Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive i passaggi che devi eseguire sia in G Suite che in Microsoft Entra ID per configurare il provisioning automatico degli utenti. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in G Suite usando il servizio di provisioning di Microsoft Entra. Per dettagli importanti su cosa fa questo servizio, come funziona e domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti in applicazioni SaaS con Microsoft Entra ID.
Nota
Questo articolo descrive un connettore costruito sopra il servizio di provisioning utenti di Microsoft Entra. Per dettagli importanti su cosa fa questo servizio, come funziona e domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti in applicazioni SaaS con Microsoft Entra ID.
Capacità supportate
- Creazione di utenti in G Suite
- Rimuovere gli utenti in G Suite quando non richiedono più l'accesso (nota: la rimozione di un utente dall'ambito di sincronizzazione non comporta l'eliminazione dell'oggetto in GSuite)
- Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e G Suite
- Provisioning di gruppi e iscrizioni a gruppi in Google Workspace
- Accesso unico a G Suite (raccomandata)
Prerequisiti
Lo scenario descritto in questo articolo presuppone che siano già disponibili i prerequisiti seguenti:
- Un account utente di Microsoft Entra con una sottoscrizione attiva. Se non è già disponibile, è possibile Creare un account gratuitamente.
- Uno dei ruoli seguenti:
- Un tenant di G Suite
- Account utente in G Suite con autorizzazioni di amministratore.
Passaggio 1: Pianificare la distribuzione del provisioning
- Scopri come funziona il servizio di provisioning.
- Determinare gli utenti inclusi nell'ambito per il provisioning.
- Determinare per quali dati eseguire il mapping tra Microsoft Entra ID e G Suite.
Passaggio 2: Configurare G Suite perché supporti il provisioning con Microsoft Entra ID
Prima di configurare G Suite per il provisioning automatico degli utenti con Microsoft Entra ID, è necessario attivare il provisioning SCIM in G Suite.
Accedere alla console di amministrazione di G Suite con l'account amministratore, quindi selezionare Menu principale e quindi selezionare Sicurezza. Se non viene visualizzato, potrebbe essere nascosto nel menu Mostra altro.
Passare a Sicurezza -> Accesso e controllo dati -> Controlli API . Selezionare la casella di controllo Considera attendibilità interna, app di proprietà del dominio e quindi selezionare SALVA
Importante
Per ogni utente per cui verrà effettuato il provisioning in G Suite, è necessario associare il relativo nome utente in Microsoft Entra ID a un dominio personalizzato. Ad esempio, i nomi utente che sembrano bob@contoso.onmicrosoft.com non vengono accettati da G Suite. Invece, bob@contoso.com viene accettato. È possibile modificare il dominio di un utente esistente seguendo le istruzioni riportate qui.
Dopo aver aggiunto e verificato i domini personalizzati desiderati con Microsoft Entra ID, è necessario verificarli di nuovo con G Suite. Per verificare i domini in G Suite, seguire questa procedura:
Nella Console di amministrazione di G Suite passare andare su Account -> Domini -> Gestisci domini.
Nella pagina Gestisci dominio selezionare Aggiungi un dominio.
Nella pagina Aggiungi dominio, digitare il nome del dominio che si vuole aggiungere.
Selezionare AGGIUNGI DOMINIO E AVVIA VERIFICA. Seguire i passaggi per verificare che si è proprietari del nome di dominio. Per istruzioni dettagliate su come verificare il dominio con Google, vedere Verificare la proprietà del sito.
Ripetere i passaggi precedenti per eventuali altri domini che si intende aggiungere a G Suite.
Quindi, determina quale account amministratore desideri utilizzare per gestire la fornitura degli utenti in G Suite. Accedi a Account->Ruoli di amministratore.
Per il ruolo di amministratore dell'account, modificare i privilegi per quel ruolo. Assicurarsi di abilitare tutti i privilegi dell'API di amministratore in modo che l'account possa essere usato per il provisioning.
Passaggio 3: Aggiungere G Suite dalla raccolta di applicazioni Microsoft Entra
Aggiungere G Suite dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in G Suite. Se G Suite è stato configurato in precedenza per l'accesso SSO, è possibile usare la stessa applicazione. Tuttavia, è consigliabile creare un'app separata durante il test iniziale dell'integrazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.
Passaggio 4: Definire chi è nell'ambito per la gestione
Il servizio di provisioning di Microsoft Entra consente di delimitare chi viene fornito in base all'assegnazione all'applicazione o in base agli attributi degli utenti o dei gruppi. Se si sceglie di definire l'ambito dell'app in base all'assegnazione, è possibile utilizzare i passaggi per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito del provisioning in base esclusivamente agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito.
Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.
Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.
Passaggio 5: Configurare il provisioning automatico degli utenti in G Suite
Questa sezione descrive la procedura per configurare il servizio di provisioning di Microsoft Entra in modo da creare, aggiornare e disabilitare utenti e/o gruppi in TestApp in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.
Nota
Per altre informazioni sull'endpoint dell'API Directory di G Suite, consultare la documentazione di riferimento su API Directory.
Per configurare l'approvvigionamento utenti automatico per G Suite in Microsoft Entra ID:
Accedere all'Interfaccia di amministrazione di Microsoft Entra con un ruolo di almeno Amministratore applicazione cloud.
Naviga a Entra ID>applicazioni aziendali.
Nell'elenco di applicazioni selezionare G Suite.
Selezionare la scheda Provisioning . Selezionare Inizia.
Impostare Modalità di provisioning su Automatico.
Nella sezione credenziali amministrative, selezionare Autorizza. Si viene reindirizzati a una finestra di dialogo di autorizzazione google in una nuova finestra del browser.
Confermare che si vuole concedere a Microsoft Entra le autorizzazioni per apportare modifiche al tenant di G Suite. Selezionare Accetto.
Selezionare Test connessione per verificare che Microsoft Entra ID possa connettersi a G Suite. Se la connessione non riesce, verificare che l'account G Suite disponga delle autorizzazioni di amministratore e riprovare. Ripetere quindi il passaggio per l'autorizzazione.
Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.
Seleziona Salva.
Nella sezione Mappature, selezionare Esegui provisioning degli utenti Microsoft Entra.
Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a G Suite nella sezione Mappatura attributi. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Nota
Il provisioning di GSuite supporta attualmente solo l'uso di primaryEmail come attributo corrispondente.
| Attributo | Tipo |
|---|---|
| email principale | Stringa |
| relazioni.[type eq "manager"].value | Stringa |
| nome.cognome | Stringa |
| nome.nomeDato | Stringa |
| sospeso | Stringa |
| externalIds.[type == "custom"].value | Stringa |
| externalIds.[type eq "organizzazione"].value | Stringa |
| addresses[type eq "work"].country | Stringa |
| indirizzi.[tipo eq "lavoro"].indirizzoStradale | Stringa |
| indirizzi.[tipo eq "lavoro"].regione | Stringa |
| indirizzi.[tipo eq "lavoro"].località | Stringa |
| addresses[type eq "work"].postalCode | Stringa |
| email.[tipo eq "lavoro"].indirizzo | Stringa |
| organizations.[type eq "work"].dipartimento | Stringa |
| organizzazioni.[type eq "work"].title | Stringa |
| phoneNumbers[type eq "work"].value | Stringa |
| phoneNumbers.[type uguale a "mobile"].value | Stringa |
| phoneNumbers.[type eq "fax_lavoro"].value | Stringa |
| email.[tipo eq "lavoro"].indirizzo | Stringa |
| organizations.[type eq "work"].dipartimento | Stringa |
| organizzazioni.[type eq "work"].title | Stringa |
| addresses.[tipo eq "casa"].country | Stringa |
| indirizzi.[tipo eq "casa"].formattato | Stringa |
| addresses.[type eq "casa"].locality | Stringa |
| indirizzi.[type eq "home"].codicePostale | Stringa |
| addresses.[type eq "casa"].region | Stringa |
| indirizzi.[tipo uguale a "casa"].indirizzoStradale | Stringa |
| indirizzi.[tipo eq "altro"].paese | Stringa |
| indirizzi.[tipo eq "altri"].formattato | Stringa |
| indirizzi.[type eq "other"].località | Stringa |
| indirizzi.[type eq "other"].codicePostale | Stringa |
| indirizzi.[type eq "other"].regione | Stringa |
| addresses.[type eq "altro"].indirizzoStradale | Stringa |
| addresses[type eq "work"].formatted | Stringa |
| cambiaPasswordAlProssimoAccesso | Stringa |
| email.[type eq "home"].indirizzo | Stringa |
| emails.[tipo eq "altro"].indirizzo | Stringa |
| externalIds. [type eq "account"].value | Stringa |
| externalIds.[tipo = "custom"].customType | Stringa |
| identificativiEsterni.[tipo eq "cliente"].valore | Stringa |
| externalIds.[tipo eq "login_id"].valore | Stringa |
| externalIds. [type eq "network"].value | Stringa |
| tipo.genere | Stringa |
| IDImmutabileGenerato | Stringa |
| Identificatore | Stringa |
| Ims. [type eq "home"].protocol | Stringa |
| ims.[type eq "altro"].protocol | Stringa |
| Ims. [type eq "work"].protocol | Stringa |
| includeInGlobalAddressList | Stringa |
| ip nella lista bianca | Stringa |
| Organizzazioni. [type eq "school"].costCenter | Stringa |
| organizzazioni.[type eq "scuola"].dipartimento | Stringa |
| organizzazioni.[tipo eq "scuola"].dominio | Stringa |
| organizations.[type eq "school"].equivalenteATempoPieno | Stringa |
| organizations.[type eq "scuola"].location | Stringa |
| organizzazioni.[type eq "school"].nome | Stringa |
| organizzazioni.[type eq "school"].symbol | Stringa |
| organizzazioni.[tipo eq "scuola"].titolo | Stringa |
| organizzazioni.[tipo eq "work"].centroDiCosto | Stringa |
| organizzazioni.[tipo eq "lavoro"].dominio | Stringa |
| Organizzazioni. [type eq "work"].fullTimeEquivalent | Stringa |
| organizzazioni.[tipo eq "lavoro"].posizione | Stringa |
| organizations.[type eq "lavoro"].name | Stringa |
| Organizzazioni. [type eq "work"].symbol | Stringa |
| OrgUnitPath | Stringa |
| phoneNumbers. [type eq "home"].value | Stringa |
| phoneNumbers. [type eq "other"].value | Stringa |
| sitiweb.[tipo eq "home"].valore | Stringa |
| siti web. [type eq "other"].value | Stringa |
| [Il sito web] websites.[type eq "work"].value | Stringa |
Nella sezione Mappings, selezionare Esegui provisioning dei gruppi Microsoft Entra.
Esaminare gli attributi del gruppo sincronizzati da Microsoft Entra ID a G Suite nella sezione Mapping degli attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in G Suite per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Attributo Tipo E-mail Stringa Membri Stringa nome Stringa descrizione Stringa Per configurare i filtri di ambito, vedere le istruzioni seguenti fornite nell'articolo Filtro di ambito.
Per abilitare il servizio di provisioning di Microsoft Entra per G Suite, impostare Stato del provisioning su Sì nella sezione Impostazioni.
Definire gli utenti e/o i gruppi di cui si vuole effettuare il provisioning in G Suite selezionando i valori desiderati in Ambito nella sezione Impostazioni.
Quando sei pronto a configurare, seleziona Salva.
L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.
Nota
Se gli utenti hanno già un account personale/consumer esistente usando l'indirizzo di posta elettronica dell'utente microsoft Entra, potrebbe causare un problema che potrebbe essere risolto usando Google Transfer Tool prima di eseguire la sincronizzazione della directory.
Passaggio 6: monitorare la distribuzione
Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:
- Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning correttamente o in modo non riuscito
- Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento
- Se la configurazione del provisioning sembra essere in uno stato critico, l'applicazione entra in quarantena. Per saperne di più sugli stati di quarantena, consulta l'articolo relativo al provisioning delle applicazioni con stato di quarantena.
Suggerimenti per la risoluzione dei problemi
- La rimozione di un utente dall'ambito di sincronizzazione lo disabilita in G Suite, ma non comporta l'eliminazione dell'utente in G Suite
Accesso just-in-time (JIT) alle applicazioni con PIM per i gruppi
Con PIM per i gruppi, è possibile fornire l'accesso just-in-time ai gruppi in Google Cloud/Google Workspace e ridurre il numero di utenti che hanno accesso permanente ai gruppi con privilegi in Google Cloud/Google Workspace.
Configurare l'applicazione aziendale per SSO e provisioning
- Aggiungere Google Cloud/Google Workspace al tenant, configurarlo per il provisioning come descritto in questo articolo e avviare il provisioning.
- Configurare il Single Sign-On per Google Cloud/Google Workspace.
- Creare un gruppo che fornisce a tutti gli utenti l'accesso all'applicazione.
- Assegnare il gruppo all'applicazione Google Cloud/Google Workspace.
- Assegnare l'utente di test come membro diretto del gruppo creato nel passaggio precedente oppure fornire l'accesso al gruppo tramite un pacchetto di accesso. Questo gruppo può essere usato per l'accesso permanente e non amministratore in Google Cloud/Google Workspace.
Abilitare PIM per i gruppi
- Creare un secondo gruppo in Microsoft Entra ID. Questo gruppo fornisce l'accesso alle autorizzazioni di amministratore in Google Cloud/Google Workspace.
- Portare il gruppo sotto gestione in Microsoft Entra PIM.
- Assegna l'utente di test come idoneo per il gruppo in PIM con il ruolo di membro.
- Assegnare il secondo gruppo all'applicazione Google Cloud/Google Workspace.
- Usare il provisioning su richiesta per creare il gruppo in Google Cloud/Google Workspace.
- Accedere a Google Cloud/Google Workspace e assegnare al secondo gruppo le autorizzazioni necessarie per eseguire le attività di amministratore.
Ora qualsiasi utente finale che è stato reso idoneo per il gruppo in PIM può ottenere l'accesso JIT al gruppo in Google Cloud/Google Workspace attivando l'appartenenza al gruppo. Alla scadenza dell'assegnazione, l'utente viene rimosso dal gruppo in Google Cloud/Google Workspace. Durante il ciclo incrementale successivo, il servizio di provisioning tenta di rimuovere nuovamente l'utente dal gruppo. Ciò potrebbe causare un errore nei log di provisioning. Questo errore è previsto perché l'appartenenza al gruppo è già stata rimossa. È possibile ignorare questo messaggio di errore.
- Quanto tempo ci vuole per fornire un utente all'applicazione?
- Quando un utente viene aggiunto a un gruppo in Microsoft Entra ID al di fuori dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra ID Privileged Identity Management (PIM):
- L'appartenenza al gruppo viene provisionata nell'applicazione durante il ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti.
- Quando un utente attiva l'appartenenza al gruppo in Microsoft Entra ID PIM:
- L'appartenenza al gruppo viene effettuata entro 2-10 minuti. Quando si verifica una frequenza elevata di richieste contemporaneamente, le richieste vengono limitate a una velocità di cinque richieste ogni 10 secondi.
- Per i primi cinque utenti che attivano l'appartenenza a un gruppo specifico per un'applicazione specifica in un periodo di 10 secondi, l'appartenenza al gruppo viene resa disponibile nell'applicazione entro 2-10 minuti.
- Per il sesto utente e oltre entro un periodo di 10 secondi che attiva l'appartenenza al gruppo per un'applicazione specifica, viene effettuato il provisioning dell'appartenenza al gruppo all'applicazione nel ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti. I limiti di throttling sono per ogni applicazione aziendale.
- Quando un utente viene aggiunto a un gruppo in Microsoft Entra ID al di fuori dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra ID Privileged Identity Management (PIM):
- Se l'utente non è in grado di accedere al gruppo necessario in Google Cloud Google Workspace, esaminare i registri di PIM e i registri di provisioning per assicurarsi che l'appartenenza al gruppo sia stata aggiornata correttamente. A seconda della modalità di progettazione dell'applicazione di destinazione, l'applicazione di destinazione potrebbe richiedere più tempo per rendere effettiva l'appartenenza al gruppo nell'applicazione.
- È possibile creare avvisi per gli errori usando Monitoraggio di Azure.
Registro modifiche
- 17/10/2020: aggiunta del supporto per altri attributi di gruppo e utente di G Suite.
- 17/10/2020: aggiornamento dei nomi degli attributi di destinazione di G Suite in base a quanto definito qui.
- 17/10/2020: aggiornamento dei mapping degli attributi predefiniti.
Altre risorse
- Gestione del provisioning degli account utente per app aziendali
- Che cos'è l'accesso alle applicazioni e Single Sign-On con Microsoft Entra ID?