Configurar a federação entre o Google Workspace e o Microsoft Entra ID

Este artigo descreve as etapas necessárias para configurar o Google Workspace como um IdP (provedor de identidade) para Microsoft Entra ID.
Depois de configurados, os usuários podem entrar no Microsoft Entra ID com suas credenciais do Google Workspace.

Pré-requisitos

Para configurar o Google Workspace como um IdP para Microsoft Entra ID, os seguintes pré-requisitos devem ser atendidos:

1. Um locatário Microsoft Entra, com um ou vários domínios DNS personalizados (ou seja, domínios que não estão no formato *.onmicrosoft.com)
   • Se o domínio federado ainda não tiver sido adicionado ao Microsoft Entra ID, você deverá ter acesso ao domínio DNS para criar um registro DNS. Isso é necessário para verificar a propriedade do namespace DNS
   • Saiba como adicionar seu nome de domínio personalizado usando o centro de administração do Microsoft Entra
2. Acesso a Microsoft Entra ID com uma conta com a função de Administrador Global
3. Acesso ao Google Workspace com uma conta com privilégios de super administrador

Para testar a federação, os seguintes pré-requisitos devem ser atendidos:

1. Um ambiente do Google Workspace, com usuários já criados

   Importante

   Os usuários exigem um endereço de email definido no Google Workspace, que é usado para corresponder aos usuários em Microsoft Entra ID. Para obter mais informações sobre correspondência de identidade, consulte Correspondência de identidade em Microsoft Entra ID.

2. Contas de Microsoft Entra individuais já criadas: cada usuário do Google Workspace requer uma conta correspondente definida em Microsoft Entra ID. Essas contas geralmente são criadas por meio de soluções automatizadas, por exemplo:
   • SDS (Sincronização de Dados Escolares)
   • Microsoft Entra Conectar Sincronização para o ambiente com o AD DS local
   • Scripts do PowerShell que chamam o Microsoft API do Graph
   • Ferramentas de provisionamento oferecidas pelo IdP – o Google Workspace oferece autoprovisionamento

Configurar o Google Workspace como um IdP para Microsoft Entra ID

1. Entre no Google Workspace Administração Console com uma conta com privilégios de super administrador

2. Selecione Aplicativos > Web e aplicativos móveis

3. Selecione Adicionar > Pesquisa de aplicativo para aplicativos e pesquise por microsoft

4. Na página de resultados da pesquisa, passe o mouse sobre o aplicativo Microsoft Office 365 – Web (SAML) e selecione Selecionar

5. Na página de detalhes do Provedor de Identidade do Google, selecione Baixar Metadados e anote o local em que os metadados - do IdPGoogleIDPMetadata.xml – o arquivo é salvo, pois ele é usado para configurar Microsoft Entra ID posteriormente

6. Na página de detalhes do provedor de serviços

   • Selecione a opção Resposta assinada
   • Verifique se o formato ID do nome está definido como PERSISTENTE
   • Dependendo de como os usuários Microsoft Entra foram provisionados no Microsoft Entra ID, talvez seja necessário ajustar o mapeamento da ID do nome.
     Se estiver usando a autoprovisionação do Google, selecione Email primário de informações > básicas
   • Selecione Continuar

7. Na página mapeamento de atributos, mapeie os atributos do Google para os atributos Microsoft Entra

   Atributos do Google Directory	Microsoft Entra atributos
   Informações básicas: Email primário	Atributos do aplicativo: IDPEmail

   Importante

   Você deve garantir que você seja o Microsoft Entra email de contas de usuário corresponda às de seu Workspace do Google.

8. Selecione Concluir

Agora que o aplicativo está configurado, você deve habilitá-lo para os usuários no Google Workspace:

1. Entre no Google Workspace Administração Console com uma conta com privilégios de super administrador
2. Selecione Aplicativos > Web e aplicativos móveis
3. Selecione Microsoft Office 365
4. Selecionar Acesso do usuário
5. Selecionar ON para todos > Salvar

Configurar Microsoft Entra ID como um provedor de serviços (SP) para o Google Workspace

A configuração de Microsoft Entra ID consiste em alterar o método de autenticação para os domínios DNS personalizados. Essa configuração pode ser feita usando o PowerShell.
Usando o arquivo XML de metadados IdP baixados do Google Workspace, modifique a variável $DomainName do script a seguir para corresponder ao seu ambiente e execute-o em uma sessão do PowerShell. Quando solicitado a autenticar para Microsoft Entra ID, use as credenciais de uma conta com a função de Administrador Global.

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph

$domainId = "<your domain name>"

$xml = [Xml](Get-Content GoogleIDPMetadata.xml)

$cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
$issuerUri = $xml.EntityDescriptor.entityID
$signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
$signoutUri = "https://accounts.google.com/logout"
$displayName = "Google Workspace Identity"
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

$domainAuthParams = @{
  DomainId = $domainId
  IssuerUri = $issuerUri
  DisplayName = $displayName
  ActiveSignInUri = $signinUri
  PassiveSignInUri = $signinUri
  SignOutUri = $signoutUri
  SigningCertificate = $cert
  PreferredAuthenticationProtocol = "saml"
  federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}

New-MgDomainFederationConfiguration @domainAuthParams

Para verificar se a configuração está correta, você pode usar o seguinte comando do PowerShell:

Get-MgDomainFederationConfiguration -DomainId $domainId |fl

ActiveSignInUri                       : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
DisplayName                           : Google Workspace Identity
FederatedIdpMfaBehavior               : acceptIfMfaDoneByFederatedIdp
Id                                    : 3f600dce-ab37-4798-9341-ffd34b147f70
IsSignedAuthenticationRequestRequired :
IssuerUri                             : https://accounts.google.com/o/saml2?idpid=<GUID>
MetadataExchangeUri                   :
NextSigningCertificate                :
PassiveSignInUri                      : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
PreferredAuthenticationProtocol       : saml
PromptLoginBehavior                   :
SignOutUri                            : https://accounts.google.com/logout
SigningCertificate                    : <BASE64 encoded certificate>
AdditionalProperties                  : {}

Verifique a autenticação federada entre o Google Workspace e Microsoft Entra ID

Em uma sessão de navegador privado, navegue até https://portal.azure.com e entre com uma conta do Google Workspace:

1. Como nome de usuário, use o email conforme definido no Google Workspace
2. O usuário é redirecionado para o Google Workspace para entrar
3. Após a autenticação do Google Workspace, o usuário é redirecionado de volta para Microsoft Entra ID e conectado