Esercitazione: Configurare G Suite per il provisioning utenti automatico
Questa esercitazione descrive i passaggi da eseguire sia in G Suite che in Microsoft Entra ID per configurare il provisioning utenti automatico. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in G Suite usando il servizio di provisioning Microsoft Entra. Per informazioni importanti sul funzionamento di questo servizio e sulle domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.
Nota
Questa esercitazione descrive un connettore basato sul servizio di provisioning utenti di Microsoft Entra. Per informazioni importanti sul funzionamento di questo servizio e sulle domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.
Capacità supportate
- Creazione di utenti in G Suite
- Rimuovere gli utenti in G Suite quando non richiedono più l'accesso (nota: la rimozione di un utente dall'ambito di sincronizzazione non comporterà l'eliminazione dell'oggetto in GSuite)
- Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e G Suite
- Provisioning di gruppi e appartenenze a gruppi in G Suite
- Accesso Single Sign-On a G Suite (scelta consigliata)
Prerequisiti
Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:
- Un tenant di Microsoft Entra
- Un account utente in Microsoft Entra ID con autorizzazione per configurare il provisioning, ad esempio Application Amministrazione istrator, Cloud Application Administrator, Application Owner o Global Amministrazione istrator.
- Un tenant di G Suite
- Account utente in G Suite con autorizzazioni di amministratore.
Passaggio 1: Pianificare la distribuzione del provisioning
- Vedere le informazioni su come funziona il servizio di provisioning.
- Determinare chi è nell'ambito per il provisioning.
- Determinare i dati da mappare tra Microsoft Entra ID e G Suite.
Passaggio 2: Configurare G Suite per supportare il provisioning con Microsoft Entra ID
Prima di configurare G Suite per il provisioning utenti automatico con Microsoft Entra ID, è necessario abilitare il provisioning SCIM in G Suite.
Accedere alla console di G Suite Amministrazione con l'account amministratore, quindi fare clic sul menu Principale e quindi selezionare Sicurezza. Se non viene visualizzato, potrebbe essere nascosto nel menu Mostra altro .
Passare a Sicurezza -> Accesso e controllo dati -> Controlli API . Selezionare la casella di controllo Considera attendibili le app interne, di proprietà del dominio e quindi fare clic su SALVA
Importante
Per ogni utente di cui si intende eseguire il provisioning in G Suite, il nome utente in Microsoft Entra ID deve essere associato a un dominio personalizzato. Ad esempio, nomi utente simili a bob@contoso.onmicrosoft.com non vengono accettati da G Suite. mentre bob@contoso.com viene accettato. È possibile modificare il dominio di un utente esistente seguendo le istruzioni riportate qui.
Dopo aver aggiunto e verificato i domini personalizzati desiderati con Microsoft Entra ID, è necessario verificarli nuovamente con G Suite. Per verificare i domini in G Suite, seguire questa procedura:
Nella console di Amministrazione di G Suite passare a Account -> Domini -> Gestisci domini.
Nella pagina Gestisci dominio fare clic su Aggiungi un dominio.
Nella pagina Aggiungi dominio digitare il nome del dominio da aggiungere.
Selezionare AGGIUNGI DOMINIO e AVVIA VERIFICA. Seguire i passaggi per verificare che si è proprietari del nome di dominio. Per istruzioni dettagliate su come verificare il dominio con Google, vedere Verificare la proprietà del sito.
Ripetere i passaggi precedenti per altri domini che si intende aggiungere a G Suite.
Determinare quindi l'account amministratore da usare per gestire il provisioning utenti in G Suite. Passare a Ruoli Amministrazione account>.
Per il ruolo di amministratore dell'account, modificare i privilegi per quel ruolo. Assicurarsi di abilitare tutti i privilegi dell'API di amministratore in modo che l'account possa essere usato per il provisioning.
Passaggio 3: Aggiungere G Suite dalla raccolta di applicazioni Microsoft Entra
Aggiungere G Suite dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in G Suite. Se in precedenza si è configurato G Suite per l'accesso SSO, è possibile usare la stessa applicazione. Tuttavia, è consigliabile creare un'app separata durante il test iniziale dell'integrazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.
Passaggio 4: Definire chi è nell'ambito per il provisioning
Il servizio di provisioning Di Microsoft Entra consente di definire l'ambito di cui è stato effettuato il provisioning in base all'assegnazione all'applicazione e o in base agli attributi dell'utente/gruppo. Se si sceglie di definire l'ambito di cui è stato effettuato il provisioning nell'app in base all'assegnazione, è possibile usare la procedura seguente per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito di chi viene effettuato il provisioning in base esclusivamente agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito come descritto qui.
Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.
Se sono necessari altri ruoli, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.
Passaggio 5: Configurare il provisioning utenti automatico in G Suite
Questa sezione illustra la procedura per configurare il servizio di provisioning Di Microsoft Entra per creare, aggiornare e disabilitare utenti e/o gruppi in TestApp in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.
Nota
Per altre informazioni sull'endpoint api di G Suite Directory, vedere la documentazione di riferimento dell'API directory.
Per configurare il provisioning utenti automatico per G Suite in Microsoft Entra ID:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'applicazione cloud Amministrazione istrator.
Passare a Applicazioni di identità>Applicazioni>aziendali.
Nell'elenco di applicazioni selezionare G Suite.
Selezionare la scheda Provisioning . Fare clic su Inizia.
Impostare Modalità di provisioning su Automatico.
Nella sezione Credenziali amministratore fare clic su Autorizza. Verrà eseguito il reindirizzamento a una finestra di dialogo di autorizzazione google in una nuova finestra del browser.
Verificare di voler concedere a Microsoft Entra le autorizzazioni per apportare modifiche al tenant di G Suite. Selezionare Accetta.
Selezionare Test Connessione ion per assicurarsi che Microsoft Entra ID possa connettersi a G Suite. Se la connessione non riesce, verificare che l'account G Suite disponga delle autorizzazioni di amministratore e riprovare. Ripetere quindi il passaggio per l'autorizzazione.
Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.
Seleziona Salva.
Nella sezione Mapping selezionare Effettuare il provisioning degli utenti di Microsoft Entra.
Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a G Suite nella sezione Mapping attributi . Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Nota
Il provisioning di GSuite supporta attualmente solo l'uso di primaryEmail come attributo corrispondente.
| Attributo | Type |
|---|---|
| primaryEmail | String |
| relations.[type eq "manager"].value | String |
| name.familyName | String |
| name.givenName | String |
| suspended | String |
| externalIds.[type eq "custom"].value | String |
| externalIds.[type eq "organization"].value | String |
| addresses.[type eq "work"].country | String |
| addresses.[type eq "work"].streetAddress | String |
| addresses.[type eq "work"].region | String |
| addresses.[type eq "work"].locality | String |
| addresses.[type eq "work"].postalCode | String |
| emails.[type eq "work"].address | String |
| organizations.[type eq "work"].department | String |
| organizations.[type eq "work"].title | String |
| phoneNumbers.[type eq "work"].value | String |
| phoneNumbers.[type eq "mobile"].value | String |
| phoneNumbers.[type eq "work_fax"].value | String |
| emails.[type eq "work"].address | String |
| organizations.[type eq "work"].department | String |
| organizations.[type eq "work"].title | String |
| addresses.[type eq "home"].country | String |
| addresses.[type eq "home"].formatted | String |
| addresses.[type eq "home"].locality | String |
| addresses.[type eq "home"].postalCode | String |
| addresses.[type eq "home"].region | String |
| addresses.[type eq "home"].streetAddress | String |
| addresses.[type eq "other"].country | String |
| addresses.[type eq "other"].formatted | String |
| addresses.[type eq "other"].locality | String |
| addresses.[type eq "other"].postalCode | String |
| addresses.[type eq "other"].region | String |
| addresses.[type eq "other"].streetAddress | String |
| addresses.[type eq "work"].formatted | String |
| changePasswordAtNextLogin | String |
| emails.[type eq "home"].address | String |
| emails.[type eq "other"].address | String |
| externalIds.[type eq "account"].value | String |
| externalIds.[type eq "custom"].customType | String |
| externalIds.[type eq "customer"].value | String |
| externalIds.[type eq "login_id"].value | String |
| externalIds.[type eq "network"].value | String |
| gender.type | String |
| GeneratedImmutableId | String |
| Identificatore | String |
| ims.[type eq "home"].protocol | String |
| ims.[type eq "other"].protocol | String |
| ims.[type eq "work"].protocol | String |
| includeInGlobalAddressList | String |
| ipWhitelisted | String |
| organizations.[type eq "school"].costCenter | String |
| organizations.[type eq "school"].department | String |
| organizations.[type eq "school"].domain | String |
| organizations.[type eq "school"].fullTimeEquivalent | String |
| organizations.[type eq "school"].location | String |
| organizations.[type eq "school"].name | String |
| organizations.[type eq "school"].symbol | String |
| organizations.[type eq "school"].title | String |
| organizations.[type eq "work"].costCenter | String |
| organizations.[type eq "work"].domain | String |
| organizations.[type eq "work"].fullTimeEquivalent | String |
| organizations.[type eq "work"].location | String |
| organizations.[type eq "work"].name | String |
| organizations.[type eq "work"].symbol | String |
| OrgUnitPath | String |
| phoneNumbers.[type eq "home"].value | String |
| phoneNumbers.[type eq "other"].value | String |
| websites.[type eq "home"].value | String |
| websites.[type eq "other"].value | String |
| websites.[type eq "work"].value | String |
Nella sezione Mapping selezionare Provisioning dei gruppi di Microsoft Entra.
Esaminare gli attributi del gruppo sincronizzati da Microsoft Entra ID a G Suite nella sezione Mapping attributi . Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in G Suite per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Attributo Type posta elettronica String Membri String name string description Stringa Per configurare i filtri di ambito, fare riferimento alle istruzioni fornite nell'esercitazione sui filtri per la definizione dell'ambito.
Per abilitare il servizio di provisioning di Microsoft Entra per G Suite, impostare Stato del provisioning su Sì nella sezione Impostazioni.
Definire gli utenti e/o i gruppi di cui si vuole effettuare il provisioning in G Suite selezionando i valori desiderati in Ambito nella sezione Impostazioni.
Quando si è pronti per il provisioning, fare clic su Salva.
L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.
Nota
Se gli utenti hanno già un account personale/consumer esistente usando l'indirizzo di posta elettronica dell'utente Microsoft Entra, potrebbe causare un problema che potrebbe essere risolto usando Google Transfer Tool prima di eseguire la sincronizzazione della directory.
Passaggio 6: Monitorare la distribuzione
Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:
- Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning con esito positivo o negativo.
- Controllare la barra di stato per visualizzare lo stato del ciclo di provisioning e la relativa chiusura al completamento
- Se la configurazione del provisioning sembra essere in uno stato non integro, l'applicazione entra in quarantena. Per altre informazioni sugli stati di quarantena, fare clic qui.
Suggerimenti per la risoluzione dei problemi
- La rimozione di un utente dall'ambito di sincronizzazione li disabilita in GSuite, ma non comporta l'eliminazione dell'utente in G Suite
Accesso JIT (Just-In-Time) alle applicazioni con PIM per i gruppi
Con PIM per i gruppi, è possibile fornire l'accesso JIT ai gruppi in Google Cloud/Google Workspace e ridurre il numero di utenti che hanno accesso permanente ai gruppi con privilegi in Google Cloud/Google Workspace.
Configurare l'applicazione aziendale per l'accesso Single Sign-On e il provisioning
- Aggiungere Google Cloud/Google Workspace al tenant, configurarlo per il provisioning come descritto in questa esercitazione e avviare il provisioning.
- Configurare l'accesso Single Sign-On per Google Cloud/Google Workspace.
- Creare un gruppo che fornisce a tutti gli utenti l'accesso all'applicazione.
- Assegnare il gruppo all'applicazione Google Cloud/Google Workspace.
- Assegnare l'utente di test come membro diretto del gruppo creato nel passaggio precedente oppure fornire loro l'accesso al gruppo tramite un pacchetto di accesso. Questo gruppo può essere usato per l'accesso permanente e non amministratore in Google Cloud/Google Workspace.
Abilitare PIM per i gruppi
- Creare un secondo gruppo in Microsoft Entra ID. Questo gruppo fornisce l'accesso alle autorizzazioni di amministratore in Google Cloud/Google Workspace.
- Portare il gruppo sotto la gestione in Microsoft Entra PIM.
- Assegnare l'utente di test come idoneo per il gruppo in PIM con il ruolo impostato su membro.
- Assegnare il secondo gruppo all'applicazione Google Cloud/Google Workspace.
- Usare il provisioning su richiesta per creare il gruppo in Google Cloud/Google Workspace.
- Accedere a Google Cloud/Google Workspace e assegnare al secondo gruppo le autorizzazioni necessarie per eseguire le attività di amministratore.
Ora qualsiasi utente finale che è stato reso idoneo per il gruppo in PIM può ottenere l'accesso JIT al gruppo in Google Cloud/Google Workspace attivando l'appartenenza al gruppo.
- Quanto tempo è necessario per avere un utente di cui è stato effettuato il provisioning nell'applicazione?
- Quando un utente viene aggiunto a un gruppo in Microsoft Entra ID all'esterno dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra ID Privileged Identity Management (PIM):
- Il provisioning dell'appartenenza al gruppo viene effettuato nell'applicazione durante il ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti.
- Quando un utente attiva l'appartenenza al gruppo in Microsoft Entra ID PIM:
- Viene effettuato il provisioning dell'appartenenza al gruppo in 2-10 minuti. Quando è presente una frequenza elevata di richieste contemporaneamente, le richieste vengono limitate a una velocità di cinque richieste per 10 secondi.
- Per i primi cinque utenti entro un periodo di 10 secondi che attivano l'appartenenza a un gruppo specifico per un'applicazione specifica, l'appartenenza al gruppo viene sottoposto a provisioning nell'applicazione entro 2-10 minuti.
- Per il sesto utente e superiore entro un periodo di 10 secondi che attiva l'appartenenza al gruppo per un'applicazione specifica, viene effettuato il provisioning dell'appartenenza al gruppo all'applicazione nel ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti. I limiti di limitazione sono per ogni applicazione aziendale.
- Quando un utente viene aggiunto a un gruppo in Microsoft Entra ID all'esterno dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra ID Privileged Identity Management (PIM):
- Se l'utente non è in grado di accedere al gruppo necessario in Google Cloud/Google Workspace, esaminare i log di PIM e i log di provisioning per assicurarsi che l'appartenenza al gruppo sia stata aggiornata correttamente. A seconda della modalità di progettazione dell'applicazione di destinazione, l'applicazione di destinazione potrebbe richiedere più tempo per rendere effettiva l'appartenenza al gruppo nell'applicazione.
- È possibile creare avvisi per gli errori usando Monitoraggio di Azure.
Registro modifiche
- 17/10/2020 - Aggiunta del supporto per altri attributi utente e gruppo di G Suite.
- 17/10/2020: aggiornamento dei nomi degli attributi di destinazione di G Suite in base a quanto definito qui.
- 17/10/2020: aggiornamento dei mapping degli attributi predefiniti.
Altre risorse
- Gestione del provisioning degli account utente per app aziendali
- Che cos'è l'accesso alle applicazioni e l'accesso Single Sign-On con Microsoft Entra ID?