集成 Google Directory
与 Google Directory 集成,在任何设备、内部网或信使上与整个组织共享员工联系信息。确保满足必备条件、启用 API 并创建服务帐户。完成此过程后,您的现有审核日志记录级别将持续存在,包括使用 Citrix 微应用执行的任何操作。
注意:
我们提供两个 Google 目录集成模板供您使用。我们建议在大多数用例中使用较新的 HTTP 集成,特别是 Google 目录工作流程。HTTP 集成提供了更多功能来配置缓存的数据结构。在本文末尾,您可以找到 旧版 Google 目录集成模板。有关 Google 日历集成的详细信息,请参阅 集成 Google 日历。
检查必备项
这些先决条件假定您管理组织的 Google 目录实例来设置集成。
- 这种集成需要一个专用的 Google 帐户,用于将日历数据与 Workspace 同步。此帐户必须具有管理员 API 权限用户/读取或包含此权限的标准管理员角色。
- 如果托管 Workspace 的内部服务器位于防火墙后面,则必须允许访问主机名 www.google.com 和端口 443,以便 Workspace 可以连接。
- 获取新的 oauth2 client_id 和 client_secret 并定义客户端应用程序的范围。
- 将 Citrix Gateway 配置为支持 Google 目录的单点登录,以便用户登录后他们将自动重新登录,而无需再次输入凭据。请按照 Google 目录单点登录配置 中的说明进行操作。有关配置 SSO 的详细信息,请参阅Citrix Gateway 服务。
要在 Citrix Workspace 微应用中添加 Google 目录集成,您必须具备以下详细信息:
- 客户端 ID
- 客户端密钥
- 域
- 有效的 Google 目录帐户和密码
启用 API
启用所需服务的 API。
请按照以下步骤进行操作:
- 使用管理员帐户登录https://console.developers.google.com,然后选择创建以创建新项目。您也可以更新现有项目。
- 选择启用 API 和服务并搜索管理 SDK。选择该选项并选择启用。
- 搜索 Google 日历 API。选择该选项并选择启用。
创建服务帐户
- 选择左上角的设置图标,将鼠标悬停在 IAM 和管理员上,然后选择服务帐户。
- 选择创建服务帐户。
- 输入您的服务帐户名称、服务帐户 ID(默认情况下,自动生成)和服务帐户描述,然后单击创建。
- 选择选择角色菜单,然后选择所有者角色。
- 选择继续,然后选择完成。
启用 Google 委派并创建服务帐号密钥
要启用 Google 全域委派并创建服务帐号密钥,请按照以下步骤操作:
- 在服务帐户列表中,找到您创建的帐户。选择操作 > 编辑。
- 选择显示域范围的委派。选中 启用 Google 域范围的委派 复选框。
-
要创建私有密钥,请选择 + 创建密钥,选择 JSON,然后选择创建。
私钥将保存到您的计算机中。
- 将 JSON 文件存储在一个安全的位置。当您配置日历集成时,它是必需的。
- 选择关闭并选择保存。
启用和管理 API 访问
- 导航至https://admin.google.com,选择安全 > API 参考。确保选择了启用 API 访问。
- 选择高级设置 > 管理 API 客户端访问。将服务帐户名称添加到授权 API 客户端列表中。
- 在客户端名称下,从您下载的私钥 JSON 文件中输入 client_id。
-
在一个或多个 API 作用域字段中输入以下逗号分隔的作用域列表:
```、```<https://www.googleapis.com/auth/admin.directory.user.readonly><!--NeedCopy--> - 选择授权。
将回调 URL 添加到 Google API 控制台
授予对私人数据的访问权限,并提供服务条款和隐私政策的链接。回调取决于目标应用程序,并且可以在创建集成时在 URL 地址栏中找到。{yourmicroappserverurl} 部分由租户部分、区域部分和环境部分组成:https://{tenantID}.{region(us/eu/ap-s)}.iws.cloud.com。
- 转到 https://console.developers.google.com 并使用您的凭据登录。
- 从左侧导航中选择 OAuth 同意屏幕。
- 在授权域下,添加此域:
cloud.com,按返回键,然后选择保存。 - 要创建 OAuth 客户端 ID,请从左侧导航中选择凭据。选择创建凭据和 Oauth 客户端 ID。
-
选择 Web 应用程序并按照之前添加的样式添加以下 URI,以允许访问私有数据并启用 OAuth 身份验证的用户操作:
授权的重定向 URL:
https://{yourmicroappserverurl}/admin/api/external-services/com.sapho.services.googlecalendar.GoogleCalendarService/auth/serverContext,https://{yourmicroappserverurl}/app/api/auth/serviceAction/callback对于 Google 目录,请使用:
https://{yourmicroappserverurl}/admin/api/external-services/com.sapho.services.googleforwork.GoogleForWorkService/auth/serverContext,https://{yourmicroappserverurl}/app/api/auth/serviceAction/callback -
添加每个 URL 后,请按 Enter 键。添加所有所需 URI 后,向下滚动,然后选择创建。
注意:
如果您没有访问权限,请授予自己接受 OAuth 权限的权限。转到管理控制台 > 安全 > API 权限。在内部应用程序设置下,选中信任域拥有的应用程序复选框。
将集成添加到 Citrix Workspace 微应用
将 Google 目录集成添加到 Citrix Workspace 微应用程序以连接到应用程序。这样可以提供现成的微应用,以及可以在 Workspace 内使用的预配置通知和操作。我们提供两个 Google 目录集成模板供您使用。对于大多数用例,我们建议使用较新的 HTTP 集成。
按照以下步骤设置 Google 目录 HTTP 集成。身份验证选项已预先选择。确保在完成此过程时选择了这些选项。我们建议在大多数用例中使用此更新的 HTTP 集成。HTTP 集成提供了更多功能来配置缓存的数据结构。
请按照以下步骤进行操作:
- 在微应用集成页面中,选择添加新集成,然后选择从 Citrix 提供的模板添加新集成。
- 选择 Google 目录磁贴。
- 输入集成的集成名称。
- 输入连接器参数。
- 输入实例基本 URL,或者在示例中仅用您的客户 ID 替换
{customer-id}。 - 从 图标 库中选择用于集成的图标,或将其保留为默认的 Google 目录图标。
![Google 目录 HTTP 参数]()
- 如果要创建本地连接,请启用本地实例开关。有关详细信息,请参阅本地实例。
![Google 目录 HTTP 本地]()
- 输入实例基本 URL,或者在示例中仅用您的客户 ID 替换
-
在服务身份验证下,从身份验证方法菜单中选择 OAuth 2.0,然后填写身份验证详细信息。身份验证选项已预先选择。确保在完成此过程时选择了这些选项。使用 OAuth 2.0 安全协议为委派访问生成请求/授权令牌。建议您始终使用 OAuth 2.0 作为服务身份验证方法(如果可用)。OAuth 2.0 可确保您的集成符合您配置的微应用的最大安全合规性。
- 从授权类型菜单中选择授权代码。这将授予客户端交换访问令牌的临时代码。代码从授权服务器获取,您可以在其中查看客户端请求的信息。只有此授权类型才能启用安全用户模拟。这将显示您在注册应用程序时使用的回调 URL
- 从令牌授权菜单中选择授权标头。
- 输入您的授权 URL 或简单地在示例中将
{customer-id}替换为您的客户 ID。这是设置目标应用程序集成时提供的授权服务器 URL。 - 输入您的令牌 URL 或简单地在示例中将
{customer-id}替换为您的客户 ID。这是访问授权令牌的 URL。 - 确保为 范围输入以下内容。要同步其他实体,必须在此处添加作用域。请使用以下命令,用空格分隔:
https://www.googleapis.com/auth/admin.directory.user https://www.googleapis.com/auth/admin.directory.orgunit https://www.googleapis.com/auth/admin.directory.group。 - 输入您的客户端 ID。客户端 ID 是表示授权服务器唯一的客户端注册信息的字符串。您可以通过在您的 Google 帐户中注册 OAuth 客户端来收集这些信息和秘密信息。您需要添加集成配置页面上看到的回调 URL 。
- 输入您的客户端密钥。客户端密钥是设置目标应用程序集成时发出的唯一字符串。
-
输入您的标题前缀。(可选)如果持有者前缀与默认标题不同,请输入标题前缀。
![Google 目录 HTTP 服务身份验证]()
-
如果选择了 OAuth 2.0 身份验证方法,则可以选择 + 添加参数以包含访问令牌参数。访问令牌参数根据目标应用程序授权服务器的要求定义访问令牌参数(如有必要)。
![Google 目录 HTTP 令牌]()
-
在服务操作身份验证下,启用在操作中使用单独的用户身份验证开关。服务操作身份验证在服务操作级别进行身份验证。身份验证选项已预先选择。确保在完成此过程时选择了这些选项。
- 从“身份验证方法”菜单中选择“OAuth 2.0”,然后完成身份验证详细信息。
- 从授权类型菜单中选择授权代码。这将授予客户端交换访问令牌的临时代码。代码从授权服务器获取,您可以在其中查看客户端请求的信息。只有此授权类型才能启用安全用户模拟。这将显示您在注册应用程序时使用的回调 URL
- 从令牌授权菜单中选择授权标头。
- 输入您的授权 URL 或简单地在示例中将
{customer-id}替换为您的客户 ID。这是设置目标应用程序集成时提供的授权服务器 URL。 - 输入您的令牌 URL 或简单地在示例中将
{customer-id}替换为您的客户 ID。这是访问授权令牌的 URL。 - 确保为 范围输入以下内容。要同步其他实体,必须在此处添加作用域。使用以下命令:
https://www.googleapis.com/auth/admin.directory.user。 - 输入您的客户端 ID。客户端 ID 是表示授权服务器唯一的客户端注册信息的字符串。客户端 ID 是表示授权服务器唯一的客户端注册信息的字符串。您可以通过在您的 Google 帐户中注册 OAuth 客户端来收集这些信息和秘密信息。您需要添加集成配置页面上看到的回调 URL 。
- 输入您的客户端密钥。客户端密钥是设置目标应用程序集成时发出的唯一字符串。
- (可选)如果持有者前缀与默认标题不同,请输入您的标题前缀。
-
如果选择了 OAuth 2.0 身份验证方法,则可以选择 + 添加参数以包含访问令牌参数。访问令牌参数根据目标应用程序授权服务器的要求定义访问令牌参数(如有必要)。
![Google 目录服务操作身份验证]()
- (可选)如果要激活此集成的速率限制,请启用请求速率限制开关并设置每个时间间隔的请求数。
-
(可选)启用日志记录开关以保留 24 小时的日志记录以供支持。
![速率限制和记录切换]()
- 选择 保存 以继续。
- 在 OAuth 授权下,选择 授权 以使用您的服务帐户登录。此时将出现一个带有 Webex 登录屏幕的弹出窗口。
- 输入您的服务帐户用户名和密码,然后选择“登录”。
- 选择“接受”。
![服务身份验证]()
微应用集成页面将打开,其中包含您添加的集成及其微应用。在这里,您可以添加另一个集成,继续设置现成的微应用,或者为此集成创建一个新的微应用。
现在,您可以设置和运行第一个数据同步。由于可以将大量数据从集成应用程序提取到 微应用平台,因此我们建议您使用表页面筛选第一次数据同步的实体,以加快同步速度。有关详细信息,请参阅验证所需实体。有关同步规则、不符合其计划的同步以及否决规则的完整信息,请参阅 同步数据。
有关 API 端点和表实体的更多详细信息,请参阅Google 目录连接器规格。
使用 Google 目录微应用
现有的应用程序集成附带开箱即用的微应用。从这些微应用开始,并根据您的需求定制它们。我们的 Google 目录 HTTP 集成附带了以下预配置的开箱即用微应用。
创建用户: 添加新用户。
| 通知或页面 | 用例工作流 |
|---|---|
| “创建用户”页 | 提供用于添加包含详细信息的新用户的表单。 |
目录管理员: 管理用户和详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| “删除用户”页 | 提供用于删除用户的窗体。 |
| “更新用户”页 | 提供用于编辑用户详细信息的表单。 |
| “用户详细信息”页面 | 提供员工的详细视图,其中包含用于更新或删除用户的按钮。 |
| “用户”页 | 提供所有员工的可搜索列表,其中包含指向单个用户详细信息的链接。 |
组: 查看组和详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| “组详细信息”页 | 提供组的详细视图。 |
| “组”页 | 提供所有组的可搜索列表,其中包含指向各个组详细信息的链接。 |
我的详细信息: 查看您自己的详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| 我的详细信息页面 | 提供用户自己的员工详细信息的详细只读视图。 |
用户: 查看用户详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| 新员工通知 | 当新队友加入时,所有订阅者都会收到通知。 |
| “用户详细信息”页面 | 提供员工的详细视图,其中包含用于更新或删除用户的按钮。 |
| “用户”页 | 提供所有员工的可搜索列表,其中包含指向单个用户详细信息的链接。 |
旧版 Google 目录集成
您必须具有这些详细信息才能在 Citrix Workspace 微应用中添加 Google 目录集成并查看上述先决条件:
- 客户端 ID
- 客户端密钥
- 域
- 有效的 Google 目录帐户和密码
添加旧版 Google 目录集成
请按照以下步骤进行操作:
-
从概览页面中,选择开始。
此时将打开“管理集成”页面。
- 选择添加新集成,然后选择从 Citrix 提供的模板中添加新集成。
-
选择 Google 目录磁贴。
-
输入作为必备条件收集的集成的名称。
![Google 目录连接器参数、客户端 ID、客户端密钥、域]()
- 输入连接器参数。
- 输入客户端密钥。
- 输入域。
- 如果要缓存用户照片,请选择下载用户照片单选按钮。
- 选择 “使 用 Google 目录帐户登录 ” 以启用 OAuth 授权。Google 登录页面将在新选项卡中打开。系统会提示您输入帐户名称、确认访问权限并输入密码。
- 选择添加。
微应用集成页面将打开,其中包含您添加的集成及其微应用。在这里,您可以添加另一个集成,继续设置现成的微应用,或者为此集成创建一个新的微应用。
现在,您可以设置和运行第一个数据同步。由于可以将大量数据从集成应用程序提取到 微应用平台,因此我们建议您使用表页面筛选第一次数据同步的实体,以加快同步速度。有关详细信息,请参阅验证所需实体。有关同步规则、不符合其计划的同步以及否决规则的完整信息,请参阅 同步数据。
有关 API 端点和表实体的更多详细信息,请参阅Google 目录连接器规格。
旧版 Google 目录微应用
我们的 Google 目录集成附带以下预配置的开箱即用微应用。
目录管理员: 添加新用户。
| 通知或页面 | 用例工作流 |
|---|---|
| “创建用户”页 | 提供用于添加包含详细信息的新用户的表单。 |
目录详细信息: 查看团队成员的详细信息,包括新员工和职位更改。
| 通知或页面 | 用例工作流 |
|---|---|
| 新员工通知 | 当新队友加入时,所有订阅者都会收到通知。 |
| 职位变更通知 | 当员工的职称发生变化时,所有订阅者都会收到通知。 |
| “所有用户”页 | 提供所有员工的列表,其中包含指向详细信息的链接。 |
| “用户详细信息”页面 | 提供员工的详细视图。 |