Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel leert u hoe u Google Cloud/G Suite Connector van Microsoft integreert met Microsoft Entra ID. Wanneer u Google Cloud /G Suite Connector by Microsoft integreert met Microsoft Entra ID, kunt u het volgende doen:
- In Microsoft Entra ID bepalen wie toegang heeft tot Google Cloud/G Suite Connector door Microsoft.
- Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Google Cloud/G Suite Connector door Microsoft.
- Beheer uw accounts op één centrale locatie.
Vereisten
In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:
- Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u dat nog niet hebt, kunt u gratis een account maken.
- Een van de volgende rollen:
- Een Google Cloud / G Suite Connector by Microsoft abonnement met ingeschakeld single sign-on (SSO).
- Een Google Apps-abonnement of Google Cloud Platform-abonnement.
Notitie
Als u de stappen in dit artikel wilt testen, raden we u niet aan een productieomgeving te gebruiken. Dit document is gemaakt met behulp van de nieuwe ervaring voor eenmalige aanmelding. Als u nog steeds de oude gebruikt, ziet de installatie er anders uit. U kunt de nieuwe ervaring inschakelen in de instellingen voor eenmalige aanmelding van de G Suite-toepassing. Ga naar Microsoft Entra ID>Enterprise-toepassingen, selecteer Google Cloud /G Suite Connector by Microsoft, selecteer Eenmalige aanmelding en selecteer vervolgens Onze nieuwe ervaring uitproberen.
Als u de stappen in dit artikel wilt testen, moet u de volgende aanbevelingen volgen:
- Gebruik uw productieomgeving niet, tenzij dit nodig is.
- Als u geen abonnement hebt, kunt u een gratis account krijgen.
Recente wijzigingen
Recente updates van Google maken het toevoegen van gebruikersgroepen nu mogelijk aan SSO-profielen van derden. Dit maakt gedetailleerdere controle mogelijk over de toewijzing van SSO-instellingen. U kunt nu SSO-profieltoewijzingen maken, zodat u gebruikers in fasen kunt migreren in plaats van het hele bedrijf tegelijk te verplaatsen. Op deze locatie ontvangt u SP-gegevens met een Entity ID en ACS-URL, die u nu moet toevoegen aan Azure Apps voor antwoord en entiteit.
Veelgestelde vragen
V: Ondersteunt deze integratie integratie van Google Cloud Platform SSO met Microsoft Entra ID?
A: Ja. Google Cloud Platform en Google Apps delen hetzelfde verificatieplatform. Om de GCP-integratie uit te voeren, moet u SSO met Google Apps configureren.
V: Zijn Chromebooks en andere Chrome-apparaten compatibel met eenmalige aanmelding van Microsoft Entra?
A: Ja, gebruikers kunnen zich aanmelden bij hun Chromebook-apparaten met hun Microsoft Entra-referenties. Bekijk dit ondersteuningsartikel over Google Cloud / G Suite Connector by Microsoft voor informatie over waarom gebruikers mogelijk tweemaal om hun referenties wordt gevraagd.
V: Als ik eenmalige aanmelding inschakelen, kunnen gebruikers hun Microsoft Entra-referenties gebruiken om zich aan te melden bij een Google-product, zoals Google Classroom, GMail, Google Drive, YouTube, enzovoort?
A: Ja, afhankelijk van de Google Cloud / G Suite Connector by Microsoft die u inschakelt of uitschakelt voor uw organisatie.
V: Kan ik eenmalige aanmelding voor alleen een subset van gebruikers van Google Cloud / G Suite Connector by Microsoft inschakelen?
A: Ja, de profielen voor eenmalige aanmelding kunnen worden geselecteerd per gebruiker, organisatorische eenheid of groep in Google Workspace.
Selecteer het SSO-profiel als "geen" voor de Google Workspace-groep. Hiermee voorkomt u dat leden van deze (Google Workspace-groep) worden omgeleid naar de Microsoft Entra-id voor aanmelding.
V: Wordt een gebruiker die is aangemeld via Windows, automatisch gevraagd om zich te verifiëren bij Google Cloud / G Suite Connector by Microsoft, zonder dat om een wachtwoord wordt gevraagd?
A: Er zijn twee opties voor het inschakelen van dit scenario. Gebruikers kunnen zich eerst aanmelden bij Windows 10-apparaten via Microsoft Entra join. Gebruikers kunnen zich ook aanmelden bij Windows-apparaten die zijn gekoppeld aan een on-premises Active Directory-domein dat is geconfigureerd voor eenmalige aanmelding bij Microsoft Entra ID via een Active Directory Federation Services (AD FS) implementatie. Voor beide opties moet u de stappen in het volgende artikel uitvoeren om eenmalige aanmelding tussen Microsoft Entra ID en Google Cloud/G Suite Connector by Microsoft in te schakelen.
V: Wat moet ik doen wanneer ik een foutbericht 'ongeldig e-mailbericht' krijg?
A: Voor deze installatie is het e-mailkenmerk vereist voor de gebruikers om zich aan te melden. Dit kenmerk kan niet handmatig worden ingesteld.
Het e-mailkenmerk wordt automatisch ingevuld voor elke gebruiker met een geldige Exchange-licentie. Als de gebruiker geen e-mail heeft ingeschakeld, wordt deze fout ontvangen omdat de toepassing dit kenmerk moet ophalen om toegang te verlenen.
U kunt naar portal.office.com gaan met een beheerdersaccount en vervolgens selecteren in het beheercentrum, facturering, abonnementen, uw Microsoft 365-abonnement selecteren en vervolgens toewijzen aan gebruikers selecteren, de gebruikers selecteren die u hun abonnement wilt controleren en in het rechterdeelvenster licenties bewerken.
Nadat de Microsoft 365-licentie is toegewezen, kan het enkele minuten duren voordat deze is toegepast. Daarna wordt het kenmerk user.mail automatisch ingevuld en moet het probleem worden opgelost.
Beschrijving van scenario
In dit artikel configureer en test je Microsoft Entra SSO in een testomgeving.
De Google Cloud / G Suite Connector door Microsoft ondersteunt door SP geïnitieerde SSO.
Google Cloud / G Suite Connector by Microsoft biedt ondersteuning voor Geautomatiseerde inrichting van gebruikers.
Google Cloud / G Suite Connector by Microsoft toevoegen vanuit de galerie
Als u de integratie van Google Cloud /G Suite Connector by Microsoft in Microsoft Entra ID wilt configureren, moet u Google Cloud/G Suite Connector by Microsoft vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.
- Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een cloudtoepassingsbeheerder.
- Blader naar Entra ID>Enterprise-apps>Nieuwe toepassing.
- Typ Google Cloud / G Suite Connector by Microsoft in het zoekvak in de sectie Toevoegen vanuit de galerie.
- Selecteer Google Cloud / G Suite Connector by Microsoft in het resultatenvenster en voeg de app vervolgens toe. Wacht een paar seconden terwijl de app aan je tenant wordt toegevoegd.
U kunt ook de Enterprise App Configuration-wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.
Eenmalige aanmelding van Microsoft Entra configureren en testen voor Google Cloud /G Suite Connector by Microsoft
Configureer en test Microsoft Entra Single Sign-On (SSO) met Google Cloud / G Suite Connector van Microsoft met behulp van een testgebruiker genaamd B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Google Cloud en G Suite Connector door Microsoft.
nl-NL: Voer de volgende stappen uit om Microsoft Entra SSO met Google Cloud/G Suite Connector by Microsoft te configureren en te testen:
-
Configureer Microsoft Entra SSO - zodat uw gebruikers deze functie kunnen gebruiken.
- Een Microsoft Entra-testgebruiker maken : eenmalige aanmelding van Microsoft Entra testen met B.Simon.
- Wijs de Microsoft Entra-testgebruiker toe : om B.Simon in staat te stellen gebruik te maken van eenmalige aanmelding van Microsoft Entra.
-
Eenmalige aanmelding bij Google Cloud/G Suite Connector by Microsoft configureren : als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
- Testgebruiker voor Google Cloud/G Suite Connector by Microsoft maken: als u een tegenhanger van B.Simon in Google Cloud/G Suite Connector by Microsoft wilt hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
- Eenmalige aanmelding testen: om te controleren of de configuratie werkt.
Microsoft Entra SSO configureren
Volg deze stappen om Microsoft Entra SSO (Eenmalige Aanmelding) in te schakelen.
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een cloudtoepassingsbeheerder.
Blader naar Entra ID>Enterprise-apps>Google Cloud/G Suite Connector door Microsoft>Eenmalige aanmelding.
Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.
Selecteer op de pagina Eenmalige aanmelding instellen met SAML het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.
Voer in het gedeelte Standaard SAML-configuratie de volgende stappen uit als u wilt configureren voor Gmail:
een. In het tekstvak Identifier typt u een URL in een van de volgende notaties:
Identificator google.com/a/<yourdomain.com>google.comhttps://google.comhttps://google.com/a/<yourdomain.com>b. In het tekstvak Antwoord-URL typt u een URL volgens een van de volgende patronen:
Antwoord-URL https://www.google.comhttps://www.google.com/a/<yourdomain.com>Hoofdstuk c. Typ in het tekstvak Aanmeldings-URL een URL met het volgende patroon:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.comVoer in het gedeelte Standaard SAML-configuratie de volgende stappen uit als u wilt configureren voor Google Cloud Platform:
een. In het tekstvak Identifier typt u een URL in een van de volgende notaties:
Identificator google.com/a/<yourdomain.com>google.comhttps://google.comhttps://google.com/a/<yourdomain.com>b. In het tekstvak Antwoord-URL typt u een URL volgens een van de volgende patronen:
Antwoord-URL https://www.google.com/acshttps://www.google.com/a/<yourdomain.com>/acsHoofdstuk c. Typ in het tekstvak Aanmeldings-URL een URL met het volgende patroon:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.comNotitie
Deze waarden zijn niet echt. Werk deze waarden bij met de werkelijke id, antwoord-URL en aanmeldings-URL. Google Cloud/G Suite Connector by Microsoft biedt geen waarde voor entiteits-ID in de configuratie voor Eenmalige Aanmelding, zodat wanneer u de optie voor domeinspecifieke uitgever uitschakelt, de ID-waarde
google.comis. Als u de optie domeinspecifieke verlener controleert, is hetgoogle.com/a/<yourdomainname.com>. Als u de domeinspecifieke verlener optie wilt controleren/uitschakelen, gaat u naar de sectie Google Cloud/G Suite Connector configureren door Microsoft SSO, zoals verderop in het artikel wordt uitgelegd. Neem contact op met het ondersteuningsteam van Google Cloud / G Suite Connector by Microsoft voor meer informatie.De Google Cloud / G Suite Connector by Microsoft-toepassing verwacht de SAML-asserties in een specifieke indeling. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermopname ziet u een voorbeeld hiervan. De standaardwaarde van Unieke gebruikers-id is user.userprincipalname, maar in Google Cloud / G Suite Connector by Microsoft wordt verwacht dat aan deze waarde het e-mailadres van de gebruiker is toegewezen. Hiervoor kunt u het kenmerk user.mail in de lijst gebruiken of de juiste kenmerkwaarde op basis van uw organisatieconfiguratie.
Notitie
Zorg ervoor dat het SAML-antwoord geen niet-standaard ASCII-tekens bevat in het kenmerk Achternaam.
Op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat gaat u naar Certificaat (Base64) en selecteert u Downloaden om het certificaat te downloaden en op te slaan op uw computer.
In de sectie Google Cloud / G Suite Connector by Microsoft instellen kopieert u de juiste URL('s) op basis van uw behoeften.
Notitie
De standaardaanmeldings-URL die in de app wordt vermeld, is onjuist. De juiste URL is:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
Microsoft Entra-testgebruiker maken en toewijzen
Volg de richtlijnen in de snelstartgids gebruikersaccount maken en toewijzen om een testgebruikersaccount met de naam B.Simon aan te maken.
Google Cloud/G Suite Connector by Microsoft SSO configureren
Open een nieuw tabblad in uw browser en meld u met uw beheerdersaccount aan bij de beheerconsole van Google Cloud / G Suite Connector by Microsoft.
Ga naar het menu -> Beveiliging -> Verificatie -> SSO met externe IDP.
Voer de volgende configuratiewijzigingen uit in het tabblad SSO-profiel van derden voor uw organisatie:
een. Schakel het SSO-profiel voor uw organisatie in.
b. Plak in het veld Aanmeldingspagina-URL in Google Cloud/G Suite Connector van Microsoft de waarde van de aanmeldings-URL.
Hoofdstuk c. Plak in het veld Afmeldingspagina URL in Google Cloud/ G Suite Connector by Microsoft de waarde van afmeldings-URL.
d. Upload in Google Cloud/G Suite Connector van Microsoft voor het verificatiecertificaat het certificaat dat u eerder hebt gedownload.
e. Schakel de optie Een domeinspecifieke uitgever gebruiken in of uit volgens de opmerking in de bovenstaande sectie Standaard SAML-configuratie in de Microsoft Entra ID.
f. Voer in het veld Wachtwoord-URL wijzigen in Google Cloud / G Suite Connector by Microsoft de waarde in als
https://mysignins.microsoft.com/security-info/password/changegram. Selecteer Opslaan.
Testgebruiker voor Google Cloud/G Suite Connector van Microsoft aanmaken
Het doel van deze sectie is het maken van een gebruiker in Google Cloud / G Suite Connector by Microsoft met de naam B.Simon. Nadat de gebruiker handmatig is gemaakt in Google Cloud / G Suite Connector by Microsoft, kan de gebruiker zich nu aanmelden met haar aanmeldingsreferenties voor Microsoft 365.
Google Cloud /G Suite Connector by Microsoft ondersteunt ook automatische inrichting van gebruikers. Als u automatische inrichting van gebruikers wilt configureren, moet u de Google Cloud / G Suite Connector by Microsoft eerst configureren voor automatische inrichting van gebruikers.
Notitie
Zorg ervoor dat uw gebruiker al bestaat in de Google Cloud/G Suite Connector van Microsoft als het inrichten in Microsoft Entra ID nog niet is ingeschakeld voordat u de eenmalige aanmelding test.
Notitie
Neem contact op met het ondersteuningsteam van Google als u handmatig een gebruiker moet maken.
Testen van Single Sign-On (SSO)
In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.
Selecteer Deze toepassing testen. Met deze optie wordt u omgeleid naar de aanmeldings-URL van Google Cloud/G Suite Connector door Microsoft, waar u de aanmeldingsstroom kunt initiëren.
Ga rechtstreeks naar de aanmeldings-URL van Google Cloud / G Suite Connector by Microsoft en initieer daar de aanmeldingsstroom.
U kunt Microsoft Mijn apps gebruiken. Wanneer u in Mijn apps de tegel Google Cloud/G Suite Connector by Microsoft selecteert, wordt deze optie omgeleid naar de aanmeldings-URL van Google Cloud/G Suite Connector van Microsoft. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.
Verwante inhoud
Zodra u Google Cloud / G Suite Connector by Microsoft hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.