In diesem Artikel möchte ich die Installation und Nutzung unseres neuen Konnektors zu Google Apps for Work beschreiben.

Parallel haben wir auch einen Konnektor für die Anbindung von Microsoft Office 365 veröffentlicht, dessen Installation ich in einem separaten Blogartikel beschreibe.

Mit der Integration von Google Apps for Work in UCS entfällt für Administratoren das umständliche Anlegen von Benutzerkonten in der Administrationsoberfläche von Google: Sie brauchen nur in der UMC ein Häkchen setzen und schon wird ein Google Konto angelegt. Auch für die Benutzer ist es komfortabel: Sie müssen sich kein weiteres Passwort merken: Dank Single Sign-On (SSO) melden Sie sich lokal bei UCS an und schon können Sie online in der Cloud arbeiten – Ihr Passwort verlässt nie das Unternehmen.

Damit UCS ohne Administratoreingriff Google Benutzerkonten im Hintergrund bereitstellen kann, muss zuvor eine sichere Verbindung zu Googles Cloud konfiguriert werden. Hierfür existiert ein Wizard, der Einrichtende durch den nicht ganz unkomplizierten Vorgang leitet.

Wenn die Konfiguration geklappt hat, können in der Univention Management Console (UMC) Benutzer ausgewählt werden, für die Google Konten angelegt werden sollen.

screenshot google user UCS

Ab diesem Zeitpunkt werden ausgewählte Kontoattribute von den UCS Konten zu den Konten in Googles Cloud synchronisiert. Welche Attribute (Vorname, Nachname, Telefonnummer, etc.) synchronisiert werden sollen, ist per UCR konfigurierbar. Es ist nicht nur konfigurierbar, welche Attribute synchronisiert werden, es kann auch bestimmt werden, ob die Werte anonymisiert, statisch auf einen bestimmten Wert gesetzt oder korrekt kopiert werden sollen.

Installation

Zur Nutzung des Google Apps for Work Konnektors wird ein Google Apps for Work Administratorkonto sowie eine von Google verifizierte Domäne benötigt.

Zu Testzwecken kann ein kostenloses Google Apps for Work Konto angelegt werden. Für das Konfigurieren des SSO wird jedoch eine eigene Internet-Domäne benötigt, in der TXT‑Records erstellt werden können.

Wenn Sie noch kein Google Apps for Work Konto besitzen, gehen Sie zu apps.google.com/setup-hub/ und wählen Sie „Jetzt kostenlos testen“. Mit einem privaten Gmail Konto kann keine Verbindung zu UCS hergestellt werden.

Ob der Besitz Ihrer Domäne bei Google verifiziert ist, können Sie sehen, indem Sie sich in die Admin-Konsole einloggen und unter „Domains“ (unten auf „mehr Widgets“ klicken) und dann „Domains hinzufügen oder entfernen“ nachschauen. Wenn nicht, können Sie hier Ihre eigene Domäne hinzufügen und verifizieren lassen. Dafür wird es nötig sein, einen TXT‑Record im DNS für Ihre Domäne zu erzeugen. Der Vorgang kann eine Weile dauern.

Wenn es geklappt hat, können Sie die App im App Center installieren und den Wizard starten.

Benutzung

Nach dem erfolgreichen Durchlaufen des Wizards ist der Konnektor sofort einsatzbereit. Wird für ein UCS Benutzerkonto Google Apps for Work aktiviert, so wird automatisch ein Google Konto angelegt. Sie können den User in der Google Admin Konsole sehen. Er wird erst beim ersten Einloggen voll aktiviert.

UCS Benutzer kommen nun in den Genuss von SSO – und kommen auf zwei Wegen ans Ziel: Der beim Login auf einer Google Anmeldeseite einzugebende Benutzername ist für aktivierte UCS Benutzer auf dem Reiter „Google Apps“ ersichtlich. Hat man den Benutzernamen eingegeben, wird auf die UCS Single Sign-On Seite umgeleitet.

UCS Single Sign-On Login

Dort melden sich die Benutzer mit ihren UCS Zugangsdaten an und werden dann zu Google zurückgeschickt, wo sie direkt arbeiten können. Das Benutzerpasswort wird somit nicht zu Google übertragen. Am schnellsten, sichersten und einfachsten ist es, wenn Ihre User auf der Überblicksseite Ihres UCS Servers starten.

Von dort gelangen sie nach einem Mausklick auf der UCS Single Sign-On Seite und sparen sich so das doppelte Eingeben ihres Benutzernamens.

Einbahnstraße

Der Konnektor arbeitet nur in eine Richtung: Benutzer werden von UCS zum Google Verzeichnis synchronisiert. Änderungen an Usern, die in der Admin Konsole vorgenommen werden, können durch Änderungen an den gleichen Attributen in UCS daher u. U. vom Konnektor überschrieben werden.

Konfiguration

Für die UCS Benutzerkonton, bei denen Google Apps for Work aktiviert wurde, werden entsprechende Konten im Google Verzeichnis angelegt und ausgewählte Kontoattribute zu diesem synchronisiert. Was synchronisiert wird, ist mithilfe mehrerer UCR Variablen konfigurierbar.

Über die UCR Variablen google-apps/attributes/mapping/.* wird konfiguriert, welche LDAP Attribute (z. B. Vorname, Nachname, etc.) eines Benutzerkontos synchronisiert werden. Die UCR Variablen und ihre Werte spiegeln die verschachtelte Datenstruktur der Google Benutzerkonten wider. Die Namen, die in den Werten dem ‚%‘ folgen, sind die Attribute im UCS LDAP. Entfernen Sie UCR Variablen von Attributen, die Sie nicht synchronisieren wollen. Wenn Sie alle UCR Variablen google-apps/attributes/mapping/.* entfernen, werden keine Daten außer der primären E-Mail-Adresse synchronisiert.

Änderungen an UCR Variablen werden erst nach dem Neustart des Listeners umgesetzt:
invoke-rc.d univention-directory-listener restart

Fortgeschrittene Konfiguration

Mit der UCR Variablen google-apps/attributes/anonymize können kommasepariert LDAP Attribute angegeben werden, die zwar bei Google angelegt, jedoch mit Zufallswerten gefüllt werden. Wird in einem Wert in google-apps/attributes/mapping/.* das Prozentzeichen weggelassen, wird das Wort, das nach dem Gleichheitszeichen steht, direkt auf der Google Seite eingetragen. So können Attribute mit vordefinierten Werten für alle Benutzer gefüllt werden.

Mit der UCR Variablen google-apps/attributes/never können kommasepariert LDAP Attribute angegeben werden, die nicht synchronisiert werden sollen, selbst wenn sie in google-apps/attributes/mapping oder google-apps/attributes/anonymize auftauchen.

Sie können die UCR Variable google-apps/groups/sync aktivieren, um die Gruppen der für Google Apps for Work aktivierten Benutzer zu synchronisieren. Wenn es Schwierigkeiten gibt, hilft u. U. das Logfile. Durch Aktivierung der UCR Variablen google-apps/debug/werror werden Debug-Ausgaben auf die „Error“-Stufe gehoben und erscheinen in /var/log/univention/listener.log.

Daniel Tröder ist Open Source Software Engineer und kümmert sich zur Zeit besonders intensiv um die Weiterentwicklung des Mail-Stacks von UCS.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.