Italiano

Abilita l'Identity Provider di Google

Questa pagina descrive come abilitare il Login con l'IDP Google.

Per consentire ai Member di Crystal di accedere a Crystal con le proprie credenziali Microsoft, l'utente Admin deve prima impostare Google come Identity Provider.

In qualità di Admin, è necessario seguire un processo che coinvolge sia Google che Crystal.

Segui questo tutorial.

Nota Bene

Gli Identity Provider possono essere utilizzati anche per creare nuovi Gruppi.

Step 1 - Crea e configura un Service Account

Prima di tutto, è necessario creare un account Google Service con i privilegi corretti e la delega a livello di dominio.

1a) Crea un Service Account

  1. accedi a Google Cloud Platform. Assicurati di selezionare il progetto corretto o di crearne uno dedicato a Crystal.

  2. Seleziona "APIs & Servizi", poi "Credentials".

  1. dal menu superiore, seleziona "Crea credenziali" → "Service account".

  1. scegli un nome per il tuo service account e salta tutti i passaggi opzionali

Una volta fatto, dovresti vedere i dettagli del nuovo Service Account.

1b) Configura il Service Account

Per effettuare le chiamate API corrette, è necessario abilitare la delega dello spazio di lavoro e aggiungere una chiave al service account:

  1. seleziona "APIs & Servizi", poi "Credentials"

  2. seleziona il Service Account appena creato dall'elenco della sezione "Account Services"

  1. sotto i dettagli, seleziona la casella di controllo "Abilita la delega dell'area di lavoro di Google a livello di dominio"

  1. nella scheda "Keys", seleziona "Aggiungi Key"→ "Crea una nuova Key"

  1. salva il file scaricato in una posizione nota: sarà necessario caricarlo in seguito durante la configurazione di Crystal.

1c) Abilita l'API Admin SDK

Per poter effettuare chiamate API alle API di Google Workspace Admin e recuperare i dettagli su Utenti e Gruppi, è necessario:

  1. caricare le API da "API & Services" → "Dashboard" nel menu principale

  1. cliccare su "Abilita API e servizi"

  2. cercare "Admin SDK"

  1. selezionare Admin SDK API

  1. abilitare l'API (se non è ancora abilitata)

1d) Abilita la delega a livello di dominio

Per autorizzare il tuo Account Service a svolgere le attività specifiche di cui necessiti, devi:

  1. accedere a https://admin.google.com

  2. andare su "Sicurezza""API Controlli" (se non vedi la voce "Sicurezza" clicca prima su "Altro")

  1. scorrere fino alla sezione delegazione a livello di dominio e selezionare "Gestisci delegazione a livello di dominio"

  1. selezionare "Aggiungi nuovo" e compilare i dettagli. L'ID cliente è l'ID cliente del service account. È inoltre necessario aggiungere i seguenti due OAuth:

https://www.googleapis.com/auth/admin.directory.group.readonlyhttps://www.googleapis.com/auth/admin.directory.group.readonly
https://www.googleapis.com/auth/admin.directory.user.readonlyhttps://www.googleapis.com/auth/admin.directory.user.readonly​

Step 2 - Creare e configurare l'ID del client OAuth

Per abilitare la funzione Login with Google, è necessario creare un'applicazione web

  1. vai su "APIs & Servizi -> Credenziali"

  2. clicca su "+ Creare Credenziali"

  3. seleziona “OAuth client ID”

Se non lo si è già fatto, GCP chiederà di configurare la schermata di consenso:

  1. cliccare su "Configura schermata di consenso"

  2. selezionare il tipo di utente: Interno

  3. fare clic su "Crea".

  4. torna a "API e servizi" "Credenziali" e clicca su "+ Crea credenziali"

  1. ora puoi procedere con la configurazione dell'ID client OAuth. Compila il modulo con nomi descrittivi. La cosa più importante è aggiungere come URI di reindirizzamento autorizzato l'url di reindirizzamento di crystal oauth2

https://tenantname.crystal.ai/loginmanager/login/google/completehttps://{tenant-name}.crystal.{ai}/login-manager/login/google/complete

Sostituisci {tenant-name} con il nome del dominio scelto per il tuo Progetto Crystal

  1. una volta creato, salvare il client id e il client secret. Ne avrai bisogno per completare la configurazione dell'IDP sulla Console descritta al punto 3. È possibile copiarli e incollarli in una posizione a scelta, oppure scaricare il file JSON.

Step 3 - Configura il nuovo IDP nella Crystal Console

L'ultimo passaggio verrà eseguito all'interno della Crystal Console:

  1. dal tab Utenti, alla voce "Identity Provider", seleziona "Aggiungi nuovo IDP"

  1. seleziona Google Workspace come tipo di connessione

  1. compila i campi richiesti con i valori corretti e carica la Secret Account key scaricata nello Step 1b.

Le caselle si riferiscono al Client OAuth2 (Step 2), mentre la Secret Account key si riferisce al Service Account (Step 1).

Ricorda

  • Admin User: l'indirizzo e-mail dell'utente amministratore della tua azienda

  • Domain: il dominio principale del Google Workspace della tua azienda

  • Client ID: il client id copiato nel passaggio 2 (ID cliente OAuth2)

  • Redirect URI: il Redirect URI configurato nel passaggio 2 (ID cliente OAuth2)

  • Codice segreto: il client secret copiato nel passaggio 2 (ID client OAuth2)

Ecco un esempio di campi compilati correttamente:

Se la connessione riesce, sarai in grado di invitare gli Utenti da Google Workspace e abilitare l'accesso con le credenziali Google per loro (e di creare nuovi Gruppi più facilmente).

PreviousAbilita l'Identity Provider di MicrosoftNextCrea e Gestisci i Gruppi

Last updated