Configurare la federazione tra Google Workspace e Microsoft Entra ID

Questo articolo descrive i passaggi necessari per configurare Google Workspace come provider di identità (IdP) per l'ID Microsoft Entra.
Dopo la configurazione, gli utenti possono accedere a Microsoft Entra ID con le credenziali dell'area di lavoro Google.

Prerequisiti

Per configurare Google Workspace come IDP per l'ID Microsoft Entra, è necessario soddisfare i prerequisiti seguenti:

1. Un tenant di Microsoft Entra, con uno o più domini DNS personalizzati (ovvero domini che non sono nel formato *.onmicrosoft.com)
   • Se il dominio federato non è ancora stato aggiunto a Microsoft Entra ID, è necessario avere accesso al dominio DNS per creare un record DNS. Questa operazione è necessaria per verificare la proprietà dello spazio dei nomi DNS
   • Informazioni su come aggiungere il nome di dominio personalizzato usando l'interfaccia di amministrazione di Microsoft Entra
2. Accesso all'interfaccia di amministrazione di Microsoft Entra come amministratore del provider di identità esterno
3. Accesso a Google Workspace con un account con privilegi di amministratore avanzati

Per testare la federazione, è necessario soddisfare i prerequisiti seguenti:

1. Un ambiente Google Workspace, con gli utenti già creati

   Importante

   Gli utenti richiedono un indirizzo di posta elettronica definito in Google Workspace, usato per corrispondere agli utenti in Microsoft Entra ID. Per altre informazioni sulla corrispondenza delle identità, vedere Corrispondenza delle identità in Microsoft Entra ID.

2. Singoli account Microsoft Entra già creati: ogni utente di Google Workspace richiede un account corrispondente definito in Microsoft Entra ID. Questi account vengono comunemente creati tramite soluzioni automatizzate, ad esempio:
   • School Data Sync (SDS)
   • Microsoft Entra Connect Sync per l'ambiente con Active Directory Domain Services locale
   • Script di PowerShell che chiamano l'API Microsoft Graph
   • Strumenti di provisioning offerti da IdP - Google Workspace offre il provisioning automatico

Configurare Google Workspace come IDP per l'ID Microsoft Entra

1. Accedere alla console di amministrazione di Google Workspace con un account con privilegi di amministratore con privilegi avanzati

2. Selezionare App > Web e app per dispositivi mobili

3. Selezionare Aggiungi app > Cercare app e cercare Microsoft

4. Nella pagina dei risultati della ricerca passare il puntatore del mouse sull'app Microsoft Office 365 - Web (SAML) e selezionare Seleziona

5. Nella pagina dei dettagli del provider di identità google selezionare Scarica metadati e prendere nota del percorso in cui vengono salvati i metadati - IdPGoogleIDPMetadata.xml- file, perché viene usato per configurare l'ID Microsoft Entra in un secondo momento

6. Nella pagina dei dettagli del provider di servizi

   • Selezionare l'opzione Risposta firmata
   • Verificare che il formato ID nome sia impostato su PERSISTENT
   • A seconda di come è stato effettuato il provisioning degli utenti di Microsoft Entra in Microsoft Entra ID, potrebbe essere necessario modificare il mapping dell'ID nome .
     Se si usa il provisioning automatico di Google, selezionare Basic Information > Primary email
   • Selezionare Continua

7. Nella pagina Mapping attributi mappare gli attributi di Google agli attributi di Microsoft Entra

   Attributi di Google Directory	Attributi di Microsoft Entra
   Informazioni di base: Posta elettronica primaria	Attributi dell'app: IDPEmail

   Importante

   È necessario assicurarsi che l'indirizzo di posta elettronica dell'account utente di Microsoft Entra corrisponda a quello nell'area di lavoro Google.

8. Selezionare Fine

Ora che l'app è configurata, è necessario abilitarla per gli utenti in Google Workspace:

1. Accedere alla console di amministrazione di Google Workspace con un account con privilegi di amministratore con privilegi avanzati
2. Selezionare App > Web e app per dispositivi mobili
3. Selezionare Microsoft Office 365
4. Selezionare Accesso utente
5. Selezionare ON per tutti i > file Di salvataggio

Configurare l'ID Microsoft Entra come provider di servizi (SP) per Google Workspace

La configurazione di Microsoft Entra ID consiste nel modificare il metodo di autenticazione per i domini DNS personalizzati. Questa configurazione può essere eseguita usando PowerShell.
Usando il file XML dei metadati IdP scaricato da Google Workspace, modificare la variabile $DomainName dello script seguente in modo che corrisponda all'ambiente e quindi eseguirla in una sessione di PowerShell. Quando viene richiesto di eseguire l'autenticazione all'ID Microsoft Entra, accedere come almeno come amministratore del provider di identità esterno

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph

$domainId = "<your domain name>"

$xml = [Xml](Get-Content GoogleIDPMetadata.xml)

$cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
$issuerUri = $xml.EntityDescriptor.entityID
$signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
$signoutUri = "https://accounts.google.com/logout"
$displayName = "Google Workspace Identity"
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

$domainAuthParams = @{
  DomainId = $domainId
  IssuerUri = $issuerUri
  DisplayName = $displayName
  ActiveSignInUri = $signinUri
  PassiveSignInUri = $signinUri
  SignOutUri = $signoutUri
  SigningCertificate = $cert
  PreferredAuthenticationProtocol = "saml"
  federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}

New-MgDomainFederationConfiguration @domainAuthParams

Per verificare che la configurazione sia corretta, è possibile usare il comando di PowerShell seguente:

Get-MgDomainFederationConfiguration -DomainId $domainId |fl

ActiveSignInUri                       : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
DisplayName                           : Google Workspace Identity
FederatedIdpMfaBehavior               : acceptIfMfaDoneByFederatedIdp
Id                                    : 3f600dce-ab37-4798-9341-ffd34b147f70
IsSignedAuthenticationRequestRequired :
IssuerUri                             : https://accounts.google.com/o/saml2?idpid=<GUID>
MetadataExchangeUri                   :
NextSigningCertificate                :
PassiveSignInUri                      : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
PreferredAuthenticationProtocol       : saml
PromptLoginBehavior                   :
SignOutUri                            : https://accounts.google.com/logout
SigningCertificate                    : <BASE64 encoded certificate>
AdditionalProperties                  : {}

Verificare l'autenticazione federata tra Google Workspace e Microsoft Entra ID

Da una sessione del browser privata passare a https://portal.azure.com e accedere con un account Google Workspace:

1. Come nome utente, usare il messaggio di posta elettronica come definito in Google Workspace
2. L'utente viene reindirizzato a Google Workspace per accedere
3. Dopo l'autenticazione di Google Workspace, l'utente viene reindirizzato all'ID Microsoft Entra e ha eseguito l'accesso