集成 Google Directory
与 Google Directory 集成,在任何设备、内联网或 Messenger 上与整个组织共享员工联系信息。确保满足先决条件、启用 API 并创建服务帐号。完成此过程后,您现有的审核日志记录级别将保留,包括使用 Citrix Microapps 执行的任何操作。
注意:
我们提供了两个 Google Directory 集成模板供您使用。对于大多数用例,特别是 Google Directory 工作流,我们建议使用较新的 HTTP 集成。HTTP 集成提供了更多功能来配置缓存的数据结构。在本文的最后,您可以找到 旧版 Google Directory 集成模板的文档。有关 Google 日历集成的详细信息,请参阅 集成 Google 日历。
查看必备项
这些先决条件假定您管理组织的 Google Directory 实例以设置集成。
- 此集成需要一个专用的 Google 帐户,该帐户用于将日历数据与 Workspace 同步。此账户必须具有管理员 API 权限 User/Read 或包含此权限的标准管理员角色。
- 如果托管 Workspace 的内部服务器位于防火墙后面,则必须允许使用端口 443 访问主机名 www.google.com,以便 Workspace 可以连接。
- 获取新的 oauth2 client_id 和 client_secret 并定义客户端应用程序的范围。
- 将 Citrix Gateway 配置为支持 Google Directory 的单点登录,这样一旦用户登录,他们将自动重新登录,而无需再次输入凭据。按照 Google Directory 单点登录配置中的说明进行操作。有关配置 SSO 的更多信息,请参阅 Citrix Gateway 服务。
要在 Citrix Workspace 微应用中添加 Google Directory 集成,您必须具备以下详细信息:
- 客户端 ID
- 客户端密钥
- 域
- 有效的 Google Directory 帐户和密码
启用 API
为您需要的服务启用 API。
请按照以下步骤进行操作:
- https://console.developers.google.com 使用管理员帐户登录,然后选择 创 建以创建新项目。您还可以更新现有项目。
- 选择 启用 API 和服务 ,然后搜索 Admin SDK。选择它,然后选择 启用。
- 搜索 Google 日历 API。选择它,然后选择 启用。
创建服务账号
- 选择左上角的 设置 图标,将鼠标悬停在 IAM 和管理员上方,然后选择 服务帐户。
- 选择 创建服务帐户。
- 输入您的 服务帐户名称、 服务帐户 ID (默认情况下,自动生成)、 服务帐户描述,然后单击 创建。
- 选择选择 角色菜单,然后 选择 所有者角色。
- 选择 继续 ,然后选择 完成。
启用 Google 委派并创建服务帐号密钥
要启用 Google 域范围的委派并创建服务帐号密钥,请执行以下步骤:
- 在您的服务帐户列表中,找到您创建的帐户。选择 操作 > 编辑。
- 选择 显示域范围的委派。选中 启用 Google 域范围的委托 复选框。
-
要创建私钥,请选择 + 创建密钥,选择 JSON,然后选择 创建。
私钥将保存到您的计算机中。
- 将 JSON 文件存储在安全的位置。配置 Calendar 集成时需要这样做。
- 选择 关闭 ,然后选择 保存。
启用和管理 API 访问
- 导航到 https://admin.google.com,选择 安全 > API 参考。确保选中 启用 API 访问权限 。
- 选择 高级设置 > 管理 API 客户端访问权限。将 服务帐户名称 添加到授权 API 客户端列表中。
- 在 “客户 端名称” 下,输入您下载的私钥 JSON 文件中的 client_id 。
-
在 “ 一个或多个 API 作用域” 字段中输入以下逗号分隔的作 用域列表:
```,```<https://www.googleapis.com/auth/admin.directory.user.readonly><!--NeedCopy-->
- 选择 授权。
将回调 URL 添加到 Google API 控制台
授予对私人数据的访问权限,并提供指向服务条款和隐私政策的链接。回调取决于目标应用程序,创建集成时可以在 URL 地址栏中找到。{yourmicroappserverurl} 部分由租户部分、区域部分和环境部分组成: https://{tenantID}.{region(us/eu/ap-s)}.iws.cloud.com。
- 转到 https://console.developers.google.com 并使用您的凭据登录。
- 从左侧导航栏中选择 OAuth 同意屏幕 。
- 在 授权域下,添加此域名:
cloud.com
,按回车键,然后选择 保存。 - 要创建 OAuth 客户端 ID,请从左侧导航栏中选择 凭据 。选择 创建凭据 和 Oauth 客户端 ID。
-
选择 Web 应用程序 ,然后按照先前添加的样式添加以下 URI,以允许访问私有数据并启用经 OAuth 身份验证的用户操作:
授权的重定向 URL:
https://{yourmicroappserverurl}/admin/api/external-services/com.sapho.services.googlecalendar.GoogleCalendarService/auth/serverContext,https://{yourmicroappserverurl}/app/api/auth/serviceAction/callback
对于 Google Directory,请使用:
https://{yourmicroappserverurl}/admin/api/external-services/com.sapho.services.googleforwork.GoogleForWorkService/auth/serverContext,https://{yourmicroappserverurl}/app/api/auth/serviceAction/callback
-
添加每个 URL 后,按 Enter。添加所有需要的 URI 后,向下滚动并选择 “ 创建”。
注意:
如果您没有访问权限,请授予自己接受 OAuth 权限的权限。转到 管理员控制台 > 安全 > API 权限。在 内部应用程序设置下,选中 信任域拥有的应用 程序复选框。
将集成添加到 Citrix Workspace 微应用
将 Google Directory 集成添加到 Citrix Workspace 微应用程序以连接到您的应用程序。这样可以提供带有预配置通知和操作的开箱即用的微应用程序,这些通知和操作可在工作区中使用我们提供了两个 Google Directory 集成模板供您使用。对于大多数用例,我们建议使用较新的 HTTP 集成。
请按照以下步骤设置 Google Directory HTTP 集成。身份验证选项是预先选择的。确保在完成该过程时选择了这些选项。对于大多数用例,我们建议使用这种较新的 HTTP 集成。HTTP 集成提供了更多功能来配置缓存的数据结构。
请按照以下步骤进行操作:
- 在 微应用集成 页面中,选择 添加新集成,然后 从 Citrix 提供的模板中添加新集成。
- 选择 Google Directory 磁贴。
- 输入 集成的集成名称 。
- 输入 连接器参数。
- 输入实例基本 URL,或者直接将示例中的
{customer-id}
替换为您的客户 ID。 - 从图标库中选择一个用于集成的图标,或将其保留为默认的 Google Directory 图标。
- 如果要创建 本地连接,请启用本地实例 切换。有关更多信息,请参阅 本地实例。
- 输入实例基本 URL,或者直接将示例中的
-
在 服务身份验证下,从身份验证 方法 菜单中选择 OAuth 2.0 ,然后填写身份验证详细信息。身份验证选项是预先选择的。确保在完成该过程时选择了这些选项。使用 OAuth 2.0 安全协议为委派访问生成请求/授权令牌。建议您始终使用 OAuth 2.0 作为可用的服务身份验证方法。OAuth 2.0 可确保您的集成符合配置的微应用的最大安全合规性。
- 从授权类型菜单中选择授权码。这会授予客户端用来交换访问令牌的临时代码。该代码从授权服务器获取,您可以在其中查看客户端请求的信息。只有这种授权类型才能启用安全的用户模拟。这将显示您在注册应用程序时使用的 回调 URL
- 从 令牌授权菜单中选择授权 标题。
- 输入您的授权 URL,或者直接将示例中的
{customer-id}
替换为您的客户 ID。这是设置目标应用程序集成时提供的授权服务器 URL。 - 输入您的令牌 URL,或者直接将示例中的
{customer-id}
替换为您的客户 ID。这是访问授权令牌的 URL。 - 确保为作用域输入以下内容。要同步其他实体,必须在此处添加范围。使用以下内容,用空格分隔:
https://www.googleapis.com/auth/admin.directory.user https://www.googleapis.com/auth/admin.directory.orgunit https://www.googleapis.com/auth/admin.directory.group
。 - 输入您的 客户 ID。客户端 ID 是表示授权服务器特有的客户端注册信息的字符串。您可以通过在 Google 帐户中注册 OAuth 客户端来收集此信息和秘密信息。您需要添加在集成配置页面上看到的 回调 URL 。
- 输入您的 客户端密钥。客户端密钥是设置目标应用程序集成时发出的唯一字符串。
-
输入您的 标题前缀。(可选)如果您的持票人前缀与默认标题不同,请输入标题前缀。
-
如果您选择了 OAuth 2.0 身份验证方法,则可以选择 + 添加参数 以包含 访问令牌参数。如有必要,访问令牌参数可根据目标应用程序授权服务器的要求定义访问令牌参数。
-
在服务操作身份验证下,启用在操作使用单独的用户身份验证开关。服务操作身份验证在服务操作级别进行身份验证。身份验证选项是预先选择的。确保在完成该过程时选择了这些选项。
- 从身份验证方法菜单中选择 OAuth 2.0,然后填写身份验证详细信息。
- 从授权类型菜单中选择授权码。这会授予客户端用来交换访问令牌的临时代码。该代码从授权服务器获取,您可以在其中查看客户端请求的信息。只有这种授权类型才能启用安全的用户模拟。这将显示您在注册应用程序时使用的 回调 URL
- 从 令牌授权菜单中选择授权 标题。
- 输入您的授权 URL,或者直接将示例中的
{customer-id}
替换为您的客户 ID。这是设置目标应用程序集成时提供的授权服务器 URL。 - 输入您的令牌 URL,或者直接将示例中的
{customer-id}
替换为您的客户 ID。这是访问授权令牌的 URL。 - 确保为作用域输入以下内容。要同步其他实体,必须在此处添加范围。使用以下内容:
https://www.googleapis.com/auth/admin.directory.user
. - 输入您的 客户 ID。客户端 ID 是表示授权服务器特有的客户端注册信息的字符串。客户端 ID 是表示授权服务器特有的客户端注册信息的字符串。您可以通过在 Google 帐户中注册 OAuth 客户端来收集此信息和秘密信息。您需要添加在集成配置页面上看到的 回调 URL 。
- 输入您的 客户端密钥。客户端密钥是设置目标应用程序集成时发出的唯一字符串。
- (可选)如果持票人 前缀与默认标题 不同,请输入标题前缀。
-
如果您选择了 OAuth 2.0 身份验证方法,则可以选择 + 添加参数 以包含 访问令牌参数。如有必要,访问令牌参数可根据目标应用程序授权服务器的要求定义访问令牌参数。
- (可选)如果要为此集成激活速率限制,请启用请 求速率限制 开关并设置每个 时间间隔的请求数。
-
(可选)启用 日志记录 切换以保留 24 小时的日志记录以用于支持目的。
- 选择 保存 以继续。
- 在 OAuth 授权下,选择 授权 以使用您的服务帐户登录。此时将显示带有 Webex 登录屏幕的弹出窗口。
- 输入您的服务帐户用户名和密码,然后选择登录。
- 选择 接受。
微应用集成 页面随即打开,其中包含您添加的集成及其微应用。在这里,您可以添加另一个集成,继续设置开箱即用的微应用,或为此集成创建新的微应用。
现在,您已准备好设置和运行第一次数据同步。由于可以将大量数据从集成应用程序提取到微应用平台,因此我们建议您使用 “ 表 ” 页面筛选实体以进行首次数据同步,以加快同步速度。有关更多信息,请参阅验证所需实体。有关同步规则、不符合其计划的同步和否决规则的完整信息,请参阅同步数据。
有关 API 端点和表实体的更多详细信息,请参阅 Google Directory 连接器规范。
使用 Google Directory 微应用
现有的应用程序集成随现成的微应用程序一起提供。从这些微应用开始,然后根据您的需求自定义它们。我们的 Google Directory HTTP 集成带有以下预配置的开箱即用的微应用。
创建用户: 添加新用户。
通知或页面 | 用例工作流 |
---|---|
“创建用户” 页 | 提供用于添加包含详细信息的新用户的表单。 |
目录管理员: 管理用户和详细信息。
通知或页面 | 用例工作流 |
---|---|
“删除用户” 页 | 提供用于删除用户的表单。 |
“更新用户” 页 | 提供用于编辑用户详细信息的表单。 |
用户详细信息页 | 提供员工的详细视图,其中包含用于更新或删除用户的按钮。 |
“用户”页 | 提供所有员工的可搜索列表,其中包含指向个人用户详细信息的链接。 |
群组: 查看组和详细信息。
通知或页面 | 用例工作流 |
---|---|
“组详情” 页面 | 提供组的详细视图。 |
“组”页面 | 提供所有组的可搜索列表,其中包含指向各个组详细信息的链接。 |
我的详情: 查看您自己的详细信息。
通知或页面 | 用例工作流 |
---|---|
我的详细信息页 | 提供用户自己的员工详细信息的详细、只读视图。 |
用户: 查看用户详细信息。
通知或页面 | 用例工作流 |
---|---|
新员工通知 | 当新队友加入时,所有订阅者都会收到通知。 |
用户详细信息页 | 提供员工的详细视图,其中包含用于更新或删除用户的按钮。 |
“用户”页 | 提供所有员工的可搜索列表,其中包含指向个人用户详细信息的链接。 |
旧版 Google Directory 集成
要在 Citrix Workspace 微应用中添加 Google Directory 集成并查看上述先决条件,您必须具备以下详细信息:
- 客户端 ID
- 客户端密钥
- 域
- 有效的 Google Directory 帐户和密码
添加旧版 Google Directory 集成
请按照以下步骤进行操作:
-
在概述页面中,选择 入门。
此时将打开 “管理集成” 页面。
- 选择 添加新集成,然后 从 Citrix 提供的模板中添加新集成。
-
选择 Google Directory 磁贴。
-
输入作为先决条件收集的集成的名称。
- 输入 连接器参数。
- 输入 客户端密钥。
- 输入 域。
- 如果要缓存 用户的照片,请选择 “下载 用户的照片” 单选按钮。
- 选择使用 您的 Google Directory 帐户登录以启用 OAuth 授权。Google 登录页面将在新标签页中打开。系统会提示您输入帐户名、确认访问权限并输入密码。
- 选择添加。
微应用集成 页面随即打开,其中包含您添加的集成及其微应用。在这里,您可以添加另一个集成,继续设置开箱即用的微应用,或为此集成创建新的微应用。
现在,您已准备好设置和运行第一次数据同步。由于可以将大量数据从集成应用程序提取到微应用平台,因此我们建议您使用 “ 表 ” 页面筛选实体以进行首次数据同步,以加快同步速度。有关更多信息,请参阅验证所需实体。有关同步规则、不符合其计划的同步和否决规则的完整信息,请参阅同步数据。
有关 API 端点和表实体的更多详细信息,请参阅 Google Directory 连接器规范。
旧版 Google Directory 微应用
我们的 Google Directory 集成带有以下预配置的开箱即用微应用。
目录管理员: 添加新用户。
通知或页面 | 用例工作流 |
---|---|
“创建用户” 页 | 提供用于添加包含详细信息的新用户的表单。 |
目录详细信息: 查看团队成员的详细信息,包括新员工和职位变动。
通知或页面 | 用例工作流 |
---|---|
新员工通知 | 当新队友加入时,所有订阅者都会收到通知。 |
职位变更通知 | 当员工的头衔发生变化时,所有订阅者都会收到通知。 |
“所有用户” 页 | 提供所有员工的列表以及指向详细信息的链接。 |
用户详细信息页 | 提供员工的详细视图。 |