过在谷歌帐户中注册OAuth客户端来收集这些信息和秘密。你需要添加回调URL您可以在集成配置页面上看到。
- 输入您的客户机密.客户端秘密是在设置目标应用程序集成时发出的唯一字符串。
- (可选)输入标题前缀如果您的承载前缀与默认头不相同。
如果你选择OAuth 2.0身份验证方法,可选择+添加参数包括访问令牌参数. 访问令牌参数根据目标应用程序授权服务器的需要(如果需要)定义访问令牌参数。
![谷歌目录服务动作认证]()
- (可选)如果您想激活此集成的速率限制,请启用请求速率限制切换并设置请求数每时间间隔.
(可选)使登录中为了支持目的,切换到保持24小时的日志记录。
![速率限制和日志记录切换]()
- 选择拯救继续。
- 下OAuth授权中,选择批准使用您的服务帐户登录。使用WebEx登录屏幕出现一个弹出窗口。
- 输入您的服务帐户用户名和密码,然后选择登录.
- 选择接受.
![服务认证]()
这个Microapp集成页面打开您添加的集成和它的微应用程序。从这里,您可以添加另一个集成,继续设置您的开箱即用微应用程序,或为该集成创建一个新的微应用程序。
您现在准备设置并运行您的第一个数据同步。由于可以将大量数据从您的集成应用程序中拉到MicroApps平台,我们建议您使用表格页面以筛选第一次数据同步的实体,以加快同步速度。有关详细信息,请参阅验证所需的实体.有关同步规则、不满足其调度和否决规则的同步的完整信息,请参见同步数据.
有关API端点和表实体的更多详细信息,请参见谷歌目录连接器规格.
使用谷歌目录微应用程序
现有的应用程序集成提供了现成的MicroApp。从这些微应用程序开始,根据您的需要进行定制。我们的Google Directory HTTP集成附带了以下预配置的现成MicroApp。
创建用户:添加新用户。
| 通知或页面 | 用例工作流 |
|---|---|
| 创建用户页面 | 提供用于添加带有详细信息的新用户的表单。 |
目录管理:管理用户和详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| 删除用户页 | 提供用于删除用户的表单。 |
| 更新用户页面 | 提供用于编辑用户详细信息的表单。 |
| 用户详细信息页面 | 提供员工的详细视图,带有用于更新或删除用户的按钮。 |
| 用户页面 | 提供所有员工的可搜索列表,并带有指向个人用户详细信息的链接。 |
组:查看组和详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| 组详细信息页面 | 提供组的详细视图。 |
| 组页 | 提供所有组的可搜索列表,并提供指向单个组详细信息的链接。 |
我的详细资料:查看您自己的详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| 我的详细信息页面 | 提供用户自己的员工详细信息的详细只读视图。 |
用户:查看用户详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| 新员工通知 | 当一个新的团队成员加入时,所有的订阅者都会收到一个通知。 |
| 用户详细信息页面 | 提供员工的详细视图,带有用于更新或删除用户的按钮。 |
| 用户页面 | 提供所有员工的可搜索列表,并带有指向个人用户详细信息的链接。 |
传统谷歌目录集成
在Citrix Workspace Microapps中添加谷歌目录集成必须有这些细节,并检查上述先决条件:
- 客户端ID
- 客户机密
- 域
- 有效的谷歌目录帐号和密码
添加遗留谷歌目录集成
遵循以下步骤:
从概述页面中,选择开始.
此时将打开“管理集成”页面。
- 选择添加新的集成和从citrix提供的模板添加新的集成.
选择Google目录磁贴。
输入作为先决条件收集的集成的名称。
![谷歌目录连接器参数,客户端ID,客户端密码,域]()
- 输入连接器参数.
- 输入客户机密.
- 输入域.
- 选择下载用户照片如果要缓存用户照片,则单选按钮。
- 选择使用谷歌Directory帐户登录启用OAuth授权。Google登录页面将在新选项卡中打开。系统将提示您输入帐户名、确认访问并输入密码。
- 选择添加.
这个Microapp集成页面打开您添加的集成和它的微应用程序。从这里,您可以添加另一个集成,继续设置您的开箱即用微应用程序,或为该集成创建一个新的微应用程序。
您现在准备设置并运行您的第一个数据同步。由于可以将大量数据从您的集成应用程序中拉到MicroApps平台,我们建议您使用表格页面以筛选第一次数据同步的实体,以加快同步速度。有关详细信息,请参阅验证所需的实体.有关同步规则、不满足其调度和否决规则的同步的完整信息,请参见同步数据.
有关API端点和表实体的更多详细信息,请参见谷歌目录连接器规格.
谷歌目录微应用
我们的谷歌目录集成附带了以下预配置的开箱即用微应用程序。
目录管理:添加新用户。
| 通知或页面 | 用例工作流 |
|---|---|
| 创建用户页面 | 提供用于添加带有详细信息的新用户的表单。 |
目录的细节:查看团队成员的详细信息,包括新员工和职位变化。
| 通知或页面 | 用例工作流 |
|---|---|
| 新员工通知 | 当一个新的团队成员加入时,所有的订阅者都会收到一个通知。 |
| 职位变更通知 | 当员工的职称发生变化时,所有订阅者都会收到通知。 |
| 所有用户页面 | 提供所有员工的列表,并提供到详细信息的链接。 |
| 用户详细信息页面 | 提供员工的详细视图。 |