Esercitazione: Configurare G Suite per il provisioning utenti automaticoTutorial: Configure G Suite for automatic user provisioning

Questa esercitazione descrive i passaggi da eseguire in G Suite e Azure Active Directory (Azure AD) per configurare Azure AD per effettuare automaticamente il provisioning e il deprovisioning di utenti e/o gruppi in G Suite.The objective of this tutorial is to demonstrate the steps to be performed in G Suite and Azure Active Directory (Azure AD) to configure Azure AD to automatically provision and de-provision users and/or groups to G Suite.

Nota

L'esercitazione descrive un connettore basato sul servizio di provisioning utenti di Azure AD.This tutorial describes a connector built on top of the Azure AD User Provisioning Service. Per informazioni dettagliate sul funzionamento di questo servizio e domande frequenti, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Azure Active Directory.For important details on what this service does, how it works, and frequently asked questions, see Automate user provisioning and deprovisioning to SaaS applications with Azure Active Directory.

Nota

Il connettore G Suite è stato aggiornato di recente il 2019 ottobre.The G Suite connector was recently updated on October 2019. Le modifiche apportate al connettore G Suite includono:Changes made to the G Suite connector include:

  • Aggiunta del supporto per altri attributi di gruppo e utente di G Suite.Added support for additional G Suite user and group attributes.
  • I nomi degli attributi di destinazione di G Suite sono stati aggiornati in base a quanto definito qui.Updated G Suite target attribute names to match what is defined here.
  • Mapping degli attributi predefiniti aggiornati.Updated default attribute mappings.

PrerequisitiPrerequisites

Per configurare l'integrazione di Azure AD con G Suite, sono necessari gli elementi seguenti:To configure Azure AD integration with G Suite, you need the following items:

  • Un tenant di Azure ADAn Azure AD tenant
  • Tenant di G SuiteA G Suite tenant
  • Un account utente in una suite G con autorizzazioni di amministratore.A user account on a G Suite with Admin permissions.

Assegnare utenti a G SuiteAssign users to G Suite

Azure Active Directory usa un concetto denominato assegnazioni per determinare gli utenti che devono ricevere l'accesso alle app selezionate.Azure Active Directory uses a concept called assignments to determine which users should receive access to selected apps. Nel contesto del provisioning utenti automatico, vengono sincronizzati solo gli utenti e/o i gruppi che sono stati assegnati a un'applicazione in Azure AD.In the context of automatic user provisioning, only the users and/or groups that have been assigned to an application in Azure AD are synchronized.

Prima di configurare e abilitare il provisioning utenti automatico, è necessario stabilire quali utenti e/o gruppi in Azure AD necessario accedere a G Suite.Before configuring and enabling automatic user provisioning, you should decide which users and/or groups in Azure AD need access to G Suite. Dopo aver stabilito questo, è possibile assegnare questi utenti e/o gruppi a G Suite seguendo le istruzioni riportate qui:Once decided, you can assign these users and/or groups to G Suite by following the instructions here:

Suggerimenti importanti per l'assegnazione di utenti a G SuiteImportant tips for assigning users to G Suite

  • Per testare la configurazione del provisioning utenti automatico, è consigliabile assegnare un singolo Azure AD utente a G Suite.It is recommended that a single Azure AD user is assigned to G Suite to test the automatic user provisioning configuration. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.Additional users and/or groups may be assigned later.

  • Quando si assegna un utente a G Suite, è necessario selezionare qualsiasi ruolo specifico dell'applicazione valido, se disponibile, nella finestra di dialogo di assegnazione.When assigning a user to G Suite, you must select any valid application-specific role (if available) in the assignment dialog. Gli utenti con il ruolo Accesso predefinito vengono esclusi dal provisioning.Users with the Default Access role are excluded from provisioning.

Configurare G Suite per il provisioningSetup G Suite for provisioning

Prima di configurare G Suite per il provisioning utenti automatico con Azure AD, sarà necessario abilitare il provisioning di SCIM in G Suite.Before configuring G Suite for automatic user provisioning with Azure AD, you will need to enable SCIM provisioning on G Suite.

  1. Accedere alla console di amministrazione di G Suite con l'account amministratore e quindi selezionare sicurezza.Sign in to the G Suite Admin console with your administrator account, and then select Security. Se il collegamento non è visibile, è possibile che sia nascosto sotto il menu More Controls (Altri controlli) nella parte inferiore della schermata.If you don't see the link, it might be hidden under the More Controls menu at the bottom of the screen.

    Selezionare Security (Sicurezza).

  2. Nella pagina Security (Sicurezza) fare clic su API Reference (Riferimento API).On the Security page, select API Reference.

    Selezionare API Reference (Riferimento API).

  3. Selezionare Enable API access.Select Enable API access.

    Selezionare API Reference (Riferimento API).

    Importante

    Per ogni utente di cui si intende eseguire il provisioning in G Suite, il nome utente in Azure AD deve essere associato a un dominio personalizzato.For every user that you intend to provision to G Suite, their user name in Azure AD must be tied to a custom domain. Ad esempio, nomi utente simili a bob@contoso.onmicrosoft.com non vengono accettati da G Suite.For example, user names that look like bob@contoso.onmicrosoft.com are not accepted by G Suite. mentre bob@contoso.com viene accettato.On the other hand, bob@contoso.com is accepted. È possibile modificare il dominio di un utente esistente seguendo le istruzioni riportate qui.You can change an existing user's domain by following the instructions here.

  4. Dopo aver aggiunto e verificato i domini personalizzati desiderati con Azure AD, è necessario verificarli di nuovo con G Suite.Once you have added and verified your desired custom domains with Azure AD, you must verify them again with G Suite. Per verificare i domini in G Suite, fare riferimento alla procedura seguente:To verify domains in G Suite, refer to the following steps:

    a.a. Nella console di amministrazione di G Suiteselezionare domini.In the G Suite Admin Console, select Domains.

    Selezionare i domini

    b.b. Selezionare Add a domain or a domain alias (Aggiungi un dominio o un alias di dominio).Select Add a domain or a domain alias.

    Aggiungere un nuovo dominio

    c.c. Selezionare Add another domain (Aggiungi un altro dominio) e quindi digitare il nome del dominio che si vuole aggiungere.Select Add another domain, and then type in the name of the domain that you want to add.

    Digitare il nome di dominio

    d.d. Selezionare Continue and verify domain ownership (Continua e verifica la proprietà del dominio).Select Continue and verify domain ownership. Seguire i passaggi per verificare che si è proprietari del nome di dominio.Then follow the steps to verify that you own the domain name. Per istruzioni complete su come verificare il dominio con Google, vedere verificare la proprietà del sito.For comprehensive instructions on how to verify your domain with Google, see Verify your site ownership.

    e.e. Ripetere i passaggi precedenti per tutti i domini aggiuntivi che si intende aggiungere a G Suite.Repeat the preceding steps for any additional domains that you intend to add to G Suite.

  5. Determinare quindi l'account amministratore che si vuole usare per gestire il provisioning utenti in G Suite.Next, determine which admin account you want to use to manage user provisioning in G Suite. Passare a ruoli di amministratore.Navigate to Admin Roles.

    Selezionare Google Apps

  6. Per il ruolo di amministratore dell'account, modificare i privilegi per quel ruolo.For the Admin role of that account, edit the Privileges for that role. Assicurarsi di abilitare tutti i privilegi dell'API di amministratore in modo che l'account possa essere usato per il provisioning.Make sure to enable all Admin API Privileges so that this account can be used for provisioning.

    Selezionare Google Apps

Per configurare G Suite per il provisioning utenti automatico con Azure AD, sarà necessario aggiungere G Suite dalla raccolta di applicazioni Azure AD al proprio elenco di applicazioni SaaS gestite.To configure G Suite for automatic user provisioning with Azure AD, you will need to add G Suite from the Azure AD application gallery to your list of managed SaaS applications.

  1. Nel riquadro di spostamento a sinistra del portale di Azure selezionare Azure Active Directory.In the Azure portal, in the left navigation panel, select Azure Active Directory.

    Pulsante Azure Active Directory

  2. Passare ad Applicazioni aziendali e quindi selezionare Tutte le applicazioni.Go to Enterprise applications, and then select All applications.

    Pannello Applicazioni aziendali

  3. Per aggiungere una nuova applicazione, selezionare il pulsante nuova applicazione nella parte superiore del riquadro.To add a new application, select the New application button at the top of the pane.

    Pulsante Nuova applicazione

  4. Nella casella di ricerca immettere g Suite, selezionare g Suite nel pannello dei risultati e quindi fare clic sul pulsante Aggiungi per aggiungere l'applicazione.In the search box, enter G Suite, select G Suite in the results panel, and then click the Add button to add the application.

    G Suite nell'elenco risultati

Configurazione del provisioning utenti automatico in G SuiteConfiguring automatic user provisioning to G Suite

Questa sezione illustra i passaggi per configurare il servizio di provisioning Azure AD per creare, aggiornare e disabilitare utenti e/o gruppi in G Suite in base alle assegnazioni di utenti e/o gruppi in Azure AD.This section guides you through the steps to configure the Azure AD provisioning service to create, update, and disable users and/or groups in G Suite based on user and/or group assignments in Azure AD.

Suggerimento

È anche possibile scegliere di abilitare la Single Sign-On basata su SAML per G Suite, seguendo le istruzioni fornite nell' esercitazione sull'accesso Single Sign-on di g Suite.You may also choose to enable SAML-based single sign-on for G Suite , following the instructions provided in the G Suite Single sign-on tutorial. L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning utenti automatico, anche se queste due funzionalità sono complementari.Single sign-on can be configured independently of automatic user provisioning, though these two features compliment each other.

Nota

Per altre informazioni sull'endpoint dell'API directory di G Suite, vedere API directory.To learn more about G Suite's Directory API endpoint, refer to Directory API.

Per configurare il provisioning utenti automatico per G Suite in Azure AD:To configure automatic user provisioning for G Suite in Azure AD:

  1. Accedere al portale di Azure.Sign in to the Azure portal. Selezionare applicazioni aziendalie quindi selezionare tutte le applicazioni.Select Enterprise Applications, then select All applications.

    Pannello delle applicazioni aziendali

  2. Nell'elenco di applicazioni selezionare G Suite.In the applications list, select G Suite.

    Collegamento di G Suite nell'elenco delle applicazioni

  3. Selezionare la scheda Provisioning.Select the Provisioning tab.

    Scheda Provisioning

  4. Impostare Modalità di provisioning su Automatico.Set the Provisioning Mode to Automatic.

    Scheda Provisioning

  5. Nella sezione Credenziali amministratore selezionare Autorizza.Under the Admin Credentials section, select Authorize. Verrà aperta una finestra di dialogo di autorizzazione di Google in una nuova finestra del browser.It opens a Google authorization dialog box in a new browser window.

    Autorizzare G Suite

  6. Confermare che si desidera concedere Azure AD autorizzazioni per apportare modifiche al tenant di G Suite.Confirm that you want to give Azure AD permissions to make changes to your G Suite tenant. Selezionare Accetto.Select Accept.

    Verificare le autorizzazioni.

  7. Nel portale di Azure selezionare Test connessione per verificare che Azure AD possa connettersi all'app.In the Azure portal, select Test Connection to ensure that Azure AD can connect to your app. Se la connessione non riesce, verificare che l'account di G Suite disponga delle autorizzazioni di amministratore di team.If the connection fails, ensure that your G Suite account has Team Admin permissions. Ripetere quindi il passaggio per l'autorizzazione.Then try the Authorize step again.

  8. Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.In the Notification Email field, enter the email address of a person or group who should receive the provisioning error notifications and check the checkbox - Send an email notification when a failure occurs.

    Messaggio di posta elettronica di notifica

  9. Fare clic su Salva.Click Save.

  10. Nella sezione mapping selezionare Sincronizza Azure Active Directory utenti a G Suite.Under the Mappings section, select Synchronize Azure Active Directory Users to G Suite.

    Mapping utente G Suite

  11. Esaminare gli attributi utente che vengono sincronizzati da Azure AD a G Suite nella sezione mapping degli attributi .Review the user attributes that are synchronized from Azure AD to G Suite in the Attribute Mapping section. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in G Suite per le operazioni di aggiornamento.The attributes selected as Matching properties are used to match the user accounts in G Suite for update operations. Selezionare il pulsante Salva per eseguire il commit delle modifiche.Select the Save button to commit any changes.

    Attributi utente di G Suite

  12. Nella sezione mapping selezionare Synchronize Azure Active Directory groups to G Suite.Under the Mappings section, select Synchronize Azure Active Directory Groups to G Suite.

    Mapping del gruppo G Suite

  13. Esaminare gli attributi di gruppo sincronizzati da Azure AD a G Suite nella sezione mapping degli attributi .Review the group attributes that are synchronized from Azure AD to G Suite in the Attribute Mapping section. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in G Suite per le operazioni di aggiornamento.The attributes selected as Matching properties are used to match the groups in G Suite for update operations. Selezionare il pulsante Salva per eseguire il commit delle modifiche.Select the Save button to commit any changes. L'interfaccia utente Visualizza il set predefinito di mapping degli attributi tra Azure AD e G Suite.The UI displays the default set of attribute mappings between Azure AD and G Suite. È possibile scegliere di aggiungere altri attributi, ad esempio unità organizzativa, facendo clic su Aggiungi nuovo mapping.You can choose to add additional attributes such as Org Unit by clicking add new mapping.

    Attributi gruppo G Suite

  14. Per configurare i filtri di ambito, fare riferimento alle istruzioni fornite nell'esercitazione sui filtri per la definizione dell'ambito.To configure scoping filters, refer to the following instructions provided in the Scoping filter tutorial.

  15. Per abilitare il servizio di provisioning Azure AD per G Suite, impostare stato del provisioning su attivato nella sezione Impostazioni .To enable the Azure AD provisioning service for G Suite, change the Provisioning Status to On in the Settings section.

    Stato del provisioning attivato

  16. Definire gli utenti e/o i gruppi di cui si vuole eseguire il provisioning in G Suite scegliendo i valori desiderati in ambito nella sezione Impostazioni .Define the users and/or groups that you would like to provision to G Suite by choosing the desired values in Scope in the Settings section.

    Ambito di provisioning

  17. Quando si è pronti per eseguire il provisioning, fare clic su Salva.When you are ready to provision, click Save.

    Salvataggio della configurazione del provisioning

L'operazione avvia la sincronizzazione iniziale di tutti gli utenti e/o i gruppi definiti in Ambito nella sezione Impostazioni.This operation starts the initial synchronization of all users and/or groups defined in Scope in the Settings section. La sincronizzazione iniziale richiede più tempo delle sincronizzazioni successive, che saranno eseguite circa ogni 40 minuti quando il servizio di provisioning di Azure AD è in esecuzione.The initial sync takes longer to perform than subsequent syncs, which occur approximately every 40 minutes as long as the Azure AD provisioning service is running. È possibile usare la sezione Dettagli sincronizzazione per monitorare lo stato di avanzamento e selezionare i collegamenti ai report delle attività di provisioning, che descrivono tutte le azioni eseguite dal servizio Azure ad provisioning in G Suite.You can use the Synchronization Details section to monitor progress and follow links to provisioning activity report, which describes all actions performed by the Azure AD provisioning service on G Suite.

Nota

Se gli utenti dispongono già di un account personale/utente esistente che usa l'indirizzo di posta elettronica dell'utente Azure AD, potrebbe verificarsi un problema che potrebbe essere risolto usando lo strumento Google Transfer prima di eseguire la sincronizzazione della directory.If the users already have an existing personal/consumer account using the email address of the Azure AD user, then it may cause some issue which could be resolved by using the Google Transfer Tool prior to performing the directory sync.

Per altre informazioni sulla lettura dei log di provisioning di Azure AD, vedere l'esercitazione relativa alla creazione di report sul provisioning automatico degli account utente.For more information on how to read the Azure AD provisioning logs, see Reporting on automatic user account provisioning.

Risorse aggiuntiveAdditional resources

Problemi comuniCommon issues

  • Gli errori di autorizzazione possono verificarsi quando l'account utilizzato per stabilire una connessione non è per un amministratore in GSuite.Authorization failures can occur when the account used to establish a connection is not for an administrator in GSuite. Assicurarsi che l'account usato per autorizzare l'accesso disponga delle autorizzazioni di amministratore per tutti i domini di cui gli utenti devono eseguire il provisioning.Ensure that the account used to authorize access has admin permissions over all domains that users need to be provisioned with.

Passaggi successiviNext steps