Per consentire ai Member di Crystal di accedere a Crystal con le proprie credenziali Microsoft, l'utente Admin deve prima impostare Google come Identity Provider.
In qualità di Admin, è necessario seguire un processo che coinvolge sia **Google** che **Crystal.**
Segui questo tutorial.
{% hint style="info" %} **Nota Bene**
Gli Identity Provider possono essere utilizzati anche per [*creare nuovi Gruppi*](https://docs.igenius.ai/italiano/crystal-console/utenti/gruppi)*.*
{% endhint %}
## **Step 1 - Crea e configura un Service Account**
Prima di tutto, è necessario creare un account Google Service con i privilegi corretti e la delega a livello di dominio.
**1a) Crea un Service Account**
1. accedi a[ Google Cloud Platform.](https://console.cloud.google.com/welcome/new) Assicurati di selezionare il progetto corretto o di crearne uno dedicato a Crystal.
2. Seleziona *"APIs & Servizi",* poi *"*[*Credentials*](https://console.cloud.google.com/apis/credentials)*".*
3. dal menu superiore, seleziona *"Crea credenziali" → "Service account"*.
4. scegli un nome per il tuo service account e salta tutti i passaggi opzionali
Una volta fatto, dovresti vedere i dettagli del nuovo Service Account.
**1b) Configura il Service Account**
Per effettuare le chiamate API corrette, è necessario abilitare la delega dello spazio di lavoro e aggiungere una chiave al service account:
1. seleziona *"APIs & Servizi"*, poi [*"Credentials"*](https://console.cloud.google.com/apis/credentials)
2. seleziona il Service Account appena creato dall'elenco della sezione *"Account Services"*
3. sotto i dettagli, seleziona la casella di controllo *"Abilita la delega dell'area di lavoro di Google a livello di dominio"*
4. nella scheda "Keys", seleziona *"Aggiungi Key"→ "Crea una nuova Key"*
5. salva il file scaricato in una posizione nota: sarà necessario caricarlo in seguito durante la configurazione di Crystal.
**1c) Abilita l'API Admin SDK**
Per poter effettuare chiamate API alle API di Google Workspace Admin e recuperare i dettagli su Utenti e Gruppi, è necessario:
1. caricare le API da "*API & Services" → "Dashboard"* nel menu principale
2. cliccare su *"Abilita API e servizi"*
3. cercare *"Admin SDK"*
4. selezionare Admin SDK API
5. abilitare l'API (se non è ancora abilitata)
**1d) Abilita la delega a livello di dominio**
Per autorizzare il tuo Account Service a svolgere le attività specifiche di cui necessiti, devi:
1. accedere a [https://admin.google.com](https://admin.google.com/)
2. andare su *"Sicurezza"* → *"API Controlli"* (se non vedi la voce *"Sicurezza"* clicca prima su *"Altro")*
3. scorrere fino alla sezione delegazione a livello di dominio e selezionare *"Gestisci delegazione a livello di dominio"*
4. selezionare *"Aggiungi nuovo"* e compilare i dettagli. L'ID cliente è l'ID cliente del service account. È inoltre necessario aggiungere i seguenti due OAuth:
$$
$$
$$
$$
## Step 2 - Creare e configurare l'ID del client OAuth
Per abilitare la funzione Login with Google, è necessario creare un'applicazione web
1. vai su *"APIs & Servizi -> Credenziali"*
2. clicca su *"+ Creare Credenziali"*
3. seleziona *“OAuth client ID”*
Se non lo si è già fatto, GCP chiederà di configurare la schermata di consenso:
1. cliccare su *"Configura schermata di consenso"*
2. selezionare il tipo di utente: Interno
3. fare clic su "*Crea".*
4. torna a *"API e servizi"* → *"Credenziali"* e clicca su "*+ Crea credenziali"*
5. ora puoi procedere con la configurazione dell'ID client OAuth. Compila il modulo con nomi descrittivi. La cosa più importante è aggiungere come URI di reindirizzamento autorizzato l'url di reindirizzamento di crystal oauth2
$$
https\://{tenant-name}.crystal.{ai}/login-manager/login/google/complete
$$
{% hint style="info" %}
Sostituisci *{tenant-name} con il nome del dominio scelto per il tuo Progetto Crystal*
{% endhint %}
6. una volta creato, salvare il **client id** e il **client secret**. Ne avrai bisogno per completare la configurazione dell'IDP sulla Console descritta al punto 3. È possibile copiarli e incollarli in una posizione a scelta, oppure scaricare il file JSON.
## Step 3 - Configura il nuovo IDP nella Crystal Console
L'ultimo passaggio verrà eseguito all'interno della Crystal Console:
1. dal tab Utenti, alla voce *"Identity Provider"*, seleziona *"Aggiungi nuovo IDP"*
2. seleziona Google Workspace come tipo di connessione
3. compila i campi richiesti con i valori corretti e carica la Secret Account key scaricata nello **Step 1b**.
Le caselle si riferiscono al Client OAuth2 (**Step 2**), mentre la Secret Account key si riferisce al Service Account (**Step 1**).
{% hint style="warning" %} **Ricorda**
* **Admin User**: l'indirizzo e-mail dell'utente amministratore della tua azienda
* **Domain**: il dominio principale del Google Workspace della tua azienda
* **Client ID**: il client id copiato nel passaggio 2 (ID cliente OAuth2)
* **Redirect URI**: il Redirect URI configurato nel passaggio 2 (ID cliente OAuth2)
* **Codice segreto**: il client secret copiato nel passaggio 2 (ID client OAuth2)
{% endhint %}
Ecco un esempio di campi compilati correttamente:
Se la connessione riesce, sarai in grado di [invitare gli Utenti](https://docs.igenius.ai/italiano/crystal-console/utenti/invita-gli-utenti-su-crystal/invita-gli-utenti-tramite-identity-provider) da Google Workspace e *abilitare l'accesso con le credenziali Google per loro* (e di [creare nuovi Gruppi](https://docs.igenius.ai/italiano/crystal-console/utenti/gruppi) più facilmente).
***
.png?alt=media&token=4b1f4d32-f965-4fa8-9016-cc7af01a6339)
.png?alt=media&token=25a2eb40-930c-489c-b6cb-07cb181af995)
