Abilita l'Identity Provider di Google
Questa pagina descrive come abilitare il Login con l'IDP Google.
Last updated
Was this helpful?
Questa pagina descrive come abilitare il Login con l'IDP Google.
Last updated
Was this helpful?
Per consentire ai Member di Crystal di accedere a Crystal con le proprie credenziali Microsoft, l'utente Admin deve prima impostare Google come Identity Provider.
In qualità di Admin, è necessario seguire un processo che coinvolge sia Google che Crystal.
Segui questo tutorial.
Nota Bene
Gli Identity Provider possono essere utilizzati anche per creare nuovi Gruppi.
Prima di tutto, è necessario creare un account Google Service con i privilegi corretti e la delega a livello di dominio.
1a) Crea un Service Account
accedi a Google Cloud Platform. Assicurati di selezionare il progetto corretto o di crearne uno dedicato a Crystal.
Seleziona "APIs & Servizi", poi "Credentials".
dal menu superiore, seleziona "Crea credenziali" → "Service account".
scegli un nome per il tuo service account e salta tutti i passaggi opzionali
Una volta fatto, dovresti vedere i dettagli del nuovo Service Account.
1b) Configura il Service Account
Per effettuare le chiamate API corrette, è necessario abilitare la delega dello spazio di lavoro e aggiungere una chiave al service account:
seleziona "APIs & Servizi", poi "Credentials"
seleziona il Service Account appena creato dall'elenco della sezione "Account Services"
sotto i dettagli, seleziona la casella di controllo "Abilita la delega dell'area di lavoro di Google a livello di dominio"
nella scheda "Keys", seleziona "Aggiungi Key"→ "Crea una nuova Key"
salva il file scaricato in una posizione nota: sarà necessario caricarlo in seguito durante la configurazione di Crystal.
1c) Abilita l'API Admin SDK
Per poter effettuare chiamate API alle API di Google Workspace Admin e recuperare i dettagli su Utenti e Gruppi, è necessario:
caricare le API da "API & Services" → "Dashboard" nel menu principale
cliccare su "Abilita API e servizi"
cercare "Admin SDK"
selezionare Admin SDK API
abilitare l'API (se non è ancora abilitata)
1d) Abilita la delega a livello di dominio
Per autorizzare il tuo Account Service a svolgere le attività specifiche di cui necessiti, devi:
accedere a https://admin.google.com
andare su "Sicurezza" → "API Controlli" (se non vedi la voce "Sicurezza" clicca prima su "Altro")
scorrere fino alla sezione delegazione a livello di dominio e selezionare "Gestisci delegazione a livello di dominio"
selezionare "Aggiungi nuovo" e compilare i dettagli. L'ID cliente è l'ID cliente del service account. È inoltre necessario aggiungere i seguenti due OAuth:
Per abilitare la funzione Login with Google, è necessario creare un'applicazione web
vai su "APIs & Servizi -> Credenziali"
clicca su "+ Creare Credenziali"
seleziona “OAuth client ID”
Se non lo si è già fatto, GCP chiederà di configurare la schermata di consenso:
cliccare su "Configura schermata di consenso"
selezionare il tipo di utente: Interno
fare clic su "Crea".
torna a "API e servizi" → "Credenziali" e clicca su "+ Crea credenziali"
ora puoi procedere con la configurazione dell'ID client OAuth. Compila il modulo con nomi descrittivi. La cosa più importante è aggiungere come URI di reindirizzamento autorizzato l'url di reindirizzamento di crystal oauth2
Sostituisci {tenant-name} con il nome del dominio scelto per il tuo Progetto Crystal
una volta creato, salvare il client id e il client secret. Ne avrai bisogno per completare la configurazione dell'IDP sulla Console descritta al punto 3. È possibile copiarli e incollarli in una posizione a scelta, oppure scaricare il file JSON.
L'ultimo passaggio verrà eseguito all'interno della Crystal Console:
dal tab Utenti, alla voce "Identity Provider", seleziona "Aggiungi nuovo IDP"
seleziona Google Workspace come tipo di connessione
compila i campi richiesti con i valori corretti e carica la Secret Account key scaricata nello Step 1b.
Le caselle si riferiscono al Client OAuth2 (Step 2), mentre la Secret Account key si riferisce al Service Account (Step 1).
Ricorda
Admin User: l'indirizzo e-mail dell'utente amministratore della tua azienda
Domain: il dominio principale del Google Workspace della tua azienda
Client ID: il client id copiato nel passaggio 2 (ID cliente OAuth2)
Redirect URI: il Redirect URI configurato nel passaggio 2 (ID cliente OAuth2)
Codice segreto: il client secret copiato nel passaggio 2 (ID client OAuth2)
Ecco un esempio di campi compilati correttamente:
Se la connessione riesce, sarai in grado di invitare gli Utenti da Google Workspace e abilitare l'accesso con le credenziali Google per loro (e di creare nuovi Gruppi più facilmente).
