Esercitazione: Integrazione dell'accesso Single Sign-On (SSO) di Azure Active Directory con G SuiteTutorial: Azure Active Directory single sign-on (SSO) integration with G Suite

Questa esercitazione descrive come integrare G Suite con Azure Active Directory (Azure AD).In this tutorial, you'll learn how to integrate G Suite with Azure Active Directory (Azure AD). Integrando G Suite con Azure AD, è possibile:When you integrate G Suite with Azure AD, you can:

  • Controllare in Azure AD chi può accedere a G Suite.Control in Azure AD who has access to G Suite.
  • Abilitare gli utenti per l'accesso automatico a G Suite con gli account Azure AD personali.Enable your users to be automatically signed-in to G Suite with their Azure AD accounts.
  • Gestire gli account in un'unica posizione centrale: il portale di Azure.Manage your accounts in one central location - the Azure portal.

Per altre informazioni sull'integrazione di app SaaS con Azure AD, vedere Accesso Single Sign-On alle applicazioni in Azure Active Directory.To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

PrerequisitiPrerequisites

Per iniziare, sono necessari gli elementi seguenti:To get started, you need the following items:

  • Una sottoscrizione di Azure AD.An Azure AD subscription.
  • Sottoscrizione di G Suite abilitata per l'accesso Single Sign-On (SSO).G Suite single sign-on (SSO) enabled subscription.
  • Sottoscrizione di Google Apps o sottoscrizione di Google Cloud PlatformA Google Apps subscription or Google Cloud Platform subscription.

Nota

Non è consigliabile usare un ambiente di produzione per testare i passaggi di questa esercitazione.To test the steps in this tutorial, we do not recommend using a production environment. Questo documento è stato creato usando la nuova esperienza utente Single Sign-On.This document was created using the new user Single-Sign-on experience. Se si sta ancora usando quella precedente, la configurazione risulterà diversa.If you are still using the old one, the setup will look different. È possibile abilitare la nuova esperienza nelle impostazioni Single Sign-On dell'applicazione G Suite.You can enable the new experience in the Single Sign-on settings of G-Suite application. Passare ad Azure AD, applicazioni aziendali, selezionare G Suite, quindi Single Sign-On e fare clic su Prova la nuova esperienza.Go to Azure AD, Enterprise applications, select G Suite, select Single Sign-on and then click on Try out our new experience.

A questo scopo, è consigliabile seguire le indicazioni seguenti:To test the steps in this tutorial, you should follow these recommendations:

  • Non usare l'ambiente di produzione a meno che non sia necessario.Do not use your production environment, unless it is necessary.
  • Se non si ha una sottoscrizione, è possibile ottenere un account gratuito.If you don't have a subscription, you can get a free account.

Domande frequentiFrequently Asked Questions

  1. D: Questa integrazione supporta l'integrazione SSO di Google Cloud Platform con Azure AD?Q: Does this integration support Google Cloud Platform SSO integration with Azure AD?

    R: Sì.A: Yes. Google Cloud Platform e Google Apps condividono la stessa piattaforma di autenticazione.Google Cloud Platform and Google Apps share the same authentication platform. Per eseguire l'integrazione di GCP, è quindi necessario configurare l'accesso SSO con Google Apps.So to do the GCP integration you need to configure the SSO with Google Apps.

  2. D: I dispositivi Chromebooks e altri dispositivi Chrome sono compatibili con Single Sign-On di Azure AD?Q: Are Chromebooks and other Chrome devices compatible with Azure AD single sign-on?

    R: Sì, gli utenti possono accedere ai dispositivi Chromebook con le credenziali di Azure AD.A: Yes, users are able to sign into their Chromebook devices using their Azure AD credentials. Per informazioni sui motivi per cui agli utenti può essere richiesto di immettere le credenziali due volte, vedere questo articolo del supporto tecnico di G Suite.See this G Suite support article for information on why users may get prompted for credentials twice.

  3. D: Se si abilita il Single Sign-On, gli utenti potranno usare le credenziali di Azure AD per accedere a qualsiasi prodotto di Google, ad esempio Google Classroom, GMail, Google Drive, YouTube e così via?Q: If I enable single sign-on, will users be able to use their Azure AD credentials to sign into any Google product, such as Google Classroom, GMail, Google Drive, YouTube, and so on?

    R: Sì, a seconda della G Suite che si sceglie di abilitare o disabilitare per la propria organizzazione.A: Yes, depending on which G Suite you choose to enable or disable for your organization.

  4. D: È possibile abilitare Single Sign-On solo per un subset di utenti di G Suite?Q: Can I enable single sign-on for only a subset of my G Suite users?

    R: No, l'attivazione di Single Sign-On richiede immediatamente a tutti gli utenti di G Suite di autenticarsi con le proprie credenziali di Azure AD.A: No, turning on single sign-on immediately requires all your G Suite users to authenticate with their Azure AD credentials. Poiché G Suite non supporta più provider di identità, il provider di identità per l'ambiente di G Suite può essere AD Azure o Google, ma non entrambi contemporaneamente.Because G Suite doesn't support having multiple identity providers, the identity provider for your G Suite environment can either be Azure AD or Google -- but not both at the same time.

  5. D: Se un utente ha eseguito l'accesso tramite Windows, viene autenticano automaticamente in G Suite senza che venga richiesta una password?Q: If a user is signed in through Windows, are they automatically authenticate to G Suite without getting prompted for a password?

    R: Sono disponibili due opzioni per l'abilitazione di questo scenario.A: There are two options for enabling this scenario. Nel primo caso gli utenti possono accedere ai dispositivi Windows 10 tramite Aggiunta ad Azure Active Directory.First, users could sign into Windows 10 devices via Azure Active Directory Join. In alternativa, gli utenti possono accedere ai dispositivi Windows appartenenti a un dominio di Active Directory locale abilitato per il Single Sign-On in Azure AD tramite una distribuzione di Active Directory Federation Services (AD FS) .Alternatively, users could sign into Windows devices that are domain-joined to an on-premises Active Directory that has been enabled for single sign-on to Azure AD via an Active Directory Federation Services (AD FS) deployment. Per entrambe le opzioni è necessario eseguire la procedura descritta nell'esercitazione seguente per abilitare Single Sign-On tra Azure AD e G Suite.Both options require you to perform the steps in the following tutorial to enable single sign-on between Azure AD and G Suite.

  6. D: Cosa occorre fare quando si riceve il messaggio di errore "L'indirizzo di posta elettronica non è valido"?Q: What should I do when I get an "invalid email" error message?

    R: Per questa configurazione, l'attributo di posta elettronica viene richiesto agli utenti per effettuare l'accesso.A: For this setup, the email attribute is required for the users to be able to sign-in. Non è possibile impostare manualmente questo attributo.This attribute cannot be set manually.

    L'attributo di posta elettronica viene compilato automaticamente per tutti gli utenti con una licenza valida di Exchange.The email attribute is autopopulated for any user with a valid Exchange license. Se l'utente non è abilitato alla posta elettronica, si riceverà questo errore in quanto l'applicazione deve ottenere questo attributo per concedere l'accesso.If user is not email-enabled, this error will be received as the application needs to get this attribute to give access.

    È possibile passare a portal.office.com con un account amministratore, quindi fare clic nell'interfaccia di amministrazione, fatturazione e sottoscrizioni, selezionare l'abbonamento a Office 365 e quindi fare clic su Assegna a utenti, selezionare gli utenti di cui si desidera controllare la sottoscrizione e nel riquadro destro fare clic su modifica licenze.You can go to portal.office.com with an Admin account, then click in the Admin center, billing, subscriptions, select your Office 365 Subscription and then click on assign to users, select the users you want to check their subscription and in the right pane, click on edit licenses.

    Una volta assegnata la licenza O365, l'applicazione potrebbe richiedere alcuni minuti.Once the O365 license is assigned, it may take some minutes to be applied. Successivamente, l'attributo user.mail sarà compilato automaticamente e il problema dovrebbe essere risolto.After that, the user.mail attribute will be autopopulated and the issue should be resolved.

Descrizione dello scenarioScenario description

In questa esercitazione vengono eseguiti la configurazione e il test dell'accesso Single Sign-On di Azure AD in un ambiente di test.In this tutorial, you configure and test Azure AD SSO in a test environment.

Per configurare l'integrazione di G Suite in Azure AD, è necessario aggiungere G Suite dalla raccolta all'elenco di app SaaS gestite.To configure the integration of G Suite into Azure AD, you need to add G Suite from the gallery to your list of managed SaaS apps.

  1. Accedere al portale di Azure con un account aziendale o dell'istituto di istruzione oppure con un account Microsoft personale.Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.
  2. Nel riquadro di spostamento a sinistra selezionare il servizio Azure Active Directory.On the left navigation pane, select the Azure Active Directory service.
  3. Passare ad Applicazioni aziendali e quindi selezionare Tutte le applicazioni.Navigate to Enterprise Applications and then select All Applications.
  4. Per aggiungere una nuova applicazione, selezionare Nuova applicazione.To add new application, select New application.
  5. Nella sezione Aggiungi dalla raccolta digitare G Suite nella casella di ricerca.In the Add from the gallery section, type G Suite in the search box.
  6. Selezionare G Suite nel pannello dei risultati e quindi aggiungere l'app.Select G Suite from results panel and then add the app. Attendere alcuni secondi che l'app venga aggiunta al tenant.Wait a few seconds while the app is added to your tenant.

Configurare e testare l'accesso Single Sign-On di Azure AD per G SuiteConfigure and test Azure AD single sign-on for G Suite

Configurare e testare l'accesso SSO di Azure AD con G Suite usando un utente di test di nome B.Simon.Configure and test Azure AD SSO with G Suite using a test user called B.Simon. Per consentire il funzionamento dell'accesso Single Sign-On, è necessario stabilire una relazione di collegamento tra un utente di Azure AD e l'utente correlato in G Suite.For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in G Suite.

Per configurare e testare l'accesso SSO di Azure AD con G Suite, completare le procedure di base seguenti:To configure and test Azure AD SSO with G Suite, complete the following building blocks:

  1. Configurare l'accesso Single Sign-On di Azure AD : per consentire agli utenti di usare questa funzionalità.Configure Azure AD SSO - to enable your users to use this feature.
    1. Creare un utente di test di Azure AD : per testare l'accesso Single Sign-On di Azure AD con l'utente B. Simon.Create an Azure AD test user - to test Azure AD single sign-on with B.Simon.
    2. Assegnare l'utente di test di Azure AD : per abilitare B. Simon all'uso dell'accesso Single Sign-On di Azure AD.Assign the Azure AD test user - to enable B.Simon to use Azure AD single sign-on.
  2. Configurare l'accesso Single Sign-On di G Suite : per configurare le impostazioni di Single Sign-On sul lato applicazione.Configure G Suite SSO - to configure the single sign-on settings on application side.
    1. Creare l'utente di test di G Suite : per avere una controparte di B.Simon in G Suite collegata alla rappresentazione dell'utente in Azure AD.Create G Suite test user - to have a counterpart of B.Simon in G Suite that is linked to the Azure AD representation of user.
  3. Testare l'accesso Single Sign-On : per verificare se la configurazione funziona.Test SSO - to verify whether the configuration works.

Configurare l'accesso SSO di Azure ADConfigure Azure AD SSO

Per abilitare l'accesso Single Sign-On di Azure AD nel portale di Azure, seguire questa procedura.Follow these steps to enable Azure AD SSO in the Azure portal.

  1. Nella pagina di integrazione dell'applicazione G Suite del portale di Azure individuare la sezione Gestione e selezionare Single Sign-On.In the Azure portal, on the G Suite application integration page, find the Manage section and select single sign-on.

  2. Nella pagina Selezionare un metodo di accesso Single Sign-On selezionare SAML.On the Select a single sign-on method page, select SAML.

  3. Nella pagina Configura l'accesso Single Sign-On con SAML fare clic sull'icona Modifica (la penna) relativa a Configurazione SAML di base per modificare le impostazioni.On the Set up single sign-on with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    Modificare la configurazione SAML di base

  4. Nella sezione Configurazione SAML di base, per eseguire la configurazione per Gmail, seguire questa procedura:On the Basic SAML Configuration section, if you want to configure for the Gmail perform the following steps:

    a.a. Nella casella di testo URL di accesso digitare l'URL usando il modello seguente: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.comIn the Sign-on URL textbox, type a URL using the following pattern: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com

    b.b. Nella casella di testo Identificatore digitare un URL nel formato seguente:In the Identifier textbox, type a URL using the following pattern:

    google.com/a/<yourdomain.com>
    google.com
    https://google.com
    https://google.com/a/<yourdomain.com>
  5. Nella sezione Configurazione SAML di base, per eseguire la configurazione per Google Cloud Platform, seguire questa procedura:On the Basic SAML Configuration section, if you want to configure for the Google Cloud Platform perform the following steps:

    a.a. Nella casella di testo URL di accesso digitare l'URL usando il modello seguente: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.comIn the Sign-on URL textbox, type a URL using the following pattern: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

    b.b. Nella casella di testo Identificatore digitare un URL nel formato seguente:In the Identifier textbox, type a URL using the following pattern:

    google.com/a/<yourdomain.com>
    google.com
    https://google.com
    https://google.com/a/<yourdomain.com>

    Nota

    Poiché questi non sono i valori reali,These values are not real. Aggiornare questi valori con l'identificatore e l'URL di accesso effettivi.Update these values with the actual Sign-On URL and Identifier. G.Suite non offre il valore ID entità/Identificatore nella configurazione Single Sign-On, quindi quando si deseleziona l'opzione domain specific issuer (certificazione specifica del dominio), il valore dell'identificatore sarà google.com.G Suite doesn't provide Entity ID/Identifier value on Single Sign On configuration so when you uncheck the domain specific issuer option the Identifier value will be google.com. Se si seleziona l'opzione domain specific issuer (certificazione specifica del dominio), il valore sarà google.com/a/<yourdomainname.com>.If you check the domain specific issuer option it will be google.com/a/<yourdomainname.com>. Per selezionare/deselezionare l'opzione domain specific issuer (certificazione specifica del dominio), è necessario passare alla sezione Configurare l'accesso Single Sign-On di G Suite, descritta più avanti nell'esercitazione.To check/uncheck the domain specific issuer option you need to go to the Configure G Suite SSO section which is explained later in the tutorial. Per altre informazioni, contattare il team di supporto clienti di G Suite.For more information contact G Suite Client support team.

  6. L'applicazione G Suite prevede un formato specifico per le asserzioni SAML. È quindi necessario aggiungere mapping di attributi personalizzati alla configurazione degli attributi del token SAML.Your G Suite application expects the SAML assertions in a specific format, which requires you to add custom attribute mappings to your SAML token attributes configuration. La schermata seguente illustra un esempio relativo a questa operazione.The following screenshot shows an example for this. Il valore predefinito di Identificatore univoco dell'utente è user.userprincipalname, ma G Suite prevede che venga mappato all'indirizzo di posta elettronica dell'utente.The default value of Unique User Identifier is user.userprincipalname but G Suite expects this to be mapped with the user's email address. A tale scopo è possibile usare l'attributo user.mail dall'elenco oppure usare il valore di attributo appropriato in base alla configurazione dell'organizzazione.For that you can use user.mail attribute from the list or use the appropriate attribute value based on your organization configuration.

    image

  7. Nella sezione Attestazioni utente della finestra di dialogo Attributi utente modificare le attestazioni usando l'icona Modifica o aggiungere le attestazioni usando l'opzione Aggiungi nuova attestazione per configurare l'attributo del token SAML come mostrato nell'immagine precedente e seguire questa procedura:In the User Claims section on the User Attributes dialog, edit the claims by using Edit icon or add the claims by using Add new claim to configure SAML token attribute as shown in the image above and perform the following steps:

    NomeName Attributo di origineSource Attribute
    Identificatore univoco dell'utenteUnique User Identifier User.mailUser.mail

    a.a. Fare clic su Aggiungi nuova attestazione per aprire la finestra di dialogo Gestisci attestazioni utente.Click Add new claim to open the Manage user claims dialog.

    image

    image

    b.b. Nella casella di testo Nome digitare il nome dell'attributo indicato per la riga.In the Name textbox, type the attribute name shown for that row.

    c.c. Lasciare vuota la casella Spazio dei nomi.Leave the Namespace blank.

    d.d. Per Origine selezionare Attributo.Select Source as Attribute.

    e.e. Nell'elenco Attributo di origine selezionare il valore dell'attributo indicato per la riga.From the Source attribute list, type the attribute value shown for that row.

    f.f. Fare clic su OK.Click Ok

    g.g. Fare clic su Save.Click Save.

  8. Nella sezione Certificato di firma SAML della pagina Configura l'accesso Single Sign-On con SAML individuare Certificato (Base64) e selezionare Scarica per scaricare il certificato e salvarlo nel computer.On the Set up single sign-on with SAML page, in the SAML Signing Certificate section, find Certificate (Base64) and select Download to download the certificate and save it on your computer.

    Collegamento di download del certificato

  9. Nella sezione Configura G Suite copiare gli URL appropriati in base alle esigenze.On the Set up G Suite section, copy the appropriate URL(s) based on your requirement.

    Copiare gli URL di configurazione

Creare un utente di test di Azure ADCreate an Azure AD test user

In questa sezione verrà creato un utente di test di nome B.Simon nel portale di Azure.In this section, you'll create a test user in the Azure portal called B.Simon.

  1. Nel riquadro sinistro del portale di Azure selezionare Azure Active Directory, Utenti e quindi Tutti gli utenti.From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. Selezionare Nuovo utente in alto nella schermata.Select New user at the top of the screen.
  3. In Proprietà utente seguire questa procedura:In the User properties, follow these steps:
    1. Nel campo Nome immettere B.Simon.In the Name field, enter B.Simon.
    2. Nel campo Nome utente immettere username@companydomain.extension.In the User name field, enter the username@companydomain.extension. Ad esempio: B.Simon@contoso.com.For example, B.Simon@contoso.com.
    3. Selezionare la casella di controllo Mostra password e quindi prendere nota del valore visualizzato nella casella Password.Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Fare clic su Crea.Click Create.

Assegnare l'utente di test di Azure ADAssign the Azure AD test user

In questa sezione si abiliterà B.Simon all'uso dell'accesso Single Sign-On di Azure concedendole l'accesso a G Suite.In this section, you'll enable B.Simon to use Azure single sign-on by granting access to G Suite.

  1. Nel portale di Azure selezionare Applicazioni aziendali e quindi Tutte le applicazioni.In the Azure portal, select Enterprise Applications, and then select All applications.

  2. Nell'elenco di applicazioni selezionare G Suite.In the applications list, select G Suite.

  3. Nella pagina di panoramica dell'app trovare la sezione Gestione e selezionare Utenti e gruppi.In the app's overview page, find the Manage section and select Users and groups.

    Collegamento "Utenti e gruppi"

  4. Selezionare Aggiungi utente e quindi Utenti e gruppi nella finestra di dialogo Aggiungi assegnazione.Select Add user, then select Users and groups in the Add Assignment dialog.

    Collegamento Aggiungi utente

  5. Nella finestra di dialogo Utenti e gruppi selezionare B.Simon dall'elenco degli utenti e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  6. Se si prevede un valore di ruolo nell'asserzione SAML, nella finestra di dialogo Selezionare un ruolo selezionare il ruolo appropriato per l'utente dall'elenco e quindi fare clic sul pulsante Seleziona nella parte inferiore della schermata.If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  7. Nella finestra di dialogo Aggiungi assegnazione fare clic sul pulsante Assegna.In the Add Assignment dialog, click the Assign button.

Configurare l'accesso Single Sign-On di G SuiteConfigure G Suite SSO

  1. Aprire una nuova scheda nel browser e accedere a Console di amministrazione di G Suite usando l'account amministratore.Open a new tab in your browser, and sign into the G Suite Admin Console using your administrator account.

  2. Fare clic su Security.Click Security. Se non viene visualizzato il collegamento, può essere nascosto sotto il menu More Controls nella parte inferiore della schermata.If you don't see the link, it may be hidden under the More Controls menu at the bottom of the screen.

    Fare clic su sicurezza.

  3. Nella pagina Security (Sicurezza) fare clic su Set up single sign-on (SSO) (Configurazione Single Sign-On (SSO)).On the Security page, click Set up single sign-on (SSO).

    Fare clic su SSO.

  4. Eseguire le seguenti modifiche di configurazione:Perform the following configuration changes:

    Configurare SSL

    a.a. Selezionare Setup SSO with third party identity provider (Configurare l'accesso SSO con un provider di terze parti).Select Setup SSO with third-party identity provider.

    b.b. Nel campo Sign-in page URL (URL pagina di accesso) di G Suite incollare il valore dell'URL di accesso copiato dal portale di Azure.In the Sign-in page URL field in G Suite, paste the value of Login URL which you have copied from Azure portal.

    c.c. Nel campo Sign-out page URL (URL pagina di disconnessione) di G Suite incollare il valore dell'URL di disconnessione copiato dal portale di Azure.In the Sign-out page URL field in G Suite, paste the value of Logout URL which you have copied from Azure portal.

    d.d. Nel campo Change password URL (URL di modifica della password) di G Suite incollare il valore dell'URL di modifica della password copiato dal portale di Azure.In the Change password URL field in G Suite, paste the value of Change password URL which you have copied from Azure portal.

    e.e. In G Suite, per il certificato di verifica, caricare il certificato che è stato scaricato dal portale di Azure.In G Suite, for the Verification certificate, upload the certificate that you have downloaded from Azure portal.

    f.f. Selezionare/deselezionare l'opzione Use a domain specific issuer (Usa un'autorità di certificazione specifica del dominio) in base alla nota menzionata della sezione Configurazione SAML di base in Azure AD.Check/Uncheck the Use a domain specific issuer option as per the note mentioned in the above Basic SAML Configuration section in the Azure AD.

    g.g. Fare clic su Salva modifiche.Click Save Changes.

Creare l'utente di test di G SuiteCreate G Suite test user

Questa sezione descrive come creare un utente di nome B.Simon in G Suite Software.The objective of this section is to create a user called B.Simon in G Suite Software. G Suite supporta il provisioning automatico abilitato per impostazione predefinita.G Suite supports auto provisioning, which is by default enabled. Non è necessaria alcuna azione dell'utente in questa sezione.There is no action for you in this section. Se un utente non esiste in G Suite, ne viene creato uno nuovo quando si prova ad accedere a G Suite Software.If a user doesn't already exist in G Suite Software, a new one is created when you attempt to access G Suite Software.

Nota

Assicurarsi che l'utente esiste già in G Suite se non è stato attivato il provisioning in Azure AD prima del test dell'accesso Single Sign-on.Make sure that your user already exists in G Suite if provisioning in Azure AD has not been turned on before testing Single Sign-on.

Nota

Se è necessario creare un utente manualmente, contattare il team di supporto di Google.If you need to create a user manually, contact the Google support team.

Testare l'accesso SSOTest SSO

In questa sezione viene testata la configurazione dell'accesso Single Sign-On di Azure AD usando il pannello di accesso.In this section, you test your Azure AD single sign-on configuration using the Access Panel.

Quando si fa clic sul riquadro di G Suite nel pannello di accesso, si dovrebbe accedere automaticamente all'applicazione G Suite per cui si è configurato l'accesso SSO.When you click the G Suite tile in the Access Panel, you should be automatically signed in to the G Suite for which you set up SSO. Per altre informazioni sul pannello di accesso, vedere Introduzione al Pannello di accesso.For more information about the Access Panel, see Introduction to the Access Panel.

Risorse aggiuntiveAdditional resources