Samouczek: integracja logowania jednokrotnego firmy Microsoft z usługą Google Cloud/G Suite Connector firmy Microsoft
Z tego samouczka dowiesz się, jak zintegrować łącznik Google Cloud/ G Suite connector firmy Microsoft z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu łącznika Google Cloud/G Suite firmy Microsoft z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:
- Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do łącznika Google Cloud/G Suite firmy Microsoft.
- Zezwalaj swoim użytkownikom na automatyczne logowanie do aplikacji Google Cloud/G Suite Connector firmy Microsoft przy użyciu kont Microsoft Entra.
- Zarządzaj kontami w jednej centralnej lokalizacji.
Wymagania wstępne
Do rozpoczęcia pracy potrzebne są następujące elementy:
- Subskrypcja firmy Microsoft Entra.
- Subskrypcja aplikacji Google Cloud/ G Suite Connector firmy Microsoft z obsługą logowania jednokrotnego.
- Subskrypcja usługi Google Apps lub usługi Google Cloud Platform
Uwaga
Nie zalecamy używania środowiska produkcyjnego do testowania czynności opisanych w tym samouczku. Ten dokument został utworzony przy użyciu nowego środowiska użytkownika służącego do logowania jednokrotnego. Jeśli nadal używasz starego środowiska, konfiguracja będzie przebiegać inaczej. Nowe środowisko możesz włączyć w ustawieniach logowania jednokrotnego aplikacji G Suite. Przejdź do pozycji Aplikacje dla przedsiębiorstw Microsoft Entra ID>, wybierz pozycję Google Cloud / G Suite Connector by Microsoft, wybierz pozycję Logowanie jednokrotne, a następnie kliknij pozycję Wypróbuj nasze nowe środowisko.
Aby przetestować czynności opisane w tym samouczku, należy postępować zgodnie z następującymi zaleceniami:
- Nie używaj środowiska produkcyjnego, chyba że jest to konieczne.
- Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
Ostatnie zmiany
Najnowsze aktualizacje firmy Google umożliwiają teraz dodawanie grup użytkowników do profilów logowania jednokrotnego innych firm. Umożliwia to bardziej szczegółową kontrolę nad przypisywaniem ustawień logowania jednokrotnego. Teraz można tworzyć przypisania profilów logowania jednokrotnego, co pozwala migrować użytkowników na etapach zamiast przenosić całą firmę naraz. W tym obszarze podano szczegóły dostawcy usług z identyfikatorem jednostki i adresem URL usługi ACS, które należy teraz dodać do aplikacja systemu Azure odpowiedzi i jednostki.
Często zadawane pytania
.: Czy ta integracja obsługuje integrację logowania jednokrotnego z platformą Google Cloud Platform z identyfikatorem Entra firmy Microsoft?
Odpowiedź: Tak. Usługi Google Cloud Platform i Google Apps współdzielą tę samą platformę uwierzytelniania. W związku z tym w celu przeprowadzenia integracji usługi GCP należy skonfigurować logowanie jednokrotne w ramach usługi Google Apps.
.: Czy Urządzenia Chromebook i inne urządzenia Chrome są zgodne z logowaniem jednokrotnym firmy Microsoft Entra?
1: Tak, użytkownicy mogą logować się do swoich urządzeń Na Urządzeniach Chromebook przy użyciu poświadczeń firmy Microsoft Entra. Aby uzyskać informacje o tym, dlaczego użytkownicy mogą dwukrotnie otrzymywać monity o poświadczenia, zobacz ten artykuł pomocy technicznej usługi Google Cloud/G Suite connector firmy Microsoft.
.: Jeśli włączę logowanie jednokrotne, użytkownicy będą mogli logować się do dowolnego produktu Google, takiego jak Google Classroom, GMail, Google Drive, YouTube itd.?
1: Tak, w zależności od tego, który łącznik Google Cloud / G Suite firmy Microsoft wybierzesz, aby włączyć lub wyłączyć dla organizacji.
.: Czy mogę włączyć logowanie jednokrotne tylko dla podzestawu łącznika Google Cloud/G Suite przez użytkowników firmy Microsoft?
1: Tak, profile logowania jednokrotnego można wybrać dla użytkownika, jednostki organizacyjnej lub grupy w obszarze roboczym Google.
Wybierz profil logowania jednokrotnego jako "none" dla grupy Google Workspace. Zapobiega to przekierowywaniu członków tej grupy (grupy Google Workspace) do identyfikatora Entra firmy Microsoft na potrzeby logowania.
.: Czy jeśli użytkownik jest zalogowany za pośrednictwem systemu Windows, czy jest on automatycznie uwierzytelniany w łączniku Google Cloud/G Suite przez firmę Microsoft bez monitowania o hasło?
1: Istnieją dwie opcje włączania tego scenariusza. Najpierw użytkownicy mogą logować się do urządzeń z systemem Windows 10 za pośrednictwem dołączania firmy Microsoft Entra. Alternatywnie użytkownicy mogą logować się do urządzeń z systemem Windows, które są przyłączone do domeny do lokalna usługa Active Directory, które zostały włączone na potrzeby logowania jednokrotnego w usłudze Microsoft Entra ID za pośrednictwem wdrożenia usług Active Directory Federation Services (AD FS). Obie opcje wymagają wykonania kroków opisanych w poniższym samouczku, aby włączyć logowanie jednokrotne między usługą Microsoft Entra ID i łącznikiem Google Cloud/G Suite Connector firmy Microsoft.
.: Co należy zrobić, gdy otrzymuję komunikat o błędzie "nieprawidłowy adres e-mail"?
1: W przypadku tej konfiguracji atrybut poczty e-mail jest wymagany, aby użytkownicy mogli się zalogować. Nie można ustawić tego atrybutu ręcznie.
Atrybut adresu e-mail jest wypełniany automatycznie dla każdego użytkownika z ważną licencją programu Exchange. Jeśli użytkownik nie jest włączony pocztą e-mail, ten błąd zostanie wyświetlony, ponieważ aplikacja musi uzyskać ten atrybut w celu udzielenia dostępu.
Możesz przejść do portal.office.com przy użyciu konta administratora, a następnie kliknąć centrum administracyjne, rozliczenia, subskrypcje, wybrać subskrypcję platformy Microsoft 365, a następnie kliknąć pozycję przypisz do użytkowników, wybrać użytkowników, którzy mają sprawdzić swoją subskrypcję, a następnie w okienku po prawej stronie kliknij pozycję Edytuj licencje.
Po przypisaniu licencji platformy Microsoft 365 zastosowanie może potrwać kilka minut. Po tym czasie atrybut user.mail będzie automatycznie wypełniany, co powinno spowodować rozwiązanie problemu.
Opis scenariusza
W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.
Łącznik Google Cloud/G Suite firmy Microsoft obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.
Łącznik Google Cloud/G Suite firmy Microsoft obsługuje automatyczną aprowizację użytkowników.
Dodawanie łącznika Google Cloud/G Suite Connector firmy Microsoft z galerii
Aby skonfigurować integrację łącznika Google Cloud/ G Suite firmy Microsoft z identyfikatorem Entra ID firmy Microsoft, należy dodać łącznik Google Cloud / G Suite Connector firmy Microsoft z galerii do listy zarządzanych aplikacji SaaS.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
- W sekcji Dodawanie z galerii wpisz Google Cloud/ G Suite Connector by Microsoft w polu wyszukiwania.
- Wybierz pozycję Google Cloud/G Suite Connector by Microsoft z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.
Konfigurowanie i testowanie logowania jednokrotnego firmy Microsoft w usłudze Google Cloud/ G Suite Connector firmy Microsoft
Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft w usłudze Google Cloud/G Suite Connector przy użyciu użytkownika testowego B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem aplikacji Google Cloud / G Suite Connector firmy Microsoft.
Aby skonfigurować i przetestować usługę Microsoft Entra SSO z usługą Google Cloud/ G Suite Connector firmy Microsoft, wykonaj następujące kroki:
- Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
- Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
- Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
- Skonfiguruj łącznik Google Cloud/G Suite connector by Microsoft SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
- Tworzenie łącznika Google Cloud/G Suite Connector przez użytkownika testowego firmy Microsoft — aby mieć w usłudze Google Cloud / G Suite Connector firmy Microsoft odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
- Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.
Konfigurowanie logowania jednokrotnego firmy Microsoft
Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do obszaru Aplikacje dla przedsiębiorstw Aplikacje>>dla>przedsiębiorstw Google Cloud / G Suite Connector przy użyciu logowania jednokrotnego firmy Microsoft.>
Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.
Jeśli chcesz utworzyć konfigurację dla usługi Gmail, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:
a. W polu tekstowym Identyfikator wpisz adres URL, używając jednego z następujących wzorców:
Identyfikator google.com/a/<yourdomain.com>
google.com
https://google.com
https://google.com/a/<yourdomain.com>
b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, używając jednego z następujących wzorców:
Adres URL odpowiedzi https://www.google.com
https://www.google.com/a/<yourdomain.com>
c. W polu tekstowym Adres URL logowania wpisz adres URL , korzystając z następującego wzorca:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com
Jeśli chcesz utworzyć konfigurację dla usług Google Cloud Platform, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:
a. W polu tekstowym Identyfikator wpisz adres URL, używając jednego z następujących wzorców:
Identyfikator google.com/a/<yourdomain.com>
google.com
https://google.com
https://google.com/a/<yourdomain.com>
b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, używając jednego z następujących wzorców:
Adres URL odpowiedzi https://www.google.com/acs
https://www.google.com/a/<yourdomain.com>/acs
c. W polu tekstowym Adres URL logowania wpisz adres URL , korzystając z następującego wzorca:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com
Uwaga
Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Łącznik Google Cloud/ G Suite firmy Microsoft nie udostępnia wartości identyfikatora/identyfikatora jednostki w konfiguracji Logowanie jednokrotne, więc po usunięciu zaznaczenia opcji wystawcy specyficznego dla domeny wartość Identyfikator będzie .
google.com
Jeśli sprawdzisz opcję wystawcy specyficznego dla domeny, będzie togoogle.com/a/<yourdomainname.com>
. Aby zaznaczyć/usunąć zaznaczenie opcji wystawcy specyficznego dla domeny, przejdź do sekcji Konfigurowanie łącznika Google Cloud/G Suite firmy Microsoft SSO , co zostało wyjaśnione w dalszej części tego samouczka. Aby uzyskać więcej informacji, skontaktuj się z zespołem pomocy technicznej klienta firmy Microsoft w usłudze Google Cloud/G Suite Connector.Łącznik Google Cloud/ G Suite firmy Microsoft oczekuje asercji SAML w określonym formacie, który wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu SAML. Poniższy zrzut ekranu przedstawia przykład tego działania. Wartość domyślna unikatowego identyfikatora użytkownika to user.userprincipalname , ale łącznik Google Cloud/ G Suite firmy Microsoft oczekuje, że zostanie on zamapowany na adres e-mail użytkownika. Do tego celu można użyć atrybutu user.mail z listy lub odpowiedniej wartości atrybutu zgodnie z konfiguracją organizacji.
Uwaga
Upewnij się, że odpowiedź SAML nie zawiera żadnych standardowych znaków ASCII w atrybucie Nazwisko.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (Base64) i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.
W sekcji Konfigurowanie łącznika Google Cloud/G Suite Connector firmy Microsoft skopiuj odpowiednie adresy URL zgodnie z wymaganiami.
Uwaga
Domyślny adres URL wylogowywania wymieniony w aplikacji jest niepoprawny. Prawidłowy adres URL to:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
Tworzenie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
- We właściwościach użytkownika wykonaj następujące kroki:
- W polu Nazwa wyświetlana wprowadź wartość
B.Simon
. - W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład
B.Simon@contoso.com
. - Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
- Wybierz pozycję Przejrzyj i utwórz.
- W polu Nazwa wyświetlana wprowadź wartość
- Wybierz pozycję Utwórz.
Przypisywanie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji włączysz aplikację B.Simon, aby korzystać z logowania jednokrotnego, udzielając dostępu do aplikacji Google Cloud/ G Suite Connector firmy Microsoft.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
- Przejdź do obszaru Aplikacje dla przedsiębiorstw Aplikacje>>dla>przedsiębiorstw Google Cloud / G Suite Connector firmy Microsoft.
- Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
- Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
- W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
- Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz ją wybrać z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
- W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.
Konfigurowanie łącznika Google Cloud/G Suite przy użyciu logowania jednokrotnego firmy Microsoft
Otwórz nową kartę w przeglądarce i zaloguj się do łącznika Google Cloud/G Suite connector by Microsoft Admin Console przy użyciu konta administratora.
Przejdź do menu —> Zabezpieczenia —> Uwierzytelnianie —> logowanie jednokrotne przy użyciu dostawcy tożsamości innej firmy.
Wykonaj następujące zmiany konfiguracji w profilu logowania jednokrotnego innej firmy dla swojej organizacji :
a. Włącz profil logowania jednokrotnego dla swojej organizacji.
b. W polu Adres URL strony logowania w łączniku Google Cloud/G Suite Connector firmy Microsoft wklej wartość adresu URL logowania.
c. W polu Adres URL strony wylogowywania w aplikacji Google Cloud/G Suite Connector by Microsoft wklej wartość adresu URL wylogowywania.
d. W łączniku Google Cloud/G Suite firmy Microsoft w przypadku certyfikatu weryfikacji przekaż pobrany wcześniej certyfikat.
e. Zaznacz/usuń zaznaczenie opcji Użyj wystawcy specyficznego dla domeny zgodnie z notą wymienioną w powyższej sekcji Podstawowa konfiguracja protokołu SAML w identyfikatorze Microsoft Entra.
f. W polu Zmień adres URL hasła w usłudze Google Cloud/G Suite Connector by Microsoft wprowadź wartość jako
https://mysignins.microsoft.com/security-info/password/change
g. Kliknij przycisk Zapisz.
Tworzenie łącznika Google Cloud/G Suite przez użytkownika testowego firmy Microsoft
Celem tej sekcji jest utworzenie użytkownika w usłudze Google Cloud / G Suite Connector firmy Microsoft o nazwie B.Simon. Po ręcznym utworzeniu użytkownika w łączniku Google Cloud/G Suite przez firmę Microsoft użytkownik będzie mógł zalogować się przy użyciu poświadczeń logowania platformy Microsoft 365.
Łącznik Google Cloud/ G Suite firmy Microsoft obsługuje również automatyczną aprowizację użytkowników. Aby skonfigurować automatyczną aprowizację użytkowników, należy najpierw skonfigurować łącznik Google Cloud/G Suite firmy Microsoft na potrzeby automatycznej aprowizacji użytkowników.
Uwaga
Upewnij się, że użytkownik już istnieje w łączniku Google Cloud/G Suite firmy Microsoft, jeśli aprowizacja w usłudze Microsoft Entra ID nie została włączona przed przetestowaniem logowania jednokrotnego.
Uwaga
Jeśli konieczne jest ręczne utworzenie użytkownika, skontaktuj się z zespołem pomocy technicznej firmy Google.
Testowanie logowania jednokrotnego
W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.
Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do łącznika Google Cloud/G Suite za pomocą adresu URL logowania firmy Microsoft, w którym można zainicjować przepływ logowania.
Przejdź bezpośrednio do pozycji Google Cloud/G Suite Connector by Microsoft Sign-on URL (Adres URL logowania firmy Microsoft) i zainicjuj przepływ logowania z tego miejsca.
Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Google Cloud/G Suite Connector by Microsoft w Moje aplikacje nastąpi przekierowanie do aplikacji Google Cloud/G Suite Connector by Microsoft Sign-on URL. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.
Następne kroki
Po skonfigurowaniu łącznika Google Cloud/G Suite przez firmę Microsoft można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.