Esercitazione: configurazione di Google Apps per il provisioning utenti automatico

Questa esercitazione descrive la procedura da eseguire in Google Apps e Azure AD per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Azure AD a Google Apps.

Prerequisiti

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:

  • Tenant di Azure Active Directory.
  • È necessario disporre di un tenant valido per Google Apps for Work o Google Apps for Education. È possibile usare un account della versione di valutazione gratuita per entrambi i servizi.
  • Account utente in Google Apps con autorizzazioni di amministratore di team.

Assegnazione di utenti a Google Apps

Per determinare gli utenti che dovranno ricevere l'accesso alle app selezionate, Azure Active Directory usa il concetto delle "assegnazioni". Nel contesto del provisioning automatico degli account utente, vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Azure AD.

Prima di configurare e abilitare il servizio di provisioning, è necessario stabilire quali utenti e/o gruppi in Azure AD rappresentano gli utenti che devono accedere all'app Google Apps. Dopo aver deciso, è possibile assegnare questi utenti all'app Google Apps seguendo le istruzioni riportate di seguito: Assegnare un utente o un gruppo a un'app aziendale

Importante
  • È consigliabile assegnare un singolo utente di Azure AD a Google Apps per testare la configurazione del provisioning. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.
  • Quando si assegna un utente a Google Apps, è necessario selezionare il ruolo Utente o "Gruppo" nella finestra di dialogo di assegnazione. Il ruolo "Default Access" (Accesso predefinito) non è applicabile per il provisioning.

Abilitare il provisioning utenti automatico

Questa sezione illustra la connessione di Azure AD all'API per il provisioning degli account utente di Google Apps e la configurazione del servizio di provisioning per la creazione, l'aggiornamento e la disabilitazione degli account utente assegnati in Google Apps in base all'assegnazione di utenti e gruppi in Azure AD.

Suggerimento

Si può anche scegliere di abilitare l'accesso Single Sign-On basato su SAML per Google Apps, seguendo le istruzioni disponibili nel portale di Azure. L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning automatico, nonostante queste due funzionalità siano complementari.

Configurare il provisioning automatico degli account utente

Nota

Un'altra opzione valida per automatizzare il provisioning dell’utente in Google Apps consiste nell'utilizzare Google Apps Directory Sync (GADS) che fornisce le identità di Active Directory locale in Google Apps. Al contrario, la soluzione in questa esercitazione esegue il provisioning per gli utenti e i gruppi abilitati alla posta elettronica in Google Apps Azure Active Directory (cloud).

  1. Accedere alla console di amministrazione di Google Apps con l'account amministratore e fare clic su Security. Se non viene visualizzato il collegamento, può essere nascosto sotto il menu More Controls nella parte inferiore della schermata.

    Fare clic su sicurezza.

  2. Nella pagina Security (Sicurezza) fare clic su API Reference (Riferimento API).

    Fare clic su Informazioni di riferimento sulle API.

  3. Selezionare Enable API access.

    Fare clic su Informazioni di riferimento sulle API.

    Importante

    Per ogni utente per cui si intende eseguire il provisioning in Google Apps, si deve associare il relativo nome utente in Azure Active Directory a un dominio personalizzato. Ad esempio, nomi utente simili a bob@contoso.onmicrosoft.com non verranno accettati da Google Apps, mentre bob@contoso.com verranno accettati. È possibile modificare il dominio di un utente esistente modificandone le proprietà in Azure AD. Le istruzioni su come impostare un dominio personalizzato per Azure Active Directory e Google Apps vengono illustrate nella procedura seguente.

  4. Se ancora non è stato aggiunto un nome di dominio personalizzato ad Azure Active Directory, attenersi alla procedura seguente:

    a. Nel portale di Azure fare clic su Active Directory nel riquadro di spostamento sinistro. Nell'elenco visualizzato, selezionare la directory.

    b. Fare clic su Nome di dominio nel riquadro di spostamento a sinistra e quindi fare clic su Aggiungi.

    dominio

    aggiunta del dominio

    c. Digitare il nome di dominio nel campo Nome di dominio . Questo deve essere lo stesso nome di dominio che si intende usare per Google Apps. Quando si è pronti, fare clic sul pulsante Aggiungi dominio.

    nome di dominio

    d. Fare clic su Avanti per passare alla pagina di verifica. Per verificare che si è proprietari di tale dominio, è necessario modificare i record DNS del dominio in base ai valori forniti in questa pagina. È possibile verificare tramite record MX o record TXT a seconda di ciò che viene selezionato per l'opzione Tipo di record. Per istruzioni più dettagliate su come verificare il nome di dominio con Azure AD, vedere Aggiungere il proprio nome di dominio ad Azure AD.

    dominio

    e. Ripetere i passaggi precedenti per tutti i domini che si desidera aggiungere alla directory.

  5. Ora che tutti i domini sono stati verificati con Azure AD, è necessario verificarli nuovamente con Google Apps. Per ogni dominio che non sia già registrato con Google Apps, procedere come segue:

    a. Nella console di amministrazione di Google Apps fare clic su Domains (Domini).

    Fare clic su Domini

    b. Fare clic su Add a domain or a domain alias.

    Aggiungere un nuovo dominio

    c. Selezionare Add another domaine digitare il nome del dominio che si desidera aggiungere.

    Digitare il nome di dominio

    d. Fare clic su Continue and verify domain ownership (Continua e verifica la proprietà del dominio). Seguire i passaggi per verificare che si è proprietari del nome di dominio. Per istruzioni dettagliate su come verificare il dominio con Google Apps, vedere Verificare la proprietà del sito con Google Apps.

    e. Ripetere i passaggi precedenti per tutti i domini aggiuntivi che si desidera aggiungere a Google Apps.

    Avviso

    Se si modifica il dominio primario per il tenant di Google Apps e se è già stato configurato Single Sign-On con Azure AD, sarà necessario ripetere il passaggio 3 in Passaggio 2: Abilitare il servizio Single Sign-On.

  6. Nella console di amministrazione di Google Apps fare clic su Admin Roles (Ruoli amministratore).

    Fare clic su Google Apps

  7. Determinare quale account di amministratore si desidera utilizzare per gestire il provisioning dell'utente. Per il ruolo di amministratore di tale account, modificare i privilegi per tale ruolo. Assicurarsi che tutti i privilegi dell'API di amministratore siano abilitati in modo che questo account possa essere usato per il provisioning.

    Fare clic su Google Apps

    Nota

    Se si sta configurando un ambiente di produzione, la procedura consigliata consiste nel creare un nuovo account di amministratore in Google Apps specificatamente per questo passaggio. Questi account devono disporre di un ruolo amministratore associato che abbia i privilegi API necessari.

  8. Nel portale di Azure passare alla sezione Azure Active Directory > App aziendali > Tutte le applicazioni.

  9. Se Google Apps è già stato configurato per l'accesso Single Sign-On, cercare l'istanza di Google Apps usando il campo di ricerca. Altrimenti selezionare Aggiungi e cercare Google Apps nella raccolta di applicazioni. Selezionare Google Apps nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.

  10. Selezionare l'istanza di Google Apps e quindi la scheda Provisioning.

  11. Impostare Modalità di provisioning su Automatico.

    provisioning

  12. Nella sezione Credenziali amministratore fare clic su Autorizza. Verrà aperta una finestra di dialogo di autorizzazione di Google Apps in una nuova finestra del browser.

  13. Confermare che si desidera concedere l'autorizzazione Azure Active Directory per apportare modifiche al tenant di Google Apps. Fare clic Accept.

    Verificare le autorizzazioni.

  14. Nel portale di Azure fare clic su Verifica connessione per verificare che Azure AD possa connettersi all'app Google Apps. Se la connessione non riesce, verificare che l'account Google Apps abbia autorizzazioni di amministratore di team e ripetere il passaggio "Authorize" (Autorizza).

  15. Immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning nel campo Messaggio di posta elettronica di notifica e selezionare la casella di controllo.

  16. Fare clic su Salva.

  17. Nella sezione Mapping selezionare Synchronize Azure Active Directory Users to Google Apps (Sincronizza utenti di Azure Active Directory in Google Apps).

  18. Nella sezione Mapping degli attributi esaminare gli attributi utente che vengono sincronizzati da Azure AD a Google Apps. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Google Apps per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

  19. Per abilitare il servizio di provisioning di Azure AD per Google Apps, impostare Stato del provisioning su Attivato nella sezione Impostazioni

  20. Fare clic su Salva.

Viene avviata la sincronizzazione iniziale di tutti gli utenti e/o i gruppi assegnati a Google Apps nella sezione Utenti e gruppi. La sincronizzazione iniziale richiede più tempo delle sincronizzazioni successive, che saranno eseguite circa ogni 20 minuti per tutto il tempo che il servizio è in esecuzione. È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e selezionare i collegamenti ai report delle attività di provisioning, che descrivono tutte le azioni eseguite dal servizio di provisioning sull'app Google Apps.

Risorse aggiuntive