Что такое Телепорт от Google и как им пользоваться?

Содержание:

• Что может телепорт для Google Ads?
• Как перенести кампанию из «Яндекс.Директ» в Google Ads — инструкция 
• Как использовать конвертер Google AdWords
• Ошибки и нюансы при переносе через телепорт Google AdWords
• Преимущества Google-телепорт
• Какие еще сервисы по переносу рекламы есть

Что может телепорт для Google Ads?

Teleport трансформирует рекламные кампании (РК), размещенные в «Яндексе» и предварительно выгруженные в Excel, в объявления для продвижения товаров или услуг в Google всего в четыре шага: 

• создание рекламного аккаунта;
• импорт объявлений в программу;
• конвертация и выгрузка в Google Ads.
   

Как перенести кампанию из «Яндекс.Директ» в Google Ads — инструкция

Весь путь телепортации можно описать следующим образом:

Шаг 1. Подготовка рекламной кампании для экспорта из «Яндекс.Директ»

До начала «телепортации» входим в «Директ», используя логин и пароль. В открывшемся обновленном меню кликаем слева вкладку «Инструменты» и следующую вкладку — «Управление с помощью Excel». 

Далее выбираем необходимую для экспорта в Excel рекламную кампанию и выгружаем ее в отдельную папку на компьютере. Также экспорт РК или группы объявлений можно осуществить на странице редактирования кампании.

Для оптимизированной работы с масштабными кампаниями вне веб-интерфейса у «Яндекса» есть специальное приложение «Коммандер«, из которого тоже предусмотрен экспорт РК в Excel. 

При этом «Яндекс» дает возможность выгружать как целую РК с ключевыми словами, так и отдельные группы объявлений в выбранных кампаниях. После завершения подготовки, переходим к главному этапу.

Шаг 2. Перенос объявлений из Excel

Теперь приступаем к самой «телепортации», перейдя на страницу телепорта. Можем выбрать существующий аккаунт Google или зарегистрировать новый.

Спустя некоторое время на почту, привязанную к этому аккаунту, приходит приглашение от [email protected] с доступом к новому аккаунту «Google Рекламы» и соответствующим идентификатором. Кликаем на «Принять приглашение» и переходим в Teleport.

Теперь можем загружать файлы, которые ранее экспортировали на компьютер, загрузив из папки или перетащив в область, выделенную пунктиром. 

При этом телепорт предлагает загрузить как поисковую РК, так и кампанию для рекламной сети «Яндекса». Файлы, загружаемые из «Директа» могут быть XLS/XLSX/CSV и не превышать 10 МБ, иметь не более 10 тыс. ключевых слов или минус-слов, а общий объем групп объявлений не может быть больше 500.

Процесс загрузки можно отследить по специальной шкале справа.

По окончании загрузки будет сформирован отчет об ошибках, если программа их обнаружит.

В этом случае телепорт предлагает загрузить РК повторно из «Яндекса» или внести исправления вручную. Для удобства все ошибки можно скачать в виде списка в Excel. 

Если импортируется сразу несколько файлов, то информация о загрузке и проверке будет отображаться по каждому. 

Итак, по итогам проверки каждому файлу присваивается статус:

• проверка пройдена, вся информация будет импортирована в Google Ads;
• проверка пройдена с предупреждениями, часть информации не соответствует правилам и будет утеряна;
• обнаружены критические ошибки, требующие исправления для продолжения переноса;
• файл технически не может быть загружен.  

После удачной загрузки кликаем «Продолжить», чтобы выбрать кампанию для дальнейшей конвертации. Открывается экран с выбором параметров для переноса, отмечаем необходимое и кликаем «Начать конвертацию».

Читайте также:
Шпаргалка: как запустить рекламную кампанию в «Яндекс.Директ»
Запущен полностью автоматизированный сервис рекламы и маркетинга для МСБ
Вредные советы: как за четыре шага убить ваше SЕО

Шаг 3. Оптимизация загруженных данных

По завершении конвертации вносим информацию о бюджете РК, нажимаем «Продолжить». Открывается страница с просьбой отредактировать данные, а также внести недостающую информацию, отсутствующую в «Директе», но необходима Google. Это связано с разными правилами на обеих площадках. 

Как использовать конвертер Google AdWords

Далее запускаем «Редактор Google Ads». Если он не установлен, то можно скачать его по ссылке. В «Менеджере аккаунтов» добавляем рекламный, в который планируется импортировать сконвертированные кампании. 

Нажимаем «Добавить», затем авторизуемся под логином, у которого есть доступ в нужный кабинет. Подтверждаем доступ «Редактора Google Рекламы» к рекламному аккаунту, выбираем аккаунты, которые хотим открыть в «Редакторе», подтверждаем текущие кампании, которые необходимо скачать из аккаунта.

Переходим на уровень управления ключевыми словами. На центральной рабочей части экрана выделяем все ключевые слова, в которых  восклицательным знаком подсвечена ошибка, и нажимаем «Исправить» внизу экрана. Выбираем новый тип соответствия, который хотим задать для всех выделенных слов, нажимаем «ОК». Рекомендуется использовать фразовое соответствие, поскольку оно наиболее близко по принципу работы к ранее доступному модификатору широкого соответствия.

По завершении всех требующихся корректировок кликаем  «Опубликовать» в верхней правой части экрана. После завершения публикации переходим в свой аккаунт Google Ads, чтобы проверить новые перенесенные кампании.

Ошибки и нюансы при переносе через телепорт Google AdWords

Возможные сложности возникают из-за отличий двух платформ. Как правило, это установка операторов для ключевых слов, а также размеры и количество заголовков. Важно также, что в Google максимальная величина заголовков — 30 символов, а описания — 90.

Локации для показа будут выставлены для всей РК, а не каждого объявления, как в «Директе». Другие настройки по умолчанию: тип показа «поисковые сети» и продвижение на партнерских площадках Google, а также показ для всех типов устройств и выбор англоязычной аудитории, если не заданы иные параметры. 

Преимущества Google Телепорт

Телепорт:

• совершенно бесплатный;
• экономит время на создании кампаний вручную;
• удобен как агентствам, так и прямым рекламодателям;
• имеет инструменты оптимизации текущих кампаний и возможности сервисной поддержки.

Какие еще сервисы по переносу рекламы есть

Как уже говорилось выше, выгруженную из «Яндекса» РК можно импортировать в формате Excel напрямую в Google AdWords, что потребует более длительных ручных настроек. Также есть бесплатные  (например, eLama или Influence) и платные сервисы для переноса РК из «Яндекс Директа» в Google Ads.

В целом, инструмент очень удобен для «телепортации» больших групп объявлений при совпадении семантического ядра на обеих платформах, но приходится учитывать разные требования к оформлению и на данном этапе вносить точечные корректировки вручную (например, ссылки, ключевые фразы, заголовки).

Фото на обложке: BigTunaOnline/shutterstock.com

перенос кампаний из Директа в Adwords в 2023 году

Если у вас запущена рекламная кампания в Яндекс.Директ, и теперь пришло время организовать контекстную кампанию в Google, есть инструмент, который поможет автоматизировать процесс переноса данных. В этой статье мы поговорим о том, что такое Телепорт Гугл Адвордс и дадим инструкцию, как перенести рекламу из Яндекса в Гугл. Также разберёмся в возможных проблемах при «телепортации» настроек.

Что такое Телепорт Google Adwords и зачем он нужен

В Google Ads можно автоматически перенести все кампании, запущенные в Яндекс.Директ. Малоизвестный инструмент компании Google — Телепорт работает уже на протяжении 4 лет и помогает рекламодателям абсолютно бесплатно осуществить такую автоматизацию.

Телепорт поможет перенести и кампании на поиске, и рекламу в РСЯ. Будет передана следующая информация:

• название группы объявлений и рекламной кампании;
• рекламные креативы вместе с заголовками, текстами и ссылками.
• семантика объявлений, в том числе минус-фразы.
• стоимость клика;
• контакты и расширения рекламных объявлений.

Телепорт Яндекс.Директ в Google Adwords: инструкция по применению

Для начала телепортации кампаний нужно будет выгрузить их из Директа. Для этого перейдите на главную страницу сервиса контекстной рекламы и нажмите на пункт «Инструменты». Отобразится перечень доступных пунктов. Среди них вам нужно выбрать «Управление кампаниями с помощью XLS/XLSX». Далее выберите необходимую кампанию и подтвердите начало выгрузки.

Сохраните полученные данные на вашем ПК. При помощи данного сервиса кампании можно выгружать только по одной. Поэтому такой метод подойдёт при переносе одной-трёх кампаний. В случае массового переноса единичная выгрузка будет нецелесообразна. Если вам предстоит перенести сразу много рекламы, то можно воспользоваться специальным сервисом Яндекса, предназначенным для массового редактирования – Директ Коммандером. 

О том, как использовать и настраивать Коммандер мы рассказываем в этом материале.

Итак, вы выгрузили кампании вручную или, если их много – воспользовались Директ Коммандером. Теперь файлы с рекламой из Директа находятся на компьютере, а мы переходим на главную страницу Телепорта. Сервис предложит зарегистрироваться или создать новый аккаунт. Выбирайте нужную опцию и переходите к следующему шагу.

Далее подтвердите условия использования сервиса.

Выберите тип рекламной кампании и загрузите скачанный ранее файл на сервис.

После его загрузки вы увидите статус проверки. В нашем примере система не нашла ошибок при создании файла и отобразила его 100% готовность. Нажимаем на кнопку «Продолжить» и переходим к следующему шагу.

Теперь можно переименовать рекламную кампанию, если это необходимо. Также отобразится перечень групп объявлений, которые присутствуют в загружаемом файле. Ознакомьтесь с этой информацией и нажмите «Продолжить».

Далее необходимо выбрать данные для переноса. Обратите внимание на быстрые ссылки. Если они одинаковы для всех объявлений, то их лучше не переносить — иначе система создаст много дублей. Перенос быстрых ссылок целесообразен, если для каждого объявления или группы объявлений вы используете разные ссылки. 

Отметьте галочками данные, которые нужно перенести. Основные части объявлений и настроек перенесутся автоматически. Далее начните конвертацию, нажав на одноимённую кнопку в нижнем правом углу.

Во время следующего этапа отобразится статус конвертации. После 100% загрузки укажите дневной бюджет и нажмите «Продолжить».

На следующем шаге вы увидите результаты переноса кампании. Все данные необходимо будет проверить и при необходимости внести изменения. Форматы в Яндекс.Директ и Google Ads различаются, поэтому система может выдавать ошибки на этапе загрузки. В нашем примере не совпала длина заголовка. Телепорт отметил красным восклицательным знаком разделы, которые нужно отредактировать.

Также в этом разделе можно скорректировать:

• название кампании;
• бюджет;
• сроки действия рекламной кампании;
• оптимизатор цены за конверсию;
• расширения объявлений;
• тексты и заголовки объявлений;
• ещё можно включить или выключить показы объявлений на партнерских ресурсах.

Тщательно проверьте все объявления. Для внесения изменений нажмите на значок ручки в правом верхнем углу. После редактирования всех полей сохраните изменения.

Проверка объявлений обязательна из-за разницы форматов Google Ads и Яндекс.Директ. Во время переноса заголовок и текст могут отобразиться неправильно. Например, если объявление слишком длинное для Google Ads, Телепорт перенесёт оставшиеся символы в другое поле. 

Таким образом в тексте объявления может оказаться часть его заголовка. Потому что сам заголовок оказался слишком велик и не влез в нужное поле. 

После того, как вы тщательно проверили все настройки и объявления, импорт можно завершать. Выгружайте все данные в Google Ads и настройтесь на новых клиентов!

Перенос кампаний из Яндекс.Директ: возможные проблемы

Не всё так просто и радужно. При переносе кампании из Яндекса в Гугл может возникнуть ряд сложностей. Эти два крупнейших поисковика различаются алгоритмами работы с контекстной рекламой. Поэтому в процессе переноса возможны нюансы, о них мы и поговорим далее. 

Геотаргетинг

В Яндексе и Google по-разному задаются параметры таргетинга. В Яндекс.Директ одна кампания может содержать несколько групп с различными регионами показа, а в Google Ads все группы в кампании должны показываться в одной и той же локации. Поэтому при переносе групп с различной локацией в рамках одной кампании Google Ads воспримет их все как отдельные кампании и может возникнуть путаница.

Валюта

Если в аккаунтах Google Ads и Яндекс.Директ указаны разные типы валют, то при переносе ставки автоматически конвертируются в валюту Google Ads.

Ставки и показы

В Яндекс.Директ ставки можно корректировать, исходя из устройств, которым пользуется клиент. Также можно менять цену за клик исходя из времени суток и демографических данных пользователей. Все эти настройки не переносятся в Google Ads. Их необходимо задавать заново после завершения импорта файлов.

Текст и ссылки 

Если переносимое значение превышает допустимую норму, то оставшиеся символы перенесутся в другое поле. 

Объявление Google Ads может содержать целых 3 заголовка по 30 знаков. Тогда как Яндекс.Директ допускает только основной и дополнительный заголовки. Основной – на 35 знаков и дополнительный – на 30. Несоответствия на лицо, путаница на стадии переноса неизбежна. Поэтому после импорта обязательно проверяйте и корректируйте все поля.

Но проблема с разным количеством символом есть не только в тексте объявлений. Разные требования системы предъявляют и к ссылкам. В Яндекс.Директ можно указать только 1 ссылку до 20 символов. В Google Ads можно добавить 2 ссылки по 15 символов каждая. То есть во время переноса ссылки из Директа более 15 символов – она разобьётся и станет недействительной. Поэтому помимо объявлений обязательно отслеживайте перенос ссылок. 

Ключевики, операторы и типы соответствия 

В Google Ads и Яндекс.Директ разные типы соответствия ключевых слов. Также разнятся значения операторов. Учитывайте при переносе следующие особенности:

Тип соответствия и операторы

Google по умолчанию использует широкий тип соответствия. Есть и другие нюансы с операторами, которые следует учитывать при импорте данных. Вот, как будут выглядеть фразы с операторами при переносе.

Минус-слова

Минус-слова и фразы конвертируются следующим образом:

UTM-метки 

При импорте кампаний UTM-метки из Директа удаляются и генерируются заново сис

Как использовать систему единого входа Google Workspace с Teleport

Обзор

Узнайте больше о том, как настроить Google Workspace в качестве поставщика системы единого входа для выдачи учетных данных SSH определенным группам пользователей.

В этом видео показано:

• Пример Телепорт с локальным входом
• Настройка Google Workspace
• Создание служебной учетной записи
• Управление областью API
• Создать коннектор OIDC в ​​телепорте
• tctl создать gworkspace.yaml
• Пример входа с помощью кнопки Google

Использование Google Workspace SSO с Teleport

Бен: Привет, Бен с Teleport, и сегодня я расскажу вам, как вы можете использовать Google Workspace для входа в Teleport. Теперь это одна из наших самых сложных интеграций SSO из-за нескольких вещей, которые вам нужно настроить с помощью Google Workspaces. Миша записал это с 4.1. По большей части это то же самое, но я просто расскажу вам о Teleport 6. Вы должны быть суперадминистратором G Suite, так что это, скорее всего, ваше — вам, возможно, придется тесно сотрудничать со своим ИТ-отделом, чтобы получить все позиции и роли, необходимые для этой работы. Вам также нужна возможность создать проект GCP, также в качестве суперадминистратора, иметь проверенное доменное имя и настроить группы. В своей среде я всегда устанавливал Teleport с помощью руководства по началу работы.

Пример Телепорт с локальным логином

Бен: Я вхожу сюда, teleport-admin. И войти. Вы можете видеть, что у меня есть Команда. У меня есть пользователи и роли. На самом деле, раньше вы видели, что у меня еще не было коннекторов авторизации. Мне нужно будет настроить это позже. Но давайте просто пройдемся по инструкциям, чтобы начать.

Настройка Google Workspace

Бен: Итак, первое, что нужно сделать, это получить учетные данные OAuth3. Итак, у нас есть эта страница здесь. Мы переходим на страницу учетных данных. И первое, что вам нужно сделать, это убедиться, что вы вошли в систему под нужным пользователем. Это мой личный аккаунт, поэтому я войду под тренировочным аккаунтом. И видите, у меня есть несколько учетных данных из старых демонстраций. Итак, давайте вернемся. Мы хотим убедиться, что у нас есть идентификатор клиента OAuth. И это будет веб-приложение. Дайте ему имя. И нам также нужно добавить сюда авторизованный URL-адрес перенаправления. Так что это будет — у вас есть инструкции здесь. Это будет имя кластера плюс порт кластера, а затем это просто добавленный список. Итак, теперь у меня есть идентификатор клиента, который я просто сохраню здесь в блокноте, чтобы использовать позже. А мы просто проверим домен на верификацию. Итак, в нашем случае у нас нет подтвержденного домена, поэтому необходимо настроить его. Значит, это будет астероид.Земля. Другое дело, нам нужно добавить провайдера DNS. И это просто — просто текстовая запись, которую нам нужно создать.

Бен: Хорошо. Так что теперь мы это проверили. Итак, давайте вернемся к нашим инструкциям и добавим его для имени нашего кластера, которое будет шесть-один, и у нас есть этот домен, который нам нужно добавить. Итак, теперь у нас есть учетные данные OAuth3. У нас есть URL-адрес перенаправления. Итак, давайте зайдем сюда. Следующее, что нам нужно сделать, это создать учетную запись службы. Эта учетная запись службы будет использоваться для получения групп, и это будет в GCP.

Создание учетной записи службы

Бен: Далее мы собираемся создать учетную запись службы Teleport, поэтому я просто назову ее телепорт-шесть-один. А затем для типа роли мы можем просто оставить это поле пустым. Роль и доступ — просто оставляем пустыми. Итак, у нас есть созданная учетная запись, шесть-один, вот эта. Итак, следующий: мы оставляем разрешения учетной записи службы пустыми, а роли и администратора пустыми. Затем нам нужно включить делегирование учетных записей. Сервисный аккаунт, который мы только что создали, и делегирование сервиса G Suite Y, что означает, что позже. Далее нам нужно скачать сервисный аккаунт в формате JSON. Страница аккаунта. Добавляем ключ. Я просто сохраню это в файл. А затем переходите к следующему шагу. Таким образом, этот файл необходимо загрузить на сервер аутентификации, а затем мы будем ссылаться на него позже как на URI учетной записи службы Google.

Управление областью действия API

Бен: Далее нам нужно управлять областями действия API. Это немного сложно, поэтому нам нужно перейти в наш домен G-Suite, то есть в Google Workspace. Я просто вхожу в систему как пользователь практики. Итак, здесь мы войдем, и мы хотим выбрать «Безопасность», «Настройки». А затем «Дополнительные настройки», «Управляемый API» [неразборчиво]. Итак, «Безопасность», «Управление API» и выберите «Управление делегированием домена Y». И затем здесь, когда мы добавим сюда, этот идентификатор клиента должен быть идентификатором клиента учетной записи службы, а не идентификатором клиента соединителя OAuth. Итак, позвольте мне привести вам пример. Здесь у нас есть 61 телепорт. Этот идентификатор клиента является неправильным. Вы приходите сюда и видите сервисный аккаунт, который мы создали. Мы используем этот идентификатор службы. Итак, если я вернусь, чтобы выполнить делегирование, а затем области действия OAuth, у нас будет вот этот фрагмент.

Создание коннектора OIDC в ​​Teleport

Бен: Итак, далее мы создадим коннектор OIDC. Для начала я просто положу это в блокнот, который у нас был ранее, чтобы все заработало. Итак, вот мой блокнот. У нас — это был наш идентификатор клиента, а потом это наш секрет. Мы собираемся сопоставить роли, утверждения групп, а затем это будет связано с нашими группами Google. Наша групповая электронная почта должна существовать в нашем доменном имени G Suite, поэтому, если я войду в наше приложение, чтобы увидеть, какие группы у нас есть. У нас есть каталог пользователей и групп? У меня есть одна группа под названием Dev. Одна группа под названием Админы. Я собираюсь использовать группу администраторов. [электронная почта защищена]. G Suite, администратор Google Suite, в моем случае — это вот этот пользователь, который [email защищен]. Я собираюсь загрузить этот файл, и это был тот, который мы скачали ранее. Эмитент принадлежит Google. URI перенаправления будет тем, который мы уже установили, поэтому в моем случае это шесть-один-ссо. астероид.земля. А затем на порт 443. И мы планируем использовать открытый идентификатор и электронную почту.

Бен: Хорошо. Итак, теперь все готово. И мы собираемся использовать tctl на сервере аутентификации. Итак, подойдите к моему терминалу. Я собираюсь подключиться к этому хосту по ssh. Итак, Телепорт установлен. Телепорт версии 6.1 бета. А затем я собираюсь создать gsuite.yaml. И вставьте это. И вы видите, что все настроено.

tctl create gworkspace.yaml

Бен: Итак, нам нужно создать файл gsuite-creds.json. И поскольку мне это не нужно, мы войдем сюда. Вот учетные данные службы. Хорошо. И у нас уже есть несколько ролей. В моем случае мы использовали роль Admin. На самом деле, я собираюсь — теперь у нас есть несколько встроенных ролей, поэтому я собираюсь отредактировать gsuite.yaml, а затем сделать это доступом.

Пример входа с помощью кнопки Google

Бен: И последнее, что нам нужно использовать, это использовать tctl для создания этого коннектора. И вы можете видеть, что «gsuite» подключен. Итак, теперь я прихожу сюда. Если я выйду из системы, у нас появится кнопка «Войти через Google». Итак, мы снова выбираем учетную запись. И вот вы видите, что я подключился, и все успешно работает. Теперь я вошел в систему как [email protected]. И все настроено. Это подводит меня к концу. Если у вас есть какие-либо вопросы, пожалуйста, оставьте комментарии ниже. Спасибо.

Аутентификация SSH с помощью Google Workspace (G Suite)

В этом руководстве объясняется, как настроить Google Workspace для
провайдер единого входа (SSO) для выдачи учетных данных SSH определенным группам пользователей.
При использовании в сочетании с контролем доступа на основе ролей (RBAC) он позволяет администраторам SSH
чтобы определить такие политики, как:

• Только члены группы «DBA» Google могут SSH подключаться к машинам, на которых работает PostgreSQL.
• Разработчики никогда не должны подключаться к производственным серверам по SSH.

Прежде чем приступить к работе, вам потребуется:

• Учетная запись суперадминистратора Google Workspace. Мы рекомендуем настроить отдельную учетную запись суперадминистратора с двухфакторной аутентификацией, а не предоставлять вашему ежедневному пользователю права суперадминистратора.
• Возможность создать проект Google Cloud, для чего требуется регистрация в Google Cloud. Обратите внимание, что это руководство не потребует использования каких-либо платных сервисов Google Cloud.
• Возможность настройки групп Google Workspace.
• Роль телепорта с доступом к обслуживанию oidc ресурсов. Это доступно в роли редактора по умолчанию .

• Работающий кластер Teleport Enterprise, включая службу аутентификации и прокси-службу. Для
  подробности о том, как это настроить, см.
  Начал руководство.

• Инструмент администрирования Enterprise tctl и клиентский инструмент tsh версии >= 13. 0.2,
  который вы можете скачать, посетив свою учетную запись Teleport.

Облако недоступно для Teleport v

.
Пожалуйста, используйте

последнюю версию документации Teleport Enterprise.

• Убедитесь, что вы можете подключиться к Телепорту. Войдите в свой кластер, используя tsh , затем используйте tctl .
  удаленно:

  Вы можете выполнять последующие команды tctl из этого руководства на локальном компьютере.

  Для получения полных привилегий вы также можете запустить команды tctl на хосте службы аутентификации.

Настройте Teleport для использования аутентификации OIDC по умолчанию вместо локальной
база данных пользователей.

Вы можете либо отредактировать файл конфигурации Teleport, либо создать динамический
ресурс.

Обновите /etc/teleport.yaml в разделе auth_service и перезапустите демон teleport .

 служба_авторизации:
  аутентификация:
    тип: oidc
 

Облако недоступно для Teleport v

.
Пожалуйста, используйте

последнюю версию документации Teleport Enterprise.

Установка будет состоять из:

• Определение того, подходит ли ваш тарифный план Google Workspace для вашего Teleport
  использование
• Создание нового проекта на Google Cloud Platform
• Настройка согласия OAuth для нового проекта
• Создание идентификатора клиента OAuth, позволяющего пользователям Google Workspace входить в ваш
  Кластер телепортов
• Создание сервисной учетной записи для Teleport для получения дополнительных групп Google
  данные.

Интеграция Teleport с Google Workspace работает по-разному в зависимости от вашего
План рабочей области Google. В этом разделе мы объясним, как определить,
Teleport поддерживает текущую настройку Google Workspace.

В Google Workspace транзитивное членство в группе имеет место, когда пользователь
член одной группы в силу принадлежности к другой группе. Это происходит, когда ребенок
группа вложена в родительскую группу, так что член дочерней группы также
член родительской группы.

Сервисные аккаунты Google Workspace могут определять, есть ли у пользователя переходный
членство в определенной группе путем вызова методов в Google Workspace
API Cloud Identity . Эти методы API можно использовать только для пользователей, принадлежащих к
конкретные планы Google Workspace:

• Стандарт предприятия
• Предприятие Плюс
• Образовательное предприятие
• Облачная идентификация Премиум

Google Workspace Directory API позволяет администраторам составлять список пользователей и
группы в своем домене Google Workspace, но не позволяет им запрашивать
транзитивное членство в группах. Directory API доступен для всех
Планы рабочего места.

Коннектор OIDC Teleport использует API Google Workspace по-разному в зависимости от
на версии ресурса.

Позже мы покажем вам, как настроить коннектор.
руководство, но пока убедитесь, что ваш тарифный план Google Workspace позволяет вам
использовать Телепорт по своему усмотрению.

В настоящее время мы поддерживаем версии разъема OIDC v2 и v3 .

Версии Teleport до 8.1.2 поддерживают только v2 разъема OIDC.

Коннектор OIDC сопоставляет роли пользователя с группами Google Workspace, которые они
принадлежать.

Чтобы составить список групп Google Workspace пользователя, Teleport сначала попытается
получить учетные данные для вызова методов Cloud Identity API, а затем использовать их
учетные данные для запроса членства пользователя в транзитивной группе.

Если этих учетных данных не существует, Teleport получит учетные данные для
вместо этого API каталога, и будет использовать этот API для перечисления групп пользователей в вашем
весь аккаунт Google Workspace. Группы, к которым принадлежит пользователь,
внешние по отношению к рабочей области не будут перечислены.

Коннектор OIDC сопоставляет роли пользователя с группами Google Workspace, к которым они принадлежат.

Если эти учетные данные не существуют, Teleport получит учетные данные для
вместо этого API каталога и будет использовать этот API для перечисления групп пользователей в пределах
ваш домен Google Workspace. Любая группа, зарегистрированная на другом домене или
субдомен, чем у пользователя, будет игнорироваться.

Чтобы выяснить, поддерживает ли ваш план Google Workspace запросы переходных
членство в группах, вы можете посетить
Страница проверки групп в
Консоль администратора Google, которая использует API Cloud Identity.

Если ваш тарифный план Google Workspace не поддерживает Cloud Identity API, вы должны
убедитесь, что ваш RBAC не зависит от транзитивного членства в группах.

При запросе членства в транзитивных группах рекомендуется блокировать доступ к
внешние группы на уровне рабочей области (следуя этим
инструкции), как членство в
любая группа, в которой учетная запись службы не имеет полной видимости (включая
все группы, внешние по отношению к рабочей области) не позволят пользователям входить в систему.

В консоли GCP выберите Создать новый проект.

На
Экран согласия OAuth
странице консоли GCP выберите «Внутренний» в качестве типа пользователя.

Настройте внешний вид вашего соединителя, выбрав видимое имя, адрес электронной почты службы поддержки пользователей и т. д.

Выберите области .../auth/userinfo.email и openid .

Включить
API облачной идентификации
или
Административный SDK API
для транзитивного и прямого членства в группе соответственно. Включение обоих в порядке.

В вашей учетной записи Google Workspace должна быть включена поддержка выбранного вами API.

Обратитесь к документации по выбранному вами API, чтобы убедиться, что у вас есть
правильный план Google Workspace.

На странице «Создание идентификатора клиента OAuth» консоли GCP выберите «Веб-приложение» в качестве типа приложения, выберите имя, затем добавьте следующее в качестве авторизованного URI перенаправления.

 https://<адрес прокси-сервера>:3080/v1/webapi/oidc/callback
 

Скопируйте идентификатор клиента и секрет клиента со следующего экрана или нажав «Загрузить клиент OAuth».

На странице Создание учетной записи службы выберите имя для своей учетной записи службы. Оставьте разрешения на доступ к проектам и разрешения на доступ пользователей пустыми.

Щелкните только что созданную учетную запись, чтобы просмотреть сведения о ней, и скопируйте уникальный идентификатор на будущее.

Создайте новый ключ для учетной записи службы, выберите JSON в качестве типа ключа и сохраните полученный файл JSON.

Позже мы сделаем этот JSON доступным для сервера аутентификации Teleport через конфигурацию соединителя OIDC, либо сославшись на локальный файл, либо вставив JSON в конфигурацию YAML. Если вы планируете использовать первый подход, вам нужно будет загрузить JSON на сервер аутентификации.

Teleport требует, чтобы учетная запись службы JSON была доступна для всех хостов Teleport Auth Server при развертывании Teleport в конфигурации высокой доступности. Если вы не вставите JSON в конфигурацию соединителя OIDC, вам потребуется загрузить файл JSON на все хосты Auth Server.

Настройка делегирования на уровне домена

Настройка на уровне домена
делегация для вашего
вновь созданная учетная запись службы:

Нажмите «Добавить новую» и добавьте числовой уникальный идентификатор, который вы скопировали ранее.

Добавить либо
https://www.googleapis.com/auth/cloud-identity.groups.readonly область или
область https://www.googleapis.com/auth/admin.directory.group.readonly .
Объем, предоставленный сервисной учетной записи, будет определять, будет ли Teleport
получить как прямые, так и непрямые группы или только прямые группы соответственно.

Создайте следующую спецификацию ресурса соединителя OIDC как gworkspace-connector.yaml . Ниже мы объясним, как выбрать значения для полей в спецификации ресурса.

 вид: oidc
метаданные:
  имя: гугл
спецификация:
  претензия_к_ролям:
  - претензия: группы
    роли:
    - аудитор
    значение: <[электронная почта защищена]>
  - претензия: группы
    роли:
    - доступ
    значение: [электронная почта защищена]
  client_id: . apps.googleusercontent.com
  client_secret: 
  дисплей: Google
  google_admin_email: 
  google_service_account_uri: файл:///var/lib/teleport/gworkspace-creds.json
  эмитент_url: https://accounts.google.com
  redirect_url: https://:3080/v1/webapi/oidc/callback
  объем:
  - опенид
  - электронная почта
версия: v3
 

Облако недоступно для Teleport v

.
Пожалуйста, используйте

последнюю версию документации Teleport Enterprise.

Электронная почта, указанная для google_admin_email , должна быть адресом электронной почты пользователя, у которого есть разрешение на перечисление всех групп, пользователей и членства в группах в вашей учетной записи Google Workspace. Обычно этому пользователю потребуются права суперадминистратора или группового администратора.

Не использовать электронную почту сервисной учетной записи в течение google_admin_email . Экран конфигурации будет выглядеть так же, но учетная запись службы не будет иметь необходимого делегирования на уровне домена.

Поле client_id должно быть уникальным идентификационным номером, полученным из пользовательского интерфейса Google Cloud Platform. Если вы видите в своем журнале «недопустимые учетные данные Google Workspace для областей […]», это указывает на то, что это неправильно настроено.

Создайте коннектор с помощью инструмента tctl :

Если у вас настроен коннектор из версии Teleport старше 8.1.2, вы можете обновить коннектор с v2 до v3 :

Сначала извлеките данные соединителя:

Затем отредактируйте Connector.yaml , чтобы изменить номер версии с v2 на v3 , а затем обновите разъем:

Тогда , чтобы начать извлекать транзитивные группы, а не только прямые группы, измените
домен
делегация для вашего
учетной записи службы и замените области OAuth для
https://www. googleapis.com/auth/cloud-identity.groups.readonly . Чтобы отменить
изменить, удалить эту область и добавить
https://www.googleapis.com/auth/admin.directory.group.readonly снова.

Пока настроен соединитель v3 , вы больше не можете понизить версию Teleport до
версия до 8.1.2. Перед таким понижением следуйте приведенным выше инструкциям и
измените номер версии обратно на v2 .

Веб-интерфейс теперь будет содержать новую кнопку: «Войти через Google». Интерфейс командной строки
то же, что и раньше:

Эта команда напечатает URL-адрес входа SSO (и попытается открыть его
автоматически в браузере).

Телепорт может использовать несколько коннекторов OIDC. В этом случае имя соединителя
можно передать через tsh login --auth=google

Устранение неполадок с конфигурацией SSO может быть сложной задачей. Обычно администратор телепорта
должен уметь:

• Убедитесь, что сертификаты HTTP/TLS правильно настроены для обоих
  прокси и провайдер единого входа.

• Возможность видеть, какие утверждения и значения SAML/OIDC экспортируются и передаются
  провайдером системы единого входа в Teleport.
• Возможность видеть, как Teleport сопоставляет полученные заявки с сопоставлениями ролей, как определено
  в разъеме.

Если что-то не работает, мы рекомендуем:

• Дважды проверить имена хостов, токены и TCP-порты в определении коннектора.

Если вы получаете сообщение об отказе в доступе или другие ошибки входа в систему, первое место для проверки — это Аудит.
Бревно. Вы можете получить к нему доступ на вкладке Activity веб-интерфейса Teleport.

Пример отказа пользователю, потому что роль clusteradmin не был настроен:

 {
  "код": "T1001W",
  "ошибка": "роль clusteradmin не найдена",
  "событие": "user.login",
  "метод": "oidc",
  "успех": ложь,
  "время": "2019-06-15T19:38:07Z",
  "uid": "cd9e45d0-b68c-43c3-87cf-73c4e0ec37e9"
}
 

Когда служба аутентификации Teleport получает запрос на перечисление узлов Teleport (например, на
отображать узлы в веб-интерфейсе или через tsh ls ), он возвращает только те узлы, которые
текущий пользователь имеет право на просмотр.

Для каждого узла в пользовательском кластере Teleport служба аутентификации применяет
следующие проверки по порядку и, если одна проверка не удалась, скрывает узел от пользователя:

• Ни одна из ролей пользователя не содержит правила deny , которое соответствует меткам узла.
• По крайней мере, одна из ролей пользователя содержит правило allow , которое соответствует
  Метки узла.

Если вы не видите узлы, когда ожидалось, убедитесь, что роли вашего пользователя
включить соответствующие разрешить и запретить правила , как описано в
Справочник по управлению доступом к телепорту.

При настройке единого входа убедитесь, что поставщик удостоверений заполняет
черты правильно. Чтобы пользователь мог видеть узел в телепорте, результат заполнения
переменная шаблона в роли allow.logins должна соответствовать хотя бы одному из
черты.логины .

В этом примере у пользователя будут имена пользователей ubuntu , debian и имена пользователей из признака SSO логинов для узлов с меткой env: dev .

This entry was posted in Популярное