Partilhar via


Tutorial: Integração do Microsoft Entra SSO com o Google Cloud / G Suite Connector da Microsoft

Neste tutorial, você aprenderá a integrar o Google Cloud / G Suite Connector da Microsoft com o Microsoft Entra ID. Ao integrar o Google Cloud / G Suite Connector da Microsoft com o Microsoft Entra ID, você pode:

  • Controle no Microsoft Entra ID quem tem acesso ao Google Cloud / G Suite Connector da Microsoft.
  • Permita que seus usuários façam login automaticamente no Google Cloud / G Suite Connector pela Microsoft com suas contas do Microsoft Entra.
  • Gerencie suas contas em um local central.

Pré-requisitos

Para começar, você precisa dos seguintes itens:

  • Uma assinatura do Microsoft Entra.
  • Subscrição ativada para Google Cloud / G Suite Connector by Microsoft single sign-on (SSO).
  • Uma subscrição do Google Apps ou do Google Cloud Platform.

Nota

Para testar as etapas neste tutorial, não recomendamos o uso de um ambiente de produção. Este documento foi criado usando a nova experiência de logon único do usuário. Se você ainda estiver usando o antigo, a configuração será diferente. Você pode habilitar a nova experiência nas configurações de logon único do aplicativo G-Suite. Aceda às aplicações Microsoft Entra ID>Enterprise, selecione Google Cloud / G Suite Connector da Microsoft, selecione Início de sessão único e, em seguida, clique em Experimentar a nossa nova experiência.

Para testar as etapas neste tutorial, você deve seguir estas recomendações:

  • Não use seu ambiente de produção, a menos que seja necessário.
  • Se não tiver uma subscrição, pode obter uma conta gratuita.

Alterações recentes

As atualizações recentes do Google agora permitem a adição de grupos de usuários a perfis de SSO de terceiros. Isso permite um controle mais granular sobre a atribuição de configurações de SSO. Agora você pode criar atribuições de perfil SSO, permitindo migrar usuários em etapas, em vez de mover toda a empresa de uma só vez. Nesta área, você recebe detalhes da controladora de armazenamento com uma ID de entidade e uma URL do ACS, que agora você precisará adicionar aos aplicativos do Azure para resposta e entidade.

Perguntas Mais Frequentes

  1. P: Esta integração suporta a integração do Google Cloud Platform SSO com o Microsoft Entra ID?

    R: Sim. O Google Cloud Platform e o Google Apps partilham a mesma plataforma de autenticação. Portanto, para fazer a integração do GCP, você precisa configurar o SSO com o Google Apps.

  2. P: Os Chromebooks e outros dispositivos Chrome são compatíveis com o início de sessão único do Microsoft Entra?

    R: Sim, os utilizadores podem iniciar sessão nos seus dispositivos Chromebook utilizando as credenciais do Microsoft Entra. Consulte este artigo de suporte do Google Cloud / G Suite Connector by Microsoft para obter informações sobre por que os usuários podem ser solicitados a fornecer credenciais duas vezes.

  3. P: Se eu habilitar o logon único, os usuários poderão usar suas credenciais do Microsoft Entra para fazer login em qualquer produto do Google, como Google Classroom, GMail, Google Drive, YouTube e assim por diante?

    R: Sim, dependendo do Google Cloud / G Suite Connector da Microsoft que optar por ativar ou desativar para a sua organização.

  4. P: Posso ativar o início de sessão único apenas para um subconjunto do meu Google Cloud/G Suite Connector por utilizadores da Microsoft?

    R: Sim, os perfis de SSO podem ser selecionados por Usuário, Unidade Organizacional ou Grupo no Google Workspace.

    Captura de tela para atribuição de perfil SSO.

    Selecione o perfil SSO como "nenhum" para o grupo do Google Workspace. Isso impede que os membros deste (grupo do Google Workspace) sejam redirecionados para o Microsoft Entra ID para fazer login.

  5. P: Se um utilizador tiver sessão iniciada através do Windows, é automaticamente autenticado no Google Cloud / G Suite Connector pela Microsoft sem que lhe seja solicitada uma palavra-passe?

    R: Há duas opções para habilitar esse cenário. Primeiro, os utilizadores podiam iniciar sessão em dispositivos Windows 10 através da adesão ao Microsoft Entra. Como alternativa, os usuários podem entrar em dispositivos Windows que ingressaram no domínio em um Ative Directory local que foi habilitado para logon único no Microsoft Entra ID por meio de uma implantação dos Serviços de Federação do Ative Directory (AD FS). Ambas as opções exigem que você execute as etapas no tutorial a seguir para ativar o logon único entre o Microsoft Entra ID e o Google Cloud / G Suite Connector da Microsoft.

  6. P: O que devo fazer quando recebo uma mensagem de erro "e-mail inválido"?

    R: Para esta configuração, o atributo email é necessário para que os utilizadores possam iniciar sessão. Este atributo não pode ser definido manualmente.

    O atributo email é preenchido automaticamente para qualquer usuário com uma licença válida do Exchange. Se o usuário não estiver habilitado para email, esse erro será recebido, pois o aplicativo precisa obter esse atributo para dar acesso.

    Pode aceder a portal.office.com com uma conta de administrador, clicar no Centro de administração, faturação, subscrições, selecionar a sua Subscrição do Microsoft 365 e, em seguida, clicar em atribuir aos utilizadores, selecionar os utilizadores que pretende verificar a respetiva subscrição e, no painel direito, clicar em editar licenças.

    Uma vez que a licença do Microsoft 365 é atribuída, pode levar alguns minutos para ser aplicada. Depois disso, o atributo user.mail será preenchido automaticamente e o problema deve ser resolvido.

Descrição do cenário

Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

  • O Google Cloud / G Suite Connector da Microsoft é compatível com SSO iniciado por SP .

  • O Google Cloud / G Suite Connector da Microsoft suporta o provisionamento automatizado de usuários.

Para configurar a integração do Google Cloud / G Suite Connector pela Microsoft no Microsoft Entra ID, você precisa adicionar o Google Cloud / G Suite Connector by Microsoft da galeria à sua lista de aplicativos SaaS gerenciados.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
  3. Na seção Adicionar da galeria, digite Google Cloud / G Suite Connector by Microsoft na caixa de pesquisa.
  4. Selecione Google Cloud / G Suite Connector by Microsoft no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o logon único do Microsoft Entra para o Google Cloud / G Suite Connector da Microsoft

Configure e teste o Microsoft Entra SSO com o Google Cloud / G Suite Connector da Microsoft usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Google Cloud / G Suite Connector da Microsoft.

Para configurar e testar o Microsoft Entra SSO com o Google Cloud / G Suite Connector da Microsoft, execute as seguintes etapas:

  1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
    1. Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
    2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
  2. Configure o Google Cloud/G Suite Connector by Microsoft SSO - para configurar as configurações de logon único no lado do aplicativo.
    1. Crie o Google Cloud/G Suite Connector pelo usuário de teste da Microsoft - para ter um equivalente de B.Simon no Google Cloud / G Suite Connector da Microsoft que esteja vinculado à representação do usuário do Microsoft Entra.
  3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

  2. Navegue até Identity>Applications>Enterprise applications>Google Cloud / G Suite Connector by Microsoft>Single sign-on.

  3. Na página Selecione um método de logon único, selecione SAML.

  4. Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.

    Editar configuração básica de SAML

  5. Na seção Configuração básica do SAML, se você quiser configurar para o Gmail, execute as seguintes etapas:

    a. Na caixa de texto Identificador, digite uma URL usando um dos seguintes padrões:

    Identificador
    google.com/a/<yourdomain.com>
    google.com
    https://google.com
    https://google.com/a/<yourdomain.com>

    b. Na caixa de texto URL de resposta, digite uma URL usando um dos seguintes padrões:

    URL de resposta
    https://www.google.com
    https://www.google.com/a/<yourdomain.com>

    c. Na caixa de texto URL de logon, digite uma URL usando o seguinte padrão: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com

  6. Na seção Configuração básica do SAML, se você quiser configurar para o Google Cloud Platform, execute as seguintes etapas:

    a. Na caixa de texto Identificador, digite uma URL usando um dos seguintes padrões:

    Identificador
    google.com/a/<yourdomain.com>
    google.com
    https://google.com
    https://google.com/a/<yourdomain.com>

    b. Na caixa de texto URL de resposta, digite uma URL usando um dos seguintes padrões:

    URL de resposta
    https://www.google.com/acs
    https://www.google.com/a/<yourdomain.com>/acs

    c. Na caixa de texto URL de logon, digite uma URL usando o seguinte padrão: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

    Nota

    Estes valores não são reais. Atualize esses valores com o identificador real, URL de resposta e URL de logon. O Google Cloud / G Suite Connector da Microsoft não fornece o valor de ID de entidade/identificador na configuração de logon único, portanto, quando você desmarcar a opção de emissor específico do domínio, o valor do identificador será google.com. Se você marcar a opção de emissor específico do domínio, será google.com/a/<yourdomainname.com>. Para marcar/desmarcar a opção de emissor específico do domínio, você precisa ir para a seção Configurar o Google Cloud / G Suite Connector by Microsoft SSO, que é explicada mais adiante no tutorial. Para obter mais informações, entre em contato com o Google Cloud / G Suite Connector pela equipe de suporte ao cliente Microsoft.

  7. Seu aplicativo Google Cloud / G Suite Connector by Microsoft espera as asserções SAML em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à configuração de atributos de token SAML. A captura de tela a seguir mostra um exemplo disso. O valor padrão do Identificador Exclusivo do Usuário é user.userprincipalname, mas o Google Cloud / G Suite Connector da Microsoft espera que ele seja mapeado com o endereço de e-mail do usuário. Para isso, você pode usar o atributo user.mail da lista ou usar o valor de atributo apropriado com base na configuração da sua organização.

    image

    Nota

    Certifique-se de que a resposta SAML não inclua caracteres ASCII não padrão no atributo Sobrenome.

  8. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize Certificado (Base64) e selecione Download para baixar o certificado e salvá-lo em seu computador.

    A captura de tela mostra o link de download do certificado.

  9. Na seção Configurar o Google Cloud / G Suite Connector by Microsoft , copie o(s) URL(s) apropriado(s) com base em sua necessidade.

    A captura de tela mostra para copiar URLs de configuração.

    Nota

    O URL de logout padrão listado no aplicativo está incorreto. O URL correto é: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
  2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
  3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
  4. Nas propriedades do usuário , siga estas etapas:
    1. No campo Nome para exibição , digite B.Simon.
    2. No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo, B.Simon@contoso.com.
    3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
    4. Selecione Rever + criar.
  5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilitará B.Simon a usar o logon único concedendo acesso ao Google Cloud / G Suite Connector pela Microsoft.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
  2. Navegue até Identity>Applications>Enterprise applications>Google Cloud / G Suite Connector da Microsoft.
  3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
  4. Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
    1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
    2. Se você espera que uma função seja atribuída aos usuários, pode selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
    3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o Google Cloud/G Suite Connector pelo Microsoft SSO

  1. Abra uma nova guia no navegador e faça login no Google Cloud / G Suite Connector by Microsoft Admin Console usando sua conta de administrador.

  2. Vá para o Menu -> Segurança -> Autenticação -> SSO com IDP de terceiros.

    Página de segurança do G Suite.

  3. Execute as seguintes alterações de configuração na guia Perfil SSO de terceiros para sua organização :

    Configurar o SSO.

    a. Ative o perfil SSO da sua organização.

    b. No campo URL da página de login no Google Cloud / G Suite Connector da Microsoft, cole o valor do URL de login.

    c. No campo URL da página de saída no Google Cloud / G Suite Connector da Microsoft, cole o valor do URL de logout.

    d. No Google Cloud / G Suite Connector da Microsoft, para obter o certificado de verificação, carregue o certificado que você baixou anteriormente.

    e. Marque/Desmarque a opção Usar um emissor específico do domínio de acordo com a observação mencionada na seção Configuração Básica de SAML acima na ID do Microsoft Entra.

    f. No campo Alterar URL da senha no Google Cloud / G Suite Connector da Microsoft, insira o valor comohttps://mysignins.microsoft.com/security-info/password/change

    g. Clique em Guardar.

Criar o Google Cloud/G Suite Connector pelo usuário de teste da Microsoft

O objetivo desta seção é criar um usuário no Google Cloud / G Suite Connector da Microsoft chamado B.Simon. Depois que o usuário tiver sido criado manualmente no Google Cloud / G Suite Connector pela Microsoft, ele poderá fazer login usando suas credenciais de login do Microsoft 365.

O Google Cloud / G Suite Connector da Microsoft também suporta o provisionamento automático de usuários. Para configurar o provisionamento automático de usuários, você deve primeiro configurar o Google Cloud / G Suite Connector by Microsoft para provisionamento automático de usuários.

Nota

Verifique se o usuário já existe no Google Cloud/G Suite Connector da Microsoft se o provisionamento no Microsoft Entra ID não tiver sido ativado antes de testar o Logon único.

Nota

Se você precisar criar um usuário manualmente, entre em contato com a equipe de suporte do Google.

SSO de teste

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

  • Clique em Testar esta aplicação, isto irá redirecionar para o Google Cloud / G Suite Connector pelo URL de início de sessão da Microsoft, onde pode iniciar o fluxo de início de sessão.

  • Aceda diretamente ao URL de início de sessão do Google Cloud / G Suite Connector by Microsoft e inicie o fluxo de início de sessão a partir daí.

  • Você pode usar o Microsoft My Apps. Quando você clica no bloco Google Cloud / G Suite Connector by Microsoft em Meus aplicativos, isso redireciona para o URL de login do Google Cloud / G Suite Connector by Microsoft. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Próximos passos

Depois de configurar o Google Cloud / G Suite Connector da Microsoft, você pode aplicar o Controle de sessão, que protege a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. O Controle de Sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.