Kurz: Konfigurace G Suite pro automatické zřizování uživatelů
Tento kurz popisuje kroky, které potřebujete provést v G Suite i v Microsoft Entra ID ke konfiguraci automatického zřizování uživatelů. Při konfiguraci microsoft Entra ID automaticky zřídí a zruší zřízení uživatelů a skupin do G Suite pomocí služby zřizování Microsoft Entra. Důležité podrobnosti o tom, co tato služba dělá, jak funguje, a nejčastější dotazy najdete v tématu Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS pomocí Microsoft Entra ID.
Poznámka:
Tento kurz popisuje konektor založený na službě Microsoft Entra user Provisioning Service. Důležité podrobnosti o tom, co tato služba dělá, jak funguje, a nejčastější dotazy najdete v tématu Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS pomocí Microsoft Entra ID.
Podporované funkce
- Vytváření uživatelů v G Suite
- Odeberte uživatele v G Suite, pokud už nevyžadují přístup (poznámka: Odebrání uživatele z oboru synchronizace nebude mít za následek odstranění objektu v GSuite).
- Udržování atributů uživatele synchronizovaných mezi Microsoft Entra ID a G Suite
- Zřizování skupin a členství ve skupinách v G Suite
- Jednotné přihlašování k G Suite (doporučeno)
Požadavky
Scénář popsaný v tomto kurzu předpokládá, že už máte následující požadavky:
- Tenant Microsoft Entra
- Jedna z následujících rolí: Správce aplikací, Správce cloudových aplikací nebo Vlastník aplikace.
- Tenant G Suite
- Uživatelský účet v G Suite s oprávněními správce.
Krok 1: Plánování nasazení zřizování
- Seznamte se s fungováním služby zřizování.
- Určete, kdo je v oboru zřizování.
- Určete, jaká data se mají mapovat mezi Microsoft Entra ID a G Suite.
Krok 2: Konfigurace G Suite pro podporu zřizování pomocí Microsoft Entra ID
Před konfigurací G Suite pro automatické zřizování uživatelů pomocí Microsoft Entra ID je potřeba povolit zřizování SCIM v G Suite.
Přihlaste se ke konzole pro správu G Suite pomocí svého účtu správce, klikněte na hlavní nabídku a pak vyberte Zabezpečení. Pokud ji nevidíte, může být skrytá v nabídce Zobrazit další .
Přejděte do části Zabezpečení –> Řízení přístupu a dat –> Ovládací prvky rozhraní API . Zaškrtněte políčko Důvěřovat interním aplikacím vlastněným doménou a potom klikněte na ULOŽIT.
Důležité
Pro každého uživatele, kterého chcete zřídit pro G Suite, musí být jeho uživatelské jméno v Microsoft Entra ID svázané s vlastní doménou. G Suite například nepřijmou uživatelská jména, která vypadají bob@contoso.onmicrosoft.com podobně. Na druhou stranu, bob@contoso.com je přijat. Doménu existujícího uživatele můžete změnit podle zde uvedených pokynů.
Jakmile přidáte a ověříte požadované vlastní domény s ID Microsoft Entra, musíte je znovu ověřit pomocí G Suite. Pokud chcete ověřit domény v G Suite, projděte si následující kroky:
V konzole pro správu G Suite přejděte na Účet –> Domény –> Spravovat domény.
Na stránce Spravovat doménu klikněte na Přidat doménu.
Na stránce Přidat doménu zadejte název domény, kterou chcete přidat.
Vyberte PŘIDAT DOMÉNU A ZAHÁJIT OVĚŘENÍ. Pak podle pokynů ověřte, že vlastníte název domény. Podrobné pokyny k ověření domény u Googlu najdete v tématu Ověření vlastnictví webu.
Opakujte předchozí kroky pro všechny další domény, které chcete přidat do G Suite.
Dále určete, který účet správce chcete použít ke správě zřizování uživatelů v G Suite. Přejděte do rolí správce účtu>.
Pro roli správce tohoto účtu upravte oprávnění pro danou roli. Nezapomeňte povolit všechna oprávnění rozhraní API pro správu, aby se tento účet mohl použít ke zřizování.
Krok 3: Přidání G Suite z galerie aplikací Microsoft Entra
Přidejte G Suite z galerie aplikací Microsoft Entra a začněte spravovat zřizování pro G Suite. Pokud jste dříve nastavili G Suite pro jednotné přihlašování, můžete použít stejnou aplikaci. Při počátečním testování integrace se ale doporučuje vytvořit samostatnou aplikaci. Další informace o přidání aplikace z galerie najdete tady.
Krok 4: Definujte, kdo je v oboru zřizování
Služba zřizování Microsoft Entra umožňuje určit rozsah, který je zřízený na základě přiřazení k aplikaci nebo na základě atributů uživatele nebo skupiny. Pokud se rozhodnete určit rozsah zřizování aplikace na základě přiřazení, můžete k přiřazení uživatelů a skupin použít následující postup . Pokud se rozhodnete nastavit obor, který je zřízený výhradně na základě atributů uživatele nebo skupiny, můžete použít filtr oborů, jak je popsáno zde.
Začněte v malém. Než se pustíte do zavádění pro všechny, proveďte testování s malou skupinou uživatelů a skupin. Pokud je rozsah zřizování nastavený na přiřazené uživatele a skupiny, můžete testování provést tak, že k aplikaci přiřadíte jednoho nebo dva uživatele nebo skupiny. Pokud je rozsah nastavený na všechny uživatele a skupiny, můžete určit filtr rozsahu na základě atributů.
Pokud potřebujete další role, můžete aktualizovat manifest aplikace a přidat nové role.
Krok 5: Konfigurace automatického zřizování uživatelů pro G Suite
Tato část vás provede postupem konfigurace služby zřizování Microsoft Entra pro vytvoření, aktualizaci a zakázání uživatelů a/nebo skupin v aplikaci TestApp na základě přiřazení uživatelů a/nebo skupin v Microsoft Entra ID.
Poznámka:
Další informace o koncovém bodu rozhraní API adresáře G Suite najdete v referenční dokumentaci k rozhraní API adresáře.
Konfigurace automatického zřizování uživatelů pro G Suite v Microsoft Entra ID:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.
Přejděte k podnikovým aplikacím> identit.>
V seznamu aplikací vyberte G Suite.
Vyberte kartu Zřizování. Klikněte na Tlačítko Začínáme.
Nastavte Režim zřizování na hodnotu Automaticky.
V části Přihlašovací údaje správce klikněte na Autorizovat. V novém okně prohlížeče budete přesměrováni do dialogového okna autorizace Google.
Potvrďte, že chcete udělit oprávnění Microsoft Entra k provádění změn tenanta G Suite. Zvolte Přijmout.
Vyberte Test připojení , abyste zajistili, že se Microsoft Entra ID může připojit k G Suite. Pokud připojení selže, ujistěte se, že váš účet G Suite má oprávnění správce, a zkuste to znovu. Potom zkuste krok Autorizovat znovu.
Do pole Oznamovací e-mail zadejte e-mailovou adresu osoby nebo skupiny, na kterou by se měla odesílat oznámení o chybách zřizování, a zaškrtněte políčko Když dojde k selhání, poslat oznámení e-mailem.
Zvolte Uložit.
V části Mapování vyberte Zřídit uživatele Microsoft Entra.
Zkontrolujte atributy uživatele, které jsou synchronizovány z Microsoft Entra ID do G Suite v části Mapování atributů. Výběrem tlačítka Uložit potvrďte všechny změny.
Poznámka:
GSuite Provisioning v současné době podporuje pouze použití primaryEmail jako odpovídající atribut.
| Atribut | Typ |
|---|---|
| primaryEmail | String |
| vztahy. [type eq "manager"].value | String |
| name.familyName | String |
| name.givenName | String |
| pozastavený | String |
| externalIds. [type eq "custom"].value | String |
| externalIds. [type eq "organization"].value | String |
| adresy. [type eq "work"].country | String |
| adresy. [type eq "work"].streetAddress | String |
| adresy. [type eq "work"].region | String |
| adresy. [type eq "work"].locality | String |
| adresy. [type eq "work"].postalCode | String |
| e-maily. [type eq "work"].address | String |
| organizace. [type eq "work"].department | String |
| organizace. [type eq "work"].title | String |
| telefonní čísla. [type eq "work"].value | String |
| telefonní čísla. [type eq "mobile"].value | String |
| telefonní čísla. [type eq "work_fax"].value | String |
| e-maily. [type eq "work"].address | String |
| organizace. [type eq "work"].department | String |
| organizace. [type eq "work"].title | String |
| adresy. [type eq "home"].country | String |
| adresy. [type eq "home"].formatted | String |
| adresy. [type eq "home"].locality | String |
| adresy. [type eq "home"].postalCode | String |
| adresy. [type eq "home"].region | String |
| adresy. [type eq "home"].streetAddress | String |
| adresy. [type eq "other"].country | String |
| adresy. [type eq "other"].formatted | String |
| adresy. [type eq "other"].locality | String |
| adresy. [type eq "other"].postalCode | String |
| adresy. [type eq "other"].region | String |
| adresy. [type eq "other"].streetAddress | String |
| adresy. [type eq "work"].formatted | String |
| changePasswordAtNextLogin | String |
| e-maily. [type eq "home"].address | String |
| e-maily. [type eq "other"].address | String |
| externalIds. [type eq "account"].value | String |
| externalIds. [type eq "custom"].customType | String |
| externalIds. [type eq "customer"].value | String |
| externalIds. [type eq "login_id"].value | String |
| externalIds. [type eq "network"].value | String |
| gender.type | String |
| GeneratedImmutableId | String |
| Identifikátor | String |
| Ims. [type eq "home"].protocol | String |
| Ims. [type eq "other"].protocol | String |
| Ims. [type eq "work"].protocol | String |
| includeInGlobalAddressList | String |
| ipWhitelisted | String |
| organizace. [type eq "school"].costCenter | String |
| organizace. [type eq "school"].department | String |
| organizace. [type eq "school"].domain | String |
| organizace. [type eq "school"].fullTimeEquivalent | String |
| organizace. [type eq "school"].location | String |
| organizace. [type eq "school"].name | String |
| organizace. [type eq "school"].symbol | String |
| organizace. [type eq "school"].title | String |
| organizace. [type eq "work"].costCenter | String |
| organizace. [type eq "work"].domain | String |
| organizace. [type eq "work"].fullTimeEquivalent | String |
| organizace. [type eq "work"].location | String |
| organizace. [type eq "work"].name | String |
| organizace. [type eq "work"].symbol | String |
| OrgUnitPath | String |
| telefonní čísla. [type eq "home"].value | String |
| telefonní čísla. [type eq "other"].value | String |
| webových stránek. [type eq "home"].value | String |
| webových stránek. [type eq "other"].value | String |
| webových stránek. [type eq "work"].value | String |
V části Mapování vyberte Zřídit skupiny Microsoft Entra.
Zkontrolujte atributy skupiny, které jsou synchronizovány z Microsoft Entra ID do G Suite v části Mapování atributů. Atributy vybrané jako Odpovídající vlastnosti se používají ke shodě skupin v G Suite pro operace aktualizace. Výběrem tlačítka Uložit potvrďte všechny změny.
Atribut Typ E-mail String Členové String name String description String Pokud chcete nakonfigurovat filtry rozsahu, postupujte podle pokynů uvedených v kurzu k filtrům rozsahu.
Pokud chcete povolit službu zřizování Microsoft Entra pro G Suite, změňte stav zřizování na Zapnuto v části Nastavení .
Definujte uživatele nebo skupiny, které chcete zřídit pro G Suite, výběrem požadovaných hodnot v oboru v části Nastavení .
Až budete připravení zřídit, klikněte na Uložit.
Tato operace zahájí cyklus počáteční synchronizace všech uživatelů a skupin definovaných v nabídce Rozsah v části Nastavení. Počáteční cyklus trvá déle než následné cykly, ke kterým dochází přibližně každých 40 minut, pokud je spuštěná služba zřizování Microsoft Entra.
Poznámka:
Pokud už uživatelé mají existující osobní/uživatelský účet pomocí e-mailové adresy uživatele Microsoft Entra, může to způsobit nějaký problém, který by se mohl vyřešit pomocí nástroje Google Transfer Tool před provedením synchronizace adresářů.
Krok 6: Monitorování nasazení
Jakmile nakonfigurujete zřizování, pomocí následujících prostředků monitorujte nasazení:
- S využitím protokolů zřizování můžete zjistit, kteří uživatelé se zřídili úspěšně a kteří neúspěšně.
- Zkontrolujte indikátor průběhu a podívejte se na stav cyklu zřizování a jeho zavření.
- Pokud se zdá, že konfigurace zřizování je v pořádku, aplikace přejde do karantény. Další informace o stavech karantény najdete tady.
Tipy na řešení potíží
- Odebrání uživatele z oboru synchronizace ho zakáže v GSuite, ale nezpůsobí odstranění uživatele v G Suite.
Přístup k aplikacím podle potřeby (JIT) pomocí PIM pro skupiny
S PIM pro skupiny můžete poskytnout přístup ke skupinám v Google Cloud / Google Workspace za běhu a snížit počet uživatelů, kteří mají trvalý přístup k privilegovaným skupinám v Google Cloud / Google Workspace.
Konfigurace podnikové aplikace pro jednotné přihlašování a zřizování
- Přidejte do tenanta Google Cloud nebo Google Workspace, nakonfigurujte ho pro zřizování, jak je popsáno v tomto kurzu, a začněte zřizovat.
- Nakonfigurujte jednotné přihlašování pro Google Cloud nebo Google Workspace.
- Vytvořte skupinu , která poskytuje všem uživatelům přístup k aplikaci.
- Přiřaďte skupinu k aplikaci Google Cloud / Google Workspace.
- Přiřaďte testovacího uživatele jako přímého člena skupiny vytvořené v předchozím kroku nebo jim prostřednictvím přístupového balíčku poskytněte přístup ke skupině. Tuto skupinu je možné použít pro trvalý a nesprávní přístup v Google Cloud nebo Google Workspace.
Povolení PIM pro skupiny
- Vytvořte druhou skupinu v ID Microsoft Entra. Tato skupina poskytuje přístup k oprávněním správce ve službě Google Cloud / Google Workspace.
- Přineste skupinu pod správu v Microsoft Entra PIM.
- Přiřaďte testovacího uživatele jako způsobilého pro skupinu v PIM s rolí nastavenou na člena.
- Přiřaďte druhou skupinu k aplikaci Google Cloud / Google Workspace.
- Pomocí zřizování na vyžádání vytvořte skupinu v Google Cloud / Google Workspace.
- Přihlaste se ke službě Google Cloud / Google Workspace a přiřaďte druhé skupině potřebná oprávnění k provádění úloh správce.
Teď každý koncový uživatel, který byl způsobilý pro skupinu v PIM, může získat přístup JIT ke skupině v Google Cloud / Google Workspace aktivací členství ve skupině. Po vypršení platnosti přiřazení se uživatel odebere ze skupiny v Google Cloudu nebo Pracovním prostoru Google. Během dalšího přírůstkového cyklu se služba zřizování pokusí uživatele ze skupiny znovu odebrat. To může vést k chybě v protokolech zřizování. Tato chyba se očekává, protože členství ve skupině už bylo odebráno. Chybovou zprávu je možné ignorovat.
- Jak dlouho trvá zřízení uživatele pro aplikaci?
- Když se uživatel přidá do skupiny v ID Microsoft Entra mimo aktivaci členství ve skupině pomocí služby Microsoft Entra ID Privileged Identity Management (PIM):
- Členství ve skupině je v aplikaci zřízeno během dalšího synchronizačního cyklu. Synchronizační cyklus se spouští každých 40 minut.
- Když uživatel aktivuje členství ve skupině v PIM Microsoft Entra ID:
- Členství ve skupině se zřídí za 2 až 10 minut. Pokud je najednou vysoká rychlost požadavků, požadavky se omezují rychlostí pěti požadavků za 10 sekund.
- Prvních pět uživatelů během 10sekundového období, které aktivuje členství ve skupině pro konkrétní aplikaci, se členství ve skupině zřídí do 2 až 10 minut.
- Pro šestého uživatele a vyššího v rámci 10sekundového období, které aktivuje členství ve skupině pro konkrétní aplikaci, se členství ve skupině zřídí pro aplikaci v dalším synchronizačním cyklu. Synchronizační cyklus se spouští každých 40 minut. Limity omezování jsou pro každou podnikovou aplikaci.
- Když se uživatel přidá do skupiny v ID Microsoft Entra mimo aktivaci členství ve skupině pomocí služby Microsoft Entra ID Privileged Identity Management (PIM):
- Pokud uživatel nemá přístup k potřebné skupině v Google Cloud / Google Workspace, zkontrolujte protokoly PIM a zřizovací protokoly, abyste se ujistili, že se členství ve skupině úspěšně aktualizovalo. V závislosti na tom, jak je cílová aplikace navržená, může trvat déle, než se členství ve skupině projeví v aplikaci.
- Pomocí služby Azure Monitor můžete vytvářet upozornění na selhání.
Změnit protokol
- 10. 17. 2020 – Byla přidána podpora dalších atributů uživatelů a skupin G Suite.
- 10.17.2020 - Aktualizace názvů cílových atributů G Suite tak, aby odpovídaly tomu, co je zde definováno.
- 10. 17. 2020 – Aktualizace mapování výchozích atributů
Další materiály
- Správa zřizování uživatelských účtů pro podnikové aplikace
- Co je přístup k aplikacím a jednotné přihlašování pomocí Microsoft Entra ID?