10.2. Google Apps for Work Connector#
Der Google Apps for Work Connector ermöglicht die Synchronisation der Benutzer und Gruppen zu einer G Suite Domäne. Dabei lässt sich steuern, welche der in UCS angelegten Benutzer G Suite verwenden dürfen. Die so ausgewählten Benutzer werden entsprechend von UCS in die G Suite Domäne provisioniert. Es kann dabei konfiguriert werden, welche Attribute synchronisiert werden und Attribute können dabei anonymisiert werden.
Die Single Sign-On Anmeldung an G Suite erfolgt über die in UCS integrierte SAML-Implementierung, d.h. die Authentifizierung erfolgt dabei gegen den UCS-Server und es werden keine Passwort-Hashes zur G Suite Domäne übertragen. Die Authentifikation des Benutzers erfolgt ausschließlich über den Webbrowser des Clients. Dieser sollte aber die DNS-Namen der UCS-Domäne auflösen können, das ist insbesondere für Mobilgeräte wichtig zu beachten.
10.2.1. Einrichtung#
Für den Einsatz des Google Apps for Work Connectors wird ein G Suite Administrator Konto, ein entsprechendes Konto in der G Suite Domäne, sowie eine von Google verifizierte Domäne benötigt. Die ersten beiden werden zu Testzwecken kostenlos von Google bereitgestellt. Für das Konfigurieren des SSO wird jedoch eine eigene Internet-Domäne benötigt, in der TXT‑Records erstellt werden können.
Falls noch keine G Suite Subskription vorhanden ist, so kann diese via Google Workspace für Ihre Organisation einrichten konfiguriert werden. Mit einem privaten Gmail Konto ist eine Verbindung nicht möglich.
Anschließend sollte eine Anmeldung mit einem G Suite Administratorkonto in der Admin-Konsole erfolgen. Nun sollte die Verifikation der Domäne erfolgen. Dafür ist es notwendig, einen TXT-Record im DNS der eigenen Domäne zu erzeugen. Dieser Vorgang kann einige Minuten in Anspruch nehmen.
Nun kann der Google Apps for Work Connector aus dem App Center auf dem UCS System installiert werden. Die Installation dauert nur wenige Minuten. Anschließend steht ein Einrichtungsassistent (Wizard) für die Einrichtung zur Verfügung. Mit Abschluss des Einrichtungsassistenten ist die Installation abgeschlossen und der Connector ist einsatzbereit.
Abb. 10.2 Google Apps for Work Einrichtungsassistent#
10.2.2. Konfiguration#
Nach der Einrichtung über den Einrichtungsassistenten kann über das Benutzermodul an jedem Benutzerobjekt auf dem Reiter Google Apps konfiguriert werden, dass dieser Benutzer zu G Suite provisioniert wird.
Wird eine Änderung am Benutzer durchgeführt, so werden die Änderungen auch in die G Suite Domäne repliziert. Es erfolgt keine Synchronisation aus der G Suite Domäne in das UCS-System. Das bedeutet Änderungen, die in der G Suite Domäne vorgenommen wurden, können durch Änderungen an den gleichen Attributen in UCS unter Umständen wieder überschrieben werden.
Wird bei einem Benutzer die Google Apps Eigenschaft entfernt, so wird der Benutzer entsprechend in der G Suite Domäne gelöscht.
Über die Univention Configuration Registry Variablen google-apps/attributes/mapping/.* wird konfiguriert, welche LDAP Attribute (z.B. Vorname, Nachname) eines Benutzerkontos synchronisiert werden. Die Univention Configuration Registry Variable und ihre Werte spiegeln die verschachtelte Datenstruktur der G Suite Benutzerkonten wider. Die Namen, die in den Werten dem Prozentzeichen folgen, sind die Attribute im UCS LDAP. Werden alle Univention Configuration Registry Variablen google-apps/attributes/mapping/.* entfernt, so werden keine Daten außer der primären E-Mail-Adresse synchronisiert.
Mit der Univention Configuration Registry Variable google-apps/attributes/anonymize können kommasepariert LDAP Attribute angegeben werden, die zwar in der G Suite Domäne angelegt, jedoch mit Zufallswerten gefüllt werden.
Mit der Univention Configuration Registry Variable google-apps/attributes/never können kommasepariert LDAP Attribute angegeben werden, die nicht synchronisiert werden sollen, selbst wenn diese per google-apps/attributes/mapping/.* oder google-apps/attributes/anonymize konfiguriert sind.
Die Synchronisation der Gruppen der Google Apps for Work Benutzer kann mit der Univention Configuration Registry Variable google-apps/groups/sync aktiviert werden.
Änderungen an Univention Configuration Registry Variablen werden erst nach dem Neustart des Univention Directory Listener umgesetzt.
10.2.3. Fehlersuche#
Meldungen während der Einrichtung werden in der folgenden Logdatei /var/log/univention/management-console-module-googleapps.log protokolliert.
Bei Synchronisationsproblemen sollte die Logdatei des Univention Directory Listener geprüft werden: /var/log/univention/listener.log. Mit Hilfe der Univention Configuration Registry Variable google-apps/debug/werror können mehr Debugausgaben aktiviert werden.