集成 G-Suite
与 G-Suite Directory 集成,在任何设备、内部网或信使上与整个组织共享员工联系信息。与 G-Suite 日历集成以管理日历事件。确保满足必备条件、启用 API 并创建服务帐户。完成此过程后,您的现有审核日志记录级别将持续存在,包括使用 Citrix 微应用执行的任何操作。
注意:
我们提供两个 G-Suite 目录集成模板供您使用。对于大多数用例,特别是 G-Suite 目录工作流,我们建议使用较新的 HTTP 集成。HTTP 集成提供了更多功能来配置缓存的数据结构。我们还提供两个 Google 日历集成模板供您使用。这个基于 Java 的模板(在目录中的集成类别下)介绍了更多用例。新的基于 HTTP 的模板(在目录中的 “预览” 类别下)更加灵活,并提供了配置缓存数据结构的更多功能。有关详细信息,请参阅集成谷歌日历。
检查必备项
这些必备条件假定您管理组织的 G Suite 实例以设置集成。
- 这种集成需要一个专用的 Google 帐户,用于将日历数据与 Workspace 同步。此帐户必须具有管理员 API 权限用户/读取或包含此权限的标准管理员角色。
- 如果托管 Workspace 的内部服务器位于防火墙后面,则必须允许访问主机名 www.google.com 和端口 443,以便 Workspace 可以连接。
- 获取新的 oauth2 client_id 和 client_secret 并定义客户端应用程序的范围。
- 将 Citrix Gateway 配置为支持 G Suite 的单点登录,以便在用户登录后,他们将自动重新登录,而无需再次输入凭据。请按照 G Suite 单点登录配置 中的说明进行操作。有关配置 SSO 的详细信息,请参阅Citrix Gateway 服务。
您必须具有以下详细信息才能在 Citrix Workspace 微应用中添加 G Suite 日历集成:
- OAUTH 私钥 JSON
- 模拟管理员用户帐户
对于 Google 日历的用户同意 (3LO) 身份验证:
- 客户端 ID
- 客户端密钥
您必须具有以下详细信息才能在 Citrix Workspace 微应用中添加 G Suite Directory 集成:
- 客户端 ID
- 客户端密钥
- 域
- 有效的 G-Suite 目录帐户和密码
启用 API
启用所需服务的 API。
请按照以下步骤进行操作:
- 使用管理员帐户登录https://console.developers.google.com,然后选择创建以创建新项目。您也可以更新现有项目。
- 选择启用 API 和服务并搜索管理 SDK。选择该选项并选择启用。
- 搜索 Google 日历 API。选择该选项并选择启用。
创建服务帐户
- 选择左上角的设置图标,将鼠标悬停在 IAM 和管理员上,然后选择服务帐户。
- 选择创建服务帐户。
- 输入您的服务帐户名称、服务帐户 ID(默认情况下,自动生成)和服务帐户描述,然后单击创建。
- 选择选择角色菜单,然后选择所有者角色。
- 选择继续,然后选择完成。
启用 G Suite 委派并创建服务帐户密钥
若要启用 G Suite 域范围的委派并创建服务帐户密钥,请按照下列步骤操作:
- 在服务帐户列表中,找到您创建的帐户。选择操作 > 编辑。
- 选择显示域范围的委派。选中启用 G Suite 域范围的委派复选框。
-
要创建私有密钥,请选择 + 创建密钥,选择 JSON,然后选择创建。
私钥将保存到您的计算机中。
- 将 JSON 文件存储在一个安全的位置。当您配置日历集成时,它是必需的。
- 选择关闭并选择保存。
启用和管理 API 访问
- 导航至https://admin.google.com,选择安全 > API 参考。确保选择了启用 API 访问。
- 选择高级设置 > 管理 API 客户端访问。将服务帐户名称添加到授权 API 客户端列表中。
- 在客户端名称下,从您下载的私钥 JSON 文件中输入 client_id。
-
在一个或多个 API 作用域字段中输入以下逗号分隔的作用域列表:
<https://www.googleapis.com/auth/admin.directory.resource.calendar.readonly>、<https://www.googleapis.com/auth/admin.directory.user.readonly><https://www.googleapis.com/auth/calendar> - 选择授权。
将回调 URL 添加到 Google API 控制台
授予对私人数据的访问权限,并提供服务条款和隐私政策的链接。回调取决于目标应用程序,并且可以在创建集成时在 URL 地址栏中找到。{yourmicroappserverurl} 部分由租户部分、区域部分和环境部分组成:https://{tenantID}.{region(us/eu/ap-s)}.iws.cloud.com。
- 转到 https://console.developers.google.com 并使用您的凭据登录。
- 从左侧导航中选择 OAuth 同意屏幕。
- 在授权域下,添加此域:
cloud.com,按返回键,然后选择保存。 - 要创建 OAuth 客户端 ID,请从左侧导航中选择凭据。选择创建凭据和 Oauth 客户端 ID。
-
选择 Web 应用程序并按照之前添加的样式添加以下 URI,以允许访问私有数据并启用 OAuth 身份验证的用户操作:
授权的重定向 URL:
https://{yourmicroappserverurl}/admin/api/external-services/com.sapho.services.googlecalendar.GoogleCalendarService/auth/serverContext,https://{yourmicroappserverurl}/app/api/auth/serviceAction/callback对于 Google 目录,请使用:
https://{yourmicroappserverurl}/admin/api/external-services/com.sapho.services.googleforwork.GoogleForWorkService/auth/serverContext,https://{yourmicroappserverurl}/app/api/auth/serviceAction/callback -
添加每个 URL 后,请按 Enter 键。添加所有所需 URI 后,向下滚动,然后选择创建。
注意:
如果您没有访问权限,请授予自己接受 OAuth 权限的权限。转到管理控制台 > 安全 > API 权限。在内部应用程序设置下,选中信任域拥有的应用程序复选框。
将集成添加到 Citrix Workspace 微应用
将 G-Suite 集成添加到 Citrix Workspace 微应用程序以连接到您的应用程序。这样可以提供现成的微应用,以及可以在 Workspace 内使用的预配置通知和操作。我们提供两个 G-Suite 目录集成模板供您使用。对于大多数用例,我们建议使用较新的 HTTP 集成。
添加 G 套件目录 HTTP 集成
请按照以下步骤设置 G 套件目录 HTTP 集成。身份验证选项已预先选择。确保在完成此过程时选择了这些选项。我们建议在大多数用例中使用此更新的 HTTP 集成。HTTP 集成提供了更多功能来配置缓存的数据结构。
请按照以下步骤进行操作:
- 在微应用集成页面中,选择添加新集成,然后选择从 Citrix 提供的模板添加新集成。
- 选择 G-Suite 目录磁贴。
- 输入集成的集成名称。
- 输入连接器参数。
- 输入实例基本 URL,或者在示例中仅用您的客户 ID 替换
{customer-id}。 - 从 图标 库中选择集成的图标,或将其保留为默认 G-Suite 目录图标。
- 如果要创建本地连接,请启用本地实例开关。有关详细信息,请参阅本地实例。
- 输入实例基本 URL,或者在示例中仅用您的客户 ID 替换
-
在服务身份验证下,从身份验证方法菜单中选择 OAuth 2.0,然后填写身份验证详细信息。身份验证选项已预先选择。确保在完成此过程时选择了这些选项。使用 OAuth 2.0 安全协议为委派访问生成请求/授权令牌。建议您始终使用 OAuth 2.0 作为服务身份验证方法(如果可用)。OAuth 2.0 可确保您的集成符合您配置的微应用的最大安全合规性。
- 从授权类型菜单中选择授权代码。这将授予客户端交换访问令牌的临时代码。代码从授权服务器获取,您可以在其中查看客户端请求的信息。只有此授权类型才能启用安全用户模拟。这将显示您在注册应用程序时使用的回调 URL
- 从令牌授权菜单中选择授权标头。
- 输入您的授权 URL 或简单地在示例中将
{customer-id}替换为您的客户 ID。这是设置目标应用程序集成时提供的授权服务器 URL。 - 输入您的令牌 URL 或简单地在示例中将
{customer-id}替换为您的客户 ID。这是访问授权令牌的 URL。 - 确保为 范围输入以下内容。要同步其他实体,必须在此处添加作用域。请使用以下命令,用空格分隔:
https://www.googleapis.com/auth/admin.directory.user https://www.googleapis.com/auth/admin.directory.orgunit https://www.googleapis.com/auth/admin.directory.group。 - 输入您的客户端 ID。客户端 ID 是表示授权服务器唯一的客户端注册信息的字符串。您可以通过在您的 Google 帐户中注册 OAuth 客户端来收集这些信息和秘密信息。您需要添加集成配置页面上看到的回调 URL 。
- 输入您的客户端密码。客户端密钥是设置目标应用程序集成时发出的唯一字符串。
-
输入您的标题前缀。(可选)如果持有者前缀与默认标题不同,请输入标题前缀。
-
如果选择了 OAuth 2.0 身份验证方法,则可以选择 + 添加参数以包含访问令牌参数。访问令牌参数根据目标应用程序授权服务器的要求定义访问令牌参数(如有必要)。
-
在服务操作身份验证下,启用在操作中使用单独用户身份验证开关。服务操作身份验证在服务操作级别进行身份验证。身份验证选项已预先选择。确保在完成此过程时选择了这些选项。
- 从“身份验证方法”菜单中选择“OAuth 2.0”,然后完成身份验证详细信息。
- 从授权类型菜单中选择授权代码。这将授予客户端交换访问令牌的临时代码。代码从授权服务器获取,您可以在其中查看客户端请求的信息。只有此授权类型才能启用安全用户模拟。这将显示您在注册应用程序时使用的回调 URL
- 从令牌授权菜单中选择授权标头。
- 输入您的授权 URL 或简单地在示例中将
{customer-id}替换为您的客户 ID。这是设置目标应用程序集成时提供的授权服务器 URL。 - 输入您的令牌 URL 或简单地在示例中将
{customer-id}替换为您的客户 ID。这是访问授权令牌的 URL。 - 确保为 范围输入以下内容。要同步其他实体,必须在此处添加作用域。使用以下命令:
https://www.googleapis.com/auth/admin.directory.user。 - 输入您的客户端 ID。客户端 ID 是表示授权服务器唯一的客户端注册信息的字符串。客户端 ID 是表示授权服务器唯一的客户端注册信息的字符串。您可以通过在您的 Google 帐户中注册 OAuth 客户端来收集这些信息和秘密信息。您需要添加集成配置页面上看到的回调 URL 。
- 输入您的客户端密码。客户端密钥是设置目标应用程序集成时发出的唯一字符串。
- (可选)如果持有者前缀与默认标题不同,请输入您的标题前缀。
-
如果选择了 OAuth 2.0 身份验证方法,则可以选择 + 添加参数以包含访问令牌参数。访问令牌参数根据目标应用程序授权服务器的要求定义访问令牌参数(如有必要)。
- (可选)如果要激活此集成的速率限制,请启用请求速率限制开关并设置每个时间间隔的请求数。
-
(可选)启用日志记录开关以保留 24 小时的日志记录以供支持。
- 选择 保存 以继续。
- 在 OAuth 授权下,选择 授权 以使用您的服务帐户登录。此时将出现一个带有 Webex 登录屏幕的弹出窗口。
- 输入您的服务帐户用户名和密码,然后选择“登录”。
- 选择“接受”。
添加 G-Suite 传统集成
若要设置 G Suite 日历集成,请按照下列步骤操作:
-
从概览页面中,选择开始。
此时将打开“管理集成”页面。
- 选择添加新集成,然后选择从 Citrix 提供的模板中添加新集成。
- 选择 G Suite 日历磁贴。
-
输入集成的名称。
- 输入您在之前的过程中收集的服务身份验证参数。
- 复制并粘贴整个 OAUTH 私钥 JSON。复制整个键,包括 {} 括号。
- 输入模拟管理员用户。
- 选择用户身份验证方法。
- 管理
- 用户
- 用户同意 (3LO) 资源所有者允许访问。
- 对于用户同意 (3LO),请输入您在必备条件过程中收集的客户端 ID和客户端密钥。
- 输入连接器参数。
- 要加载的即将发生的事件的天数 -定义缓存即将到来的日历事件以发送通知的时间长度。
- 要加载的过去事件的天数 -定义缓存过去事件的时间长度。
- 如有必要,选择加载用户日历事件单选按钮。
- 线程计数 -输入值。
- 选择添加。
若要设置 G Suite 日历集成,请按照下列步骤操作:
-
从概览页面中,选择开始。
此时将打开“管理集成”页面。
- 选择添加新集成,然后选择从 Citrix 提供的模板中添加新集成。
-
选择 G Suite Directory 磁贴。
-
输入作为必备条件收集的集成的名称。
- 输入连接器参数。
- 输入客户端密码。
- 输入域。
- 如果要缓存用户照片,请选择下载用户照片单选按钮。
- 选择使用 G Suite Directory 帐户登录以启用 OAuth 授权。Google 登录页面将在新选项卡中打开。系统会提示您输入帐户名称、确认访问权限并输入密码。
- 选择添加。
微应用集成页面将打开,其中包含您添加的集成及其微应用。在这里,您可以添加另一个集成,继续设置现成的微应用,或者为此集成创建一个新的微应用。
现在,您可以设置和运行第一个数据同步。由于可以将大量数据从集成应用程序提取到 微应用平台,因此我们建议您使用表页面筛选第一次数据同步的实体,以加快同步速度。有关详细信息,请参阅验证所需实体。有关同步规则、不符合其计划的同步以及否决规则的完整信息,请参阅 同步数据。
有关 API 端点和表实体的更多详细信息,请参阅G Suite 连接器规格。
使用 G Suite 微应用
现有的应用程序集成带有现成的微应用。从这些微应用开始,并根据您的需求定制它们。
HTTP G Suite Directory
我们的 HTTP G Suite Directory 集成附带以下预配置的开箱即用微应用。
创建用户: 添加新用户。
| 通知或页面 | 用例工作流 |
|---|---|
| “创建用户”页 | 提供用于添加包含详细信息的新用户的表单。 |
目录管理员: 管理用户和详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| “删除用户”页 | 提供用于删除用户的窗体。 |
| “更新用户”页 | 提供用于编辑用户详细信息的表单。 |
| “用户详细信息”页面 | 提供员工的详细视图,其中包含用于更新或删除用户的按钮。 |
| “用户”页 | 提供所有员工的可搜索列表,其中包含指向单个用户详细信息的链接。 |
组: 查看组和详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| “组详细信息”页 | 提供组的详细视图。 |
| “组”页 | 提供所有组的可搜索列表,其中包含指向各个组详细信息的链接。 |
我的详细信息: 查看您自己的详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| 我的详细信息页面 | 提供用户自己的员工详细信息的详细只读视图。 |
用户: 查看用户详细信息。
| 通知或页面 | 用例工作流 |
|---|---|
| 新员工通知 | 当新队友加入时,所有订阅者都会收到通知。 |
| “用户详细信息”页面 | 提供员工的详细视图,其中包含用于更新或删除用户的按钮。 |
| “用户”页 | 提供所有员工的可搜索列表,其中包含指向单个用户详细信息的链接。 |
旧版 G Suite 日历
我们的 G Suite 日历集成带有以下预先配置的现成微应用。
日历事件: 创建和预览事件。
| 通知或页面 | 用例工作流 |
|---|---|
| 事件提醒通知 | 当事件即将到来时,所有订阅者都会收到提醒通知。 |
| “所有事件”页 | 提供即将举行的事件的个性化列表。 |
| “创建事件”页 | 提供用于添加包含详细信息的新事件的表单。 |
| “事件详细信息”页面 | 提供活动的详细视图,包括客人名单。 |
旧版 G Suite Directory
我们的 G Suite Directory 集成带有以下预配置的现成微应用。
目录管理员: 添加新用户。
| 通知或页面 | 用例工作流 |
|---|---|
| “创建用户”页 | 提供用于添加包含详细信息的新用户的表单。 |
目录详细信息: 查看团队成员的详细信息,包括新员工和职位更改。
| 通知或页面 | 用例工作流 |
|---|---|
| 新员工通知 | 当新队友加入时,所有订阅者都会收到通知。 |
| 职位变更通知 | 当员工的职称发生变化时,所有订阅者都会收到通知。 |
| “所有用户”页 | 提供所有员工的列表,其中包含指向详细信息的链接。 |
| “用户详细信息”页面 | 提供员工的详细视图。 |