Configurare la federazione tra Google Workspace e Microsoft Entra ID

Questo articolo descrive i passaggi necessari per configurare Google Workspace come provider di identità (IdP) per Microsoft Entra ID.
Dopo la configurazione, gli utenti possono accedere a Microsoft Entra ID con le credenziali di Google Workspace.

Prerequisiti

Per configurare Google Workspace come IdP per Microsoft Entra ID, è necessario soddisfare i prerequisiti seguenti:

1. Un tenant Microsoft Entra, con uno o più domini DNS personalizzati (ovvero domini non nel formato *.onmicrosoft.com)
   • Se il dominio federato non è ancora stato aggiunto a Microsoft Entra ID, è necessario avere accesso al dominio DNS per creare un record DNS. Questa operazione è necessaria per verificare la proprietà dello spazio dei nomi DNS
   • Informazioni su come aggiungere il nome di dominio personalizzato usando il Interfaccia di amministrazione di Microsoft Entra
2. Accesso a Microsoft Entra ID con un account con il ruolo Amministratore globale
3. Accesso a Google Workspace con un account con privilegi di amministratore avanzati

Per testare la federazione, è necessario soddisfare i prerequisiti seguenti:

1. Un ambiente Google Workspace, con gli utenti già creati

   Importante

   Gli utenti richiedono un indirizzo di posta elettronica definito in Google Workspace, usato per corrispondere agli utenti in Microsoft Entra ID. Per altre informazioni sulla corrispondenza delle identità, vedere Corrispondenza delle identità in Microsoft Entra ID.

2. Singoli account Microsoft Entra già creati: ogni utente di Google Workspace richiede un account corrispondente definito in Microsoft Entra ID. Questi account vengono comunemente creati tramite soluzioni automatizzate, ad esempio:
   • School Data Sync (SDS)
   • Microsoft Entra Connect Sync per l'ambiente con Active Directory Domain Services locale
   • Script di PowerShell che chiamano microsoft API Graph
   • Strumenti di provisioning offerti da IdP - Google Workspace offre il provisioning automatico

Configurare Google Workspace come IdP per Microsoft Entra ID

1. Accedere a Google Workspace Amministrazione Console con un account con privilegi di amministratore avanzati

2. Selezionare App > Web e app per dispositivi mobili

3. Selezionare Aggiungi app > Search per le app e cercare Microsoft

4. Nella pagina dei risultati della ricerca passare il puntatore del mouse sull'app Microsoft Office 365 - Web (SAML) e selezionare Seleziona

5. Nella pagina dei dettagli del provider di identità di Google selezionare Scarica metadati e prendere nota del percorso in cui vengono salvati i metadati - IdPGoogleIDPMetadata.xml - file, perché viene usato per configurare Microsoft Entra ID in un secondo momento

6. Nella pagina dei dettagli del provider di servizi

   • Selezionare l'opzione Risposta firmata
   • Verificare che il formato ID nome sia impostato su PERSISTENT
   • A seconda di come è stato effettuato il provisioning degli utenti Microsoft Entra in Microsoft Entra ID, potrebbe essere necessario modificare il mapping dell'ID nome.
     Se si usa il provisioning automatico di Google, selezionare Basic Information > Primary email
   • Selezionare Continua

7. Nella pagina Mapping attributi eseguire il mapping degli attributi di Google agli attributi Microsoft Entra

   Attributi di Google Directory	attributi Microsoft Entra
   Informazioni di base: Email primaria	Attributi dell'app: IDPEmail

   Importante

   Devi assicurarti di essere il Microsoft Entra che gli account utente e-mail corrispondano a quelli presenti nell'area di lavoro google.

8. Selezionare Fine

Ora che l'app è configurata, è necessario abilitarla per gli utenti in Google Workspace:

1. Accedere a Google Workspace Amministrazione Console con un account con privilegi di amministratore avanzati
2. Selezionare App > Web e app per dispositivi mobili
3. Selezionare Microsoft Office 365
4. Selezionare Accesso utente
5. Selezionare ON per tutti i > file Di salvataggio

Configurare Microsoft Entra ID come provider di servizi (SP) per Google Workspace

La configurazione di Microsoft Entra ID consiste nel modificare il metodo di autenticazione per i domini DNS personalizzati. Questa configurazione può essere eseguita usando PowerShell.
Usando il file XML dei metadati IdP scaricato da Google Workspace, modificare la variabile $DomainName dello script seguente in modo che corrisponda all'ambiente e quindi eseguirla in una sessione di PowerShell. Quando viene richiesto di eseguire l'autenticazione in Microsoft Entra ID, usare le credenziali di un account con il ruolo Amministratore globale.

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph

$domainId = "<your domain name>"

$xml = [Xml](Get-Content GoogleIDPMetadata.xml)

$cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
$issuerUri = $xml.EntityDescriptor.entityID
$signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
$signoutUri = "https://accounts.google.com/logout"
$displayName = "Google Workspace Identity"
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

$domainAuthParams = @{
  DomainId = $domainId
  IssuerUri = $issuerUri
  DisplayName = $displayName
  ActiveSignInUri = $signinUri
  PassiveSignInUri = $signinUri
  SignOutUri = $signoutUri
  SigningCertificate = $cert
  PreferredAuthenticationProtocol = "saml"
  federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}

New-MgDomainFederationConfiguration @domainAuthParams

Per verificare che la configurazione sia corretta, è possibile usare il comando di PowerShell seguente:

Get-MgDomainFederationConfiguration -DomainId $domainId |fl

ActiveSignInUri                       : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
DisplayName                           : Google Workspace Identity
FederatedIdpMfaBehavior               : acceptIfMfaDoneByFederatedIdp
Id                                    : 3f600dce-ab37-4798-9341-ffd34b147f70
IsSignedAuthenticationRequestRequired :
IssuerUri                             : https://accounts.google.com/o/saml2?idpid=<GUID>
MetadataExchangeUri                   :
NextSigningCertificate                :
PassiveSignInUri                      : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
PreferredAuthenticationProtocol       : saml
PromptLoginBehavior                   :
SignOutUri                            : https://accounts.google.com/logout
SigningCertificate                    : <BASE64 encoded certificate>
AdditionalProperties                  : {}

Verificare l'autenticazione federata tra Google Workspace e Microsoft Entra ID

Da una sessione del browser privata passare a https://portal.azure.com e accedere con un account Google Workspace:

1. Come nome utente, usare il messaggio di posta elettronica come definito in Google Workspace
2. L'utente viene reindirizzato a Google Workspace per accedere
3. Dopo l'autenticazione di Google Workspace, l'utente viene reindirizzato a Microsoft Entra ID e ha eseguito l'accesso