Mengonfigurasi G Suite untuk provisi pengguna otomatis dengan ID Microsoft Entra

Artikel ini menjelaskan langkah-langkah yang perlu Anda lakukan di ID G Suite dan Microsoft Entra untuk mengonfigurasi provisi pengguna otomatis. Saat dikonfigurasi, MICROSOFT Entra ID secara otomatis memprovisi dan mendeprovisi pengguna dan grup ke G Suite menggunakan layanan provisi Microsoft Entra. Untuk detail penting tentang apa yang dilakukan layanan ini, cara kerjanya, dan tanya jawab umum, lihat Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra.

Catatan

Artikel ini menjelaskan konektor yang dibangun di atas Layanan Provisi pengguna Microsoft Entra. Untuk detail penting tentang apa yang dilakukan layanan ini, cara kerjanya, dan tanya jawab umum, lihat Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra.

Kemampuan yang didukung

• Membuat pengguna di G Suite
• Menghapus pengguna di G Suite saat mereka tidak memerlukan akses lagi (catatan: menghapus pengguna dari cakupan sinkronisasi tidak mengakibatkan penghapusan objek di GSuite)
• Menjaga atribut pengguna tetap sinkron antara MICROSOFT Entra ID dan G Suite
• Memprovisi grup dan keanggotaan grup di G Suite
• Akses menyeluruh ke G Suite (disarankan)

Prasyarat

Skenario yang diuraikan dalam artikel ini mengasumsikan bahwa Anda sudah memiliki prasyarat berikut:

• Akun pengguna Microsoft Entra dengan langganan aktif. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
• Salah satu peran berikut:
  • Administrator Aplikasi
  • Administrator Aplikasi Cloud
  • Pemilik Aplikasi .

• Penyewa G Suite
• Akun pengguna di G Suite dengan izin Admin.

Langkah 1: Merencanakan penyebaran provisi Anda

1. Pelajari tentang Cara kerja layanan provisi .
2. Tentukan siapa yang berada dalam cakupan penyediaan.
3. Tentukan data apa yang akan dipetakan antara ID Microsoft Entra dan G Suite.

Langkah 2: Mengonfigurasi G Suite untuk mendukung provisi dengan ID Microsoft Entra

Sebelum mengonfigurasi G Suite untuk provisi pengguna otomatis dengan MICROSOFT Entra ID, Anda harus mengaktifkan provisi SCIM di G Suite.

1. Masuk ke konsol Admin G Suite dengan akun administrator Anda, lalu pilih Menu utama lalu pilih Keamanan. Jika Anda tidak melihatnya, mungkin tersembunyi di bagian menu Tampilkan Selengkapnya.

   

   

2. Navigasi ke Keamanan -> Akses dan kontrol data -> Kontrol API . Pilih kotak centang Percayai aplikasi internal, milik domain lalu pilih SIMPAN

   

   Penting

   Untuk setiap pengguna yang ingin Anda provisikan ke G Suite, nama pengguna mereka di ID Microsoft Entra harus terkait dengan domain kustom. Misalnya, nama pengguna yang terlihat seperti bob@contoso.onmicrosoft.com tidak diterima oleh G Suite. Di sisi lain, bob@contoso.com diterima. Anda bisa mengubah domain pengguna yang ada dengan mengikuti instruksi di sini.

3. Setelah menambahkan dan memverifikasi domain kustom yang diinginkan dengan ID Microsoft Entra, Anda harus memverifikasinya lagi dengan G Suite. Untuk memverifikasi domain di G Suite, lihat langkah-langkah berikut:

   1. Di Konsol Admin G Suite, navigasikan ke Akun -> Domain -> Kelola Domain.

      

   2. Di halaman Kelola Domain, pilih Tambahkan domain.

      

   3. Pilih Tambahkan domain lain, lalu ketik nama domain yang ingin Anda tambahkan.

      

   4. Pilih TAMBAHKAN DOMAIN & MULAI VERIFIKASI. Lalu ikuti langkah-langkah untuk memverifikasi bahwa Anda adalah pemilik nama domain. Untuk petunjuk komprehensif tentang cara memverifikasi domain Anda dengan Google, lihat Memverifikasi kepemilikan situs Anda.

   5. Ulangi langkah-langkah sebelumnya untuk domain lain yang ingin Anda tambahkan ke G Suite.

4. Selanjutnya, tentukan akun admin mana yang ingin Anda gunakan untuk mengelola provisi pengguna di G Suite. Navigasikan ke Akun->peran Admin.

   

5. Untuk Peran admin akun tersebut, edit Hak Istimewa untuk peran tersebut. Pastikan untuk mengaktifkan semua Hak Istimewa API Admin sehingga akun ini dapat digunakan untuk provisi.

   

Langkah 3: Menambahkan G Suite dari galeri aplikasi Microsoft Entra

Tambahkan G Suite dari galeri aplikasi Microsoft Entra untuk mulai mengelola provisi ke G Suite. Jika sebelumnya Anda telah menyiapkan G Suite untuk SSO, Anda dapat menggunakan aplikasi yang sama. Namun, kami sarankan Anda membuat aplikasi terpisah saat menguji integrasi pada awalnya. Pelajari selengkapnya tentang cara menambahkan aplikasi dari galeri di sini.

Langkah 4: Tentukan siapa yang berada dalam cakupan provisi

Layanan provisi Microsoft Entra memungkinkan Anda untuk mencakup siapa yang disediakan berdasarkan penugasan ke aplikasi, atau berdasarkan atribut pengguna atau grup. Jika Anda memilih untuk mencakup siapa yang diprovisikan ke aplikasi Anda berdasarkan penugasan, Anda dapat menggunakan langkah-langkah untuk menetapkan pengguna dan grup ke aplikasi. Jika Anda memilih untuk menentukan cakupan siapa yang diberi hak akses hanya berdasarkan atribut pengguna atau grup, Anda dapat menggunakan filter cakupan.

• Mulai dari yang kecil. Lakukan pengujian pada set kecil pengguna dan grup sebelum meluncurkan ke semua orang. Saat cakupan provisi diatur ke pengguna dan grup yang telah ditetapkan, Anda dapat mengontrolnya dengan menetapkan satu atau dua pengguna atau grup ke aplikasi. Ketika cakupan diatur ke semua pengguna dan grup, Anda dapat menentukan filter cakupan berbasis atribut.

• Jika Anda memerlukan peran tambahan, Anda dapat memperbarui manifes aplikasi untuk menambahkan peran baru.

Langkah 5: Mengonfigurasi provisi pengguna otomatis ke G Suite

Bagian ini memandu Anda melalui langkah-langkah untuk mengonfigurasi layanan provisi Microsoft Entra untuk membuat, memperbarui, dan menonaktifkan pengguna dan/atau grup di TestApp berdasarkan penetapan pengguna dan/atau grup di ID Microsoft Entra.

Catatan

Untuk mempelajari lebih lanjut titik akhir API Direktori G Suite, lihat dokumentasi referensi API Direktori.

Untuk mengonfigurasi provisi pengguna otomatis untuk G Suite di ID Microsoft Entra:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

2. Telusuri ke Entra ID>Aplikasi Perusahaan.

   

   

3. Dalam daftar aplikasi, pilih G Suite.

   

4. Pilih tab Penyediaan. Pilih Memulai.

   

5. Atur Mode Penyediaan ke Otomatis.

   

6. Di bawah bagian Info Masuk Admin , pilih Otorisasi. Anda dialihkan ke kotak dialog otorisasi Google di jendela browser baru.

   

7. Konfirmasikan bahwa Anda ingin memberikan izin Microsoft Entra untuk membuat perubahan pada penyewa G Suite Anda. Pilih Terima.

   

8. Pilih Uji Koneksi untuk memastikan ID Microsoft Entra dapat tersambung ke G Suite. Jika koneksi gagal, pastikan akun G Suite Anda memiliki izin Admin, lalu coba lagi. Kemudian coba langkah Otorisasi lagi.

9. Di bidang Surel Pemberitahuan, masukkan alamat surel seseorang atau grup penerima pemberitahuan kesalahan provisi dan pilih kotak centang Kirim pemberitahuan surel ketika kegagalan terjadi.

   

10. Pilih Simpan.

11. Di bawah bagian Pemetaan, pilih Provisikan pengguna Microsoft Entra.

12. Tinjau atribut pengguna yang disinkronkan dari ID Microsoft Entra ke G Suite di bagian Pemetaan Atribut. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

Catatan

Provisi GSuite saat ini hanya mendukung penggunaan primaryEmail sebagai atribut yang cocok.

Atribut	Jenis
email utama	string
relations. [ketik persamaan "manager"].value	string
nama.keluarga	string
nama.namaDepan	string
ditangguhkan	string
externalIds.[ketik persamaan "custom"].value	string
externalIds.[tipe sama dengan "organization"].value	string
addresses.[ketik persamaan "work"].country	string
addresses.[jenis sama dengan "work"].alamatJalan	string
addresses.[ketik persamaan "work"].region	string
addresses.[ketik persamaan "work"].locality	string
addresses.[ketik persamaan "work"].postalCode	string
emails.[ketik persamaan "work"].address	string
organizations.[tipe sama dengan "work"].department	string
organizations.[tipe sama dengan "work"].title	string
phoneNumbers.[ketik persamaan "work"].value	string
phoneNumbers.[ketik persamaan "mobile"].value	string
phoneNumbers.[ketik persamaan "work_fax"].value	string
emails.[ketik persamaan "work"].address	string
organizations.[tipe sama dengan "work"].department	string
organizations.[tipe sama dengan "work"].title	string
alamat.[tipe sama dengan "home"].negara	string
addresses.[tipe sama dengan "home"].formatted	string
addresses.[ketik persamaan "home"].locality	string
addresses.[tipe sama dengan "home"].postalCode	string
addresses.[tipe sama dengan "home"].region	string
addresses.[ketik persamaan "home"].streetAddress	string
addresses.[ketik persamaan "other"].country	string
addresses.[dengan tipe sama dengan "other"].formatted	string
addresses.[jenis sama dengan "other"].lokalitas	string
addresses.[ketik persamaan "other"].postalCode	string
addresses.[ketik persamaan "other"].region	string
addresses.[ketik persamaan "other"].streetAddress	string
addresses.[ketik persamaan "work"].formatted	string
UbahKataSandiSaatLoginBerikutnya	string
emails.[jenis sama dengan "home"].address	string
emails.[tipe sama dengan "other"].alamat	string
externalIds.[ketik persamaan "account"].value	string
externalIds.[jenis sama dengan "custom"].customType	string
externalIds.[ketik persamaan "customer"].value	string
externalIds.[ketik persamaan "login_id"].value	string
externalIds.[ketik persamaan "network"].value	string
gender.type	string
DihasilkanIdTetap	string
pengidentifikasi	string
ims.[ketik persamaan "home"].protocol	string
ims.[ketik persamaan "other"].protocol	string
ims.[ketik persamaan "work"].protocol	string
sertakanDalamDaftarAlamatGlobal	string
ipWhitelisted	string
organizations.[tipe sama dengan "school"].costCenter	string
organisasi.[type eq "sekolah"].departemen	string
organizations.[ketik persamaan "school"].domain	string
organizations.[ketik persamaan "school"].fullTimeEquivalent	string
organizations.[tipe sama dengan "school"].location	string
organizations.[ketik persamaan "school"].name	string
organizations.[ketik persamaan "school"].symbol	string
organizations.[tipe sama dengan "school"].title	string
organizations.[ketik persamaan "work"].costCenter	string
organizations.[ketik persamaan "work"].domain	string
organizations.[ketik persamaan "work"].fullTimeEquivalent	string
organizations.[ketik persamaan "work"].location	string
organizations.[ketik persamaan "work"].name	string
organizations.[ketik persamaan "work"].symbol	string
OrgUnitPath	string
phoneNumbers.[tipe sama dengan "home"].value	string
phoneNumbers.[ketik persamaan "other"].value	string
websites.[ketik persamaan "home"].value	string
websites.[ketik persamaan "other"].value	string
websites.[ketik persamaan "work"].value	string

1. Di bawah bagian Pemetaan, pilih Provisikan grup Microsoft Entra.

2. Tinjau atribut grup yang disinkronkan dari ID Microsoft Entra ke G Suite di bagian Pemetaan Atribut. Atribut yang dipilih sebagai properti Pencocokan digunakan untuk mencocokkan grup di G Suite untuk operasi pembaruan. Pilih tombol Simpan untuk menerapkan perubahan apa pun.

   Atribut	Jenis
   surat elektronik	string
   Anggota	string
   nama	string
   Deskripsi	string

3. Untuk mengonfigurasi filter cakupan, lihat instruksi berikut yang disediakan dalam artikel Filter Cakupan.

4. Untuk mengaktifkan layanan provisi Microsoft Entra untuk G Suite, ubah Status Provisi menjadi Aktif di bagian Pengaturan .

   

5. Tetapkan pengguna dan/atau grup yang ingin Anda provisikan ke G Suite dengan memilih nilai yang diinginkan pada Cakupan di bagian Pengaturan.

   

6. Setelah Anda siap memprovisi, pilih Simpan.

   

Operasi ini memulai siklus sinkronisasi awal semua pengguna dan grup yang ditentukan dalam Cakupan di bagian Pengaturan. Siklus awal membutuhkan waktu lebih lama untuk dilakukan daripada siklus berikutnya, yang terjadi sekitar setiap 40 menit selama layanan provisi Microsoft Entra berjalan.

Catatan

Jika pengguna sudah memiliki akun pribadi/konsumen yang sudah ada menggunakan alamat email pengguna Microsoft Entra, hal ini dapat menyebabkan beberapa masalah yang dapat diselesaikan dengan menggunakan Google Transfer Tool sebelum melakukan sinkronisasi direktori.

Langkah 6: Memantau penyebaran Anda

Setelah mengonfigurasi penyediaan, gunakan sumber daya berikut untuk memantau penyebaran Anda.

1. Gunakan log provisi untuk menentukan pengguna mana yang berhasil disediakan atau tidak berhasil
2. Periksa bilah progres untuk melihat status siklus provisi dan seberapa dekat dengan penyelesaiannya.
3. Jika konfigurasi provisi tampaknya dalam keadaan tidak sehat, aplikasi masuk ke karantina. Pelajari lebih lanjut tentang status karantina penyediaan aplikasi di artikel status karantina .

Tips Pemecahan Masalah

• Menghapus pengguna dari cakupan sinkronisasi menonaktifkannya di GSuite tetapi tidak akan mengakibatkan penghapusan pengguna di G Suite

Akses aplikasi just-in-time (JIT) dengan PIM untuk grup

Dengan PIM untuk Grup, Anda dapat menyediakan akses just-in-time ke grup di Google Cloud / Google Workspace dan mengurangi jumlah pengguna yang memiliki akses permanen ke grup istimewa di Google Cloud / Google Workspace.

Mengonfigurasi aplikasi perusahaan Anda untuk SSO dan provisi

1. Tambahkan Google Cloud / Google Workspace ke penyewa Anda, konfigurasikan agar dapat digunakan untuk penyediaan seperti yang dijelaskan dalam artikel ini, dan mulai penyediaan.
2. Konfigurasikan Single Sign-On untuk Google Cloud / Google Workspace.
3. Buat grup yang menyediakan akses ke aplikasi kepada semua pengguna.
4. Tetapkan grup ke aplikasi Google Cloud / Google Workspace.
5. Tetapkan pengguna uji Anda sebagai anggota langsung grup yang dibuat di langkah sebelumnya, atau berikan mereka akses ke grup melalui paket akses. Grup ini dapat digunakan untuk akses persisten dan nonadmin di Google Cloud / Google Workspace.

Mengaktifkan PIM untuk grup

1. Buat grup kedua di ID Microsoft Entra. Grup ini menyediakan akses ke izin admin di Google Cloud/ Google Workspace.
2. Tempatkan grup di bawah manajemen di Microsoft Entra PIM.
3. Tetapkan pengguna uji Anda sebagai dianggap layak untuk grup di PIM dengan peran sebagai anggota.
4. Tetapkan grup kedua ke aplikasi Google Cloud / Google Workspace.
5. Gunakan provisi sesuai permintaan untuk membuat grup di Google Cloud / Google Workspace.
6. Masuk ke Google Cloud / Google Workspace dan tetapkan grup kedua izin yang diperlukan untuk melakukan tugas admin.

Sekarang setiap pengguna akhir yang dibuat memenuhi syarat untuk grup di PIM bisa mendapatkan akses JIT ke grup di Google Cloud / Google Workspace dengan mengaktifkan keanggotaan grup mereka. Saat tugas mereka kedaluwarsa, pengguna dihapus dari grup di Google Cloud / Google Workspace. Selama siklus bertahap berikutnya, layanan pemenuhan mencoba menghapus pengguna dari grup lagi. Ini mungkin mengakibatkan kesalahan dalam log provisi. Kesalahan ini diantisipasi karena keanggotaan grup sudah dihapus. Pesan kesalahan dapat diabaikan.

• Berapa lama waktu yang diperlukan untuk menyediakan pengguna ke aplikasi?
  • Saat pengguna ditambahkan ke grup di Microsoft Entra ID selain mengaktifkan keanggotaan grup mereka menggunakan Microsoft Entra ID Privileged Identity Management (PIM):
    • Keanggotaan grup disediakan dalam aplikasi selama siklus sinkronisasi berikutnya. Siklus sinkronisasi berjalan setiap 40 menit.
  • Saat pengguna mengaktifkan keanggotaan grup mereka di MICROSOFT Entra ID PIM:
    • Keanggotaan grup disediakan dalam 2 – 10 menit. Ketika ada tingkat permintaan yang tinggi secara bersamaan, permintaan dibatasi pada tingkat lima permintaan per 10 detik.
    • Untuk lima pengguna pertama dalam periode 10 detik yang mengaktifkan keanggotaan grup mereka untuk aplikasi tertentu, keanggotaan grup disediakan dalam aplikasi dalam waktu 2-10 menit.
    • Untuk pengguna keenam dan seterusnya dalam periode 10 detik yang mengaktifkan keanggotaan grup mereka untuk aplikasi tertentu, keanggotaan grup disediakan untuk aplikasi dalam siklus sinkronisasi berikutnya. Siklus sinkronisasi berjalan setiap 40 menit. Batas pembatasan penggunaan berlaku untuk setiap aplikasi perusahaan.
• Jika pengguna tidak dapat mengakses grup yang diperlukan di Google Cloud / Google Workspace, tinjau log PIM, dan log provisi untuk memastikan bahwa keanggotaan grup berhasil diperbarui. Tergantung pada bagaimana aplikasi target dirancang, mungkin perlu lebih banyak waktu agar keanggotaan grup berlaku dalam aplikasi.
• Anda dapat membuat pemberitahuan untuk kegagalan menggunakan Azure Monitor.

Log Perubahan 

• 17/10/2020 - Menambahkan dukungan untuk lebih banyak atribut pengguna dan grup G Suite.
• 17/10/2020 - Nama atribut target G Suite yang diperbarui agar sesuai dengan apa yang ditentukan di sini.
• 17/10/2020 - Pemetaan atribut default yang diperbarui.

Sumber daya lainnya

• Mengelola provisi akun pengguna untuk Aplikasi Perusahaan
• Apa itu akses aplikasi dan masuk tunggal dengan Microsoft Entra ID?

Konten terkait

• Pelajari cara untuk mengulas log dan mendapatkan laporan tentang aktivitas penyediaan