问题标签 [google-gsuite]

我们有 G-Suite，它用作我们大多数企业应用程序的 SSO，所有用户都是内部用户。

但是我们引入 KeyCloak 是为了管理所有应用程序、暴露的门户、内部用户以及所有外部用户的安全性。

我需要一种方法将用户从 G-Suite 同步到 KeyCloak，因此 KeyCloak 将管理内部和外部用户的所有用户\组\权限。

此外，我需要知道如何从 KeyCloak 配置\取消配置用户，它也应反映在 G Suite 上。

注意：OKTA 可以做到这一点。

目前我们正在使用 Google SSO 在我们的产品中进行身份验证。这将不允许任何非谷歌用户使用该产品，但有一个选项，用户可以使用当前电子邮件地址创建谷歌帐户。在创建帐户时，Google 只会通过发送一些安全代码来验证一次。如果原始帐户被停用（例如 -> abc.outlook.com），Google SSO 仍然有效。我们有什么办法可以避免这种情况。示例 -> 我有一个电子邮件 ID test@outlook.com 在进行谷歌登录时，如果我的 Outlook 电子邮件被停用，我现在可以使用相同的电子邮件 ID 创建一个新的谷歌账户，我仍然可以使用谷歌账户。

I want to extract manager information and location for all users within my domain. Currently no information of provided in user object but we can search based on managerId and location-based attributes (ref: link). Any other way of including these things in the user object or extracting it using Gsuite API

是否可以通过 Java 代码禁用“登录挑战”选项？

我们必须为不记得第二封电子邮件的退休用户禁用它，并且我们不希望支持用户进入管理员控制来执行此操作，我们希望在我们的 API 上构建它

像这样的东西：

我想在组织仪表板中显示 Gsuite 帐户帐单发票详细信息。有什么方法可以通过 Google API 获取帐单吗？

提前致谢

我正在尝试获取所有用户的报告，以及他们发送/接收的电子邮件数量。Workspace 管理员在给定日期报告了所有关于此的报告，但我想查看每月数据的比较。

有什么简单的方法可以抓住它而我想念它吗？

我们正在使用People API从Directory中获取详细信息。API 没有返回目录中大多数人的姓名。仅我们 GSuite 帐户中的 2 个帐户提供名称字段，而其他帐户不提供。但是，每个人都可以使用其他详细信息，例如电子邮件地址和电话号码。

使用设置外部目录共享 → 域和公共数据时，我们没有发现对单个字段的任何更细粒度的控制

我们尝试将设置从默认更改为External Directory Sharing → Public data and authenticated user basic profile fields。但是，这会导致 API 响应显示PERMISSION_DENIED错误。

我们为目录中的一位用户创建了 Google Currents 帐户。当帐户创建并处于活动状态时，名称字段可供该用户使用。帐户被删除/停用后，名称字段不再可用。

正在使用的人员 API：

GET https://people.googleapis.com/v1/people:searchDirectoryPeople?query=a&sources=DIRECTORY_SOURCE_TYPE_DOMAIN_CONTACT&sources=DIRECTORY_SOURCE_TYPE_DOMAIN_PROFILE&readMask=emailAddresses,names,phoneNumbers,photos

到目前为止，我们参考的文档如下：

人员 API - 搜索目录： https ://developers.google.com/people/api/rest/v1/people/searchDirectoryPeople

让第三方应用访问目录数据： https: //support.google.com/a/answer/6343701

人员信息的合并视图： https ://developers.google.com/people/#a_merged_view_of_people_information

编辑：

卷曲命令：

我已经为我的项目配置了social-auth-django。在G Suite中，我已经完成了第三方SAML身份验证 (SSO) 的所有设置。问题是在完成 Google 身份验证后，它会重定向到accounts/login/ 而不是配置的重定向 URL。

软件包版本：

有人对此有任何想法吗？

谢谢

我们正在为客户集成 GMAIL / GSUITE 与 DLP 系统。电子邮件 DLP 模块是基于后缀的。在电子邮件 DLP 模块中，我将添加一个 X-HEADER，我打算在 GMAIL 转发规则中将其读取到 DLP 以避免无限循环。所以到 DLP 系统的 GMAIL 转发规则应该允许我这样：

• 如果 X-HEADER-DLP 不存在，则将消息转发到 DLP 电子邮件网关
• 否则（如果存在 X-HEADER-DLP）将电子邮件转发给收件人

在 MS Exchange 中，我可以检查传入的 IP 地址以避免此类下一跳循环，但由于 GMAIL 中的此功能不可用，因此我尝试使用 X-HEADER 方法。

我想让 GSA 直接访问以修改 Google用户。我找不到关于此的当前文档，所以假设现在不可能？

看起来这仅适用于与组合作： https ://workspaceupdates.googleblog.com/2020/08/new-api-cloud-identity-groups-google.html

我需要授予 GSA 访问权限以读取组成员身份并修改用户属性。

现在我：

• 创建管理员 G Suite 用户
• 使用这些范围创建具有域范围身份验证的 GSA
  • https://www.googleapis.com/auth/admin.directory.group
  • https://www.googleapis.com/auth/admin.directory.user

使用 GSA 模拟 G Suite 用户并修改用户属性，如下所示：

我还需要域范围的委派来修改用户属性吗？还是现在也支持？