Интеграция SSO (единого входа) Microsoft Entra с Google Cloud / G Suite Connector by Microsoft

В этой статье вы узнаете, как интегрировать Google Cloud / G Suite Connector от Майкрософт с идентификатором Microsoft Entra ID. Когда вы интегрируете Google Cloud / G Suite Connector от Microsoft с Microsoft Entra ID, вы можете:

• Управляйте тем, кто имеет доступ к Google Cloud / G Suite Connector от Microsoft с помощью Microsoft Entra ID.
• Включите автоматический вход пользователей в Google Cloud или G Suite Connector от Майкрософт с помощью учетных записей Microsoft Entra.
• Управляйте учетными записями в одном месте.

Предварительные условия

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • владелец приложения.

• Подписка Google Cloud/G Suite Connector от Майкрософт с поддержкой единого входа.
• подписка Google Apps или Google Cloud Platform.

Примечание.

Чтобы протестировать действия, описанные в этой статье, не рекомендуется использовать рабочую среду. Этот документ был создан с использованием нового пользовательского интерфейса единого входа. Если вы все еще используете старую версию, установка будет выглядеть иначе. Вы можете включить новый интерфейс в настройках единого входа приложения G-Suite. Перейдите к Microsoft Entra ID>Корпоративные приложения, выберите Google Cloud / G Suite Connector by Microsoft, выберите Единый вход и нажмите Попробовать новый интерфейс.

Чтобы протестировать действия, описанные в этой статье, выполните следующие рекомендации.

• Не используйте рабочую среду, если в этом нет необходимости.
• Если у вас нет подписки, вы можете получить бесплатную учетную запись.

Недавние изменения

Последние обновления от Google теперь позволяют добавлять группы пользователей в профили стороннего единого входа. Это обеспечивает более детальный контроль за назначением параметров единого входа. Теперь вы можете создавать назначения для профилей SSO, что позволяет переносить пользователей поэтапно, а не перемещать всю компанию одновременно. В этом разделе вы получаете детали поставщика услуг (SP details) с идентификатором объекта и URL-адресом ACS, которые теперь необходимо добавить в приложения Azure для направления и объекта.

Вопросы и ответы

1. Вопрос: Поддерживает ли эта интеграция SSO (единую систему входа) Google Cloud Platform с системой идентификации Microsoft Entra ID?

   Ответ. Да. Google Cloud Platform и Google Apps используют одну и ту же платформу проверки подлинности. Таким образом, чтобы обеспечить интеграцию с Google Cloud Platform, необходимо настроить единый вход в Google Apps.

2. Вопрос. Совместимы ли Chromebook и другие устройства Chrome с единым входом Microsoft Entra?

   Ответ. Да, пользователи могут войти на свои устройства Chromebook с помощью учетных данных Microsoft Entra. Сведения о том, почему учетные данные могут быть запрошены у пользователей дважды, см. в этой статье о поддержке Google Cloud/G Suite Connector от Майкрософт.

3. Вопрос. Если включить единый вход, пользователи смогут использовать свои учетные данные Microsoft Entra для входа в любой продукт Google, например Google Classroom, GMail, Google Drive, YouTube и т. д.?

   Ответ. Да, в зависимости от того, какие приложения Google Cloud/G Suite Connector от Майкрософт вы решили включить или отключить для своей организации.

4. Вопрос. Можно ли включить единый вход только для подмножества пользователей Google Cloud/G Suite Connector от Майкрософт?

   Ответ. Да, SSO профили можно выбирать для каждого пользователя, подразделения или группы в Google Workspace.

   

   Выберите параметр "нет" для профиля единого входа группы Google Workspace. Это предотвращает перенаправление участников этой группы (Google Workspace) на идентификатор Microsoft Entra для входа.

5. Вопрос. Если пользователь выполнил вход в Windows, пройдет ли он автоматическую аутентификацию в Google Cloud/G Suite Connector от Майкрософт без запроса пароля?

   Ответ. Существует два варианта включения этого сценария. Во-первых, пользователи могут войти на устройства Windows 10 через присоединение к Microsoft Entra. Кроме того, пользователи могут входить на устройства Windows, присоединенные к домену локальной службы Active Directory, которая была настроена для единого входа посредством Microsoft Entra ID с помощью развертывания службы федерации Active Directory (AD FS). Оба варианта требуют выполнения действий, описанных в следующей статье, чтобы включить единый вход между идентификатором Microsoft Entra и Google Cloud / G Suite Connector от Корпорации Майкрософт.

6. Вопрос. Что делать при получении сообщения об ошибке "недопустимая электронная почта"?

   Ответ. Для этой настройки атрибут электронной почты необходим для того, чтобы пользователи могли войти в систему. Этот атрибут нельзя задать вручную.

   Атрибут электронной почты заполняется автоматически для любого пользователя с действующей лицензией Exchange. Если пользователь не настроен для работы с электронной почтой, возникнет эта ошибка, так как приложению необходимо получить этот атрибут для предоставления доступа.

   Вы можете перейти на страницу portal.office.com с помощью учетной записи администратора, последовательно выбрать "Центр администрирования > Выставление счетов > Подписки", выбрать подписку Microsoft 365, а затем щелкнуть "Назначить для пользователей", выбрать пользователей, подписки которых нужно проверить, и на панели справа щелкнуть "Изменить лицензии".

   После назначения лицензии Microsoft 365 ее применение может занять несколько минут. После этого атрибут user.mail заполнится автоматически, и проблема будет решена.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Google Cloud / G Suite Connector от Майкрософт поддерживает инициируемый поставщиком услуг SSO.

• Google Cloud/G Suite Connector от Майкрософт поддерживает автоматическую подготовку пользователей.

Добавление коннектора Google Cloud / G Suite от Microsoft из галереи

Чтобы настроить интеграцию Google Cloud / G Suite Connector от Майкрософт с идентификатором Microsoft Entra ID, необходимо добавить Google Cloud / G Suite Connector от Корпорации Майкрософт из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к Identity>Приложениям>Корпоративные приложения>Новое приложение.
3. В разделе Добавление из коллекции в поле поиска введите Google Cloud/G Suite Connector от Майкрософт.
4. Выберите Google Cloud/G Suite Connector от Майкрософт в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш тенант.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Google Cloud / G Suite Connector от Майкрософт

Настройте и проверьте единую функцию входа (SSO) Microsoft Entra с помощью Google Cloud / G Suite Connector от Microsoft, используя тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Google Cloud или G Suite Connector от Корпорации Майкрософт.

Чтобы настроить и проверить единый вход Microsoft Entra в Google Cloud / G Suite Connector от Майкрософт, выполните следующие действия.

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы Б.Саймон мог использовать функцию единого входа Microsoft Entra.
2. Настройка соединителя Google Cloud/G Suite с помощью Microsoft SSO необходима для конфигурации параметров единого входа на стороне приложения.
   1. Создать тестового пользователя для соединителя Google Cloud/G Suite от Microsoft — чтобы в Google Cloud / G Suite Connector от Microsoft был создан аналог для B.Simon, связанный с его представлением в Microsoft Entra.
3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить SSO (единый вход) Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.

2. Перейдите к Identity>приложениям>предприятия приложений>Google Cloud / G Suite Connector от Microsoft>Единый вход.

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

   

5. Чтобы настроить Gmail, в разделе Базовая конфигурация SAML выполните следующие действия:

   a. В текстовом поле Идентификатор введите URL-адрес в одном из следующих форматов:

   Идентификатор
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. В текстовое поле URL-адрес ответа введите URL-адрес в любом из следующих форматов:

   URL-адрес ответа
   https://www.google.com
   https://www.google.com/a/<yourdomain.com>

   c. В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com

6. Чтобы настроить Google Cloud Platform, в разделе Базовая конфигурация SAML выполните следующие действия:

   a. В текстовом поле Идентификатор введите URL-адрес в одном из следующих форматов:

   Идентификатор
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. В текстовое поле URL-адрес ответа введите URL-адрес в любом из следующих форматов:

   URL-адрес ответа
   https://www.google.com/acs
   https://www.google.com/a/<yourdomain.com>/acs

   с. В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

   Примечание.

   Эти значения не реальные. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Google Cloud/G Suite Connector от Майкрософт не предоставляет значение идентификатора сущности для конфигурации единого входа, поэтому при снятии флажка Domain specific issuer (Издатель для определенного домена) значение идентификатора будет google.com. Если установить флажок Издатель для определенного домена, он будет равен "google.com/a/<yourdomainname.com>". Чтобы установить или снять флажок у доменного издателя, необходимо перейти в раздел Configure Google Cloud / G Suite Connector by Microsoft SSO, который описан далее в статье. Дополнительные сведения можно получить, обратившись в группу поддержки клиентов Google Cloud/G Suite Connector от Майкрософт.

7. Приложение Google Cloud / G Suite Connector от Майкрософт ожидает утверждения SAML в определенном формате, поэтому вам необходимо добавить сопоставления настраиваемых атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимке экрана приведен пример. По умолчанию для уникального идентификатора пользователя установлено значение user.userprincipalname, но для Google Cloud/G Suite Connector от Майкрософт требуется сопоставить это значение с адресом электронной почты пользователя. Для этого можно использовать атрибут user.mail из списка или соответствующее значение атрибута, основанное на конфигурации организации.

   

   Примечание.

   Убедитесь, что ответ SAML не содержит не стандартные символы ASCII в атрибуте "Фамилия".

8. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите пункт Сертификат (Base64) и щелкните Скачать, чтобы скачать сертификат. Сохраните этот сертификат на компьютере.

   

9. Требуемые URL-адреса вы можете скопировать из раздела Настройка Google Cloud/G Suite Connector от Майкрософт.

   

   Примечание.

   URL-адрес выхода по умолчанию, указанный в приложении, является неверным. Правильный URL-адрес: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в Центр администрирования Microsoft Entra по крайней мере как Администратор пользователей.
2. Перейдите в раздел Идентификация>Пользователи>Все пользователи.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле учетное имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
   4. Выберите Просмотр и создание.
5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Google Cloud или G Suite Connector от Корпорации Майкрософт.

1. Войдите в Административный центр Microsoft Entra как минимум как Администратор облачных приложений.
2. Перейдите к Идентификация>Приложения>Корпоративные приложения>Google Cloud / G Suite Connector от Майкрософт.
3. На странице обзора приложения выберите "Пользователи" и "Группы".
4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
   1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
   2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
   3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройте Google Cloud/G Suite Connector для единого входа через Microsoft

1. Откройте в браузере новую вкладку и войдите в консоль администратора Google Cloud/G Suite Connector от Майкрософт с использованием учетной записи администратора.

2. Перейдите в Меню -> Безопасность -> Аутентификация -> Единый вход с использованием стороннего поставщика удостоверений.

   

3. Выполните следующие изменения конфигурации на вкладке Third-party SSO profile for your organization (Профиль стороннего поставщика услуг единого входа для организации):

   

   a. Включите профиль единого входа для своей организации.

   b. В поле URL-адрес страницы входа в Google Cloud или G Suite Connector от Майкрософт вставьте значение URL-адреса входа.

   c. В поле URL-адрес страницы выхода в Google Cloud или G Suite Connector от Майкрософт вставьте значение URL-адреса выхода.

   d. В Google Cloud / G Suite Connector от Майкрософт для сертификата проверки отправьте сертификат, скачанный ранее.

   д) Установите или снимите флажок «Использовать узкоспециализированного издателя домена» в соответствии с примечанием, упомянутым в приведенном выше разделе «Базовая конфигурация SAML» в службе идентификации Microsoft Entra.

   f. В поле Change password URL (URL-адрес изменения пароля) в Google Cloud/G Suite Connector от Майкрософт введите значение https://mysignins.microsoft.com/security-info/password/change

   ж. Нажмите кнопку Сохранить.

Создайте тестового пользователя для соединителя Google Cloud/G Suite, управляемого Microsoft

Цель этого раздела — создать пользователя в Google Cloud/G Suite Connector от Майкрософт с именем B.Simon. После того как пользователь будет создан в Google Cloud/G Suite Connector от Майкрософт вручную, он сможет войти в систему, используя учетные данные для входа в Microsoft 365.

Google Cloud/G Suite Connector от Майкрософт также поддерживает автоматическую подготовку пользователей. Чтобы настроить автоматическую подготовку пользователей, сначала необходимо настроить ее в Google Cloud/G Suite Connector от Майкрософт.

Примечание.

Убедитесь, что ваш пользователь уже существует в Google Cloud / G Suite Connector от Майкрософт, если подготовка в Microsoft Entra ID не была включена перед тестированием одноразового входа.

Примечание.

Чтобы создать пользователя вручную, обратитесь к группе поддержки Google.

Проверка SSO

В этом разделе вы тестируете конфигурацию единого входа Microsoft Entra, используя следующие параметры.

• Щелкните "Тестировать это приложение", вы будете перенаправлены на страницу входа в Google Cloud или G Suite Connector с использованием URL от Microsoft, где можно начать процедуру входа.

• Перейдите по URL-адресу для авторизации в Google Cloud/G Suite Connector от Microsoft и начните процесс входа.

• Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку "Google Cloud / G Suite Connector от Microsoft" в области "Мои приложения", вы перейдете по URL-адресу для входа "Google Cloud / G Suite Connector от Microsoft". Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Связанный контент

После настройки Google Cloud/G Suite Connector от Майкрософт вы можете применить функцию управления сеансом, которая в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.