Bevor auf Google Workspace Postfächer mittels OAuth zugegriffen werden kann, muss die JobServer-Anwendung für Ihre Organisation in Google Workspace registriert werden. Durch die Registrierung erhält JobServer ein Konto innerhalb von Google Workspace, das die Authentifizierung gegenüber Google und das Abholen von E-Mails ermöglicht. Die für die Registrierung und Konfiguration notwendigen Schritte sind unten gelistet. Um diese auszuführen, wenden Sie sich bitte an Ihren IT-Administrator.
Erstellen eines Service Accounts
1. Melden Sie sich in der Google Cloud Console an.
2. Öffnen Sie das linke Menü und wechseln Sie auf IAM & Admin > Create a Project.
3. Legen Sie ein neues Projekt an.
4. Wechseln Sie über das linke Menü auf APIs and Services > Credentials und legen Sie dort neue Credentials vom Typ Service Account an.
5. Geben Sie dem Service einen sprechenden Namen und merken Sie sich die E-Mail-Adresse, diese wird später in JobRouter bei der Konfigration des Postfachs benötigt. Klicken Sie auf Create and Continue.
Die optionalen Schritte 2 und 3 können übersprungen werden.
Nach dem Done landet man auf der Übersichtsseite, wo der neu angelegte Service Account angezeigt wird.
6. Öffnen Sie die Detailseite des gerade erstellten Service Accounts indem Sie auf den zugehörigen Eintrag in der Liste klicken. Wechseln Sie dort auf die Reiterkarte Keys und wählen Sie Add Key > Create new key.
7. Erstellen Sie einen privaten Schlüssel im Format P12 und laden Sie diesen herunter.
Hinweis: Wenn es an dieser Stelle zur der Fehlermeldung "Service account creation is disabled" kommt, lesen Sie bitte im nächsten Kapitel weiter.
8. Nach der erfolgreichen Erstellung des privaten Schlüssels wird Ihnen das zugehörige Passwort angezeigt. Sichern Sie sich dieses Passwort, es wird Ihnen nicht wieder angezeigt.
Erstellung eines Service Account Keys erlauben
Unter Umständen ist das Erstellen des Private Keys durch Organisationsrichtlinien unterbunden, in dem Fall erhalten Sie beim Klick auf Create die unten stehende Fehlermeldung. Diese Richtlinie muss deaktiviert werden, um die Konfiguration erfolgreich abschließen zu können. Dafür müssen die nächsten Schritte mit einem Benutzerkonto durchgeführt werden, welches das Recht besitzt, Organisationsrichtlinien zu ändern.
1. Wechseln Sie im linken Menü zu IAM & Admin > Organization Policies. Suchen Sie unter Policies for Project nach iam.disableServiceAccountKeyCreation und klicken Sie auf den Link zur Richtlinie, um Einstellungen vornehmen zu können.
Wählen Sie unter Policy source die Option Override parent's policy. Fügen Sie als nächstes eine neue Regel hinzu mit dem Eintrag Enforcement = Off. Speichern Sie die Einstellungen durch Klick auf Set Policy.
2. Wiederholen Sie das Anlegen des privaten Schlüssels wie in Kapitel "Erstellen eines Service Accounts" beschrieben. Da die Richtlinie nun deaktiviert ist, sollte das Erstellen ohne Fehlermeldung klappen.
Zugriff auf E-Mails ermöglichen
Nachdem der Service Account nun erfolgreich erstellt wurde, müssen dem Dienst noch die Rechte auf die E-Mails der Google Workspace Organisation gegeben werden, um diese mittels JobStart abrufen zu können.
1. Wechseln Sie dafür wieder zur Detailsseite des Dienstes unter IAM & Admin > Service Accounts. Auf der Reiterkarte Details finden Sie unter Advanced Settings den Bereich Domain-wide Delegation. Dort finden Sie Ihre Client ID, die Sie bitte kopieren. Danach wechseln Sie in die Google Admin Console indem Sie auf den Button View Google Workspace Admin Console klicken.
Sie landen auf der Startseite der Admin Console.
8. Navigieren Sie links im Menü zu Security > Access and data control > API controls und klicken Sie dort auf Manage Domain Wide Delegation.
Im nächsten Fenster klicken Sie auf Add New und fügen einen neuen Eintrag mit der vorher kopierten Client ID und dem OAuth scope https://mail.google.com/ hinzu. Zum Abschluss klicken Sie auf Authorize.
Die Registrierung und Konfiguration des Service Account für den Google E-Mail-Import sind damit abgeschlossen. Für die Konfiguration in JobRouter benötigen Sie die hier erstellte Service Account E-Mail-Adresse, das Zertifikat (privater Schlüssel) sowie das Zertifikatspasswort.
