# Abilita l'Identity Provider di Google

<figure><img src="/files/9w29HW8xMbKLZaHPIawg" alt=""><figcaption><p>Login con IDP Google</p></figcaption></figure>

Per consentire ai Member di Crystal di accedere a Crystal con le proprie credenziali Microsoft, l'utente Admin deve prima impostare Google come Identity Provider.

In qualità di Admin, è necessario seguire un processo che coinvolge sia **Google** che **Crystal.**

Segui questo tutorial.

{% hint style="info" %} <mark style="color:blue;">**Nota Bene**</mark>

Gli Identity Provider possono essere utilizzati anche per [*creare nuovi Gruppi*](/italiano/crystal-console/utenti/gruppi.md)*.*
{% endhint %}

## **Step 1 - Crea e configura un Service Account**

Prima di tutto, è necessario creare un account Google Service con i privilegi corretti e la delega a livello di dominio.

**1a) Crea un Service Account**

1. accedi a[ Google Cloud Platform.](https://console.cloud.google.com/welcome/new)  Assicurati di selezionare il progetto corretto o di crearne uno dedicato a Crystal.
2. Seleziona *"APIs & Servizi",* poi *"*[*Credentials*](https://console.cloud.google.com/apis/credentials)*".*

<figure><img src="/files/o2NWtwZT9TYtBZqlAmYp" alt="" width="375"><figcaption></figcaption></figure>

3. dal menu superiore, seleziona *"Crea credenziali" → "Service account"*.

<figure><img src="/files/VRw6NuCCYVKJKadv9UzO" alt="" width="563"><figcaption></figcaption></figure>

4. scegli un nome per il tuo service account e salta tutti i passaggi opzionali

<figure><img src="/files/xFpE2JzhtiSFJa1vEOcE" alt="" width="563"><figcaption></figcaption></figure>

Una volta fatto, dovresti vedere i dettagli del nuovo Service Account.

**1b) Configura il Service Account**

Per effettuare le chiamate API corrette, è necessario abilitare la delega dello spazio di lavoro e aggiungere una chiave al service account:

1. seleziona *"APIs & Servizi"*, poi [*"Credentials"*](https://console.cloud.google.com/apis/credentials)
2. seleziona il Service Account appena creato dall'elenco della sezione *"Account Services"*

<figure><img src="/files/uXdZwZ7EnlPN0DQPMa85" alt="" width="563"><figcaption></figcaption></figure>

3. sotto i dettagli, seleziona la casella di controllo *"Abilita la delega dell'area di lavoro di Google a livello di dominio"*

<figure><img src="/files/AMZcqhYh1YZvCZpmcOCM" alt="" width="563"><figcaption></figcaption></figure>

4. nella scheda "Keys", seleziona *"Aggiungi Key"→ "Crea una nuova Key"*

<figure><img src="/files/xrLKSuK02zdDAHE3oxg9" alt="" width="563"><figcaption></figcaption></figure>

5. salva il file scaricato in una posizione nota: sarà necessario caricarlo in seguito durante la configurazione di Crystal.

**1c) Abilita l'API Admin SDK**

Per poter effettuare chiamate API alle API di Google Workspace Admin e recuperare i dettagli su Utenti e Gruppi, è necessario:

1. caricare le API da "*API & Services" → "Dashboard"* nel menu principale

<figure><img src="/files/jNYeP99YQyeJAjlRaLrh" alt="" width="563"><figcaption></figcaption></figure>

2. cliccare su *"Abilita API e servizi"*
3. cercare *"Admin SDK"*

<figure><img src="/files/oK8civp9aAniwkBEZIq9" alt="" width="563"><figcaption></figcaption></figure>

4. selezionare Admin SDK API

<figure><img src="/files/nZyIxT10kxYZpL6ABIR7" alt="" width="563"><figcaption></figcaption></figure>

5. abilitare l'API (se non è ancora abilitata)

<figure><img src="/files/koUGfEHA04UyuwZLOcE4" alt="" width="563"><figcaption></figcaption></figure>

**1d) Abilita la delega a livello di dominio**

Per autorizzare il tuo Account Service a svolgere le attività specifiche di cui necessiti, devi:

1. accedere a [https://admin.google.com](https://admin.google.com/)​
2. andare su *"Sicurezza"* → *"API Controlli"* (se non vedi la voce *"Sicurezza"* clicca prima su *"Altro")*

<figure><img src="/files/LwmqivWo74XqZwdchj7T" alt="" width="375"><figcaption></figcaption></figure>

3. scorrere fino alla sezione delegazione a livello di dominio e selezionare *"Gestisci delegazione a livello di dominio"*

<figure><img src="/files/ERT2CPkQgFBdzNZKQhgH" alt="" width="558"><figcaption></figcaption></figure>

4. selezionare *"Aggiungi nuovo"* e compilare i dettagli. L'ID cliente è l'ID cliente del service account. È inoltre necessario aggiungere i seguenti due OAuth:

$$
<https://www.googleapis.com/auth/admin.directory.group.readonly>
$$

$$
<https://www.googleapis.com/auth/admin.directory.user.readonly​>
$$

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FcnnKpOPNK55hq8nWnuDD%2Fuploads%2FtjKMDKFMUpElwVeL68hM%2Fimage.png?alt=media&#x26;token=ad84b50f-4a27-4098-b6a0-9754b5172025" alt="" width="563"><figcaption></figcaption></figure>

## Step 2 - Creare e configurare l'ID del client OAuth <a href="#step-2-creare-e-configurare-lid-del-client-oauth" id="step-2-creare-e-configurare-lid-del-client-oauth"></a>

Per abilitare la funzione Login with Google, è necessario creare un'applicazione web

1. vai su *"APIs & Servizi -> Credenziali"*
2. clicca su *"+ Creare Credenziali"*
3. seleziona *“OAuth client ID”*

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FcnnKpOPNK55hq8nWnuDD%2Fuploads%2FEEPRXpWNIjcQ9hWZAIMM%2Fimage.png?alt=media&#x26;token=398cce96-8877-4404-bae7-312aefe19aef" alt=""><figcaption></figcaption></figure>

Se non lo si è già fatto, GCP chiederà di configurare la schermata di consenso:

1. cliccare su *"Configura schermata di consenso"*
2. selezionare il tipo di utente: Interno
3. fare clic su "*Crea".*
4. torna a *"API e servizi"* → *"Credenziali"* e clicca su "*+ Crea credenziali"*

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FcnnKpOPNK55hq8nWnuDD%2Fuploads%2FdRqAmcpEydyExL8MWqtn%2Fimage.png?alt=media&#x26;token=ac16b87a-414d-4df7-aac7-9c0f58988c1e" alt="" width="563"><figcaption></figcaption></figure>

5. ora puoi procedere con la configurazione dell'ID client OAuth. Compila il modulo con nomi descrittivi. La cosa più importante è aggiungere come URI di reindirizzamento autorizzato l'url di reindirizzamento di crystal oauth2

$$
https\://{tenant-name}.crystal.{ai}/login-manager/login/google/complete
$$

{% hint style="info" %}
Sostituisci *{tenant-name} con il nome del dominio scelto per il tuo Progetto Crystal*
{% endhint %}

<figure><img src="/files/TimxgHR4jTL769NSZ6bK" alt="" width="563"><figcaption></figcaption></figure>

6. una volta creato, salvare il **client id** e il **client secret**. Ne avrai bisogno per completare la configurazione dell'IDP sulla Console descritta al punto 3. È possibile copiarli e incollarli in una posizione a scelta, oppure scaricare il file JSON.

<figure><img src="/files/Wo9ObZhhyWrHot0nUjKR" alt="" width="563"><figcaption></figcaption></figure>

## Step 3 - Configura il nuovo IDP nella Crystal Console&#x20;

L'ultimo passaggio verrà eseguito all'interno della Crystal Console:&#x20;

1. dal tab Utenti, alla voce *"Identity Provider"*, seleziona *"Aggiungi nuovo IDP"*

<figure><img src="/files/YUQI2llScZKaFgoNhLd3" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/mwYDqZGMuYjS8M9fDeQU" alt=""><figcaption></figcaption></figure>

2. seleziona Google Workspace come tipo di connessione

<figure><img src="/files/AOcxbPc4M7o3Xqp7VsMt" alt="" width="563"><figcaption></figcaption></figure>

3. compila i campi richiesti con i valori corretti e carica la Secret Account key scaricata nello **Step 1b**.&#x20;

Le caselle si riferiscono al Client OAuth2 (**Step 2**), mentre la Secret Account key si riferisce al Service Account (**Step 1**).

{% hint style="warning" %} <mark style="color:orange;">**Ricorda**</mark>

* **Admin User**: l'indirizzo e-mail dell'utente amministratore della tua azienda
* **Domain**: il dominio principale del Google Workspace della tua azienda
* **Client ID**: il client id copiato nel passaggio 2 (ID cliente OAuth2)&#x20;
* **Redirect URI**: il Redirect URI configurato nel passaggio 2 (ID cliente OAuth2)
* **Codice segreto**: il client secret copiato nel passaggio 2 (ID client OAuth2)
  {% endhint %}

Ecco un esempio di campi compilati correttamente:

<figure><img src="/files/lTqrLnrlrfetEC5yPaGJ" alt="" width="375"><figcaption></figcaption></figure>

Se la connessione riesce, sarai in grado di [invitare gli Utenti](/italiano/crystal-console/utenti/invita-gli-utenti-su-crystal/invita-gli-utenti-tramite-identity-provider.md) da Google Workspace e *abilitare l'accesso con le credenziali Google per loro* (e di [creare nuovi Gruppi](/italiano/crystal-console/utenti/gruppi.md) più facilmente).

***


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.igenius.ai/italiano/crystal-console/utenti/invita-gli-utenti-su-crystal/invita-gli-utenti-tramite-identity-provider/abilita-lidentity-provider-di-google.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.