Konfigurieren des Verbunds zwischen Google Workspace und Microsoft Entra ID

In diesem Artikel werden die Schritte beschrieben, die zum Konfigurieren von Google Workspace als Identitätsanbieter (IdP) für Microsoft Entra ID erforderlich sind.
Nach der Konfiguration können sich Benutzer mit ihren Google Workspace-Anmeldeinformationen bei Microsoft Entra ID anmelden.

Voraussetzungen

Um Google Workspace als IdP für Microsoft Entra ID zu konfigurieren, müssen die folgenden Voraussetzungen erfüllt sein:

1. Ein Microsoft Entra-Mandant mit einer oder mehreren benutzerdefinierten DNS-Domänen (d. h. Domänen, die nicht im Format *.onmicrosoft.com vorliegen)
   • Wenn die Verbunddomäne noch nicht zur Microsoft Entra-ID hinzugefügt wurde, müssen Sie Zugriff auf die DNS-Domäne haben, um einen DNS-Eintrag zu erstellen. Dies ist erforderlich, um den Besitz des DNS-Namespace zu überprüfen.
   • Erfahren Sie, wie Sie Ihren benutzerdefinierten Domänennamen mithilfe des Microsoft Entra Admin Centers hinzufügen.
2. Zugriff auf das Microsoft Entra Admin Center als mindestens administrator für externe Identitätsanbieter
3. Zugriff auf Google Workspace mit einem Konto mit Superadministratorberechtigungen

Zum Testen des Verbunds müssen die folgenden Voraussetzungen erfüllt sein:

1. Eine Google Workspace-Umgebung mit bereits erstellten Benutzern

   Wichtig

   Benutzer benötigen eine in Google Workspace definierte E-Mail-Adresse, die verwendet wird, um den Benutzern in Microsoft Entra ID zu entsprechen. Weitere Informationen zum Identitätsabgleich finden Sie unter Identitätsabgleich in Microsoft Entra ID.

2. Einzelne Microsoft Entra-Konten, die bereits erstellt wurden: Jeder Google Workspace-Benutzer benötigt ein entsprechendes Konto, das in Microsoft Entra ID definiert ist. Diese Konten werden häufig mithilfe automatisierter Lösungen erstellt, z. B.:
   • School Data Sync (SDS)
   • Microsoft Entra Connect Sync für Umgebung mit lokalem AD DS
   • PowerShell-Skripts, die die Microsoft Graph-API aufrufen
   • Vom IdP angebotene Bereitstellungstools: Google Workspace bietet automatische Bereitstellung

Konfigurieren von Google Workspace als IdP für Microsoft Entra ID

1. Melden Sie sich bei der Google Workspace-Verwaltungskonsole mit einem Konto mit Superadministratorberechtigungen an.

2. Auswählen von Apps > Web- und mobile Apps

3. Wählen Sie App > hinzufügen Nach Apps suchen aus, und suchen Sie nach Microsoft.

4. Zeigen Sie auf der Suchergebnisseite auf die App Microsoft Office 365 – Web (SAML), und wählen Sie Screenshot auswählen

5. Wählen Sie auf der Detailseite des Google-IdentitätsanbietersDie Option Metadaten herunterladen aus, und notieren Sie sich den Speicherort, an dem die IdP-Metadatendatei - GoogleIDPMetadata.xml gespeichert ist, da sie später zum Einrichten der Microsoft Entra-ID verwendet wird.

6. Auf der Detailseite des Dienstanbieters

   • Wählen Sie die Option Signierte Antwort aus.
   • Vergewissern Sie sich, dass das Format der Namens-ID auf PERSISTENT festgelegt ist.
   • Je nachdem, wie die Microsoft Entra-Benutzer in Microsoft Entra ID bereitgestellt wurden, müssen Sie möglicherweise die Namens-ID-Zuordnung anpassen.
     Wenn Sie die automatische Bereitstellung von Google verwenden, wählen Sie Grundlegende Informationen > Primäre E-Mail-Adresse aus.
   • Wählen Sie Weiter aus.

7. Ordnen Sie auf der Seite Attributzuordnung die Google-Attribute den Microsoft Entra-Attributen zu.

   Google Directory-Attribute	Microsoft Entra-Attribute
   Grundlegende Informationen: Primäre E-Mail-Adresse	App-Attribute: IDPEmail

   Wichtig

   Sie müssen sicherstellen, dass die E-Mail-Adresse Ihres Microsoft Entra-Benutzerkontos mit der E-Mail-Adresse in Ihrem Google Workspace übereinstimmt.

8. Wählen Sie Fertig stellen aus.

Nachdem die App nun konfiguriert wurde, müssen Sie sie für die Benutzer in Google Workspace aktivieren:

1. Melden Sie sich bei der Google Workspace-Verwaltungskonsole mit einem Konto mit Superadministratorberechtigungen an.
2. Auswählen von Apps > Web- und mobile Apps
3. Auswählen von Microsoft Office 365
4. Wählen Sie Benutzerzugriff aus.
5. Wählen Sie ein für alle > Speichern aus.

Konfigurieren von Microsoft Entra ID as a Service Provider (SP) für Google Workspace

Die Konfiguration von Microsoft Entra ID besteht aus dem Ändern der Authentifizierungsmethode für die benutzerdefinierten DNS-Domänen. Diese Konfiguration kann mithilfe von PowerShell erfolgen.
Ändern Sie mithilfe der aus Google Workspace heruntergeladenen IDP-Metadatendatei die $DomainName Variable des folgenden Skripts an Ihre Umgebung, und führen Sie sie dann in einer PowerShell-Sitzung aus. Wenn Sie aufgefordert werden, sich bei der Microsoft Entra-ID zu authentifizieren, melden Sie sich mindestens als Administrator des externen Identitätsanbieters an.

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph

$domainId = "<your domain name>"

$xml = [Xml](Get-Content GoogleIDPMetadata.xml)

$cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
$issuerUri = $xml.EntityDescriptor.entityID
$signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
$signoutUri = "https://accounts.google.com/logout"
$displayName = "Google Workspace Identity"
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

$domainAuthParams = @{
  DomainId = $domainId
  IssuerUri = $issuerUri
  DisplayName = $displayName
  ActiveSignInUri = $signinUri
  PassiveSignInUri = $signinUri
  SignOutUri = $signoutUri
  SigningCertificate = $cert
  PreferredAuthenticationProtocol = "saml"
  federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}

New-MgDomainFederationConfiguration @domainAuthParams

Um zu überprüfen, ob die Konfiguration korrekt ist, können Sie den folgenden PowerShell-Befehl verwenden:

Get-MgDomainFederationConfiguration -DomainId $domainId |fl

ActiveSignInUri                       : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
DisplayName                           : Google Workspace Identity
FederatedIdpMfaBehavior               : acceptIfMfaDoneByFederatedIdp
Id                                    : 3f600dce-ab37-4798-9341-ffd34b147f70
IsSignedAuthenticationRequestRequired :
IssuerUri                             : https://accounts.google.com/o/saml2?idpid=<GUID>
MetadataExchangeUri                   :
NextSigningCertificate                :
PassiveSignInUri                      : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
PreferredAuthenticationProtocol       : saml
PromptLoginBehavior                   :
SignOutUri                            : https://accounts.google.com/logout
SigningCertificate                    : <BASE64 encoded certificate>
AdditionalProperties                  : {}

Überprüfen der Verbundauthentifizierung zwischen Google Workspace und Microsoft Entra ID

Navigieren Sie in einer privaten Browsersitzung zu https://portal.azure.com , und melden Sie sich mit einem Google Workspace-Konto an:

1. Verwenden Sie als Benutzername die in Google Workspace definierte E-Mail-Adresse.
2. Der Benutzer wird zum Google Workspace umgeleitet, um sich anzumelden.
3. Nach der Google Workspace-Authentifizierung wird der Benutzer zurück zur Microsoft Entra-ID weitergeleitet und angemeldet.