Google

Die ProcessCube Authority unterstützt Google als Identitätsprovider, um dort verwaltete Benutzer verwenden zu können.

Erstellen eines OAuth2.0 Clients

Im Google Developer Console können die OAuth 2.0 Clients für die Authority angelegt werden.

Konfiguration der Authority

Um die Google Erweiterung zu verwenden, müssen die zuverwendenden OAuth 2.0 Clients für Google konfiguriert werden.

Konfiguration eines Google Providers für den Betrieb auf localhost:

// [...]
"extensions": {
  "configs": {
    "provider_chooser": {},
    "google": {
      "providers": [
        {
          "id": "main_google",
          "client_id": "[redacted]",
          "redirect_uris_origins": [
            "http://localhost:11560/acr/google_main_google/callback"
          ]
        }
      ]
    }
  }
}
// [...]

Konfiguration von Service Accounts

• Service-Account für die Gruppenanfrage muss die Scopes “https://www.googleapis.com/auth/admin.directory.group.readonly ” und “https://www.googleapis.com/auth/admin.directory.group.member.readonly ” haben und die Admin-SDK-API muss aktiviert sein.
• Für den Service-Account muss eine Schlüsseldatei heruntergeladen und lokal hinterlegt werden. Der Pfad zu diser Schlüsseldatei muss der Authority als Environment-Variable GOOGLE_KEY_PATH mitgegeben werden.
• Außerdem braucht die Authority als Environment-Variable GOOGLE_ADMIN_EMAIL eine Email-Adresse, welche Admin-Rechte für diesen Service-Account hat
• Mit dieser Konfiguration kann die Authority jetzt Gruppen für Nutzer abrufen, welche sich im Projekt des Service-Accounts einloggen und zum Beispiel für Custom Claims benutzen