Google Workspace konfigurieren - Amazon Quick
Ein Google Cloud-Projekt erstellenEinschalten der erforderlichen APIsDas Dienstkonto wird erstelltGenerieren eines privaten SchlüsselsEindeutige ID des Dienstkontos aufzeichnenKonfiguration der domänenweiten DelegierungEinen delegierten Admin-Benutzer erstellenFehlerbehebung bei der Google Workspace-Konfiguration

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Google Workspace konfigurieren

Um Amazon Quick mit Google Drive zu verbinden, führen Sie die folgenden Aufgaben in der Google Cloud Console und der Google Workspace Admin Console aus. Sie erstellen ein Google Cloud-Projekt, aktivieren die erforderlichen Optionen APIs, generieren Anmeldeinformationen für das Dienstkonto und konfigurieren die domänenweite Delegierung. Sie erstellen auch einen dedizierten Admin-Benutzer für das Dienstkonto, der sich als Benutzer ausgeben kann.

Voraussetzungen

Stellen Sie vor dem Beginn sicher, dass Sie über Folgendes verfügen:

  • Ein Google Workspace-Konto mit Administratorzugriff

  • Erlaubnis zum Erstellen von Projekten in der Google Cloud Console

Ein Google Cloud-Projekt erstellen

  1. Öffnen Sie die Google Cloud-Konsole.

  2. Wählen Sie in der Projektauswahl oben auf der Seite die Option Neues Projekt aus.

  3. Geben Sie einen Projektnamen ein und wählen Sie dann Erstellen.

  4. Nachdem das Projekt erstellt wurde, wählen Sie „Projekt auswählen“, um zu dem Projekt zu wechseln. Dieser Vorgang kann einige Minuten dauern.

Einschalten der erforderlichen APIs

Amazon Quick benötigt drei Google APIs. Schalten Sie jedes in der API-Bibliothek ein.

  1. Wählen Sie im Navigationsmenü APIs & Services und anschließend Library aus.

  2. Suchen Sie nach den folgenden Optionen APIs und wählen Sie „Aktivieren“:

    • Google Drive-API

    • Google Drive-Aktivitäts-API

    • SDK-API für Administratoren

Das Dienstkonto wird erstellt

  1. Wählen Sie im Navigationsmenü APIs & Services und anschließend Credentials aus.

  2. Wählen Sie Credentials erstellen und anschließend Service-Konto aus.

  3. Geben Sie einen Namen und optional eine Beschreibung für das Dienstkonto ein und wählen Sie dann Fertig.

Generieren eines privaten Schlüssels

  1. Wählen Sie auf der Seite „Anmeldeinformationen“ das Dienstkonto aus, das Sie erstellt haben.

  2. Wählen Sie die Registerkarte „Schlüssel“ und dann „Schlüssel hinzufügen“, „Neuen Schlüssel erstellen“.

  3. Vergewissern Sie sich, dass JSON ausgewählt ist, und wählen Sie dann Create.

Der Browser lädt eine JSON-Datei herunter, die den privaten Schlüssel enthält. Speichern Sie diese Datei sicher. Sie laden es in einem späteren Schritt auf Amazon Quick hoch.

Anmerkung

Wenn Sie eine Fehlermeldung erhalten, die besagt, dass die Erstellung von Dienstkontoschlüsseln durch eine Unternehmensrichtlinie deaktiviert wurde, finden Sie weitere Informationen unterBehebung von Einschränkungen durch Unternehmensrichtlinien.

Eindeutige ID des Dienstkontos aufzeichnen

  1. Wählen Sie auf der Detailseite des Dienstkontos die Registerkarte Details aus.

  2. Kopieren Sie den Wert im Feld Eindeutige ID. Sie benötigen diesen Wert, wenn Sie die domänenweite Delegierung konfigurieren.

Konfiguration der domänenweiten Delegierung

Durch die domänenweite Delegierung kann das Dienstkonto im Namen von Nutzern in Ihrer Organisation auf Google Workspace-Daten zugreifen.

  1. Erweitern Sie auf der Detailseite des Dienstkontos die Option Erweiterte Einstellungen.

  2. Wählen Sie „Google Workspace Admin Console anzeigen“. Die Admin-Konsole wird in einem neuen Tab geöffnet.

  3. Wählen Sie im Navigationsbereich der Admin-Konsole die Optionen Sicherheit, Zugriffs- und Datenkontrolle, API-Steuerung aus.

  4. Wählen Sie Domainweite Delegation verwalten und anschließend Neu hinzufügen aus.

  5. Geben Sie als Client-ID die eindeutige ID ein, die Sie zuvor kopiert haben.

  6. Geben Sie für OAuth Bereiche die folgenden kommagetrennten Werte ein:

    https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly

  7. Klicken Sie auf Authorize.

Einen delegierten Admin-Benutzer erstellen

Das Dienstkonto handelt im Namen eines Google Workspace-Admin-Benutzers. Erstellen Sie zu diesem Zweck einen dedizierten Benutzer und weisen Sie ihm die mindestens erforderlichen Rollen zu.

  1. Wählen Sie in der Google Workspace Admin Console Verzeichnis und dann Benutzer aus.

  2. Wählen Sie Neuen Nutzer hinzufügen aus.

  3. Geben Sie einen Vornamen, Nachnamen und eine primäre E-Mail-Adresse für den neuen Benutzer ein und wählen Sie dann Neuen Benutzer hinzufügen.

  4. Wählen Sie Fertig aus.

  5. Wählen Sie aus der Benutzerliste den Benutzer aus, den Sie erstellt haben. Wenn der Benutzer nicht angezeigt wird, aktualisieren Sie die Seite.

  6. Erweitern Sie auf der Benutzerdetailseite den Abschnitt Admin-Rollen und -Rechte.

  7. Weisen Sie unter Rollen die folgenden Rollen zu:

    • Gruppenleser

    • Benutzerverwaltung Admin

    • Speicheradministrator

  8. Wählen Sie Speichern.

Notieren Sie sich die E-Mail-Adresse dieses Benutzers. Sie benötigen es, wenn Sie die Wissensdatenbank in Amazon Quick erstellen.

Fehlerbehebung bei der Google Workspace-Konfiguration

Behebung von Einschränkungen durch Unternehmensrichtlinien

Wenn Sie beim Erstellen eines Dienstkontoschlüssels die folgende Fehlermeldung erhalten:

The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
Anmerkung

Für Google Cloud-Organisationen, die am oder nach dem 3. Mai 2024 gegründet wurden, wird diese Einschränkung standardmäßig durchgesetzt.

Sie müssen die Richtlinie für Ihr Projekt außer Kraft setzen.

  1. Öffnen Sie die Google Cloud-Konsole und vergewissern Sie sich, dass das richtige Projekt ausgewählt ist.

  2. Wählen Sie im Navigationsmenü IAM & Admin und anschließend Organisationsrichtlinien aus.

  3. Geben iam.disableServiceAccountKeyCreation Sie im Feld Filter Folgendes ein. Wählen Sie dann in der Richtlinienliste die Option Dienstkontoschlüsselerstellung deaktivieren aus.

  4. Wählen Sie Richtlinie verwalten aus.

    Anmerkung

    Wenn „Richtlinie verwalten“ nicht verfügbar ist, benötigen Sie die Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin) auf Organisationsebene. Siehe Gewährung der Rolle „Administrator für Organisationsrichtlinien“.

  5. Vergewissern Sie sich, dass im Abschnitt Richtlinienquelle die Option Richtlinie der übergeordneten Person außer Kraft setzen ausgewählt ist.

  6. Deaktivieren Sie unter Durchsetzung die Option Durchsetzung für diese Richtlinieneinschränkung der Organisation.

  7. Wählen Sie Richtlinie festlegen aus.

Es kann mehrere Minuten dauern, bis die Änderung wirksam wird.

Gewährung der Rolle „Administrator für Organisationsrichtlinien“

Die Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin) muss auf Organisationsebene und nicht auf Projektebene erteilt werden. Sie erscheint nicht in der Rollenliste, wenn einem Projekt Rollen zugewiesen werden.

Um diese Rolle zuzuweisen, wählen Sie in der Projektauswahl in der Google Cloud-Konsole Ihre Organisation (kein Projekt) aus. Wählen Sie dann IAM & Admin, IAM und weisen Sie die Rolle Ihrem Konto zu. Eine ausführliche Anleitung finden Sie in der Google Cloud-Dokumentation unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Die Weitergabe der Rollenzuweisung kann mehrere Minuten dauern.