Configurar a federação entre o Google Workspace e o Microsoft Entra ID
Este artigo descreve as etapas necessárias para configurar o Google Workspace como um IdP (provedor de identidade) para Microsoft Entra ID.
Depois de configurados, os usuários podem entrar no Microsoft Entra ID com suas credenciais do Google Workspace.
Pré-requisitos
Para configurar o Google Workspace como um IdP para Microsoft Entra ID, os seguintes pré-requisitos devem ser atendidos:
- Um locatário Microsoft Entra, com um ou vários domínios DNS personalizados (ou seja, domínios que não estão no formato *.onmicrosoft.com)
- Se o domínio federado ainda não tiver sido adicionado ao Microsoft Entra ID, você deverá ter acesso ao domínio DNS para criar um registro DNS. Isso é necessário para verificar a propriedade do namespace DNS
- Saiba como adicionar seu nome de domínio personalizado usando o centro de administração do Microsoft Entra
- Acesso a Microsoft Entra ID com uma conta com a função de Administrador Global
- Acesso ao Google Workspace com uma conta com privilégios de super administrador
Para testar a federação, os seguintes pré-requisitos devem ser atendidos:
- Um ambiente do Google Workspace, com usuários já criados
Importante
Os usuários exigem um endereço de email definido no Google Workspace, que é usado para corresponder aos usuários em Microsoft Entra ID. Para obter mais informações sobre correspondência de identidade, consulte Correspondência de identidade em Microsoft Entra ID.
- Contas de Microsoft Entra individuais já criadas: cada usuário do Google Workspace requer uma conta correspondente definida em Microsoft Entra ID. Essas contas geralmente são criadas por meio de soluções automatizadas, por exemplo:
- SDS (Sincronização de Dados Escolares)
- Microsoft Entra Conectar Sincronização para o ambiente com o AD DS local
- Scripts do PowerShell que chamam o Microsoft API do Graph
- Ferramentas de provisionamento oferecidas pelo IdP – o Google Workspace oferece autoprovisionamento
Configurar o Google Workspace como um IdP para Microsoft Entra ID
Entre no Google Workspace Administração Console com uma conta com privilégios de super administrador
Selecione Aplicativos > Web e aplicativos móveis
Selecione Adicionar > Pesquisa de aplicativo para aplicativos e pesquise por microsoft
Na página de resultados da pesquisa, passe o mouse sobre o aplicativo Microsoft Office 365 – Web (SAML) e selecione Selecionar
Na página de detalhes do Provedor de Identidade do Google, selecione Baixar Metadados e anote o local em que os metadados - do IdPGoogleIDPMetadata.xml – o arquivo é salvo, pois ele é usado para configurar Microsoft Entra ID posteriormente
Na página de detalhes do provedor de serviços
- Selecione a opção Resposta assinada
- Verifique se o formato ID do nome está definido como PERSISTENTE
- Dependendo de como os usuários Microsoft Entra foram provisionados no Microsoft Entra ID, talvez seja necessário ajustar o mapeamento da ID do nome.
Se estiver usando a autoprovisionação do Google, selecione Email primário de informações > básicas - Selecione Continuar
Na página mapeamento de atributos, mapeie os atributos do Google para os atributos Microsoft Entra
Atributos do Google Directory Microsoft Entra atributos Informações básicas: Email primário Atributos do aplicativo: IDPEmail Importante
Você deve garantir que você seja o Microsoft Entra email de contas de usuário corresponda às de seu Workspace do Google.
Selecione Concluir
Agora que o aplicativo está configurado, você deve habilitá-lo para os usuários no Google Workspace:
- Entre no Google Workspace Administração Console com uma conta com privilégios de super administrador
- Selecione Aplicativos > Web e aplicativos móveis
- Selecione Microsoft Office 365
- Selecionar Acesso do usuário
- Selecionar ON para todos > Salvar
Configurar Microsoft Entra ID como um provedor de serviços (SP) para o Google Workspace
A configuração de Microsoft Entra ID consiste em alterar o método de autenticação para os domínios DNS personalizados. Essa configuração pode ser feita usando o PowerShell.
Usando o arquivo XML de metadados IdP baixados do Google Workspace, modifique a variável $DomainName do script a seguir para corresponder ao seu ambiente e execute-o em uma sessão do PowerShell. Quando solicitado a autenticar para Microsoft Entra ID, use as credenciais de uma conta com a função de Administrador Global.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
$domainId = "<your domain name>"
$xml = [Xml](Get-Content GoogleIDPMetadata.xml)
$cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
$issuerUri = $xml.EntityDescriptor.entityID
$signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
$signoutUri = "https://accounts.google.com/logout"
$displayName = "Google Workspace Identity"
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
$domainAuthParams = @{
DomainId = $domainId
IssuerUri = $issuerUri
DisplayName = $displayName
ActiveSignInUri = $signinUri
PassiveSignInUri = $signinUri
SignOutUri = $signoutUri
SigningCertificate = $cert
PreferredAuthenticationProtocol = "saml"
federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}
New-MgDomainFederationConfiguration @domainAuthParams
Para verificar se a configuração está correta, você pode usar o seguinte comando do PowerShell:
Get-MgDomainFederationConfiguration -DomainId $domainId |fl
ActiveSignInUri : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
DisplayName : Google Workspace Identity
FederatedIdpMfaBehavior : acceptIfMfaDoneByFederatedIdp
Id : 3f600dce-ab37-4798-9341-ffd34b147f70
IsSignedAuthenticationRequestRequired :
IssuerUri : https://accounts.google.com/o/saml2?idpid=<GUID>
MetadataExchangeUri :
NextSigningCertificate :
PassiveSignInUri : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
PreferredAuthenticationProtocol : saml
PromptLoginBehavior :
SignOutUri : https://accounts.google.com/logout
SigningCertificate : <BASE64 encoded certificate>
AdditionalProperties : {}
Verifique a autenticação federada entre o Google Workspace e Microsoft Entra ID
Em uma sessão de navegador privado, navegue até https://portal.azure.com e entre com uma conta do Google Workspace:
- Como nome de usuário, use o email conforme definido no Google Workspace
- O usuário é redirecionado para o Google Workspace para entrar
- Após a autenticação do Google Workspace, o usuário é redirecionado de volta para Microsoft Entra ID e conectado
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de