Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Google Cloud / G Suite Connector von Microsoft mit Microsoft Entra ID integrieren. Die Integration von Google Cloud / G Suite Connector by Microsoft in Microsoft Entra ID ermöglicht Folgendes:
- Sie können in Microsoft Entra ID steuern, wer Zugriff auf Google Cloud / G Suite Connector by Microsoft hat.
- Sie können Ihren Benutzern ermöglichen, sich mit ihren Microsoft Entra-Konten automatisch bei Google Cloud / G Suite Connector by Microsoft anzumelden.
- Verwalten Sie Ihre Konten an einem zentralen Ort.
Voraussetzungen
In diesem Artikel wird davon ausgegangen, dass Sie bereits über die folgenden Voraussetzungen verfügen:
- Ein Microsoft Entra-Benutzerkonto mit einem aktiven Abonnement. Wenn Sie noch kein Konto besitzen, können Sie kostenlos ein Konto erstellen.
- Eine der folgenden Rollen:
- Ein Google Cloud/G Suite Connector by Microsoft-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist.
- Eine Google Apps-Abonnement oder ein Google Cloud Platform-Abonnement.
Hinweis
Um die Schritte in diesem Artikel zu testen, empfehlen wir die Verwendung einer Produktionsumgebung nicht. Dieses Dokument wurde unter Verwendung der neuen Benutzeroberfläche für das einmalige Anmelden (Single-Sign-On, SSO) erstellt. Wenn Sie noch das alte verwenden, sieht das Setup anders aus. Sie können die neue Benutzeroberfläche in den SSO-Einstellungen der G Suite-Anwendung aktivieren. Wechseln Sie zu Microsoft Entra ID>Enterprise-Anwendungen, wählen Sie Google Cloud / G Suite Connector von Microsoft aus, wählen Sie Einmaliges Anmelden und dann unsere neue Oberfläche aus.
Um die Schritte in diesem Artikel zu testen, sollten Sie die folgenden Empfehlungen befolgen:
- Verwenden Sie die Produktionsumgebung nur, wenn dies unbedingt erforderlich ist.
- Wenn Sie kein Abonnement haben, können Sie ein kostenloses Konto erhalten.
Aktuelle Änderungen
Aktuelle Updates von Google ermöglichen nun das Hinzufügen von Benutzergruppen zu SSO-Profilen von Drittanbietern. Dies ermöglicht eine genauere Kontrolle über die Zuweisung von SSO-Einstellungen. Sie können jetzt SSO-Profilzuweisungen erstellen, sodass Sie Benutzende in Phasen migrieren können, anstatt das gesamte Unternehmen gleichzeitig zu verschieben. In diesem Bereich erhalten Sie SP-Details mit einer Entitäts-ID und ACS-URL, die Sie jetzt zu Azure Apps für Antwort und Entität hinzufügen müssen.
Häufig gestellte Fragen
F: Unterstützt diese Integration die Integration von Google Cloud Platform SSO mit Microsoft Entra ID?
A: Ja. Für Google Cloud Platform und Google Apps wird dieselbe Authentifizierungsplattform verwendet. Um die Integration von GCP vorzunehmen, müssen Sie daher SSO mit Google Apps konfigurieren.
F: Sind Chromebooks und andere Chrome-Geräte mit Microsoft Entra Single Sign-On kompatibel?
A: Ja, Benutzer können sich mit ihren Microsoft Entra-Anmeldeinformationen bei ihren Chromebook-Geräten anmelden. Weitere Informationen dazu, warum Benutzer zweimal zur Eingabe von Anmeldeinformationen aufgefordert werden, finden Sie in diesem Support-Artikel zum Google Cloud/G Suite Connector von Microsoft.
F: Wenn ich einmaliges Anmelden aktiviere, können Benutzer ihre Microsoft Entra-Anmeldeinformationen verwenden, um sich bei jedem Google-Produkt wie Google Classroom, GMail, Google Drive, YouTube usw. anzumelden?
A: Ja, je nachdem, welcher Google Cloud/G Suite Connector von Microsoft Sie für Ihre Organisation aktivieren oder deaktivieren möchten.
F: Kann ich einmaliges Anmelden nur für eine Teilmenge meiner Google Cloud / G Suite Connector von Microsoft-Benutzern aktivieren?
A: Ja, die SSO-Profile können pro Benutzer, Organisationseinheit oder Gruppe in Google Workspace ausgewählt werden.
Wählen Sie das SSO-Profil „Keine“ für die Google Arbeitsbereich-Gruppe aus. Dadurch wird verhindert, dass Mitglieder dieser Gruppe (Google Workspace) für die Anmeldung zu Microsoft Entra ID umgeleitet werden.
F: Wenn ein Benutzer über Windows angemeldet ist, authentifizieren sie sich automatisch bei Google Cloud / G Suite Connector von Microsoft, ohne zur Eingabe eines Kennworts aufgefordert zu werden?
A: Es gibt zwei Optionen zur Unterstützung dieses Szenarios. Zuerst konnten sich Benutzer über Microsoft Entra-Beitritt bei Windows 10-Geräten anmelden. Alternativ dazu können Benutzer sich bei Windows-Geräten anmelden, die über eine Domäne mit einem lokalen Active Directory verbunden sind, das für einmaliges Anmelden bei Microsoft Entra ID über eine AD FS -Bereitstellung (Active Directory-Verbunddienste) aktiviert wurde. Beide Optionen erfordern, dass Sie die Schritte im folgenden Artikel ausführen, um einmaliges Anmelden zwischen Microsoft Entra ID und Google Cloud / G Suite Connector von Microsoft zu aktivieren.
F: Was sollte ich tun, wenn ich eine Fehlermeldung "Ungültige E-Mail" erhalte?
A: Für dieses Setup ist das E-Mail-Attribut erforderlich, damit sich die Benutzer anmelden können. Dieses Attribut kann nicht manuell festgelegt werden.
Das E-Mail-Attribut wird für alle Benutzer mit einer gültigen Exchange-Lizenz automatisch aufgefüllt. Wenn der Benutzer nicht per E-Mail aktiviert ist, wird dieser Fehler empfangen, da die Anwendung dieses Attribut abrufen muss, um Zugriff zu gewähren.
Sie können zu portal.office.com mit einem Administratorkonto gehen, dann im Admin Center Abrechnung, Abonnements auswählen, Ihr Microsoft 365-Abonnement auswählen und dann Benutzer zuweisen, die Benutzer auswählen, deren Abonnement Sie überprüfen möchten, und im rechten Bereich "Lizenzen bearbeiten" auswählen.
Nachdem die Microsoft 365-Lizenz zugewiesen wurde, kann es einige Minuten dauern, bis sie wirksam wird. Danach wird das Attribut user.mail automatisch aufgefüllt, und das Problem sollte behoben werden.
Beschreibung des Szenarios
In diesem Artikel konfigurieren und testen Sie Microsoft Entra SSO in einer Testumgebung.
Google Cloud / G Suite Connector von Microsoft unterstützt SP-initiierte SSO.
Google Cloud / G Suite Connector von Microsoft unterstützt die automatisierte Benutzerbereitstellung.
Hinzufügen von Google Cloud / G Suite Connector by Microsoft aus dem Katalog
Zum Konfigurieren der Integration von Google Cloud / G Suite Connector by Microsoft in Microsoft Entra ID müssen Sie Google Cloud / G Suite Connector by Microsoft aus dem Katalog der Liste der verwalteten SaaS-Apps hinzufügen.
- Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
- Navigieren Sie zu Entra ID>Enterprise-Apps>Neue Anwendung.
- Geben Sie im Abschnitt "Aus dem Katalog hinzufügen " google Cloud /G Suite Connector von Microsoft in das Suchfeld ein.
- Wählen Sie Google Cloud /G Suite Connector von Microsoft aus dem Ergebnisbereich aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.
Alternativ können Sie auch den Konfigurations-Assistenten für Enterprise-Apps verwenden. In diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer und Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Weitere Informationen zu Microsoft 365-Assistenten.
Konfigurieren und Testen des einmaligen Anmeldens von Microsoft Entra für Google Cloud / G Suite Connector by Microsoft
Konfigurieren und testen Sie Microsoft Entra SSO mit Google Cloud / G Suite Connector von Microsoft mithilfe eines Testbenutzers namens B.Simon. Damit einmaliges Anmelden funktioniert, muss eine Linkbeziehung zwischen Microsoft Entra-Benutzenden und entsprechenden Benutzenden in Google Cloud/G Suite Connector by Microsoft eingerichtet werden.
Führen Sie die folgenden Schritte aus, um das einmalige Anmelden von Microsoft Entra mit Google Cloud / G Suite Connector by Microsoft zu konfigurieren und zu testen:
- Konfigurieren Sie Microsoft Entra SSO – damit Ihre Benutzer dieses Feature verwenden können.
- Erstellen Sie einen Microsoft Entra-Testbenutzer – um microsoft Entra Single Sign-On mit B.Simon zu testen.
- Weisen Sie den Microsoft Entra-Testbenutzer zu – damit B.Simon das Einmalige Anmelden von Microsoft Entra verwenden kann.
- Konfigurieren Sie Google Cloud/G Suite Connector von Microsoft SSO – um die Einstellungen für einmaliges Anmelden auf Anwendungsseite zu konfigurieren.
- Erstellen eines Google Cloud / G Suite Connector by Microsoft-Testbenutzenden, um eine Entsprechung von B.Simon in Google Cloud / G Suite Connector by Microsoft zu erhalten, die mit der Darstellung des Benutzenden in Microsoft Entra verknüpft ist.
- Testen Sie SSO – um zu überprüfen, ob die Konfiguration funktioniert.
Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra
Führen Sie die folgenden Schritte aus, um einmaliges Anmelden von Microsoft Entra zu aktivieren.
Melden Sie sich mindestens als Cloudanwendungsadministrator beim Microsoft Entra Admin Center an.
Wechseln Sie zu Entra ID>Enterprise Apps>Google Cloud / G Suite Connector von Microsoft>Single Sign-On.
Wählen Sie auf der Seite " Single Sign-On-Methode auswählen " SAML aus.
Wählen Sie auf der Seite " Einmaliges Anmelden mit SAML einrichten " das Stiftsymbol für die grundlegende SAML-Konfiguration aus, um die Einstellungen zu bearbeiten.
Führen Sie im Abschnitt "Grundlegende SAML-Konfiguration " die folgenden Schritte aus, wenn Sie für gmail konfigurieren möchten:
a) Geben Sie im Textfeld Bezeichner eine URL in einem der folgenden Formate ein:
Identifizierer google.com/a/<yourdomain.com>
google.com
https://google.com
https://google.com/a/<yourdomain.com>
b. Geben Sie im Textfeld "Antwort-URL " eine URL mit einem der folgenden Muster ein:
Antwort-URL https://www.google.com
https://www.google.com/a/<yourdomain.com>
c. Geben Sie im Textfeld "Anmelde-URL " eine URL mit dem folgenden Muster ein:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com
Führen Sie im Abschnitt "Grundlegende SAML-Konfiguration " die folgenden Schritte aus, wenn Sie für die Google Cloud Platform konfigurieren möchten:
a) Geben Sie im Textfeld Bezeichner eine URL in einem der folgenden Formate ein:
Identifizierer google.com/a/<yourdomain.com>
google.com
https://google.com
https://google.com/a/<yourdomain.com>
b. Geben Sie im Textfeld "Antwort-URL " eine URL mit einem der folgenden Muster ein:
Antwort-URL https://www.google.com/acs
https://www.google.com/a/<yourdomain.com>/acs
c. Geben Sie im Textfeld "Anmelde-URL " eine URL mit dem folgenden Muster ein:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com
Hinweis
Diese Werte sind nicht real. Sie müssen diese Werte mit dem tatsächlichen Bezeichner, der Antwort-URL und Anmelde-URL aktualisieren. Google Cloud / G Suite Connector von Microsoft stellt keinen Wert für die Entitäts-ID/Bezeichner bei der Konfiguration für einmaliges Anmelden bereit, sodass, wenn Sie die Option für den domänenspezifischen Aussteller deaktivieren, der Bezeichnerwert
google.com
ist. Wenn Sie die domänenspezifische Aussteller Option überprüfen, ist esgoogle.com/a/<yourdomainname.com>
. Um die domänenspezifische Ausstelleroption zu aktivieren/deaktivieren, müssen Sie zum Abschnitt "Konfigurieren von Google Cloud / G Suite Connector durch Microsoft SSO" wechseln, der weiter unten im Artikel erläutert wird. Für weitere Informationen wenden Sie sich an Google Cloud / G Suite Connector von Microsoft Client-Supportteam.Die Google Cloud/G Suite Connector by Microsoft-Anwendung erwartet die SAML-Assertions in einem bestimmten Format. Daher müssen Sie Ihrer Konfiguration der SAML-Tokenattribute benutzerdefinierte Attributzuordnungen hinzufügen. Der folgende Screenshot zeigt ein Beispiel für diese Attributzuordnungen: Der Standardwert des eindeutigen Benutzerbezeichners ist user.userprincipalname , aber Google Cloud / G Suite Connector von Microsoft erwartet, dass dies mit der E-Mail-Adresse des Benutzers zugeordnet wird. Dazu können Sie "user.mail "-Attribut aus der Liste verwenden oder den entsprechenden Attributwert basierend auf ihrer Organisationskonfiguration verwenden.
Hinweis
Stellen Sie sicher, dass die SAML-Antwort keine nicht standardmäßigen ASCII-Zeichen im Attribut Nachname enthält.
Suchen Sie auf der Seite "Einmaliges Anmelden mit SAML einrichten" im Abschnitt "SAML-Signaturzertifikat" das Zertifikat (Base64), und wählen Sie "Herunterladen" aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.
Kopieren Sie im Abschnitt "Google Cloud/G Suite Connector nach Microsoft einrichten " die entsprechenden URL(n) basierend auf Ihrer Anforderung.
Hinweis
Die in der App aufgeführte Standard-URL für die Abmeldung ist falsch. Die richtige URL lautet:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
Erstellen und Zuweisen eines Microsoft Entra-Testbenutzers
Befolgen Sie die Richtlinien im Schnellstart „Erstellen und Zuweisen eines Benutzerkontos“, um ein Testbenutzerkonto namens B.Simon zu erstellen.
Konfigurieren des einmaligen Anmeldens für Google Cloud / G Suite Connector by Microsoft
Öffnen Sie eine neue Registerkarte in Ihrem Browser, und melden Sie sich mit Ihrem Administratorkonto bei google Cloud / G Suite Connector von Microsoft Admin Console an.
Wechseln Sie zum Menü -> Sicherheit -> Authentifizierung –> SSO mit IDP von Drittanbietern.
Führen Sie die folgenden Konfigurationsänderungen im Drittanbieter-SSO-Profil-Tab Ihrer Organisation aus:
a) Aktivieren Sie das SSO-Profil für Ihre Organisation.
b. Fügen Sie im Feld "Anmeldeseite"-URL in Google Cloud / G Suite Connector von Microsoft den Wert der Anmelde-URL ein.
c. Fügen Sie im Feld " Abmeldeseite" in Google Cloud / G Suite Connector von Microsoft den Wert der Abmelde-URL ein.
d. Laden Sie in Google Cloud / G Suite Connector von Microsoft für das Überprüfungszertifikat das Zertifikat hoch, das Sie zuvor heruntergeladen haben.
e. Aktivieren/Deaktivieren Sie die Option "Domänenspezifische Aussteller verwenden" gemäß der im Abschnitt Grundlegende SAML-Konfiguration in der Microsoft Entra ID erwähnten Notiz.
f. Geben Sie im Feld "Kennwort-URL ändern " in Google Cloud / G Suite Connector von Microsoft den Wert als
https://mysignins.microsoft.com/security-info/password/change
g. Wählen Sie "Speichern" aus.
Erstellen des Google Cloud/G Suite Connector by Microsoft-Testbenutzenden
Ziel dieses Abschnitts ist es, einen Benutzer in Google Cloud / G Suite Connector von Microsoft namens B.Simon zu erstellen. Nachdem der Benutzer manuell in Google Cloud / G Suite Connector by Microsoft erstellt wurde, kann er sich mit seinen Microsoft 365-Anmeldeinformationen anmelden.
Google Cloud / G Suite Connector by Microsoft unterstützt auch die automatische Benutzerbereitstellung. Um die automatische Benutzerbereitstellung zu konfigurieren, müssen Sie zuerst Google Cloud /G Suite Connector von Microsoft für die automatische Benutzerbereitstellung konfigurieren.
Hinweis
Stellen Sie sicher, dass der Benutzende bereits in Google Cloud / G Suite Connector by Microsoft vorhanden ist, wenn die Bereitstellung in Microsoft Entra ID vor dem Testen des einmaligen Anmeldens nicht aktiviert wurde.
Hinweis
Wenn Sie einen Benutzer manuell erstellen müssen, wenden Sie sich an das Google-Supportteam.
Testen des einmaligen Anmeldens (SSO)
In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.
Wählen Sie "Diese Anwendung testen" aus. Diese Option leitet zu Google Cloud / G Suite Connector über die Microsoft-Anmelde-URL um, unter der Sie den Anmeldeablauf initiieren können.
Rufen Sie direkt die Anmelde-URL von Google Cloud / G Suite Connector by Microsoft auf, und initiieren Sie dort den Anmeldeflow.
Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie in „Meine Apps“ die Kachel „Google Cloud / G Suite Connector by Microsoft“ auswählen, werden Sie zur Anmelde-URL für Google Cloud / G Suite Connector by Microsoft weitergeleitet. Weitere Informationen zu "Meine Apps" finden Sie in der Einführung in "Meine Apps".
Verwandte Inhalte
Nachdem Sie Google Cloud / G Suite Connector by Microsoft konfiguriert haben, können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender für Cloud-Apps erzwingen.