Integracja logowania jednokrotnego (SSO) Microsoft Entra z Google Cloud / G Suite za pomocą łącznika firmy Microsoft

Z tego artykułu dowiesz się, jak zintegrować łącznik Google Cloud/ G Suite firmy Microsoft z identyfikatorem Microsoft Entra ID. Po zintegrowaniu łącznika Google Cloud/G Suite firmy Microsoft z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

• Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do łącznika Google Cloud/G Suite firmy Microsoft.
• Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Google Cloud/G Suite Connector firmy Microsoft przy użyciu kont Microsoft Entra.
• Zarządzaj kontami w jednej centralnej lokalizacji.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
• Jedna z następujących ról:
  • Administrator aplikacji
  • Administrator aplikacji w chmurze
  • właściciel aplikacji.

• Subskrypcja aplikacji Google Cloud/ G Suite Connector firmy Microsoft z obsługą logowania jednokrotnego.
• Subskrypcja usługi Google Apps lub usługi Google Cloud Platform

Uwaga

Aby przetestować kroki opisane w tym artykule, nie zalecamy używania środowiska produkcyjnego. Ten dokument został utworzony przy użyciu nowego środowiska użytkownika służącego do logowania jednokrotnego. Jeśli nadal używasz starego środowiska, konfiguracja będzie przebiegać inaczej. Nowe środowisko możesz włączyć w ustawieniach logowania jednokrotnego aplikacji G Suite. Przejdź do Microsoft Entra ID>aplikacji dla przedsiębiorstw, wybierz Google Cloud / G Suite Connector by Microsoft, wybierz logowanie jednokrotne, a następnie kliknij Wypróbuj nasze nowe środowisko.

Aby przetestować kroki opisane w tym artykule, należy wykonać następujące zalecenia:

• Nie używaj środowiska produkcyjnego, chyba że jest to konieczne.
• Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.

Ostatnie zmiany

Najnowsze aktualizacje firmy Google umożliwiają teraz dodawanie grup użytkowników do profilów logowania jednokrotnego innych firm. Umożliwia to bardziej szczegółową kontrolę nad przypisywaniem ustawień SSO. Teraz można tworzyć przypisania profili SSO, co pozwala migrować użytkowników etapami zamiast przenosić całą firmę naraz. W tym obszarze znajdują się szczegóły dotyczące dostawcy usług z identyfikatorem jednostki i adresem URL usługi ACS, które teraz należy dodać do aplikacji Azure w sekcji odpowiedzi i jednostki.

Często zadawane pytania

1. .: Czy ta integracja obsługuje integrację z logowaniem jednokrotnym (SSO) na platformie Google Cloud Platform z Microsoft Entra ID?

   Odpowiedź: Tak. Usługi Google Cloud Platform i Google Apps współdzielą tę samą platformę uwierzytelniania. W związku z tym w celu przeprowadzenia integracji usługi GCP należy skonfigurować logowanie jednokrotne w ramach usługi Google Apps.

2. Czy urządzenia Chromebook i inne urządzenia Chrome są zgodne z jednokrotnym logowaniem Microsoft Entra?

   Tak, użytkownicy mogą logować się do swoich urządzeń Chromebook przy użyciu poświadczeń Microsoft Entra. Aby uzyskać informacje o tym, dlaczego użytkownicy mogą być dwukrotnie proszeni o poświadczenia, zobacz ten artykuł pomocy technicznej dotyczący Google Cloud / G Suite Connector firmy Microsoft.

3. Q: Jeśli włączę jednokrotne logowanie, czy użytkownicy będą mogli się zalogować używając swoich poświadczeń Microsoft Entra do dowolnego produktu Google, takiego jak Google Classroom, GMail, Google Drive, YouTube itd.?

   Tak, w zależności od tego, który łącznik do Google Cloud / G Suite od firmy Microsoft wybierzesz, aby włączyć lub wyłączyć dla swojej organizacji.

4. Czy mogę włączyć logowanie jednokrotne tylko dla podzbioru użytkowników korzystających z Konektora Google Cloud/G Suite firmy Microsoft?

   1: Tak, profile logowania jednokrotnego można wybrać dla użytkownika, jednostki organizacyjnej lub grupy w obszarze roboczym Google.

   

   Wybierz profil SSO jako "brak" dla grupy Google Workspace. Zapobiega to przekierowywaniu członków tej grupy (grupy Google Workspace) do identyfikatora Entra firmy Microsoft na potrzeby logowania.

5. Czy jeśli użytkownik jest zalogowany przez Windows, jest automatycznie uwierzytelniany do Google Cloud/G Suite za pomocą Microsoft, bez pojawienia się monitu o hasło?

   1: Istnieją dwie opcje włączania tego scenariusza. Najpierw użytkownicy mogą logować się do urządzeń z systemem Windows 10 za pośrednictwem Microsoft Entra join. Alternatywnie użytkownicy mogą logować się do urządzeń z systemem Windows, które są przyłączone do domeny do lokalnej usługi Active Directory, w których włączono jednokrotne logowanie do usługi Microsoft Entra ID za pośrednictwem wdrożenia usług Active Directory Federation Services (AD FS). Obie opcje wymagają wykonania kroków opisanych w poniższym artykule w celu włączenia logowania jednokrotnego między usługą Microsoft Entra ID i łącznikiem Google Cloud / G Suite Connector firmy Microsoft.

6. .: Co należy zrobić, gdy otrzymuję komunikat o błędzie "nieprawidłowy adres e-mail"?

   1: W przypadku tej konfiguracji atrybut poczty e-mail jest wymagany, aby użytkownicy mogli się zalogować. Nie można ustawić tego atrybutu ręcznie.

   Atrybut adresu e-mail jest wypełniany automatycznie dla każdego użytkownika z ważną licencją programu Exchange. Jeśli użytkownik nie ma dostępu do poczty e-mail, pojawi się błąd, ponieważ aplikacja musi pobrać ten atrybut, aby udzielić dostępu.

   Możesz przejść do portal.office.com przy użyciu konta administratora, a następnie kliknąć centrum administracyjne, rozliczenia, subskrypcje, wybrać subskrypcję platformy Microsoft 365, a następnie kliknąć pozycję przypisz do użytkowników, wybrać użytkowników, którzy mają sprawdzić swoją subskrypcję, a następnie w okienku po prawej stronie kliknij pozycję Edytuj licencje.

   Po przypisaniu licencji platformy Microsoft 365 zastosowanie może zająć kilka minut. Po tym czasie atrybut user.mail będzie automatycznie wypełniany, co powinno spowodować rozwiązanie problemu.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz SSO Microsoft Entra w środowisku testowym.

• Łącznik Google Cloud / G Suite firmy Microsoft obsługuje inicjowane przez SP SSO.

• Łącznik Google Cloud/G Suite firmy Microsoft obsługuje automatyczną aprowizację użytkowników.

Dodawanie łącznika Google Cloud/G Suite Connector firmy Microsoft z galerii

Aby skonfigurować integrację łącznika Google Cloud/ G Suite firmy Microsoft z identyfikatorem Entra ID firmy Microsoft, należy dodać łącznik Google Cloud / G Suite Connector firmy Microsoft z galerii do listy zarządzanych aplikacji SaaS.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
2. Przejdź do Identity>Applications>Enterprise applications>New application.
3. W sekcji Dodawanie z galerii wpisz Google Cloud/ G Suite Connector by Microsoft w polu wyszukiwania.
4. Wybierz pozycję Google Cloud/G Suite Connector by Microsoft z panelu wyników, a następnie dodaj aplikację. Poczekaj kilka sekund, aż aplikacja zostanie dodana do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do swojej dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role oraz przejść przez proces konfiguracji jednokrotnego logowania (SSO). Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfiguracja i testowanie logowania jednokrotnego Microsoft Entra dla Google Cloud / G Suite Connector firmy Microsoft

Skonfiguruj i przetestuj Microsoft Entra SSO z Google Cloud / G Suite Connector by Microsoft, używając testowego użytkownika B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji Google Cloud / G Suite Connector firmy Microsoft.

Aby skonfigurować i przetestować usługę Microsoft Entra SSO z usługą Google Cloud/ G Suite Connector firmy Microsoft, wykonaj następujące kroki:

1. Skonfiguruj Microsoft Entra logowanie jednokrotne (SSO) — aby umożliwić użytkownikom korzystanie z tej funkcji.
   1. Utwórz użytkownika testowego usługi Microsoft Entra — aby przetestować jednokrotne logowanie usługi Microsoft Entra z B.Simon.
   2. Przypisz użytkownika testowego Microsoft Entra — aby umożliwić B.Simon korzystanie z jednokrotnego logowania do Microsoft Entra.
2. Skonfiguruj łącznik Google Cloud/G Suite by Microsoft SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
   1. Tworzenie łącznika Google Cloud/G Suite Connector przez użytkownika testowego firmy Microsoft — aby mieć w usłudze Google Cloud / G Suite Connector firmy Microsoft odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
3. Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.

Konfigurowanie Microsoft Entra SSO

Wykonaj następujące kroki, aby włączyć SSO Microsoft Entra.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

2. Przejdź do obszaru Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>Google Cloud / G Suite Connector by Microsoft>Logowanie jednokrotne.

3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka dla Podstawowej konfiguracji protokołu SAML, aby edytować ustawienia.

   

5. Jeśli chcesz utworzyć konfigurację dla usługi Gmail, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

   a. W polu tekstowym Identyfikator wpisz adres URL, używając jednego z następujących wzorców:

   Identyfikator
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, używając jednego z następujących wzorców:

   Adres URL odpowiedzi
   https://www.google.com
   https://www.google.com/a/<yourdomain.com>

   c. W polu tekstowym Adres URL logowania wpisz adres URL , korzystając z następującego wzorca: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com

6. Jeśli chcesz utworzyć konfigurację dla usług Google Cloud Platform, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

   a. W polu tekstowym Identyfikator wpisz adres URL, używając jednego z następujących wzorców:

   Identyfikator
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, używając jednego z następujących wzorców:

   Adres URL odpowiedzi
   https://www.google.com/acs
   https://www.google.com/a/<yourdomain.com>/acs

   c. W polu tekstowym Adres URL logowania wpisz adres URL , korzystając z następującego wzorca: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

   Uwaga

   Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Łącznik Google Cloud / G Suite firmy Microsoft nie udostępnia wartości ID jednostki / Identyfikatora w konfiguracji jednokrotnego logowania, więc po usunięciu zaznaczenia opcji wystawcy specyficznego dla domeny wartość Identyfikator będzie google.com. Jeśli zaznaczysz opcję specyficznego dla domeny wystawcy, to będzie google.com/a/<yourdomainname.com>. Aby zaznaczyć/odznaczyć opcję wystawcy specyficznego dla domeny, należy przejść do sekcji Konfigurowanie łącznika Google Cloud / G Suite przez Microsoft SSO, co zostało wyjaśnione w dalszej części artykułu. Aby uzyskać więcej informacji, skontaktuj się z zespołem pomocy technicznej klienta firmy Microsoft w usłudze Google Cloud/G Suite Connector.

7. Łącznik Google Cloud / G Suite od firmy Microsoft oczekuje asercji SAML w określonym formacie, co wymaga dodania niestandardowych mapowań atrybutów do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia przykład tego działania. Wartość domyślna unikatowego identyfikatora użytkownika to user.userprincipalname , ale łącznik Google Cloud/ G Suite firmy Microsoft oczekuje, że zostanie on zamapowany na adres e-mail użytkownika. Do tego celu można użyć atrybutu user.mail z listy lub odpowiedniej wartości atrybutu zgodnie z konfiguracją organizacji.

   

   Uwaga

   Upewnij się, że odpowiedź SAML nie zawiera żadnych niestandardowych znaków ASCII w atrybucie Nazwisko.

8. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (Base64) i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.

   

9. W sekcji Konfigurowanie łącznika Google Cloud/G Suite Connector firmy Microsoft skopiuj odpowiednie adresy URL zgodnie z wymaganiami.

   

   Uwaga

   Domyślny adres URL wylogowywania wymieniony w aplikacji jest niepoprawny. Prawidłowy adres URL to: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
2. Przejdź do Tożsamość>Użytkownicy>Wszyscy użytkownicy.
3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
4. We właściwościach użytkownika wykonaj następujące kroki:
   1. W polu Nazwa wyświetlana wpisz B.Simon.
   2. Wprowadź wartość w polu Nazwa główna użytkownikausername@companydomain.extension. Na przykład B.Simon@contoso.com.
   3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
   4. Wybierz pozycję Przejrzyj i utwórz.
5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz aplikację B.Simon, aby korzystać z logowania jednokrotnego, udzielając dostępu do aplikacji Google Cloud/ G Suite Connector firmy Microsoft.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
2. Przejdź do Tożsamość>Aplikacje>Aplikacje dla przedsiębiorstw>Google Cloud / G Suite Connector firmy Microsoft.
3. Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
4. Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
   1. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
   2. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz ją wybrać z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
   3. W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.

Konfiguracja łącznika Google Cloud/G Suite za pomocą jednokrotnego logowania (SSO) Microsoft

1. Otwórz nową kartę w przeglądarce i zaloguj się do łącznika Google Cloud/G Suite connector by Microsoft Admin Console przy użyciu konta administratora.

2. Przejdź do Menu —> Zabezpieczenia —> Uwierzytelnianie —> Logowanie jednokrotne (SSO) przy użyciu zewnętrznego dostawcy tożsamości (IDP).

   

3. Wykonaj następujące zmiany konfiguracji w profilu SSO firm trzecich dla swojej organizacji :

   

   a. Włącz profil SSO dla swojej organizacji.

   b. W polu Sign-in page URL w łączniku Google Cloud / G Suite Connector firmy Microsoft wklej wartość Login URL.

   c. W polu Adres URL strony wylogowywania w aplikacji Google Cloud/G Suite Connector by Microsoft wklej wartość adresu URL wylogowywania.

   d. W łączniku Google Cloud/G Suite firmy Microsoft, dla certyfikatu Weryfikacji, załaduj certyfikat, który pobrałeś wcześniej.

   e. Zaznacz/usuń zaznaczenie opcji Użyj wystawcy specyficznego dla domeny zgodnie z notą wymienioną w powyższej sekcji Podstawowa konfiguracja protokołu SAML w Microsoft Entra ID.

   f. W polu Zmień adres URL hasła w usłudze Google Cloud/G Suite Connector by Microsoft wprowadź wartość jako https://mysignins.microsoft.com/security-info/password/change

   g. Kliknij przycisk Zapisz.

Tworzenie łącznika Google Cloud/G Suite przez użytkownika testowego firmy Microsoft

Celem tej sekcji jest utworzenie użytkownika w usłudze Google Cloud / G Suite Connector firmy Microsoft o nazwie B.Simon. Po ręcznym utworzeniu użytkownika w łączniku Google Cloud/G Suite przez firmę Microsoft użytkownik będzie mógł zalogować się przy użyciu poświadczeń logowania platformy Microsoft 365.

Łącznik Google Cloud/ G Suite firmy Microsoft obsługuje również automatyczną aprowizację użytkowników. Aby skonfigurować automatyczną aprowizację użytkowników, należy najpierw skonfigurować łącznik Google Cloud/G Suite firmy Microsoft na potrzeby automatycznej aprowizacji użytkowników.

Uwaga

Upewnij się, że użytkownik już istnieje w łączniku Google Cloud/G Suite firmy Microsoft, jeśli aprowizacja w usłudze Microsoft Entra ID nie została włączona przed przetestowaniem logowania jednokrotnego.

Uwaga

Jeśli konieczne jest ręczne utworzenie użytkownika, skontaktuj się z zespołem pomocy technicznej firmy Google.

Testowanie logowania jednokrotnego

W tej sekcji przetestujesz konfigurację pojedynczego logowania Microsoft Entra z następującymi opcjami.

• Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do łącznika Google Cloud/G Suite za pomocą adresu URL logowania firmy Microsoft, w którym można zainicjować przepływ logowania.

• Przejdź bezpośrednio do Google Cloud/G Suite Connector firmy Microsoft, korzystając z URL logowania, i zainicjuj stamtąd proces logowania.

• Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Google Cloud/G Suite Connector by Microsoft w sekcji Moje aplikacje, nastąpi przekierowanie do adresu URL logowania Google Cloud/G Suite Connector by Microsoft. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.

Powiązana zawartość

Po skonfigurowaniu łącznika Google Cloud/G Suite przez firmę Microsoft można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla aplikacji w chmurze.