Руководство по настройке G Suite для автоматической подготовки пользователей
В этом руководстве описаны действия, которые необходимо выполнить как в G Suite, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке идентификатор Microsoft Entra id автоматически подготавливает и отменяет подготовку пользователей и групп в G Suite с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.
Примечание.
В этом руководстве описывается соединитель, созданный на основе службы подготовки пользователей Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.
Поддерживаемые возможности
- Создание пользователей в G Suite.
- Удалите пользователей в G Suite, если они больше не требуют доступа (примечание. Удаление пользователя из область синхронизации не приведет к удалению объекта в GSuite)
- Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и G Suite
- Подготовка групп и членства в группах в G Suite.
- Единый вход в G Suite (рекомендуется).
Необходимые компоненты
В сценарии, описанном в этом руководстве, предполагается, что у вас уже имеется:
- Клиент Microsoft Entra
- Учетная запись пользователя в идентификаторе Microsoft Entra с разрешением на настройку подготовки (например, Application Администратор istrator, администратор облачных приложений, владелец приложения или глобальный Администратор istrator).
- Клиент G Suite.
- Учетная запись пользователя G Suite с разрешениями администратора.
Шаг 1. Планирование развертывания подготовки
- Узнайте, как работает служба подготовки.
- Определите, кто находится в область для подготовки.
- Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и G Suite.
Шаг 2. Настройка G Suite для поддержки подготовки с помощью идентификатора Microsoft Entra
Перед настройкой G Suite для автоматической подготовки пользователей с помощью идентификатора Microsoft Entra необходимо включить подготовку SCIM в G Suite.
Войдите в консоль администрирования G Suite с учетной записью администратора, щелкните Главное меню, а затем выберите Безопасность. Если это меню не отображается, возможно, оно скрыто в меню Показать больше.
Последовательно выберите Безопасность -> Управление доступом и данными -> Элементы управления API. Установите флажок Доверять внутренним приложениям в составе домена, а затем нажмите кнопку Сохранить.
Внимание
Для каждого пользователя, который планируется подготовить в G Suite, его имя пользователя в идентификаторе Microsoft Entra должно быть привязано к пользовательскому домену. Например, такие имена пользователей, как bob@contoso.onmicrosoft.com, не будут приняты G Suite. а bob@contoso.com — будут. Чтобы изменить домен для существующего пользователя, воспользуйтесь этой инструкцией.
После добавления и проверки нужных пользовательских доменов с помощью идентификатора Microsoft Entra необходимо снова проверить их с помощью G Suite. Чтобы проверить домены в G Suite, выполните следующие действия:
В консоли администрирования G Suite последовательно выберите Учетная запись -> Домены -> Управление доменами.
На странице "Управление доменом" щелкните Добавить домен.
На странице "Добавление домена" введите имя домена, который нужно добавить.
Выберите "ДОБАВИТЬ ДОМЕН" и "НАЧАТЬ ПРОВЕРКУ ПОДЛИННОСТИ". Затем выполните действия, подтверждающие, что вы владеете доменным именем. Подробные инструкции по проверке домена в Google см. на странице Как подтвердить право собственности на сайт.
Повторите описанные выше действия для всех доменов, которые вы планируете добавить в G Suite.
Затем определите, какую учетную запись администратора вы хотите использовать для управления подготовкой пользователей в G Suite. Выберите Учетная запись -> Роли администратора.
Для роли администратора этой учетной записи измените свойство Privileges (Привилегии). Убедитесь, что для учетной записи выбраны все параметры в разделе Admin API Privileges (Административные права доступа к API). Это позволит использовать ее для подготовки.
Шаг 3. Добавление G Suite из коллекции приложений Microsoft Entra
Добавьте G Suite из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в G Suite. Если вы ранее настроили G Suite для единого входа, можно использовать то же приложение. Но мы рекомендуем создать отдельное приложение для исходной проверки интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.
Шаг 4. Определение того, кто находится в область для подготовки
Служба подготовки Microsoft Entra позволяет область, которые подготавливаются на основе назначения приложению и на основе атрибутов пользователя или группы. Если вы решили область, которые подготовлены к приложению на основе назначения, можно выполнить следующие действия, чтобы назначить пользователей и группы приложению. Если вы решили область, кто подготовлен исключительно на основе атрибутов пользователя или группы, можно использовать фильтр области, как описано здесь.
Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Если в область подготовки включены назначенные пользователи и группы, проверьте этот механизм, назначив приложению одного или двух пользователей либо одну или две группы. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.
Если вам нужны дополнительные роли, можно обновить манифест приложения, чтобы добавить новые роли.
Шаг 5. Настройка автоматической подготовки пользователей в G Suite
В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в TestApp на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.
Примечание.
Дополнительные сведения о конечной точке API каталога G Suite см. в справочной документации по API каталога.
Чтобы настроить автоматическую подготовку пользователей для G Suite в идентификаторе Microsoft Entra, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум облачные приложения Администратор istrator.
Перейдите к приложениям Identity>Applications>Enterprise.
В списке приложений выберите G Suite.
Выберите вкладку "Подготовка ". Нажмите кнопку "Начать работу".
Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).
В разделе Учетные данные администратора щелкните Авторизовать. Вы будете перенаправлены в диалоговое окно авторизации Google в новом окне браузера.
Убедитесь, что вы хотите предоставить Microsoft Entra разрешения на внесение изменений в клиент G Suite. Выберите Принять.
Выберите test Подключение ion, чтобы убедиться, что идентификатор Microsoft Entra может подключаться к G Suite. Если установить подключение не удалось, убедитесь, что у учетной записи G Suite есть разрешения администратора, и повторите попытку. Затем повторите шаг авторизации.
В поле Электронная почта для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Отправить уведомление по электронной почте при сбое.
Выберите Сохранить.
В разделе "Сопоставления" выберите "Подготовка пользователей Microsoft Entra".
Просмотрите атрибуты пользователя, синхронизированные с идентификатором Microsoft Entra с G Suite, в разделе "Сопоставление атрибутов". Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Примечание.
В настоящее время подготовка GSuite поддерживает только primaryEmail в качестве соответствующего атрибута.
| Атрибут | Тип |
|---|---|
| primaryEmail | Строка |
| relations.[type eq "manager"].value | Строка |
| name.familyName | Строка |
| name.givenName | Строка |
| suspended (приостановлено) | Строка |
| externalIds.[type eq "custom"].value | Строка |
| externalIds.[type eq "organization"].value | Строка |
| addresses.[type eq "work"].country | Строка |
| addresses.[type eq "work"].streetAddress | Строка |
| addresses.[type eq "work"].region | Строка |
| addresses.[type eq "work"].locality | Строка |
| addresses.[type eq "work"].postalCode | Строка |
| emails.[type eq "work"].address | Строка |
| organizations.[type eq "work"].department | Строка |
| organizations.[type eq "work"].title | Строка |
| phoneNumbers.[type eq "work"].value | Строка |
| phoneNumbers.[type eq "mobile"].value | Строка |
| phoneNumbers.[type eq "work_fax"].value | Строка |
| emails.[type eq "work"].address | Строка |
| organizations.[type eq "work"].department | Строка |
| organizations.[type eq "work"].title | Строка |
| addresses.[type eq "home"].country | Строка |
| addresses.[type eq "home"].formatted | Строка |
| addresses.[type eq "home"].locality | Строка |
| addresses[type eq "home"].postalCode | Строка |
| addresses[type eq "home"].region | Строка |
| addresses.[type eq "home"].streetAddress | Строка |
| addresses.[type eq "other"].country | Строка |
| addresses.[type eq "other"].formatted | Строка |
| addresses.[type eq "other"].locality | Строка |
| addresses.[type eq "other"].postalCode | Строка |
| addresses.[type eq "other"].region | Строка |
| addresses.[type eq "other"].streetAddress | Строка |
| addresses.[type eq "work"].formatted | Строка |
| changePasswordAtNextLogin | Строка |
| emails.[type eq "home"].address | Строка |
| emails.[type eq "other"].address | Строка |
| externalIds.[type eq "account"].value | Строка |
| externalIds.[type eq "custom"].customType | Строка |
| externalIds.[type eq "customer"].value | Строка |
| externalIds.[type eq "login_id"].value | Строка |
| externalIds.[type eq "network"].value | Строка |
| gender.type | Строка |
| GeneratedImmutableId | Строка |
| Идентификатор | Строка |
| ims.[type eq "home"].protocol | Строка |
| ims.[type eq "other"].protocol | Строка |
| ims.[type eq "work"].protocol | Строка |
| includeInGlobalAddressList | Строка |
| ipWhitelisted | Строка |
| organizations.[type eq "school"].costCenter | Строка |
| organizations.[type eq "school"].department | Строка |
| organizations.[type eq "school"].domain | Строка |
| organizations.[type eq "school"].fullTimeEquivalent | Строка |
| organizations.[type eq "school"].location | Строка |
| organizations.[type eq "school"].name | Строка |
| organizations.[type eq "school"].symbol | Строка |
| organizations.[type eq "school"].title | Строка |
| organizations.[type eq "work"].costCenter | Строка |
| organizations.[type eq "work"].domain | Строка |
| organizations.[type eq "work"].fullTimeEquivalent | Строка |
| organizations.[type eq "work"].location | Строка |
| organizations.[type eq "work"].name | Строка |
| organizations.[type eq "work"].symbol | Строка |
| OrgUnitPath | Строка |
| phoneNumbers.[type eq "home"].value | Строка |
| phoneNumbers.[type eq "other"].value | Строка |
| websites.[type eq "home"].value | Строка |
| websites.[type eq "other"].value | Строка |
| websites.[type eq "work"].value | Строка |
В разделе "Сопоставления" выберите "Подготовка групп Microsoft Entra".
Просмотрите атрибуты группы, синхронизированные с идентификатором Microsoft Entra с G Suite, в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства с меткой Сопоставление, используются для сопоставления групп в G Suite при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип эл. почта Строка Участники Строка name Строка описание Строка Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, предоставленными в руководстве по фильтрам области.
Чтобы включить службу подготовки Microsoft Entra для G Suite, измените состояние подготовки на On в разделе Параметры.
Укажите пользователей и (или) группы для подготовки в G Suite, выбрав нужные значения в поле Область раздела Параметры.
Когда будете готовы выполнить подготовку, нажмите кнопку Сохранить.
После этого начнется цикл начальной синхронизации всех пользователей и групп, определенных в поле Область в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra.
Примечание.
Если у пользователей уже есть личные или потребительские учетные записи с помощью адреса электронной почты пользователя Microsoft Entra, может возникнуть некоторая проблема, которая может быть устранена с помощью средства передачи Google перед выполнением синхронизации каталогов.
Шаг 6. Мониторинг развертывания
После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:
- Используйте журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно или неудачно.
- Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и приблизительное время до его завершения
- Если конфигурация подготовки находится в неработоспособном состоянии, приложение перейдет в режим карантина. Дополнительные сведения о режимах карантина см. здесь.
Советы по устранению неполадок
- Удаление пользователя из синхронизации область отключает их в GSuite, но не приведет к удалению пользователя в G Suite
JIT-доступ к приложению с помощью PIM для групп
С помощью PIM для групп вы можете предоставить JIT-доступ к группам в Google Cloud или Google Workspace и уменьшить количество пользователей, имеющих постоянный доступ к привилегированным группам в Google Cloud или Google Workspace.
Настройка корпоративного приложения для единого входа и подготовки
- Добавьте Google Cloud или Google Workspace в клиент, настройте его для подготовки, как описано в этом руководстве, и начните подготовку.
- Настройка единого входа для Google Cloud или Google Workspace.
- Создайте группу, которая предоставляет всем пользователям доступ к приложению.
- Назначьте группу приложению Google Cloud или Google Workspace.
- Назначьте тестового пользователя в качестве прямого члена группы, созданной на предыдущем шаге, или предоставьте им доступ к группе через пакет доступа. Эту группу можно использовать для постоянного, неадминиграционного доступа в Google Cloud или Google Workspace.
Включение PIM для групп
- Создайте вторую группу в идентификаторе Microsoft Entra. Эта группа предоставляет доступ к разрешениям администратора в Google Cloud или Google Workspace.
- Доведите группу под управлением в Microsoft Entra PIM.
- Назначьте тестового пользователя право на группу в PIM с набором ролей участником.
- Назначьте вторую группу приложению Google Cloud или Google Workspace.
- Используйте подготовку по запросу для создания группы в Google Cloud или Google Workspace.
- Войдите в Google Cloud или Google Workspace и назначьте вторую группу необходимых разрешений для выполнения задач администратора.
Теперь любой конечный пользователь, который был создан для группы в PIM, может получить JIT-доступ к группе в Google Cloud / Google Workspace, активировав членство в группе.
- Сколько времени требуется для подготовки пользователя к приложению?
- Когда пользователь добавляется в группу в идентификаторе Microsoft Entra ID за пределами активации членства в группе с помощью идентификатора Microsoft Entra ID управление привилегированными пользователями (PIM):
- Членство в группе подготавливается в приложении во время следующего цикла синхронизации. Цикл синхронизации выполняется каждые 40 минут.
- Когда пользователь активирует членство в группе в PIM идентификатора Microsoft Entra ID:
- Членство в группе подготавливается в течение 2–10 минут. При наличии высокой частоты запросов в один раз запросы регулируются с частотой пяти запросов в 10 секунд.
- Для первых пяти пользователей в течение 10-секундного периода активации членства в группе для определенного приложения членство в группах подготавливается в приложении в течение 2–10 минут.
- Для шестого пользователя и выше в течение 10-секундного периода активации членства в группе для определенного приложения членство в группе подготавливается к приложению в следующем цикле синхронизации. Цикл синхронизации выполняется каждые 40 минут. Ограничения регулирования относятся к корпоративному приложению.
- Когда пользователь добавляется в группу в идентификаторе Microsoft Entra ID за пределами активации членства в группе с помощью идентификатора Microsoft Entra ID управление привилегированными пользователями (PIM):
- Если пользователь не может получить доступ к необходимой группе в Google Cloud или Google Workspace, просмотрите журналы PIM и журналы подготовки, чтобы убедиться, что членство в группе было успешно обновлено. В зависимости от того, как проектируется целевое приложение, может потребоваться больше времени для вступления в силу членства в группе в приложении.
- Вы можете создавать оповещения о сбоях с помощью Azure Monitor.
Журнал изменений
- 10.17.2020 — добавлена поддержка дополнительных атрибутов пользователя и группы G Suite.
- 17.10.2020: обновлены целевые имена атрибутов G Suite для соответствия приведенному здесь определению.
- 17.10.2020: обновлены стандартные сопоставления атрибутов.
Дополнительные ресурсы
- Управление подготовкой учетных записей пользователей для корпоративных приложений
- Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?