Questo documento illustra come configurare il provisioning degli utenti e Single Sign-On tra Microsoft Entra ID (in precedenza Azure AD) il tenant e il tuo account Cloud Identity o Google Workspace.
Il documento presuppone che utilizzi già Microsoft Office 365 o Microsoft Entra ID in della tua organizzazione e vuoi usare Microsoft Entra ID per consentire agli utenti di eseguire l'autenticazione con Google Cloud. Lo stesso Microsoft Entra ID potrebbe essere connesso a un sistema Active Directory e potrebbe utilizzare la federazione Entra ID, l'autenticazione passthrough o la sincronizzazione di hash delle password.
Obiettivi
- Configura Microsoft Entra ID per eseguire automaticamente il provisioning degli utenti facoltativamente, gruppi in Cloud Identity o Google Workspace.
- Configurare il Single Sign-On per consentire agli utenti di accedere a Google Cloud utilizzando un account utente Microsoft Entra ID o un utente di cui è stato eseguito il provisioning da Da Active Directory a Microsoft Entra ID.
Costi
Se utilizzi versione gratuita di Cloud Identity, durante la configurazione della federazione con Microsoft Entra ID non verranno utilizzati componenti fatturabili di Google Cloud.
Controlla il Pagina dei prezzi di Microsoft Entra ID per le eventuali tariffe applicate per l'utilizzo di Microsoft Entra ID.
Prima di iniziare
- Assicurati di comprendere le differenze tra collegamento di Google Cloud a Microsoft Entra ID anziché connessione diretta di Google Cloud ad Active Directory.
- Decidi come vuoi mappare
identità,
gruppi,
e domini
tra Microsoft Entra ID e Cloud Identity o Google Workspace.
In particolare, rispondi alle seguenti domande:
- Intendi utilizzare indirizzi email o nomi delle entità utente (UPN) come identificatori comuni per gli utenti?
- Prevedi di eseguire il provisioning dei gruppi? In tal caso, prevedi di mappare gruppi per indirizzo email o per nome?
- Prevedi di eseguire il provisioning di tutti gli utenti su Google Cloud o solo a un sottoinsieme selezionato di utenti?
- Prima di connettere il tenant di Microsoft Entra ID di produzione a Google Cloud, valuta la possibilità di utilizzare un tenant di test Microsoft Entra ID per configurare e testare l'utente per eseguire il provisioning.
- Registrati a Cloud Identity se non hai già un account.
- Se utilizzi versione gratuita di Cloud Identity e intendi eseguire il provisioning di più di 50 utenti, richiedi un aumento del numero totale di utenti della versione gratuita di Cloud Identity tramite contatto per l'assistenza.
- Se sospetti che uno qualsiasi dei domini per cui prevedi di utilizzare I dipendenti potrebbero aver utilizzato Cloud Identity per registrarsi gli account consumer, valuta la possibilità di eseguire prima la migrazione di questi account utente. Per ulteriori informazioni i dettagli, vedi Valutare gli account utente esistenti.
Preparare l'account Cloud Identity o Google Workspace
Creare un utente per Microsoft Entra ID
Per consentire a Microsoft Entra ID di accedere al tuo account Cloud Identity o Google Workspace: devi creare un utente per Microsoft Entra ID nel tuo account Cloud Identity o Google Workspace.
L'utente Microsoft Entra ID è destinato solo al provisioning automatico. Pertanto, è preferibile per mantenerlo separato dagli altri account utente inserendolo in un dell'unità organizzativa (UO). L'uso di un'UO separata consente inoltre di poter in seguito disabilita il single sign-on per l'utente Microsoft Entra ID.
Per creare una nuova UO:
- Apri l'app Console di amministrazione e accedi con l'utente super amministratore creato durante la registrazione Cloud Identity o Google Workspace.
- Nel menu, vai a Directory > Unità organizzative.
- Fai clic su Crea unità organizzativa e fornisci un nome e una descrizione per l'UO:
- Nome:
Automation
- Descrizione:
Automation users
- Nome:
- Fai clic su Crea.
Crea un account utente per Microsoft Entra ID e inseriscilo nell'UO Automation
:
- Nel menu, vai a Directory > Utenti e fai clic su Aggiungi nuovo utente a per creare un utente.
Fornisci un nome e un indirizzo email appropriati, come i seguenti:
- Nome:
Microsoft Entra ID
- Cognome:
Provisioning
Indirizzo email principale:
azuread-provisioning
Mantieni il dominio principale per l'indirizzo email.
- Nome:
Fai clic su Gestisci la password, l'unità organizzativa e la foto del profilo dell'utente e configurare le seguenti impostazioni:
- Unità organizzativa: seleziona l'UO
Automation
che hai creato. in precedenza. - Password: seleziona Crea password e inserisci una password.
- Richiedi di cambiare la password all'accesso successivo: Disattivata.
- Unità organizzativa: seleziona l'UO
Fai clic su Aggiungi nuovo utente.
Fai clic su Fine.
Assegnare i privilegi a Microsoft Entra ID
Per consentire a Microsoft Entra ID di creare, elencare e sospendere utenti e gruppi nel tuo
un account Cloud Identity o Google Workspace, devi concedere
i privilegi aggiuntivi dell'utente azuread-provisioning
, come segue:
Consentire a Microsoft Entra ID di gestire tutti gli utenti, inclusi gli amministratori delegati e utenti super amministratori, devi imposta l'utente
azuread-provisioning
come super amministratore.Per consentire a Microsoft Entra ID di gestire solo gli utenti non amministratori, è sufficiente fare l'utente
azuread-provisioning
come utente con delega di amministratore. In qualità di delegato amministratore, Microsoft Entra ID non può gestire altri amministratori delegati o utenti super amministratori.
Super amministratore
Per impostare l'utente azuread-provisioning
come super amministratore:
- Individua l'utente appena creato nell'elenco e fai clic sul suo nome. per aprire la pagina del proprio account.
- In Ruoli e privilegi di amministratore, fai clic su Assegna ruoli.
- Attiva il ruolo di super amministratore.
- Fai clic su Salva.
Utente con delega di amministratore
Per impostare l'utente azuread-provisioning
come utente con delega di amministratore, crea
un nuovo ruolo di amministratore e assegnalo all'utente:
- Nel menu, vai ad Account > Ruoli amministratore.
- Fai clic su Crea nuovo ruolo.
- Fornisci un nome e una descrizione per il ruolo, ad esempio:
- Nome:
Microsoft Entra ID
- Descrizione:
Role for automated user and group provisioning
- Nome:
- Fai clic su Continua.
- Nella schermata successiva, scorri verso il basso fino alla sezione Privilegi dell'API amministrativa.
e imposta i seguenti privilegi su enabled (attivati):
- Unità organizzative > Lettura
- Utenti
- Gruppi
- Fai clic su Continua.
- Fai clic su Crea ruolo.
- Fai clic su Assegna utenti.
- Seleziona l'utente
azuread-provisioning
e fai clic su Assegna ruolo.
Registra domini
In Cloud Identity e Google Workspace, gli utenti e i gruppi identificate dall'indirizzo email. I domini utilizzati da questi indirizzi email devono essere registrati e verificati.
Prepara un elenco di domini DNS che devi registrare:
- Se prevedi di mappare gli utenti in base agli UPN, includi tutti i domini utilizzati dagli UPN. Se in dubbio, includi tutti i domini personalizzati del tenant di Microsoft Entra ID.
- Se prevedi di mappare gli utenti in base all'indirizzo email, includi tutti i domini utilizzati in . L'elenco dei domini potrebbe essere diverso dall'elenco dei o domini personalizzati del tenant Microsoft Entra ID.
Se prevedi di eseguire il provisioning di gruppi, modifica l'elenco dei domini DNS:
- Se prevedi di mappare i gruppi per indirizzo email, includi tutti i domini utilizzati in gli indirizzi email dei gruppi. In caso di dubbi, includi tutti i domini personalizzati del tuo Tenant Microsoft Entra ID.
- Se prevedi di mappare i gruppi per nome, includi un sottodominio dedicato come
groups.PRIMARY_DOMAIN
, dovePRIMARY_DOMAIN
è il dominio principale nome del tuo account Cloud Identity o Google Workspace.
Ora che hai identificato l'elenco dei domini DNS, puoi registrare qualsiasi domini mancanti. Per ogni dominio nell'elenco non ancora registrati, procedi nel seguente modo:
- Nella Console di amministrazione, vai ad Account > Domini > Gestisci domini.
- Fai clic su Aggiungi un dominio.
- Inserisci il nome del dominio e seleziona Dominio secondario.
- Fai clic su Aggiungi il dominio e avvia la verifica e segui le istruzioni per verificare la proprietà del dominio.
Configurare il provisioning di Microsoft Entra ID
Crea un'applicazione aziendale
Puoi connettere Microsoft Entra ID al tuo Cloud Identity o Google Workspace configurando App della galleria Google Cloud/G Suite Connector di Microsoft di Microsoft Azure Marketplace.
L'app Galleria può essere configurata per gestire sia il provisioning degli utenti, sia l'accesso. In questo documento vengono utilizzate due istanze dell'app Galleria: una per il provisioning degli utenti e uno per il Single Sign-On.
Innanzitutto, crea un'istanza dell'app Galleria per gestire il provisioning degli utenti:
- Apri l'app Portale di Azure e accedi come utente con privilegi di amministratore globale.
- Seleziona Microsoft Entra ID > Applicazioni Enterprise.
- Fai clic su Nuova applicazione.
- Cerca Google Cloud e fai clic sul pulsante Google Cloud/G Suite Connector di Microsoft nell'elenco dei risultati.
- Imposta il nome dell'applicazione su
Google Cloud (Provisioning)
. - Fai clic su Crea.
- L'aggiunta dell'applicazione potrebbe richiedere alcuni secondi, dopodiché dovresti reindirizzato a una pagina intitolata Google Cloud (Provisioning) - Panoramica.
- Nel menu a sinistra, fai clic su Gestisci > Proprietà:
- Imposta Abilitato per l'accesso degli utenti su No.
- Imposta Compito richiesto su No.
- Imposta Visibile agli utenti su No.
- Fai clic su Salva.
Nel menu a sinistra, fai clic su Gestisci > Provisioning:
- Fai clic su Inizia.
- Cambia Modalità di provisioning in Automatico.
- Fai clic su Credenziali amministrative > Autorizza.
Accedi utilizzando
azuread-provisioning@DOMAIN
all'utente che hai creato in precedenza, doveDOMAIN
è il dominio principale di Cloud Identity o Google Workspace .Poiché è la prima volta che accedi utilizzando questo utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.
Se accetti i termini, fai clic su Ho capito.
Conferma l'accesso all'API Cloud Identity facendo clic su Consenti.
Fai clic su Test Connection (Verifica connessione) per verificare che Microsoft Entra ID possa ad autenticarsi con Cloud Identity o Google Workspace.
Fai clic su Salva.
Configurare il provisioning degli utenti
Il modo giusto per configurare il provisioning degli utenti dipende dal fatto che tu intenda configurare mappare gli utenti per indirizzo email o tramite UPN.
UPN
- In Mappings (Mappature), fai clic su Provision Entra ID Users (Esegui il provisioning degli utenti Entra ID).
- Per gli attributi surname e givenName, segui questi passaggi:
- Fai clic su Modifica.
- Imposta Valore predefinito se nullo su
_
. - Fai clic su OK.
- Fai clic su Salva.
- Verifica che il salvataggio delle modifiche comporti la pubblicazione di utenti e gruppi risincronizzate facendo clic su Sì.
- Fai clic su X per chiudere la finestra di dialogo Mappatura attributi.
UPN: sostituzione del dominio
- In Mappings (Mappature), fai clic su Provision Entra ID Users (Esegui il provisioning degli utenti Entra ID).
Per l'attributo userPrincipalName, segui questi passaggi:
- Fai clic su Modifica.
Configura la mappatura seguente:
- Tipo di mappatura: Espressione
Espressione:
Replace([userPrincipalName], "@DOMAIN", , , "@SUBSTITUTE_DOMAIN", , )
Sostituisci quanto segue:
DOMAIN
: nome di dominio da sostituireSUBSTITUTE_DOMAIN
nome di dominio da utilizzare
Fai clic su OK.
Per gli attributi surname e givenName, segui questi passaggi:
- Fai clic su Modifica.
- Imposta Valore predefinito se nullo su
_
. - Fai clic su OK.
Fai clic su Salva.
Verifica che il salvataggio delle modifiche comporti la pubblicazione di utenti e gruppi risincronizzate facendo clic su Sì.
Fai clic su X per chiudere la finestra di dialogo Mappatura attributi.
Indirizzo email
- In Mappings (Mappature), fai clic su Provision Entra ID Users (Esegui il provisioning degli utenti Entra ID).
- Per l'attributo userPrincipalName, segui questi passaggi:
- Fai clic su Modifica.
- Imposta Attributo di origine su mail.
- Fai clic su OK.
- Per gli attributi surname e givenName, segui questi passaggi:
- Fai clic su Modifica.
- Imposta Valore predefinito se nullo su
_
. - Fai clic su OK.
- Fai clic su Salva.
- Verifica che il salvataggio delle modifiche comporti la pubblicazione di utenti e gruppi risincronizzate facendo clic su Sì.
- Fai clic su X per chiudere la finestra di dialogo Mappatura attributi.
Devi configurare le mappature per primaryEmail
, name.familyName
, name.givenName
,
e suspended
. Tutte le altre mappature degli attributi sono facoltative.
Quando configuri mappature di attributi aggiuntive, tieni presente quanto segue:
- Al momento la galleria Google Cloud/G Suite Connector di Microsoft non contiene ti consentono di assegnare alias email.
- La galleria di Google Cloud/G Suite Connector di Microsoft al momento non consente assegni licenze agli utenti. Come soluzione alternativa, valuta la possibilità di configurare assegnazione automatica delle licenze per le unità organizzative.
- Per assegnare un utente a un'unità organizzativa, aggiungi una mappatura per
OrgUnitPath
. La il percorso deve iniziare con un carattere/
e deve fare riferimento a un'organizzazione già esistente, ad esempio/employees/engineering
.
Configurare il provisioning dei gruppi
Il modo giusto per configurare il provisioning di un gruppo dipende dal fatto che le tue sono abilitati per la posta elettronica. Se i gruppi non sono abilitati per la posta o se i gruppi utilizzano un indirizzo email che termina con "onmicrosoft.com", puoi ricavare un indirizzo email dal nome del gruppo.
Nessuna mappatura di gruppo
- In Mappings (Mappature), fai clic su Provision Entra ID Groups (Esegui il provisioning di gruppi Entra ID).
- Imposta Attivato su No.
- Fai clic su Salva.
- Verifica che il salvataggio delle modifiche comporti la pubblicazione di utenti e gruppi risincronizzate facendo clic su Sì.
- Fai clic su X per chiudere la finestra di dialogo Mappatura attributi.
Nome
- Nella sezione Mappings (Mappature), fai clic su Provision Entra ID Groups (Esegui il provisioning di gruppi Entra ID).
- Per l'attributo mail, segui questi passaggi:
- Fai clic su Modifica.
- Configura le seguenti impostazioni:
- Tipo di mappatura: Espressione.
- Espressione:
Join("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN")
. SostituisciGROUPS_DOMAIN
con il dominio che tutti gli indirizzi email di gruppo devono utilizzare, ad esempiogroups.example.com
. - Attributo target: email.
- Fai clic su OK.
- Fai clic su Salva.
- Verifica che il salvataggio delle modifiche comporti la pubblicazione di utenti e gruppi risincronizzate facendo clic su Sì.
- Fai clic su X per chiudere la finestra di dialogo Mappatura attributi.
Indirizzo email
- Se mappi i gruppi per indirizzo email, mantieni le impostazioni predefinite.
Configura assegnazione utente
Se sai che solo un un determinato sottoinsieme di utenti ha bisogno di accedere a Google Cloud, puoi scegliere di limitare l'insieme di utenti di cui eseguire il provisioning assegnazione dell'app aziendale per utenti o gruppi di utenti specifici.
Se vuoi che venga eseguito il provisioning di tutti gli utenti, puoi saltare i passaggi seguenti.
- Nel menu a sinistra, fai clic su Gestisci > Utenti e gruppi.
- Aggiungi gli utenti o i gruppi di cui vuoi eseguire il provisioning. Se selezioni un gruppo, viene eseguito automaticamente il provisioning di tutti i membri di questo gruppo.
- Fai clic su Assegna.
Abilita provisioning automatico
Il passaggio successivo prevede la configurazione di Microsoft Entra ID per il provisioning automatico degli utenti a Cloud Identity o Google Workspace:
- Nel menu a sinistra, fai clic su Gestisci > Provisioning.
- Seleziona Modifica provisioning.
- Imposta Stato provisioning su Attivo.
In Impostazioni, imposta Ambito su una delle seguenti opzioni:
- Sincronizzare solo gli utenti e i gruppi assegnati, se lo hai configurato assegnazione dell'utente.
- Sincronizza tutti gli utenti e i gruppi in caso contrario.
Se questa casella per impostare l'ambito non è visualizzata, fai clic su Salva e aggiorna della pagina.
Fai clic su Salva.
Microsoft Entra ID avvia una sincronizzazione iniziale. In base al numero di utenti, e gruppi nella directory, questo processo può richiedere minuti o ore. Puoi aggiornare la pagina del browser per visualizzare lo stato del la sincronizzazione in basso alla pagina o seleziona Audit log nel menu per visualizzare ulteriori dettagli.
Al termine della sincronizzazione iniziale, Microsoft Entra ID eseguirà periodicamente propagare gli aggiornamenti da Microsoft Entra ID a Cloud Identity oppure Account Google Workspace. Per ulteriori dettagli su come Microsoft Entra ID gestisce le modifiche di utenti e gruppi, consulta Mappare il ciclo di vita dell'utente e Mappare il ciclo di vita del gruppo.
Risoluzione dei problemi
Se la sincronizzazione non si avvia entro cinque minuti, puoi forzarla inizia procedendo nel seguente modo:
- Fai clic su Modifica provisioning.
- Imposta Stato provisioning su Off.
- Fai clic su Salva.
- Imposta Stato provisioning su Attivo.
- Fai clic su Salva.
- Chiudi la finestra di dialogo di provisioning.
- Fai clic su Riavvia provisioning.
Se la sincronizzazione non si avvia ancora, fai clic su Verifica connessione per verificare. che le tue credenziali siano state salvate correttamente.
Configurare Microsoft Entra ID per il Single Sign-On
Anche se ora viene eseguito automaticamente il provisioning di tutti gli utenti Microsoft Entra ID pertinenti a Cloud Identity o Google Workspace, non puoi utilizzare questi utenti per eseguire l'accesso. Per consentire agli utenti di accedere, devi comunque configurare un singolo l'accesso.
Crea un profilo SAML
Per configurare il servizio Single Sign-On con Microsoft Entra ID, devi prima creare un profilo SAML nel tuo un account Cloud Identity o Google Workspace. Il profilo SAML contiene le impostazioni relative al tenant di Microsoft Entra ID, tra cui l'URL e di firma del certificato.
Successivamente, assegna il profilo SAML a determinati gruppi o unità organizzative.
Per creare un nuovo profilo SAML in Cloud Identity o Google Workspace account, procedi nel seguente modo:
Nella Console di amministrazione, vai a SSO con IdP di terze parti.
Fai clic su Profili SSO di terze parti > Aggiungi profilo SAML.
Nella pagina SAML SSO profile (Profilo SSO SAML), inserisci le seguenti impostazioni:
- Nome:
Entra ID
- IDP entity ID (ID entità IDP): lascia vuoto
- URL pagina di accesso: lascia vuoto
- Sign-out page URL (URL della pagina di uscita): lascia vuoto
- Change password URL (Modifica URL della password): lascia vuoto.
Non caricare ancora un certificato di verifica.
- Nome:
Fai clic su Salva.
La pagina Profilo SSO SAML visualizzata contiene due URL:
- ID entità
- URL ACS
Questi URL ti serviranno nella sezione successiva quando configuri Microsoft Entra ID.
Crea un'applicazione Microsoft Entra ID
Crea una seconda applicazione aziendale per gestire il Single Sign-On:
- Nella Portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
- Fai clic su Nuova applicazione.
- Cerca Google Cloud e fai clic su Connettore Google Cloud/G Suite di Microsoft nell'elenco dei risultati.
- Imposta il nome dell'applicazione su
Google Cloud
. Fai clic su Crea.
L'aggiunta dell'applicazione potrebbe richiedere alcuni secondi. Quindi reindirizzato a una pagina intitolata Google Cloud - Panoramica.
Nel menu a sinistra, fai clic su Gestisci > Proprietà.
Imposta Abilitato per l'accesso degli utenti su Sì.
Imposta Compito obbligatorio su Sì a meno che tu non voglia consentirli tutti di utilizzare il Single Sign-On.
Fai clic su Salva.
Configura assegnazione utente
Se sai già che solo un un determinato sottoinsieme di utenti ha bisogno di accedere a Google Cloud, puoi scegliere di limitare il gruppo di utenti autorizzati ad accedere tramite assegnazione dell'app aziendale per utenti o gruppi di utenti specifici.
Se in precedenza hai impostato Assegnazione utente obbligatoria su No, puoi saltare il i seguenti passaggi.
- Nel menu a sinistra, fai clic su Gestisci > Utenti e gruppi.
- Aggiungi gli utenti o i gruppi per i quali vuoi consentire il Single Sign-On.
- Fai clic su Assegna.
Abilita Single Sign-On
Per consentire a Cloud Identity di utilizzare Microsoft Entra ID per l'autenticazione, devi regolare alcune impostazioni:
- Nel menu a sinistra, fai clic su Gestisci > Single Sign-On.
- Nella schermata della votazione, fai clic sulla scheda SAML.
- Nella scheda Basic SAML Configuration (Configurazione SAML di base), fai clic su edit Modifica.
Nella finestra di dialogo Configurazione SAML di base, inserisci le seguenti impostazioni:
- Identificatore (ID entità):
- Aggiungi l'URL entità dal tuo profilo SSO e imposta Predefinito su abilitato.
- Rimuovi tutte le altre voci.
- Risposta URL: aggiungi l'URL ACS dal tuo profilo SSO.
URL di accesso:
https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
Sostituisci
PRIMARY_DOMAIN
con il dominio principale nome utilizzato da Cloud Identity o Google Workspace .
- Identificatore (ID entità):
Fai clic su Salva e chiudi la finestra di dialogo facendo clic sulla X.
Nella scheda SAML Signing Certificate (Certificato di firma SAML), individua la voce con l'etichetta Certificate (Base 64) (Certificato (Base 64)) e fai clic su Download (Scarica) per scaricare il certificato sul computer locale.
Nella scheda Configura Google Cloud, troverai due URL:
- URL di accesso
- Identificatore Microsoft Entra ID
Questi URL ti serviranno nella sezione successiva quando completi il profilo SAML.
I passaggi rimanenti variano a seconda che vengano mappati o meno gli utenti per indirizzo email o tramite UPN.
UPN
- Nella pagina Attributi e Scheda delle rivendicazioni, fai clic su edit Modifica.
Elimina tutte le rivendicazioni elencate in Rivendicazioni aggiuntive. Puoi eliminare i record facendo clic sul pulsante … e selezionando Elimina.
L'elenco degli attributi e delle rivendicazioni è simile al seguente:
Chiudi la finestra di dialogo facendo clic su X.
UPN: sostituzione del dominio
- Nella pagina Attributi utente e Scheda delle rivendicazioni, fai clic su edit Modifica.
Elimina tutte le rivendicazioni elencate in Rivendicazioni aggiuntive. Puoi eliminare i record facendo clic sul pulsante … e selezionando Elimina.
L'elenco degli attributi e delle rivendicazioni è simile al seguente:
Fai clic su Identificatore utente univoco (ID nome) per modificare la mappatura delle attestazioni.
Imposta Origine su Trasformazione e configura quanto segue trasformazione:
- Trasformazione: ExtractMailPrefix()
- Parametro 1: user.userPrincipalName
Seleziona Aggiungi trasformazione e configura la seguente trasformazione:
- Trasformazione: Join()
- Separatore:
@
- Parametro 2: inserisci il nome di dominio sostitutivo.
Devi utilizzare lo stesso nome di dominio sostitutivo per il provisioning degli utenti e Single Sign-On. Se il nome di dominio non è presente nell'elenco, potrebbe essere necessario verificalo prima .
Fai clic su Aggiungi.
Fai clic su Salva.
Chiudi la finestra di dialogo facendo clic su X.
Indirizzo email
- Nella pagina Attributi utente e Scheda delle rivendicazioni, fai clic su edit Modifica.
- Seleziona la riga con l'etichetta Unique User Identifier (Name ID) (Identificatore utente univoco (ID nome)).
- Modifica Attributo di origine in user.mail.
- Fai clic su Salva.
Elimina tutte le rivendicazioni elencate in Rivendicazioni aggiuntive. Per eliminare tutto record, fai clic su more_horiz e fai clic su Elimina.
Chiudi la finestra di dialogo facendo clic su close.
Completa il profilo SAML
Completa la configurazione del tuo profilo SAML:
Torna alla Console di amministrazione e vai a Sicurezza > Autenticazione > tramite SSO con IdP di terze parti.
Apri il profilo SAML
Entra ID
che hai creato in precedenza.Fai clic sulla sezione Dettagli IdP per modificare le impostazioni.
Inserisci le seguenti impostazioni:
- IDP entità IDP: inserisci l'identificatore Microsoft Entra dal Scheda Set up Google Cloud (Configura Google Cloud) nel Portale Azure.
- URL pagina di accesso: inserisci l'URL di accesso dalla Scheda Set up Google Cloud (Configura Google Cloud) nel Portale Azure.
- URL della pagina di uscita:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
- URL per la modifica della password:
https://account.activedirectory.windowsazure.com/changepassword.aspx
Nella sezione Certificato di verifica, fai clic su Carica certificato, quindi scegli l'opzione di firma del token scaricato in precedenza.
Fai clic su Salva.
Il certificato di firma del token Microsoft Entra ID è valido per per un periodo di tempo limitato e devi ruotare il certificato prima che scada. Per ulteriori informazioni, consulta Ruota un certificato Single Sign-On più avanti in questo documento.
Il tuo profilo SAML è completo, ma devi ancora assegnarlo.
Assegna il profilo SAML
Seleziona gli utenti a cui deve essere applicato il nuovo profilo SAML:
Nella pagina SSO con IdP di terze parti della Console di amministrazione, fai clic su Gestisci assegnazioni profilo SSO > Gestisci.
Nel riquadro a sinistra, seleziona il gruppo o l'unità organizzativa per cui vuoi applicare il profilo SSO. Per applicare il profilo a tutti gli utenti, seleziona nell'unità organizzativa principale.
Nel riquadro a destra, seleziona Un altro profilo SSO.
Nel menu, seleziona il profilo SSO
Entra ID - SAML
che hai creato in precedenza.Fai clic su Salva.
Per assegnare il profilo SAML a un altro gruppo o a un'altra unità organizzativa: ripeti i passaggi precedenti.
Aggiorna le impostazioni SSO per l'UO Automation
a
disattiva single sign-on:
- Nel riquadro a sinistra, seleziona l'UO
Automation
. - Nel riquadro a destra, seleziona Nessuno.
- Fai clic su Sostituisci.
(Facoltativo) Configurare i reindirizzamenti per gli URL dei servizi specifici del dominio
Quando colleghi la console Google Cloud da documenti o portali interni, puoi migliorare l'esperienza utente usando URL di servizio specifici del dominio.
A differenza dei normali URL di servizio come https://console.cloud.google.com/
,
gli URL di servizi specifici del dominio includono il nome del dominio principale. Non autenticato
gli utenti che fanno clic su un link all'URL di un servizio specifico del dominio vengono reindirizzati immediatamente
a Entra ID anziché visualizzare prima una pagina di accesso di Google.
Ecco alcuni esempi di URL di servizi specifici del dominio:
Servizio Google | URL | Logo |
---|---|---|
Console Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Documenti Google | https://docs.google.com/a/DOMAIN |
|
Fogli Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Google Gruppi | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
Per configurare URL di servizio specifici del dominio in modo che reindirizzino a Entra ID, procedi nel seguente modo le seguenti:
Nella pagina SSO con IdP di terze parti della Console di amministrazione, Fai clic su URL dei servizi specifici del dominio > Modifica.
Imposta Reindirizza automaticamente gli utenti all'IdP di terze parti nel profilo SSO seguente su attivato.
Imposta Profilo SSO su
Entra ID
.Fai clic su Salva.
(Facoltativo) Configurare le verifiche dell'accesso
Accedi con Google potrebbe chiedere agli utenti ulteriori verifiche quando accedono da dispositivi sconosciuti o quando il loro tentativo di accesso sembra sospetto per altri motivi. Queste verifiche dell'accesso contribuiscono a migliorare la sicurezza e ti consigliamo lasciare attive le verifiche dell'accesso.
Se ritieni che le verifiche dell'accesso siano troppo complesse, puoi disattivare delle verifiche dell'accesso nel seguente modo:
- Nella Console di amministrazione, vai a Sicurezza > Autenticazione > Verifiche dell'accesso.
- Nel riquadro a sinistra, seleziona un'unità organizzativa per la quale vuoi disabilitare le verifiche dell'accesso. Per disattivare le verifiche dell'accesso per tutti gli utenti, seleziona nell'unità organizzativa principale.
- In Impostazioni per gli utenti che eseguono l'accesso con altri profili SSO, seleziona Non chiedere agli utenti ulteriori verifiche da parte di Google.
- Fai clic su Salva.
Prova il Single Sign-On
Ora che hai completato la configurazione Single Sign-On sia in Microsoft Entra ID che Cloud Identity o Google Workspace, puoi accedere a Google Cloud in due modi:
- Tramite l'elenco di app nel tuo Portale di Microsoft Office.
- Direttamente aprendo https://console.cloud.google.com/.
Per verificare che la seconda opzione funzioni come previsto, esegui questo test:
- Scegli un utente Microsoft Entra ID di cui è stato eseguito il provisioning Cloud Identity o Google Workspace e che non dispongono di privilegi di super amministratore assegnati. Gli utenti con privilegi di super amministratore sono sempre devono accedere utilizzando le credenziali Google e pertanto non sono adatti a il test del Single Sign-On.
- Apri una nuova finestra del browser e vai a https://console.cloud.google.com/.
Nella pagina Accedi con Google visualizzata, inserisci l'indirizzo email del e fai clic su Avanti. Se utilizzi la sostituzione del dominio, deve essere l'indirizzo email a cui è stata applicata la sostituzione.
Si aprirà Microsoft Entra ID e verrà visualizzata un'altra richiesta di accesso. Inserisci l'indirizzo email dell'utente (senza sostituzione del dominio) e fai clic su Avanti.
Dopo aver inserito la password, ti viene chiesto se mantenere la firma o meno. Per ora scegli No.
Dopo l'autenticazione, Microsoft Entra ID dovrebbe reindirizzarti nuovamente a Accedi con Google. Perché è la prima volta che accedi utilizza questo utente, ti viene chiesto di accettare i Termini di servizio di Google e norme sulla privacy.
Se accetti i termini, fai clic su Ho capito.
Si aprirà la console Google Cloud, dove ti verrà chiesto di conferma le preferenze e accetta i Termini di servizio di Google Cloud.
Se accetti i termini, scegli Sì e fai clic su Accetta e continua.
Fai clic sull'icona dell'avatar nella parte in alto a sinistra della pagina, quindi fai clic su Esci.
Il sistema ti reindirizzerà a una pagina di Microsoft Entra ID in cui potrai confermare che hai eseguito disconnesso correttamente.
Tieni presente che gli utenti con privilegi di super amministratore sono esenti dalla Single Sign-On, quindi puoi continuare a utilizzare la Console di amministrazione per verificare modificare le impostazioni.
Ruota un certificato Single Sign-On
Il certificato di firma del token Microsoft Entra ID è valido solo per diversi mesi e deve sostituire il certificato prima che scada.
Per ruotare un certificato di firma, aggiungine un altro alla Applicazione Microsoft Entra ID:
- Nella Portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali e apri l'applicazione che hai creato per il Single Sign-On.
- Nel menu a sinistra, fai clic su Gestisci > Single Sign-On.
Nella scheda SAML Signing Certificate (Certificato di firma SAML), fai clic su edit Modifica.
Viene visualizzato un elenco di uno o più certificati. Un certificato è contrassegnato Attivo.
Fai clic su Nuovo certificato.
Mantieni le impostazioni di firma predefinite e fai clic su Salva.
Il certificato viene aggiunto all'elenco dei certificati ed è contrassegnato come Non attivo.
Seleziona il nuovo certificato e fai clic su more_horiz > Download del certificato Base64.
Tieni aperta la finestra del browser e non chiuderla.
Per utilizzare il nuovo certificato, segui questi passaggi:
Apri una nuova scheda o finestra del browser.
Apri la Console di amministrazione e vai a SSO con IdP di terze parti.
Apri il profilo SAML
Entra ID
.Fai clic su Dettagli IdP.
Fai clic su Carica un altro certificato e seleziona il nuovo certificato che hai scaricato. in precedenza.
Fai clic su Salva.
Torna al portale Microsoft Entra ID e alla finestra di dialogo Certificato di firma SAML.
Seleziona il nuovo certificato e fai clic su more_horiz > Rendi attivo il certificato.
Fai clic su Sì per attivare il certificato.
Microsoft Entra ID ora utilizza il nuovo certificato di firma.
Verifica che l'accesso SSO funzioni ancora come previsto. Per ulteriori informazioni, vedi Prova il Single Sign-On.
Per rimuovere il certificato precedente:
- Torna alla Console di amministrazione e al profilo SAML
Entra ID
. - Fai clic su Dettagli IdP.
- Nel certificato di verifica, confronta le date di scadenza del tuo per trovare il certificato precedente e fai clic su delete.
- Fai clic su Salva.
Esegui la pulizia
Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.
Per disattivare il Single Sign-On in Cloud Identity oppure Google Workspace, segui questi passaggi:
Nella Console di amministrazione, vai a Gestire le assegnazioni dei profili SSO.
Per ogni assegnazione del profilo, procedi nel seguente modo:
- Apri il profilo.
- Se viene visualizzato il pulsante Eredita, fai clic su Eredita. Se non vedi Un pulsante Eredita, seleziona Nessuno e fai clic su Salva.
Torna alla pagina SSO con IdP di terze parti e apri Microsoft Entra ID profilo SAML.
Fai clic su Elimina.
Puoi rimuovere le impostazioni Single Sign-On e provisioning in Microsoft Entra ID come che segue:
- Nella Portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
- Dall'elenco delle applicazioni, scegli Google Cloud.
- Nel menu a sinistra, fai clic su Gestisci > Single Sign-On.
- Fai clic su Elimina.
- Conferma l'eliminazione facendo clic su Sì.
Passaggi successivi
- Scopri di più sulla federazione di Google Cloud con Microsoft Entra ID
- Informazioni best practice per la pianificazione di account e organizzazioni e best practice per la federazione di Google Cloud con un provider di identità esterno.
- Scopri i nostri best practice per la gestione degli account super amministratore.