Esercitazione: Configurare Google Apps per il provisioning utenti automaticoTutorial: Configure Google Apps for automatic user provisioning

Questa esercitazione descrive come eseguire automaticamente il provisioning e il deprovisioning degli account utente da Azure Active Directory (Azure AD) a Google Apps.The objective of this tutorial is to show you how to automatically provision and de-provision user accounts from Azure Active Directory (Azure AD) to Google Apps.

PrerequisitiPrerequisites

Nello scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:The scenario that's outlined in this tutorial assumes that you already have the following items:

  • Tenant di Azure Active Directory.An Azure Active directory tenant.
  • Un tenant valido per Google Apps for Work o Google Apps for Education.A valid tenant for Google Apps for Work or Google Apps for Education. È possibile usare un account della versione di valutazione gratuita per entrambi i servizi.You can use a free trial account for either service.
  • Account utente in Google Apps con autorizzazioni di amministratore di team.A user account in Google Apps with Team Admin permissions.

Assegnare utenti a Google AppsAssign users to Google Apps

Per determinare gli utenti che dovranno ricevere l'accesso alle app selezionate, Azure Active Directory usa il concetto delle "assegnazioni".Azure Active Directory uses a concept called "assignments" to determine which users should receive access to selected apps. Nel contesto del provisioning automatico degli account utente, vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Azure AD.In the context of automatic user account provisioning, only the users and groups that have been "assigned" to an application in Azure AD are synchronized.

Prima di configurare e abilitare il servizio di provisioning, è necessario stabilire quali utenti o gruppi in Azure AD devono accedere all'app Google Apps.Before you configure and enable the provisioning service, you need to decide which users or groups in Azure AD need access to your Google Apps app. Dopo aver deciso, è possibile assegnare questi utenti all'app Google Apps seguendo le istruzioni riportate in Assegnare un utente o un gruppo a un'app aziendale.After you've made this decision, you can assign these users to your Google Apps app by following the instructions in Assign a user or group to an enterprise app.

Importante

È consigliabile assegnare un singolo utente di Azure AD a Google Apps per testare la configurazione del provisioning.We recommend that a single Azure AD user be assigned to Google Apps to test the provisioning configuration. Sarà possibile assegnare altri utenti e gruppi in un secondo momento.You can assign additional users and groups later.

Quando si assegna un utente a Google Apps, selezionare il ruolo Utente o Gruppo nella finestra di dialogo di assegnazione.When you assign a user to Google Apps, select the User or Group role in the assignment dialog box. Il ruolo Accesso predefinito non è applicabile per il provisioning.The Default Access role doesn't work for provisioning.

Abilitare il provisioning utenti automaticoEnable automated user provisioning

Questa sezione illustra il processo di connessione di Azure AD all'API di provisioning degli account utente di Google Apps.This section guides you through the process of connecting your Azure AD to the user account provisioning API of Google Apps. Consente inoltre di configurare il servizio di provisioning per creare, aggiornare e disabilitare gli account utente assegnati in Google Apps in base all'assegnazione di utenti e gruppi in Azure AD.It also helps you configure the provisioning service to create, update, and disable assigned user accounts in Google Apps based on user and group assignment in Azure AD.

Suggerimento

Si può anche scegliere di abilitare l'accesso Single Sign-On basato su SAML per Google Apps, seguendo le istruzioni disponibili nel portale di Azure.You might also choose to enable SAML-based single sign-on for Google Apps, by following the instructions in the Azure portal. L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning automatico, nonostante queste due funzionalità siano complementari.Single sign-on can be configured independently of automatic provisioning, though these two features compliment each other.

Configurare il provisioning automatico degli account utenteConfigure automatic user account provisioning

Nota

Un'altra soluzione valida per l'automazione del provisioning utenti in Google Apps consiste nell'usare Google Apps Directory Sync (GADS).Another viable option for automating user provisioning to Google Apps is to use Google Apps Directory Sync (GADS). GADS esegue il provisioning in Google Apps delle identità locali di Active Directory.GADS provisions your on-premises Active Directory identities to Google Apps. Al contrario, la soluzione in questa esercitazione esegue il provisioning in Google Apps dei gruppi abilitati alla posta elettronica e degli utenti (cloud) di Azure Active Directory.In contrast, the solution in this tutorial provisions your Azure Active Directory (cloud) users and email-enabled groups to Google Apps.

  1. Accedere alla console di amministrazione di Google Apps con l'account amministratore e selezionare Security (Sicurezza).Sign in to the Google Apps Admin console with your administrator account, and then select Security. Se il collegamento non è visibile, è possibile che sia nascosto sotto il menu More Controls (Altri controlli) nella parte inferiore della schermata.If you don't see the link, it might be hidden under the More Controls menu at the bottom of the screen.

    Selezionare Security (Sicurezza).

  2. Nella pagina Security (Sicurezza) fare clic su API Reference (Riferimento API).On the Security page, select API Reference.

    Selezionare API Reference (Riferimento API).

  3. Selezionare Enable API access.Select Enable API access.

    Selezionare API Reference (Riferimento API).

    Importante

    Per ogni utente per cui si intende eseguire il provisioning in Google Apps, si deve associare il relativo nome utente in Azure Active Directory a un dominio personalizzato.For every user that you intend to provision to Google Apps, their user name in Azure Active Directory must be tied to a custom domain. Ad esempio, nomi utente simili a bob@contoso.onmicrosoft.com non vengono accettati da Google Apps,For example, user names that look like bob@contoso.onmicrosoft.com are not accepted by Google Apps. mentre bob@contoso.com viene accettato.On the other hand, bob@contoso.com is accepted. È possibile modificare il dominio di un utente esistente modificandone le proprietà in Azure AD.You can change an existing user's domain by editing their properties in Azure AD. Nella procedura seguente sono illustrate le istruzioni su come impostare un dominio personalizzato per Azure Active Directory e Google Apps.We've included instructions for how to set a custom domain for both Azure Active Directory and Google Apps in the following steps.

  4. Se non si è ancora aggiunto un nome di dominio personalizzato ad Azure Active Directory, seguire questa procedura:If you haven't added a custom domain name to your Azure Active Directory yet, then take the following steps:

    a.a. Nel portale di Azure selezionare Active Directory nel riquadro di spostamento a sinistra.In the Azure portal, on the left navigation pane, select Active Directory. Nell'elenco visualizzato, selezionare la directory.In the directory list, select your directory.

    b.b. Selezionare Nome di dominio nel riquadro di spostamento a sinistra e quindi fare clic su Aggiungi.Select Domain name on the left navigation pane, and then select Add.

    Domain

    Aggiunta del dominio

    c.c. Digitare il nome di dominio nel campo Nome di dominio .Type your domain name into the Domain name field. Questo deve essere lo stesso nome di dominio che si intende usare per Google Apps.This domain name should be the same domain name that you intend to use for Google Apps. Selezionare quindi il pulsante Aggiungi dominio.Then select the Add Domain button.

    Nome di dominio

    d.d. Selezionare Avanti per passare alla pagina di verifica.Select Next to go to the verification page. Per verificare che si è proprietari di questo dominio, modificare i record DNS del dominio in base ai valori riportati in questa pagina.To verify that you own this domain, edit the domain's DNS records according to the values that are provided on this page. È possibile eseguire la verifica usando record MX o record TXT, a seconda dell'opzione selezionata come Tipo di record.You might choose to verify by using either MX records or TXT records, depending on what you select for the Record Type option.

    Per istruzioni più dettagliate su come verificare i nomi di dominio con Azure AD, vedere Aggiungere il proprio nome di dominio ad Azure AD.For more comprehensive instructions on how to verify domain names with Azure AD, see Add your own domain name to Azure AD.

    Domain

    e.e. Ripetere i passaggi precedenti per tutti i domini che si desidera aggiungere alla directory.Repeat the preceding steps for all the domains that you intend to add to your directory.

  5. Ora che tutti i domini sono stati verificati con Azure AD, è necessario verificarli nuovamente con Google Apps.Now that you have verified all your domains with Azure AD, you must verify them again with Google Apps. Per ogni dominio non ancora registrato con Google Apps, procedere come segue:For each domain that isn't already registered with Google Apps, take the following steps:

    a.a. Nella console di amministrazione di Google Apps selezionare Domains (Domini).In the Google Apps Admin Console, select Domains.

    Selezionare i domini

    b.b. Selezionare Add a domain or a domain alias (Aggiungi un dominio o un alias di dominio).Select Add a domain or a domain alias.

    Aggiungere un nuovo dominio

    c.c. Selezionare Add another domain (Aggiungi un altro dominio) e quindi digitare il nome del dominio che si vuole aggiungere.Select Add another domain, and then type in the name of the domain that you want to add.

    Digitare il nome di dominio

    d.d. Selezionare Continue and verify domain ownership (Continua e verifica la proprietà del dominio).Select Continue and verify domain ownership. Seguire i passaggi per verificare che si è proprietari del nome di dominio.Then follow the steps to verify that you own the domain name. Per istruzioni dettagliate su come verificare il dominio con Google Apps, vedere Verificare il proprietario del sito con Google Apps.For comprehensive instructions on how to verify your domain with Google Apps, see Verify your site ownership with Google Apps.

    e.e. Ripetere i passaggi precedenti per tutti i domini aggiuntivi che si desidera aggiungere a Google Apps.Repeat the preceding steps for any additional domains that you intend to add to Google Apps.

    Avviso

    Se si modifica il dominio primario per il tenant di Google Apps e si è già configurato l'accesso Single Sign-On con Azure AD, è necessario ripetere il passaggio 3 in Passaggio 2: Abilitare il servizio Single Sign-On.If you change the primary domain for your Google Apps tenant, and if you have already configured single sign-on with Azure AD, then you have to repeat step #3 under Step 2: Enable single sign-on.

  6. Nella console di amministrazione di Google Apps selezionare Admin Roles (Ruoli amministratore).In the Google Apps Admin console, select Admin Roles.

    Selezionare Google Apps

  7. Determinare l'account di amministratore da usare per gestire il provisioning utenti.Determine which admin account you want to use to manage user provisioning. Per il ruolo di amministratore di tale account, modificare i privilegi per tale ruolo.For the admin role of that account, edit the Privileges for that role. Assicurarsi di abilitare tutti i privilegi dell'API di amministratore in modo che l'account possa essere usato per il provisioning.Make sure to enable all Admin API Privileges so that this account can be used for provisioning.

    Selezionare Google Apps

    Nota

    Se si sta configurando un ambiente di produzione, la procedura consigliata consiste nel creare un nuovo account di amministratore in Google Apps specificatamente per questo passaggio.If you are configuring a production environment, the best practice is to create an admin account in Google Apps specifically for this step. Questi account devono avere un ruolo di amministratore associato che abbia i privilegi API necessari.These accounts must have an admin role associated with them that has the necessary API privileges.

  8. Nel portale di Azure passare alla sezione Azure Active Directory > App aziendali > Tutte le applicazioni.In the Azure portal, browse to the Azure Active Directory > Enterprise Apps > All applications section.

  9. Se Google Apps è già stato configurato per l'accesso Single Sign-On, cercare l'istanza di Google Apps usando il campo di ricerca.If you have already configured Google Apps for single sign-on, search for your instance of Google Apps by using the search field. In alternativa, selezionare Aggiungi e cercare Google Apps nella raccolta delle applicazioni.Otherwise, select Add, and then search for Google Apps in the application gallery. Selezionare Google Apps nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.Select Google Apps from the search results, and then add it to your list of applications.

  10. Selezionare l'istanza di Google Apps e quindi la scheda Provisioning.Select your instance of Google Apps, and then select the Provisioning tab.

  11. Impostare Modalità di provisioning su Automatico.Set the Provisioning Mode to Automatic.

    Provisioning

  12. Nella sezione Credenziali amministratore selezionare Autorizza.Under the Admin Credentials section, select Authorize. Verrà aperta una finestra di dialogo di autorizzazione di Google Apps in una nuova finestra del browser.It opens a Google Apps authorization dialog box in a new browser window.

  13. Confermare che si vuole concedere l'autorizzazione di Azure Active Directory per apportare modifiche al tenant di Google Apps.Confirm that you want to give Azure Active Directory permission to make changes to your Google Apps tenant. Selezionare Accetto.Select Accept.

    Verificare le autorizzazioni.

  14. Nel portale di Azure selezionare Test connessione per verificare che Azure AD possa connettersi all'app Google Apps.In the Azure portal, select Test Connection to ensure that Azure AD can connect to your Google Apps app. Se la connessione non riesce, verificare che l'account di Google Apps disponga delle autorizzazioni di amministratore di team.If the connection fails, ensure that your Google Apps account has Team Admin permissions. Ripetere quindi il passaggio per l'autorizzazione.Then try the Authorize step again.

  15. Immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning nel campo Messaggio di posta elettronica di notifica.Enter the email address of a person or group who should receive provisioning error notifications in the Notification Email field. Selezionare quindi la casella di controllo.Then select the check box.

  16. Selezionare Salva.Select Save.

  17. Nella sezione Mapping selezionare Synchronize Azure Active Directory Users to Google Apps (Sincronizza utenti di Azure Active Directory in Google Apps).Under the Mappings section, select Synchronize Azure Active Directory Users to Google Apps.

  18. Nella sezione Mapping degli attributi esaminare gli attributi utente che vengono sincronizzati da Azure AD a Google Apps.In the Attribute Mappings section, review the user attributes that are synchronized from Azure AD to Google Apps. Gli attributi che risultano proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Google Apps per le operazioni di aggiornamento.The attributes that are Matching properties are used to match the user accounts in Google Apps for update operations. Selezionare Salva per eseguire il commit delle modifiche.Select Save to commit any changes.

  19. Per abilitare il servizio di provisioning di Azure AD per Google Apps, impostare Stato del provisioning su Attivato in Impostazioni.To enable the Azure AD provisioning service for Google Apps, change the Provisioning Status to On in Settings.

  20. Selezionare Salva.Select Save.

Questo processo avvia la sincronizzazione iniziale di tutti gli utenti o i gruppi assegnati a Google Apps nella sezione Utenti e gruppi.This process starts the initial synchronization of any users or groups that are assigned to Google Apps in the Users and Groups section. La sincronizzazione iniziale richiede più tempo delle sincronizzazioni successive, che saranno eseguite circa ogni 20 minuti mentre il servizio è in esecuzione.The initial sync takes longer to perform than subsequent syncs, which occur approximately every 20 minutes while the service is running.

È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e selezionare i collegamenti ai report delle attività di provisioning.You can use the Synchronization Details section to monitor progress and follow links to provisioning activity reports. Questi report descrivono tutte le azioni eseguite dal servizio di provisioning nell'app Google Apps.These reports describe all actions that the are performed by the provisioning service on your Google Apps app.

Risorse aggiuntiveAdditional resources