Udostępnij za pośrednictwem


Konfigurowanie usługi G Suite na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft

W tym artykule opisano kroki, które należy wykonać zarówno w pakiecie G Suite, jak i identyfikatorze Entra firmy Microsoft, aby skonfigurować automatyczną aprowizację użytkowników. Po skonfigurowaniu usługa Entra firmy Microsoft automatycznie aprowizuje i dezaprowizuje użytkowników oraz grupy w usłudze G Suite przy użyciu usługi aprowizacji firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Uwaga

W tym artykule opisano łącznik oparty na usłudze Microsoft Entra user Provisioning Service. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane funkcje

  • Tworzenie użytkowników w usłudze G Suite
  • Usuwanie użytkowników w usłudze G Suite, gdy nie wymagają już dostępu (uwaga: usunięcie użytkownika z zakresu synchronizacji nie powoduje usunięcia obiektu w aplikacji GSuite)
  • Zachowywanie synchronizacji atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i pakietem G Suite
  • Zarządzaj grupami i członkostwami w grupach w usłudze G Suite
  • Logowanie jednokrotne do usługi G Suite (zalecane)

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

Krok 1. Planowanie wdrożenia aprowizacji

  1. Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
  2. Określ, kto znajduje się w zakresie udostępniania.
  3. Ustal, jakie dane zmapować między Microsoft Entra ID a Google Workspace.

Krok 2. Konfigurowanie usługi G Suite w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

Przed skonfigurowaniem usługi G Suite na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft należy włączyć aprowizację protokołu SCIM w usłudze G Suite.

  1. Zaloguj się do konsoli administracyjnej usługi G Suite przy użyciu konta administratora, a następnie wybierz pozycję Menu główne , a następnie wybierz pozycję Zabezpieczenia. Jeśli go nie widzisz, może być ukryty w menu Pokaż więcej .

    Zabezpieczenia usługi G Suite

    G Suite Pokaż więcej

  2. Przejdź do obszaru Zabezpieczenia —> Dostęp i kontrola danych —> Kontrolki interfejsu API . Zaznacz pole wyboru Ufaj aplikacjom wewnętrznym, należącym do domeny , a następnie wybierz pozycję ZAPISZ

    G Suite API

    Ważne

    Dla każdego użytkownika, który zamierzasz aprowizować w usłudze G Suite, jego nazwa użytkownika w identyfikatorze Entra firmy Microsoft musi być powiązana z domeną niestandardową. Na przykład nazwy użytkowników, które wyglądają jak bob@contoso.onmicrosoft.com , nie są akceptowane przez usługę G Suite. Z drugiej strony bob@contoso.com jest akceptowany. Domenę istniejącego użytkownika można zmienić, postępując zgodnie z instrukcjami dostępnymi tutaj.

  3. Po dodaniu i zweryfikowaniu żądanych domen niestandardowych przy użyciu identyfikatora Entra firmy Microsoft należy je ponownie zweryfikować za pomocą usługi G Suite. Aby zweryfikować domeny w usłudze G Suite, zapoznaj się z następującymi krokami:

    1. W konsoli administracyjnej

      Domeny usługi G Suite

    2. Na stronie Zarządzanie domeną wybierz pozycję Dodaj domenę.

      G Suite Dodaj domenę

    3. Na stronie Dodawanie domeny wpisz nazwę domeny, którą chcesz dodać.

      G Suite Verify Domain

    4. Wybierz pozycję DODAJ DOMENĘ I ROZPOCZNIJ WERYFIKACJĘ. Następnie wykonaj kroki, aby sprawdzić, czy jesteś właścicielem nazwy domeny. Aby uzyskać kompleksowe instrukcje dotyczące weryfikowania domeny w usłudze Google, zobacz Weryfikowanie własności witryny.

    5. Powtórz powyższe kroki dla kolejnych domen, które mają zostać dodane do usługi G Suite.

  4. Następnie określ, którego konta administratora chcesz użyć do zarządzania aprowizowaniem użytkowników w usłudze G Suite. Przejdź do >.

    Administrator usługi G Suite

  5. W przypadku roli Administratora tego konta zmodyfikuj uprawnienia dla tej roli. Upewnij się, że włączono wszystkie uprawnienia interfejsu API administratora, aby można było użyć tego konta do aprowizacji.

    Uprawnienia administratora usługi G Suite

Dodaj pakiet G Suite z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze G Suite. Jeśli wcześniej skonfigurowano usługę G Suite dla logowania jednokrotnego, możesz użyć tej samej aplikacji. Zalecamy jednak utworzenie oddzielnej aplikacji podczas początkowego testowania integracji. Więcej informacji o dodawaniu aplikacji z galerii znajdziesz tutaj.

Krok 4. Określenie, kto jest objęty prowizjonowaniem

Usługa aprowizacji Microsoft Entra umożliwia definiowanie, kto ma być aprowizowany na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika lub grupy. Jeśli zdecydujesz się ustalić, kto ma mieć dostęp do Twojej aplikacji na podstawie przypisania, możesz skorzystać z kroków , aby przypisać użytkowników i grupy do aplikacji. Jeśli zdecydujesz się określić zakres przyznawania zasobów wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtru zakresu.

  • Zacznij od małego. Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. W przypadku ustawienia zakresu aprowizacji na przypisanych użytkowników i grupy, możesz kontrolować to przez przypisanie do aplikacji jednego lub dwóch użytkowników oraz jednej lub dwóch grup. W przypadku ustawienia zakresu na wszystkich użytkowników i wszystkie grupy, możesz określić filtrowanie zakresu na podstawie atrybutów.

  • Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.

Krok 5: Konfigurowanie automatycznego udostępniania użytkowników w usłudze G Suite

Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze TestApp na podstawie przypisań użytkowników i/lub grup w identyfikatorze Entra firmy Microsoft.

Uwaga

Aby dowiedzieć się więcej na temat punktu końcowego interfejsu API usługi G Suite, zapoznaj się z dokumentacją API usługi katalogu.

Aby skonfigurować automatyczne aprowizowanie użytkowników dla G Suite w Microsoft Entra ID:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do aplikacji Entra ID>Dla przedsiębiorstw.

    Moduł aplikacji dla przedsiębiorstw

    Blok Wszystkie aplikacje

  3. Na liście aplikacji wybierz pozycję G Suite.

    Link do usługi G Suite na liście aplikacji

  4. Wybierz kartę Konfiguracja. Wybierz opcję Rozpocznij.

    Zrzut ekranu przedstawiający opcje Zarządzania z wyróżnioną opcją Ustanowienie.

  5. Ustaw Tryb aprowizacji na Automatyczny.

    Zrzut ekranu przedstawiający listę rozwijaną Tryb aprowizacji z wywołaną opcją Automatyczna.

  6. W sekcji Poświadczenia administratora wybierz Autoryzuj. Nastąpi przekierowanie do okna dialogowego autoryzacji Google w nowym oknie przeglądarki.

    Autoryzacja pakietu G Suite

  7. Potwierdź, że chcesz przyznać uprawnienia Microsoft Entra do wprowadzania zmian w dzierżawie G Suite. Wybierz pozycję Zaakceptuj.

    G Suite Tenant Auth

  8. Wybierz pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą G Suite. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi G Suite ma uprawnienia administratora i spróbuj ponownie. Następnie spróbuj ponownie wykonać krok Autoryzacja.

  9. W polu Adres e-mail do powiadomień wpisz adres e-mail osoby lub grupy, która ma otrzymywać powiadomienia o błędach autoryzacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail w przypadku wystąpienia błędu.

    Powiadomienie e-mail

  10. Wybierz pozycję Zapisz.

  11. W sekcji Mapowania wybierz opcję Aprowizuj użytkowników Microsoft Entra.

  12. Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do usługi G Suite w sekcji Mapowanie atrybutów. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

Uwaga

Aprowizacja aplikacji GSuite obecnie obsługuje tylko użycie primaryEmail jako zgodnego atrybutu.

Atrybut Typ
główny adres e-mail Sznurek
Stosunków. [type eq "manager"].value Sznurek
nazwa.nazwiskoRodzinne Sznurek
imię Sznurek
zawieszony Sznurek
externalIds. [type eq "custom"].value Sznurek
externalIds. [type eq "organization"].value Sznurek
Adresy.[typ eq "praca"].kraj Sznurek
Adresy.[typ eq "praca"].adresUlicy Sznurek
Adresy. [type eq "work"].region Sznurek
adresy.[typ eq "praca"].miejscowość Sznurek
adresy.[type eq "work"].kodPocztowy Sznurek
e-maile.[typ eq "work"].adres Sznurek
organizacje.[type eq "work"].dział Sznurek
Organizacje.[type eq "work"].title Sznurek
phoneNumbers. [type eq "work"].value Sznurek
phoneNumbers. [type eq "mobile"].value Sznurek
phoneNumbers. [type eq "work_fax"].value Sznurek
e-maile.[typ eq "work"].adres Sznurek
organizacje.[type eq "work"].dział Sznurek
Organizacje.[type eq "work"].title Sznurek
adresy.[type eq "home"].kraj Sznurek
adresy.[typ eq "dom"].sformatowany Sznurek
Adresy. [type eq "home"].miejscowość Sznurek
adresy.[type eq "home"].kodPocztowy Sznurek
Adresy. [type eq "home"].region Sznurek
adresy.[typ eq "home"].ulicaAdres Sznurek
adresy.[type eq "other"].kraj Sznurek
Adresy. [type eq "other"].formatted Sznurek
Adresy.[type eq "other"].lokalizacja Sznurek
Adresy.[type eq "other"].kodPocztowy Sznurek
Adresy. [type eq "other"].region Sznurek
Adresy.[type eq "other"].ulicaAdresu Sznurek
Adresy. [type eq "work"].formatted Sznurek
zmień hasło przy następnym logowaniu Sznurek
wiadomości e-mail (type eq "home").adres Sznurek
wiadomości e-mail.[type eq "other"].adres Sznurek
externalIds. [type eq "account"].value Sznurek
externalIds. [type eq "custom"].customType Sznurek
externalIds. [type eq "customer"].value Sznurek
externalIds. [type eq "login_id"].value Sznurek
externalIds. [type eq "network"].value Sznurek
płeć.typ Sznurek
WygenerowanyNieodmiennyId Sznurek
Identyfikator Sznurek
Ims. [type eq "home"].protocol Sznurek
Ims. [type eq "other"].protocol Sznurek
ims.[typ eq "work"].protocol Sznurek
uwzględnijWWykazieAdresówGlobalnych Sznurek
ipWhitelisted Sznurek
Organizacja.[type eq "school"].centrumKosztów Sznurek
organizacje.[type eq "school"].dział Sznurek
organizacje.[type eq "school"].domain Sznurek
Organizacji. [type eq "school"].fullTimeEquivalent Sznurek
Organizacje.[type eq "school"].lokalizacja Sznurek
Organizacje.[type eq "school"].name Sznurek
organizacje.[type eq "school"].symbol Sznurek
organizacje.[type eq "school"].title Sznurek
organizacje.[type eq "work"].centrumKosztów Sznurek
Organizacje.[type eq "work"].domain Sznurek
Organizacji. [type eq "work"].fullTimeEquivalent Sznurek
organizacje.[type eq "work"].lokalizacja Sznurek
Organizacje.[type eq "work"].name Sznurek
Organizacji. [type eq "work"].symbol Sznurek
OrgUnitPath Sznurek
phoneNumbers. [type eq "home"].value Sznurek
phoneNumbers. [type eq "other"].value Sznurek
strony internetowe [type eq "home"].value Sznurek
witryny.[type eq "other"].value Sznurek
witryny internetowe. [type eq "work"].value Sznurek
  1. W sekcji Mapowania wybierz pozycję Aprowizuj grupy firmy Microsoft Entra.

  2. Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi G Suite w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowania są używane do dopasowania grup w usłudze G Suite do operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.

    Atrybut Typ
    e-mail Sznurek
    Członkowie Sznurek
    nazwa Sznurek
    opis Sznurek
  3. Aby skonfigurować filtry określania zakresu, zapoznaj się z poniższymi instrukcjami podanymi w artykule Filtrowanie zakresu.

  4. Aby włączyć usługę aprowizacji Microsoft Entra dla G Suite, zmień Status aprowizacji na w sekcji Ustawienia.

    Stan aprowizacji — przełącznik w pozycji włączonej

  5. Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze G Suite, wybierając żądane wartości w sekcji Zakres w sekcji Ustawienia.

    Zakres przydziału zasobów

  6. Gdy będziesz gotowy do konfiguracji, wybierz Zapisz.

    Zapisywanie konfiguracji prowizjonowania

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Pierwszy cykl trwa dłużej niż kolejne, które odbywają się co około 40 minut, o ile usługa wdrażania Microsoft Entra jest uruchomiona.

Uwaga

Jeśli użytkownicy mają już istniejące konto osobiste/konsumenckie przy użyciu adresu e-mail użytkownika Firmy Microsoft Entra, może to spowodować problem, który można rozwiązać przy użyciu narzędzia Google Transfer Tool przed wykonaniem synchronizacji katalogu.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji użyj następujących zasobów, aby monitorować wdrożenie:

  1. Użyj dzienników przydzielania , aby określić, którzy użytkownicy zostali pomyślnie przydzieleni lub dla których proces przydzielania się nie powiódł.
  2. Sprawdź pasek postępu, aby zobaczyć stan cyklu aprowizacji i jak blisko jest do ukończenia.
  3. Jeśli konfiguracja aprowizacji wydaje się być w złej kondycji, aplikacja przechodzi do kwarantanny. Dowiedz się więcej o stanach kwarantanny w artykule dotyczącym udostępniania aplikacji i statusu kwarantanny.

Porady dotyczące rozwiązywania problemów

  • Usunięcie użytkownika z zakresu synchronizacji powoduje wyłączenie ich w aplikacji GSuite, ale nie spowoduje usunięcia użytkownika w usłudze G Suite

Dostęp do aplikacji just in time (JIT) za pomocą usługi PIM dla grup

Dzięki usłudze PIM dla grup możesz zapewnić dostęp just in time do grup w usłudze Google Cloud / Google Workspace i zmniejszyć liczbę użytkowników, którzy mają stały dostęp do uprzywilejowanych grup w usłudze Google Cloud / Google Workspace.

Skonfiguruj aplikację korporacyjną dla SSO i aprowizacji

  1. Dodaj usługę Google Cloud/Google Workspace do dzierżawy, skonfiguruj ją do aprowizacji zgodnie z opisem w tym artykule i rozpocznij aprowizację.
  2. Konfigurowanie logowania jednokrotnego dla usługi Google Cloud/Google Workspace.
  3. Utwórz grupę, która zapewnia wszystkim użytkownikom dostęp do aplikacji.
  4. Przypisz grupę do aplikacji Google Cloud/Google Workspace.
  5. Przypisz użytkownika testowego jako bezpośredniego członka grupy utworzonej w poprzednim kroku lub zapewnij im dostęp do grupy za pośrednictwem pakietu dostępu. Tej grupy można używać do trwałego, nieadministracyjnego dostępu w Google Cloud / Google Workspace.

Włączanie usługi PIM dla grup

  1. Utwórz drugą grupę w usłudze Microsoft Entra ID. Ta grupa zapewnia dostęp do uprawnień administratora w usłudze Google Cloud/Google Workspace.
  2. Przenieś grupę pod zarządzanie w usłudze Microsoft Entra PIM.
  3. Przypisz użytkownika testowego jako uprawnionego do grupy w usłudze PIM z rolą ustawioną jako członek.
  4. Przypisz drugą grupę do aplikacji Google Cloud/Google Workspace.
  5. Aprowizacja na żądanie umożliwia utworzenie grupy w usłudze Google Cloud/Google Workspace.
  6. Zaloguj się do usługi Google Cloud/Google Workspace i przypisz drugą grupę niezbędnych uprawnień do wykonywania zadań administracyjnych.

Teraz każdy użytkownik końcowy, który zakwalifikował się do grupy w usłudze PIM, może uzyskać dostęp JIT do grupy w usłudze Google Cloud /Google Workspace, aktywując członkostwo w grupie. Po wygaśnięciu przypisania użytkownik zostanie usunięty z grupy w usłudze Google Cloud / Google Workspace. Podczas następnego cyklu przyrostowego usługa aprowizacji próbuje ponownie usunąć użytkownika z grupy. Może to spowodować błąd w dziennikach aprowizacji. Ten błąd jest oczekiwany, ponieważ członkostwo w grupie zostało już usunięte. Komunikat o błędzie można zignorować.

  • Jak długo trwa uruchomienie użytkownika do aplikacji?
    • Po dodaniu użytkownika do grupy w usłudze Microsoft Entra ID poza aktywowaniem członkostwa w grupie przy użyciu usługi Microsoft Entra ID Privileged Identity Management (PIM):
      • Członkostwo w grupie jest aprowizowane w aplikacji podczas następnego cyklu synchronizacji. Cykl synchronizacji jest uruchamiany co 40 minut.
    • Gdy użytkownik aktywuje członkostwo w grupie w usłudze Microsoft Entra ID PIM:
      • Członkostwo w grupie jest przydzielane w ciągu 2 do 10 minut. Gdy jednocześnie występuje duża liczba żądań, żądania są ograniczane w tempie pięciu żądań na 10 sekund.
      • Dla pierwszych pięciu użytkowników w ciągu 10 sekund aktywowania członkostwa w grupie dla określonej aplikacji członkostwo w grupie jest aprowizowane w aplikacji w ciągu 2–10 minut.
      • W przypadku szóstego i każdego kolejnego użytkownika, którzy aktywują członkostwo grupowe dla danej aplikacji w ciągu 10 sekund, członkostwo to jest udostępniane aplikacji w następnym cyklu synchronizacji. Cykl synchronizacji jest uruchamiany co 40 minut. Limity ograniczania przepływności dotyczą aplikacji dla przedsiębiorstw.
  • Jeśli użytkownik nie może uzyskać dostępu do niezbędnej grupy w usłudze Google Cloud /Google Workspace, przejrzyj dzienniki usługi PIM i dzienniki aprowizacji, aby upewnić się, że członkostwo w grupie zostało pomyślnie zaktualizowane. W zależności od sposobu tworzenia architektury aplikacji docelowej może upłynąć więcej czasu na zastosowanie członkostwa w grupie w aplikacji.
  • Alerty dotyczące niepowodzeń można tworzyć przy użyciu usługi Azure Monitor.

Dziennik zmian

  • 10/17/2020 — dodano obsługę większej liczby atrybutów użytkowników i grup usługi G Suite.
  • 10/17/2020 — Zaktualizowano nazwy atrybutów docelowych usługi G Suite, aby były zgodne z definicją w tym miejscu.
  • 10/17/2020 — zaktualizowano domyślne mapowania atrybutów.

Więcej zasobów