Samouczek: integracja usługi Microsoft Entra SSO z usługą Google Cloud/G Suite Połączenie or firmy Microsoft
Z tego samouczka dowiesz się, jak zintegrować usługę Google Cloud / G Suite Połączenie or firmy Microsoft z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi Google Cloud/G Suite Połączenie or firmy Microsoft z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:
- Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usługi Google Cloud/G Suite Połączenie or firmy Microsoft.
- Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi Google Cloud/G Suite Połączenie or firmy Microsoft przy użyciu kont Microsoft Entra.
- Zarządzaj kontami w jednej centralnej lokalizacji.
Wymagania wstępne
Do rozpoczęcia pracy potrzebne są następujące elementy:
- Subskrypcja firmy Microsoft Entra.
- Subskrypcja aplikacji Google Cloud/ G Suite Połączenie or firmy Microsoft z obsługą logowania jednokrotnego.
- Subskrypcja usługi Google Apps lub usługi Google Cloud Platform
Uwaga
Nie zalecamy używania środowiska produkcyjnego do testowania czynności opisanych w tym samouczku. Ten dokument został utworzony przy użyciu nowego środowiska użytkownika służącego do logowania jednokrotnego. Jeśli nadal używasz starego środowiska, konfiguracja będzie przebiegać inaczej. Nowe środowisko możesz włączyć w ustawieniach logowania jednokrotnego aplikacji G Suite. Przejdź do pozycji Aplikacje dla przedsiębiorstw Microsoft Entra ID>, wybierz pozycję Google Cloud / G Suite Połączenie or firmy Microsoft, wybierz pozycję Logowanie jednokrotne, a następnie kliknij pozycję Wypróbuj nasze nowe środowisko.
Aby przetestować czynności opisane w tym samouczku, należy postępować zgodnie z następującymi zaleceniami:
- Nie używaj środowiska produkcyjnego, chyba że jest to konieczne.
- Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
Często zadawane pytania
Pyt.: Czy ta integracja obsługuje integrację logowania jednokrotnego z platformą Google Cloud Platform z identyfikatorem Entra firmy Microsoft?
Odpowiedź: Tak. Usługi Google Cloud Platform i Google Apps współdzielą tę samą platformę uwierzytelniania. W związku z tym w celu przeprowadzenia integracji usługi GCP należy skonfigurować logowanie jednokrotne w ramach usługi Google Apps.
Pyt.: Czy Urządzenia Chromebook i inne urządzenia Chrome są zgodne z logowaniem jednokrotnym firmy Microsoft Entra?
1: Tak, użytkownicy mogą logować się do swoich urządzeń Na Urządzeniach Chromebook przy użyciu poświadczeń firmy Microsoft Entra. Zobacz ten artykuł pomocy technicznej dotyczący usługi Google Cloud/G Suite Połączenie or firmy Microsoft, aby uzyskać informacje na temat tego, dlaczego użytkownicy mogą dwukrotnie otrzymywać monit o podanie poświadczeń.
Pyt.: Jeśli włączę logowanie jednokrotne, użytkownicy będą mogli logować się do dowolnego produktu Google, takiego jak Google Classroom, GMail, Google Drive, YouTube itd.?
1: Tak, w zależności od tego, która usługa Google Cloud / G Suite Połączenie or firmy Microsoft decyduje się włączyć lub wyłączyć dla organizacji.
Pyt.: Czy mogę włączyć logowanie jednokrotne tylko dla podzestawu usługi Google Cloud/G Suite Połączenie or przez użytkowników firmy Microsoft?
1: Tak, profile logowania jednokrotnego można wybrać dla użytkownika, jednostki organizacyjnej lub grupy w obszarze roboczym Google.
Wybierz profil logowania jednokrotnego jako "none" dla grupy Google Workspace. Zapobiega to przekierowywaniu członków tej grupy (grupy Google Workspace) do identyfikatora Entra firmy Microsoft na potrzeby logowania.
Pyt.: Jeśli użytkownik jest zalogowany za pośrednictwem systemu Windows, czy jest on automatycznie uwierzytelniany w usłudze Google Cloud/G Suite Połączenie or przez firmę Microsoft bez monitowania o podanie hasła?
1: Istnieją dwie opcje włączania tego scenariusza. Najpierw użytkownicy mogą logować się do urządzeń z systemem Windows 10 za pośrednictwem dołączania firmy Microsoft Entra. Alternatywnie użytkownicy mogą logować się do urządzeń z systemem Windows, które są przyłączone do domeny do lokalna usługa Active Directory, które zostały włączone na potrzeby logowania jednokrotnego w usłudze Microsoft Entra ID za pośrednictwem wdrożenia usług Active Directory Federation Services (AD FS). Obie opcje wymagają wykonania kroków w poniższym samouczku, aby włączyć logowanie jednokrotne między microsoft Entra ID i Google Cloud / G Suite Połączenie or firmy Microsoft.
Pyt.: Co należy zrobić, gdy otrzymuję komunikat o błędzie "nieprawidłowy adres e-mail"?
1: W przypadku tej konfiguracji atrybut poczty e-mail jest wymagany, aby użytkownicy mogli się zalogować. Tego atrybutu nie można ustawić ręcznie.
Atrybut adresu e-mail jest wypełniany automatycznie dla każdego użytkownika z ważną licencją programu Exchange. Jeśli dla użytkownika nie włączono poczty e-mail, ten błąd będzie występował, ponieważ aplikacja musi pobrać ten atrybut w celu udzielenia dostępu.
Możesz przejść do portal.office.com przy użyciu konta Administracja, a następnie kliknąć centrum Administracja, rozliczenia, subskrypcje, wybrać subskrypcję platformy Microsoft 365, a następnie kliknąć pozycję Przypisz do użytkowników, wybrać użytkowników, którzy mają sprawdzić swoją subskrypcję, a następnie w okienku po prawej stronie kliknij pozycję Edytuj licencje.
Po przypisaniu licencji platformy Microsoft 365 zastosowanie może potrwać kilka minut. Po tym czasie atrybut user.mail będzie automatycznie wypełniany, co powinno spowodować rozwiązanie problemu.
Opis scenariusza
W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.
Usługa Google Cloud/ G Suite Połączenie or firmy Microsoft obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.
Usługa Google Cloud/ G Suite Połączenie or firmy Microsoft obsługuje automatyczną aprowizację użytkowników.
Dodawanie usługi Google Cloud /G Suite Połączenie or firmy Microsoft z galerii
Aby skonfigurować integrację usługi Google Cloud / G Suite Połączenie or firmy Microsoft z usługą Microsoft Entra ID, musisz dodać usługę Google Cloud / G Suite Połączenie or firmy Microsoft z galerii do listy zarządzanych aplikacji SaaS.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
- Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
- W sekcji Dodawanie z galerii wpisz Google Cloud / G Suite Połączenie or firmy Microsoft w polu wyszukiwania.
- Wybierz pozycję Google Cloud/G Suite Połączenie or firmy Microsoft z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.
Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.
Konfigurowanie i testowanie logowania jednokrotnego microsoft Entra dla usługi Google Cloud/ G Suite Połączenie or firmy Microsoft
Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft za pomocą usługi Google Cloud / G Suite Połączenie or przez firmę Microsoft przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem usługi Google Cloud/ G Suite Połączenie or firmy Microsoft.
Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft w usłudze Google Cloud/G Suite Połączenie or firmy Microsoft, wykonaj następujące kroki:
- Skonfiguruj logowanie jednokrotne firmy Microsoft Entra — aby umożliwić użytkownikom korzystanie z tej funkcji.
- Tworzenie użytkownika testowego aplikacji Microsoft Entra — aby przetestować logowanie jednokrotne firmy Microsoft Entra z aplikacją B.Simon.
- Przypisz użytkownika testowego aplikacji Microsoft Entra — aby włączyć aplikację B.Simon do korzystania z logowania jednokrotnego firmy Microsoft Entra.
- Skonfiguruj usługę Google Cloud/G Suite Połączenie or firmy Microsoft SSO — aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
- Tworzenie usługi Google Cloud/G Suite Połączenie or przez użytkownika testowego firmy Microsoft — aby mieć w usłudze Google Cloud/ G Suite odpowiednik użytkownika B.Simon Połączenie or firmy Microsoft połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
- Testowanie logowania jednokrotnego — aby sprawdzić, czy konfiguracja działa.
Konfigurowanie logowania jednokrotnego firmy Microsoft
Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do aplikacji tożsamości>dla>przedsiębiorstw>Google Cloud / G Suite Połączenie or przy użyciu logowania jednokrotnego firmy Microsoft.>
Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML kliknij ikonę ołówka podstawową konfigurację protokołu SAML, aby edytować ustawienia.
Jeśli chcesz utworzyć konfigurację dla usługi Gmail, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:
a. W polu tekstowym Identyfikator wpisz adres URL, używając jednego z następujących wzorców:
Identyfikator google.com/a/<yourdomain.com>google.comhttps://google.comhttps://google.com/a/<yourdomain.com>b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, używając jednego z następujących wzorców:
Adres URL odpowiedzi https://www.google.comhttps://www.google.com/a/<yourdomain.com>c. W polu tekstowym Adres URL logowania wpisz adres URL , korzystając z następującego wzorca:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.comJeśli chcesz utworzyć konfigurację dla usług Google Cloud Platform, w sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:
a. W polu tekstowym Identyfikator wpisz adres URL, używając jednego z następujących wzorców:
Identyfikator google.com/a/<yourdomain.com>google.comhttps://google.comhttps://google.com/a/<yourdomain.com>b. W polu tekstowym Adres URL odpowiedzi wpisz adres URL, używając jednego z następujących wzorców:
Adres URL odpowiedzi https://www.google.com/acshttps://www.google.com/a/<yourdomain.com>/acsc. W polu tekstowym Adres URL logowania wpisz adres URL , korzystając z następującego wzorca:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.comUwaga
Te wartości nie są prawdziwe. Zaktualizuj te wartości przy użyciu rzeczywistego identyfikatora, adresu URL odpowiedzi i adresu URL logowania. Usługa Google Cloud / G Suite Połączenie or firmy Microsoft nie udostępnia wartości identyfikatora/identyfikatora jednostki w konfiguracji Logowanie jednokrotne, więc po usunięciu zaznaczenia opcji wystawcy specyficznego dla domeny wartość Identyfikator będzie .
google.comJeśli sprawdzisz opcję wystawcy specyficznego dla domeny, będzie togoogle.com/a/<yourdomainname.com>. Aby zaznaczyć/usunąć zaznaczenie opcji wystawcy specyficznego dla domeny, przejdź do sekcji Konfigurowanie usługi Google Cloud/G Suite Połączenie or firmy Microsoft SSO, co zostało wyjaśnione w dalszej części tego samouczka. Aby uzyskać więcej informacji, skontaktuj się z zespołem pomocy technicznej klienta firmy Microsoft w usłudze Google Cloud/G Suite Połączenie or.Usługa Google Cloud / G Suite Połączenie or przez aplikację firmy Microsoft oczekuje asercji SAML w określonym formacie, co wymaga dodania mapowań atrybutów niestandardowych do konfiguracji atrybutów tokenu JĘZYKA SAML. Poniższy zrzut ekranu przedstawia przykład tego działania. Wartość domyślna unikatowego identyfikatora użytkownika to user.userprincipalname, ale usługa Google Cloud / G Suite Połączenie or firmy Microsoft oczekuje, że zostanie on zamapowany na adres e-mail użytkownika. Do tego celu można użyć atrybutu user.mail z listy lub odpowiedniej wartości atrybutu zgodnie z konfiguracją organizacji.
Uwaga
Upewnij się, że odpowiedź SAML nie zawiera żadnych standardowych znaków ASCII w atrybucie Nazwisko.
Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (Base64) i wybierz pozycję Pobierz, aby pobrać certyfikat i zapisać go na komputerze.
W sekcji Konfigurowanie usługi Google Cloud/ G Suite Połączenie or firmy Microsoft skopiuj odpowiednie adresy URL zgodnie z wymaganiami.
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
Tworzenie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
- Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
- Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
- We właściwościach użytkownika wykonaj następujące kroki:
- W polu Nazwa wyświetlana wprowadź wartość
B.Simon. - W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład
B.Simon@contoso.com. - Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
- Wybierz pozycję Przejrzyj i utwórz.
- W polu Nazwa wyświetlana wprowadź wartość
- Wybierz pozycję Utwórz.
Przypisywanie użytkownika testowego aplikacji Microsoft Entra
W tej sekcji włączysz aplikację B.Simon, aby korzystać z logowania jednokrotnego, udzielając dostępu do usługi Google Cloud/G Suite Połączenie or firmy Microsoft.
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
- Przejdź do strony Aplikacje dla przedsiębiorstw Aplikacje>>dla>przedsiębiorstw Google Cloud / G Suite Połączenie or firmy Microsoft.
- Na stronie przeglądu aplikacji wybierz pozycję Użytkownicy i grupy.
- Wybierz pozycję Dodaj użytkownika/grupę, a następnie wybierz pozycję Użytkownicy i grupy w oknie dialogowym Dodawanie przypisania .
- W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy Użytkownicy, a następnie kliknij przycisk Wybierz w dolnej części ekranu.
- Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
- W oknie dialogowym Dodawanie przypisania kliknij przycisk Przypisz.
Konfigurowanie usługi Google Cloud/G Suite Połączenie or przez logowanie jednokrotne firmy Microsoft
Otwórz nową kartę w przeglądarce i zaloguj się do usługi Google Cloud/G Suite Połączenie or firmy Microsoft Administracja Console przy użyciu konta administratora.
Przejdź do menu —> Zabezpieczenia —> Uwierzytelnianie —> logowanie jednokrotne przy użyciu dostawcy tożsamości innej firmy.
Wykonaj następujące zmiany konfiguracji w profilu logowania jednokrotnego innej firmy dla swojej organizacji :
a. Włącz profil logowania jednokrotnego dla swojej organizacji.
b. W polu Adres URL strony logowania w usłudze Google Cloud/ G Suite Połączenie or firmy Microsoft wklej wartość adresu URL logowania.
c. W polu Adres URL strony wylogowywania w usłudze Google Cloud/G Suite Połączenie or firmy Microsoft wklej wartość adresu URL wylogowywania.
d. W usłudze Google Cloud / G Suite Połączenie or firmy Microsoft w celu uzyskania certyfikatu weryfikacji przekaż pobrany wcześniej certyfikat.
e. Zaznacz/usuń zaznaczenie opcji Użyj wystawcy specyficznego dla domeny zgodnie z notą wymienioną w powyższej sekcji Podstawowa konfiguracja protokołu SAML w identyfikatorze Microsoft Entra.
f. W polu Zmień adres URL hasła w usłudze Google Cloud/G Suite Połączenie or firmy Microsoft wprowadź wartość jako
https://account.activedirectory.windowsazure.com/changepassword.aspxg. Kliknij przycisk Zapisz.
Tworzenie usługi Google Cloud/G Suite Połączenie or przez użytkownika testowego firmy Microsoft
Celem tej sekcji jest utworzenie użytkownika w usłudze Google Cloud/ G Suite Połączenie or firmy Microsoft o nazwie B.Simon. Po ręcznym utworzeniu użytkownika w usłudze Google Cloud/G Suite Połączenie or przez firmę Microsoft użytkownik będzie mógł zalogować się przy użyciu poświadczeń logowania platformy Microsoft 365.
Usługa Google Cloud / G Suite Połączenie or firmy Microsoft obsługuje również automatyczną aprowizację użytkowników. Aby skonfigurować automatyczną aprowizację użytkowników, należy najpierw skonfigurować usługę Google Cloud/G Suite Połączenie or firmy Microsoft na potrzeby automatycznej aprowizacji użytkowników.
Uwaga
Upewnij się, że użytkownik już istnieje w usłudze Google Cloud/G Suite Połączenie or firmy Microsoft, jeśli aprowizowanie w usłudze Microsoft Entra ID nie zostało włączone przed przetestowaniem logowania jednokrotnego.
Uwaga
Jeśli konieczne jest ręczne utworzenie użytkownika, skontaktuj się z zespołem pomocy technicznej firmy Google.
Testowanie logowania jednokrotnego
W tej sekcji przetestujesz konfigurację logowania jednokrotnego firmy Microsoft z następującymi opcjami.
Kliknij pozycję Przetestuj tę aplikację. Spowoduje to przekierowanie do usługi Google Cloud/G Suite Połączenie or przy użyciu adresu URL logowania firmy Microsoft, w którym można zainicjować przepływ logowania.
Przejdź bezpośrednio do usługi Google Cloud/G Suite Połączenie or według adresu URL logowania microsoft i zainicjuj przepływ logowania z tego miejsca.
Możesz użyć usługi Microsoft Moje aplikacje. Po kliknięciu kafelka Google Cloud/G Suite Połączenie or by Microsoft w Moje aplikacje nastąpi przekierowanie do usługi Google Cloud/G Suite Połączenie or według adresu URL logowania microsoft. Aby uzyskać więcej informacji na temat Moje aplikacje, zobacz Wprowadzenie do Moje aplikacje.
Następne kroki
Po skonfigurowaniu usługi Google Cloud/G Suite Połączenie or przez firmę Microsoft można wymusić kontrolę sesji, która chroni eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrola sesji rozszerza dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.