Questo documento mostra come aggiungere servizi Google e Identity-Aware Proxy (IAP) da applicazioni web protette dal web al portale Microsoft My Apps e come attivare l'accesso automatico per queste applicazioni.
Il documento presuppone che tu abbia federato la tua Cloud Identity o Account Google Workspace con Microsoft Entra ID di configurazione di Microsoft Entra ID per il Single Sign-On.
Prima di iniziare
Assicurati di aver completato i passaggi per federare il tuo account Cloud Identity o Google Workspace con Microsoft Entra ID.
Avviare il Single Sign-On da un portale
Per supportare l'autenticazione con un provider di identità (IdP) esterno come Azure AD, Cloud Identity e Google Workspace si basano sul servizio dall'accesso avviato dal provider. Con questo tipo di accesso, l'autenticazione inizia il fornitore di servizi, che a sua volta ti reindirizza all'IdP, ad esempio:
- Accedi a un servizio Google come Console Google Cloud o Looker Studio aprendo un URL o un segnalibro. Google e i suoi servizi assumono il ruolo di provider di servizi internet in questo scenario.
- Viene visualizzata la schermata Accedi con Google in cui ti viene chiesto di inserire l'indirizzo email dell'identità Google.
- Si aprirà Microsoft Entra ID, che funge da IdP.
- Accedi a Microsoft Entra ID.
- Microsoft Entra ID ti reindirizza al servizio Google che avevi originariamente ha tentato di accedere.
Uno dei vantaggi dell'accesso avviato dal fornitore di servizi è che gli utenti possono accedere ai servizi Google aprendo un link o utilizzando un preferito. Se le tue utilizza Microsoft Entra ID, puoi utilizzare il portale Microsoft My Apps per questo scopo. Non essere costretti ad aprire applicazioni tramite un portale pratico per gli utenti esperti che aggiungono siti specifici ai preferiti o potrebbero memorizzare determinati URL. Per altri utenti, può comunque essere utile esporre i link a link applicazioni in un portale.
Tuttavia, l'aggiunta di un link come https://lookerstudio.google.com al portale Microsoft My Apps rivela una carenza del servizio dalla procedura di accesso avviata dal provider. Anche se un utente che fa clic sul link nella ha una sessione Microsoft Entra ID valida, potrebbe ancora vedere la pagina Accedi con Google schermo e viene chiesto di inserire l'indirizzo email. Questo sistema apparentemente ridondante la richiesta di accesso è il risultato della mancata indicazione di Accedi con Google sessione Microsoft Entra ID esistente.
Puoi evitare la richiesta di conferma da Google aggiuntiva utilizzando URL speciali quando configurazione del portale Microsoft My Apps. Questi URL incorporano un suggerimento relativo a quale Gli utenti di account Cloud Identity o Google Workspace sono tenuti a per gli utilizzi odierni. Le informazioni aggiuntive consentono l'autenticazione automatica, migliorando così l'esperienza utente.
Aggiungi link al portale Microsoft My Apps
Nella tabella seguente sono elencati i servizi Google più comuni, il nome corrispondente in Microsoft Entra ID e il link che puoi utilizzare per implementare l'accesso SSO come descritto in sezione precedente.
Servizio Google | URL | Logo |
---|---|---|
Console Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
![]() |
Documenti Google | https://docs.google.com/a/DOMAIN |
![]() |
Fogli Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
![]() |
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
![]() |
Google Drive | https://drive.google.com/a/DOMAIN |
![]() |
Gmail | https://mail.google.com/a/DOMAIN |
![]() |
Google Gruppi | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
![]() |
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
![]() |
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
![]() |
Per ogni servizio Google che vuoi aggiungere al portale Microsoft My Apps, crea una nuova applicazione aziendale:
- Nella Portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
- Fai clic su Nuova applicazione.
Fai clic su Crea la tua applicazione e inserisci quanto segue:
- Come si chiama la tua app: inserisci il nome del servizio Google come indicati nella tabella precedente.
- Cosa stai cercando di fare con la tua applicazione: seleziona Integra qualsiasi altra applicazione che non trovi nella galleria (non nella galleria).
Fai clic su Crea.
Seleziona Proprietà.
Sostituisci il logo con il file collegato nella tabella.
Fai clic su Salva.
Nel menu a sinistra, seleziona Single Sign-On.
Seleziona Collegato.
Inserisci l'URL elencato nella tabella, ad esempio
http://docs.google.com/a/DOMAIN
.Sostituisci
DOMAIN
con il nome di dominio principale del tuo un account Cloud Identity o Google Workspace, ad esempioexample.com
.Fai clic su Salva.
Tieni presente che non è necessario configurare il servizio SSO basato su SAML nell'applicazione. Tutti le operazioni Single Sign-On continuano a essere gestite l'applicazione che hai creato in precedenza per il Single Sign-On.
Per assegnare l'applicazione agli utenti:
- Nel menu a sinistra, seleziona Proprietà.
- Imposta Assegnazione utente obbligatoria su Sì.
- Fai clic su Salva.
- Nel menu a sinistra, fai clic su Gestisci > Utenti e gruppi.
- Fai clic su Aggiungi utente.
- Seleziona Utenti.
- Seleziona gli utenti o i gruppi di cui vuoi eseguire il provisioning. Se selezioni un viene eseguito il provisioning di tutti i membri del gruppo.
- Fai clic su Seleziona.
- Fai clic su Assegna.
Potrebbero essere necessari diversi minuti prima che un link venga visualizzato nel portale Le mie app.
Controllare l'accesso
L'assegnazione di utenti e gruppi a singole applicazioni in Microsoft Entra ID determina la visibilità del link, ma non controlla l'accesso a un servizio. Un servizio non visibile nel portale Le mie app di un utente potrebbe essere ancora accessibile se l'utente apre l'URL corretto. Per controllare quali utenti e gruppi possono per accedere a un servizio, devi inoltre attivare o disattivare il servizio nella sezione Google Console di amministrazione.
Puoi semplificare il processo di controllo della visibilità e dell'accesso utilizzando gruppi:
- Per ogni servizio Google, crea un gruppo di sicurezza in Microsoft Entra ID, ad esempio
ad esempio
Looker Studio users
eGoogle Drive users
. - Assegna i gruppi all'applicazione aziendale Microsoft Entra ID appropriata come
descritto nella sezione precedente. Ad esempio, assegna
Looker Studio users
all'applicazione Looker Studio eGoogle Drive users
al Google Drive. - Configura i gruppi di cui eseguire il provisioning al tuo account Cloud Identity o Google Workspace.
- Nella
Console di amministrazione,
attivare il servizio corrispondente per ogni gruppo.
Ad esempio, attiva Looker Studio per il gruppo
Looker Studio users
e Google Drive per il gruppoGoogle Drive users
. Imposta il servizio disattivata per tutti gli altri.
Aggiungendo e rimuovendo membri a questi gruppi, ora controlli sia l'accesso che la visibilità in un solo passaggio.
Applicazioni web protette da IAP
Se utilizzi IAP per proteggere le tue applicazioni web, puoi aggiungere link a queste applicazioni alla il portale Microsoft My Apps e abilitare un'esperienza Single Sign-On.
Aggiungi link al portale Microsoft My Apps
La procedura per aggiungere un link al portale Microsoft My Apps è la stessa utilizzata per servizi Google, ma devi utilizzare l'URL della tua applicazione web protetta da IAP.
Come puoi fare con i servizi Google, puoi impedire agli utenti di vedere un schermata di accesso dopo aver seguito un link a un sito web protetto da IAP nel portale, ma la procedura è diversa. Invece di utilizzare un un URL speciale, configuri IAP utilizzare sempre un account Cloud Identity o Google Workspace specifico per l'autenticazione:
Nella console Google Cloud, attiva Cloud Shell.
Inizializza una variabile di ambiente:
PRIMARY_DOMAIN=primary-domain
Sostituisci
primary-domain
con dominio principale del tuo account Cloud Identity o Google Workspace, ad esempioexample.com
.Creare un file di impostazioni temporaneo che indichi a IAP di utilizza sempre il dominio principale di Cloud Identity Account Google Workspace per l'autenticazione:
cat << EOF > iap-settings.yaml accessSettings: oauthSettings: loginHint: "$PRIMARY_DOMAIN" EOF
Applica l'impostazione a tutte le risorse web IAP nel progetto:
gcloud iap settings set iap-settings.yaml --resource-type=iap_web
Rimuovi il file temporaneo delle impostazioni:
rm iap-settings.yaml
Controllare l'accesso
L'assegnazione di utenti e gruppi a singole applicazioni in Microsoft Entra ID determina la visibilità del link alla tua applicazione web protetta da IAP, ma non controlla l'accesso all'applicazione. Per controllare l'accesso, devi anche personalizzare il criterio Identity and Access Management (IAM) dell'applicazione web protetta da IAP.
Come per i servizi Google, puoi semplificare il processo di controllo della visibilità e l'accesso utilizzando i gruppi:
- Per ogni applicazione, crea un gruppo di sicurezza in Microsoft Entra ID, ad esempio
Payroll application users
. - Assegna il gruppo alla rispettiva applicazione aziendale Microsoft Entra ID.
- Configura il gruppo di cui eseguire il provisioning al tuo account Cloud Identity o Google Workspace.
- Aggiorna il criterio IAM
dell'applicazione web protetta da IAP per concedere
Ruolo Utente applicazione web con protezione IAP per il gruppo
Payroll application users
, impedendo l'accesso ad altri utenti
Aggiungendo e rimuovendo membri dal gruppo Payroll application users
,
controllare l'accesso e la visibilità in un solo passaggio.
Passaggi successivi
- Scopri di più su federare Google Cloud con Microsoft Entra ID.
- Informazioni best practice per la pianificazione di account e organizzazioni e best practice per la federazione di Google Cloud con un IdP esterno.
- Scopri di più su Identity-Aware Proxy.