Zelfstudie: Microsoft Entra SSO-integratie met Google Cloud/G Suite Verbinding maken or by Microsoft

In deze zelfstudie leert u hoe u Google Cloud/G Suite Verbinding maken or microsoft integreert met Microsoft Entra ID. Wanneer u Google Cloud/G Suite Verbinding maken or Microsoft integreert met Microsoft Entra ID, kunt u het volgende doen:

• In Microsoft Entra ID bepalen wie toegang heeft tot Google Cloud/G Suite Verbinding maken or microsoft.
• Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Google Cloud/G Suite Verbinding maken or door Microsoft.
• Beheer uw accounts op één centrale locatie.

Vereisten

U hebt het volgende nodig om aan de slag te gaan:

• Een Microsoft Entra-abonnement.
• Een abonnement op Google Cloud / G Suite Connector by Microsoft waarvoor eenmalige aanmelding is ingeschakeld.
• Een Google Apps-abonnement of Google Cloud Platform-abonnement.

Notitie

Als u de stappen in deze zelfstudie wilt testen, is het raadzaam om niet de productieomgeving te gebruiken. Dit document is gemaakt met behulp van de nieuwe ervaring voor eenmalige aanmelding. Als u nog steeds gebruikmaakt van de oude versie, ziet de installatie er anders uit. U kunt de nieuwe ervaring inschakelen in de instellingen voor eenmalige aanmelding van de G Suite-toepassing. Ga naar Microsoft Entra ID>Enterprise-toepassingen, selecteer Google Cloud/ G Suite Verbinding maken or Microsoft, selecteer Eenmalige aanmelding en klik vervolgens op Onze nieuwe ervaring uitproberen.

Volg deze aanbevelingen als u de stappen in deze zelfstudie wilt testen:

• Gebruik niet de productieomgeving, tenzij dit echt nodig is.
• Als u geen abonnement hebt, kunt u een gratis account krijgen.

Veelgestelde vragen

1. V: Ondersteunt deze integratie integratie van Google Cloud Platform SSO met Microsoft Entra ID?

   A: Ja. Google Cloud Platform en Google Apps delen hetzelfde verificatieplatform. Voor de GCP-integratie moet u dus de eenmalige aanmelding met Google Apps configureren.

2. V: Zijn Chromebooks en andere Chrome-apparaten compatibel met eenmalige aanmelding van Microsoft Entra?

   A: Ja, gebruikers kunnen zich aanmelden bij hun Chromebook-apparaten met hun Microsoft Entra-referenties. Bekijk dit ondersteuningsartikel over Google Cloud / G Suite Connector by Microsoft voor informatie over waarom gebruikers mogelijk tweemaal om hun referenties wordt gevraagd.

3. V: Als ik eenmalige aanmelding inschakelen, kunnen gebruikers hun Microsoft Entra-referenties gebruiken om zich aan te melden bij een Google-product, zoals Google Classroom, GMail, Google Drive, YouTube, enzovoort?

   A: Ja, afhankelijk van de Google Cloud / G Suite Connector by Microsoft die u inschakelt of uitschakelt voor uw organisatie.

4. V: Kan ik eenmalige aanmelding voor alleen een subset van gebruikers van Google Cloud / G Suite Connector by Microsoft inschakelen?

   A: Ja, de SSO-profielen kunnen worden geselecteerd per gebruiker, organisatie-eenheid of groep in Google Workspace.

   

   Selecteer het SSO-profiel als "geen" voor de Google Workspace-groep. Dit voorkomt dat leden van deze (Google Workspace-groep) worden omgeleid naar Microsoft Entra-id voor aanmelding.

5. V: Wordt een gebruiker die is aangemeld via Windows, automatisch gevraagd om zich te verifiëren bij Google Cloud / G Suite Connector by Microsoft, zonder dat om een wachtwoord wordt gevraagd?

   A: Er zijn twee opties voor het inschakelen van dit scenario. Gebruikers kunnen zich eerst aanmelden bij Windows 10-apparaten via Microsoft Entra join. Gebruikers kunnen zich ook aanmelden bij Windows-apparaten die lid zijn van een domein aan een on-premises Active Directory die is ingeschakeld voor eenmalige aanmelding bij Microsoft Entra-id via een AD FS-implementatie (Active Directory Federation Services). Voor beide opties moet u de stappen in de volgende zelfstudie uitvoeren om eenmalige aanmelding in te schakelen tussen Microsoft Entra ID en Google Cloud/G Suite Verbinding maken or microsoft.

6. V: Wat moet ik doen wanneer ik een foutbericht 'ongeldig e-mailbericht' krijg?

   A: Voor deze installatie is het e-mailkenmerk vereist voor de gebruikers om zich aan te melden. Dit kenmerk kan niet handmatig worden ingesteld.

   Het e-mailkenmerk wordt automatisch ingevuld voor elke gebruiker met een geldige Exchange-licentie. Als e-mail niet is ingeschakeld voor een gebruiker, wordt dit foutbericht ontvangen omdat de toepassing dit kenmerk moet ophalen om toegang te kunnen verlenen.

   U kunt met een beheerdersaccount naar portal.office.com gaan, in het beheercentrum klikken op Facturering > Abonnementen, uw Microsoft 365-abonnement selecteren en vervolgens klikken op Toewijzen aan gebruikers. Selecteer de gebruikers van wie u het abonnement wilt controleren, en klik in het rechterdeelvenster op Licenties bewerken.

   Nadat de Microsoft 365-licentie is toegewezen, kan het enkele minuten duren voordat deze is toegepast. Hierna wordt het kenmerk user.mail automatisch ingevuld en is het probleem zeer waarschijnlijk opgelost.

Beschrijving van scenario

In deze zelfstudie configureert en test u eenmalige aanmelding van Microsoft Entra in een testomgeving.

• De Google Cloud (G Suite) Connector ondersteunt door SP geïnitieerde eenmalige aanmelding.

• Google Cloud / G Suite Connector by Microsoft biedt ondersteuning voor Geautomatiseerde inrichting van gebruikers.

Google Cloud / G Suite Connector by Microsoft toevoegen vanuit de galerie

Als u de integratie van Google Cloud/G Suite Verbinding maken or Microsoft in Microsoft Entra ID wilt configureren, moet u Google Cloud/ G Suite Verbinding maken or microsoft vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Nieuwe toepassing.
3. Typ Google Cloud / G Suite Connector by Microsoft in het zoekvak in de sectie Toevoegen vanuit de galerie.
4. Selecteer Google Cloud / G Suite Connector by Microsoft in het resultatenvenster en voeg de app vervolgens toe. Wacht enkele seconden tot de app aan de tenant is toegevoegd.

U kunt ook de wizard Enterprise App Configuration gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Eenmalige aanmelding van Microsoft Entra configureren en testen voor Google Cloud/ G Suite Verbinding maken or door Microsoft

Configureer en test eenmalige aanmelding van Microsoft Entra met Google Cloud/ G Suite Verbinding maken or door Microsoft met behulp van een testgebruiker met de naam B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Google Cloud/G Suite Verbinding maken or Microsoft.

Voer de volgende stappen uit om eenmalige aanmelding van Microsoft Entra met Google Cloud/G Suite Verbinding maken or microsoft te configureren en te testen:

1. Configureer eenmalige aanmelding van Microsoft Entra - zodat uw gebruikers deze functie kunnen gebruiken.
   1. Een Microsoft Entra-testgebruiker maken : eenmalige aanmelding van Microsoft Entra testen met B.Simon.
   2. Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen eenmalige aanmelding van Microsoft Entra te gebruiken.
2. Eenmalige aanmelding bij Google Cloud/G Suite Connector by Microsoft configureren : als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
   1. Maak Google Cloud/G Suite Verbinding maken or door Microsoft-testgebruiker: als u een tegenhanger van B.Simon in Google Cloud/G Suite Verbinding maken or microsoft wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Eenmalige aanmelding voor Microsoft Entra configureren

Volg deze stappen om eenmalige aanmelding van Microsoft Entra in te schakelen.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

2. Blader naar Identity>Applications Enterprise-toepassingen>>Google Cloud/G Suite Verbinding maken or door Eenmalige aanmelding van Microsoft.>

3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

4. Op de pagina Eenmalige aanmelding instellen met SAML klikt u op het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

   

5. Voer in het gedeelte Standaard SAML-configuratie de volgende stappen uit als u wilt configureren voor Gmail:

   a. In het tekstvak Id typt u een van de URL's in het volgende notaties:

   Id
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. In het tekstvak Antwoord-URL typt u een URL in een van de volgende notaties:

   Antwoord-URL
   https://www.google.com
   https://www.google.com/a/<yourdomain.com>

   c. Typ in het tekstvak Aanmeldings-URL een URL met het volgende patroon: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com

6. Voer in het gedeelte Standaard SAML-configuratie de volgende stappen uit als u wilt configureren voor Google Cloud Platform:

   a. In het tekstvak Id typt u een van de URL's in het volgende notaties:

   Id
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. In het tekstvak Antwoord-URL typt u een URL in een van de volgende notaties:

   Antwoord-URL
   https://www.google.com/acs
   https://www.google.com/a/<yourdomain.com>/acs

   c. Typ in het tekstvak Aanmeldings-URL een URL met het volgende patroon: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

   Notitie

   Dit zijn geen echte waarden. Werk deze waarden bij met de werkelijke id, antwoord-URL en aanmeldings-URL. Google Cloud / G Suite Connector by Microsoft biedt geen waarde voor Entiteits-id/id-waarde voor de configuratie van eenmalige aanmelding. Wanneer u dus de optie voor domeinspecifieke uitgever uitschakelt, wordt de id-waarde google.com. Als u de optie voor de domeinspecifieke uitgever inschakelt, wordt deze google.com/a/<yourdomainname.com>. Als u de optie voor de domeinspecifieke uitgever wilt in-/uitschakelen, gaat u naar het gedeelte Eenmalige aanmelding bij Google Cloud / G Suite Connector by Microsoft configureren, dat verderop in de zelfstudie wordt besproken. Neem contact op met het ondersteuningsteam van Google Cloud / G Suite Connector by Microsoft voor meer informatie.

7. De Google Cloud / G Suite Connector by Microsoft-toepassing verwacht de SAML-asserties in een specifieke indeling. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermopname ziet u een voorbeeld hiervan. De standaardwaarde van Unieke gebruikers-id is user.userprincipalname, maar in Google Cloud / G Suite Connector by Microsoft wordt verwacht dat aan deze waarde het e-mailadres van de gebruiker is toegewezen. Hiervoor kunt u het kenmerk user.mail in de lijst gebruiken of de juiste kenmerkwaarde op basis van uw organisatieconfiguratie.

   

   Notitie

   Zorg ervoor dat het SAML-antwoord geen niet-standaard ASCII-tekens bevat in het kenmerk Achternaam.

8. Op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat gaat u naar Certificaat (Base64) en selecteert u Downloaden om het certificaat te downloaden en op te slaan op uw computer.

   

9. In de sectie Google Cloud / G Suite Connector by Microsoft instellen kopieert u de juiste URL('s) op basis van uw behoeften.

   

   https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
   

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruiker Beheer istrator.
2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
3. Selecteer Nieuwe gebruiker Nieuwe gebruiker> maken bovenaan het scherm.
4. Voer in de gebruikerseigenschappen de volgende stappen uit:
   1. Voer in het veld Weergavenaam de tekst in B.Simon.
   2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld: B.Simon@contoso.com.
   3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
   4. Selecteer Controleren + maken.
5. Selecteer Maken.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door toegang te verlenen tot Google Cloud/ G Suite Verbinding maken or door Microsoft.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.
2. Blader naar Enterprise-toepassingen voor Identiteitstoepassingen>>>Google Cloud/G Suite Verbinding maken or Microsoft.
3. Selecteer gebruikers en groepen op de overzichtspagina van de app.
4. Selecteer Gebruiker/groep toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
   1. Selecteer in het dialoogvenster Gebruikers en groepen de optie B.Simon in de lijst Gebruikers. Klik vervolgens op de knop Selecteren onderaan het scherm.
   2. Als u verwacht dat er een rol aan de gebruikers moet worden toegewezen, kunt u de rol selecteren in de vervolgkeuzelijst Selecteer een rol. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
   3. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen.

Eenmalige aanmelding voor Google Cloud/G Suite Connector by Microsoft configureren

1. Open een nieuw tabblad in uw browser en meld u met uw beheerdersaccount aan bij de beheerconsole van Google Cloud / G Suite Connector by Microsoft.

2. Ga naar het menu -> Beveiliging -> Verificatie -> Eenmalige aanmelding met IDP van derden.

   

3. Voer de volgende configuratiewijzigingen uit in het tabblad SSO-profiel van derden voor uw organisatie:

   

   a. Schakel het SSO-profiel voor uw organisatie in.

   b. Plak in het veld Aanmeldingspagina-URL in Google Cloud/G Suite Verbinding maken or Microsoft de waarde van de aanmeldings-URL.

   c. Plak in het veld Afmeldingspagina-URL in Google Cloud/G Suite Verbinding maken or Microsoft de waarde van afmeldings-URL.

   d. Upload in Google Cloud/G Suite Verbinding maken or Microsoft voor het verificatiecertificaat het certificaat dat u eerder hebt gedownload.

   e. Schakel de optie Een domeinspecifieke verlener gebruiken in of uit volgens de opmerking in de bovenstaande sectie Standaard SAML-configuratie in de Microsoft Entra-id.

   f. Voer in het veld Wachtwoord-URL wijzigen in Google Cloud / G Suite Connector by Microsoft de waarde in als https://account.activedirectory.windowsazure.com/changepassword.aspx

   g. Klik op Opslaan.

Testgebruiker voor Google Cloud/G Suite Connector by Microsoft maken

Het doel van deze sectie is het maken van een gebruiker in Google Cloud / G Suite Connector by Microsoft met de naam B.Simon. Nadat de gebruiker handmatig is gemaakt in Google Cloud / G Suite Connector by Microsoft, kan de gebruiker zich nu aanmelden met haar aanmeldingsreferenties voor Microsoft 365.

Google Cloud /G Suite Connector by Microsoft ondersteunt ook automatische inrichting van gebruikers. Als u automatische inrichting van gebruikers wilt configureren, moet u de Google Cloud / G Suite Connector by Microsoft eerst configureren voor automatische inrichting van gebruikers.

Notitie

Zorg ervoor dat uw gebruiker al bestaat in Google Cloud/G Suite Verbinding maken or door Microsoft als inrichting in Microsoft Entra ID niet is ingeschakeld voordat eenmalige aanmelding wordt getest.

Notitie

Neem contact op met het ondersteuningsteam van Google als u handmatig een gebruiker moet maken.

Eenmalige aanmelding testen

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

• Klik op Deze toepassing testen. U wordt omgeleid naar Google Cloud/G Suite Verbinding maken or de aanmeldings-URL van Microsoft, waar u de aanmeldingsstroom kunt initiëren.

• Ga rechtstreeks naar de aanmeldings-URL van Google Cloud / G Suite Connector by Microsoft en initieer daar de aanmeldingsstroom.

• U kunt Microsoft Mijn apps gebruiken. Wanneer u in Mijn apps op de tegel Google Cloud / G Suite Connector by Microsoft klikt, wordt u omgeleid naar de aanmeldings-URL van Google Cloud / G Suite Connector by Microsoft. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.

Volgende stappen

Zodra u Google Cloud / G Suite Connector by Microsoft hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.