Configurar a federação entre o Google Workspace e o Microsoft Entra ID

Este artigo descreve os passos necessários para configurar o Google Workspace como um fornecedor de identidade (IdP) para o Microsoft Entra ID.
Depois de configurados, os utilizadores podem iniciar sessão no Microsoft Entra ID com as respetivas credenciais do Google Workspace.

Pré-requisitos

Para configurar o Google Workspace como um IdP para o Microsoft Entra ID, têm de ser cumpridos os seguintes pré-requisitos:

1. Um inquilino do Microsoft Entra, com um ou vários domínios DNS personalizados (ou seja, domínios que não estão no formato *.onmicrosoft.com)
   • Se o domínio federado ainda não tiver sido adicionado ao ID do Microsoft Entra, tem de ter acesso ao domínio DNS para criar um registo DNS. Isto é necessário para verificar a propriedade do espaço de nomes DNS
   • Saiba como Adicionar o seu nome de domínio personalizado com o centro de administração do Microsoft Entra
2. Acesso ao centro de administração do Microsoft Entra como, pelo menos, Administrador do Fornecedor de Identidade Externa
3. Acesso ao Google Workspace com uma conta com privilégios de super administrador

Para testar a federação, têm de ser cumpridos os seguintes pré-requisitos:

1. Um ambiente do Google Workspace, com utilizadores já criados

   Importante

   Os utilizadores necessitam de um endereço de e-mail definido no Google Workspace, que é utilizado para corresponder aos utilizadores no Microsoft Entra ID. Para obter mais informações sobre a correspondência de identidades, consulte Correspondência de identidades no ID do Microsoft Entra.

2. Contas individuais do Microsoft Entra já criadas: cada utilizador do Google Workspace necessita de uma conta correspondente definida no Microsoft Entra ID. Estas contas são normalmente criadas através de soluções automatizadas, por exemplo:
   • School Data Sync (SDS)
   • Microsoft Entra Connect Sync para ambiente com o AD DS no local
   • Scripts do PowerShell que chamam a Microsoft Graph API
   • Ferramentas de aprovisionamento oferecidas pelo IdP – Google Workspace oferece aprovisionamento automático

Configurar o Google Workspace como um IdP para o Microsoft Entra ID

1. Inicie sessão na Consola de Administração da Área de Trabalho do Google com uma conta com privilégios de super admin

2. Selecionar Aplicações Web > e aplicações móveis

3. Selecione Adicionar aplicação > Procurar aplicações e procure microsoft

4. Na página de resultados da pesquisa, paire o cursor sobre a aplicação Microsoft Office 365 - Web (SAML) e selecione Selecionar Captura de Ecrã a

5. Na página de detalhes do Fornecedor de Identidade do Google, selecione Transferir Metadados e tome nota da localização onde os metadados - do IdPGoogleIDPMetadata.xml - o ficheiro é guardado, uma vez que é utilizado para configurar o Microsoft Entra ID mais tarde

6. Na página de detalhes do Fornecedor de serviços

   • Selecione a opção Resposta assinada
   • Verifique se o formato ID do Nome está definido como PERSISTENTE
   • Consoante a forma como os utilizadores do Microsoft Entra foram aprovisionados no Microsoft Entra ID, poderá ter de ajustar o mapeamento do ID do Nome .
     Se estiver a utilizar o aprovisionamento automático do Google, selecione Informações > Básicas E-mail primário
   • Selecione Continuar

7. Na página Mapeamento de atributos , mapeie os atributos do Google para os atributos do Microsoft Entra

   Atributos do Google Directory	Atributos do Microsoft Entra
   Informações Básicas: E-mail Principal	Atributos da aplicação: IDPEmail

   Importante

   Tem de garantir que o e-mail da sua conta de utilizador do Microsoft Entra corresponde ao da sua Área de Trabalho do Google.

8. Selecione Concluir

Agora que a aplicação está configurada, tem de a ativar para os utilizadores no Google Workspace:

1. Inicie sessão na Consola de Administração da Área de Trabalho do Google com uma conta com privilégios de super admin
2. Selecionar Aplicações Web > e aplicações móveis
3. Selecione Microsoft Office 365
4. Selecione Acesso de utilizador
5. Selecione ATIVADO para todas as pessoas > Guardar

Configurar o Microsoft Entra ID como Fornecedor de Serviços (SP) para o Google Workspace

A configuração do ID do Microsoft Entra consiste em alterar o método de autenticação para os domínios DNS personalizados. Esta configuração pode ser feita com o PowerShell.
Com o ficheiro XML de metadados IdP transferido do Google Workspace, modifique a variável $DomainName do seguinte script para corresponder ao seu ambiente e, em seguida, execute-o numa sessão do PowerShell. Quando lhe for pedido para autenticar no Microsoft Entra ID, inicie sessão como, pelo menos, administrador de Fornecedor de Identidade Externa

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph

$domainId = "<your domain name>"

$xml = [Xml](Get-Content GoogleIDPMetadata.xml)

$cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
$issuerUri = $xml.EntityDescriptor.entityID
$signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
$signoutUri = "https://accounts.google.com/logout"
$displayName = "Google Workspace Identity"
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

$domainAuthParams = @{
  DomainId = $domainId
  IssuerUri = $issuerUri
  DisplayName = $displayName
  ActiveSignInUri = $signinUri
  PassiveSignInUri = $signinUri
  SignOutUri = $signoutUri
  SigningCertificate = $cert
  PreferredAuthenticationProtocol = "saml"
  federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}

New-MgDomainFederationConfiguration @domainAuthParams

Para verificar se a configuração está correta, pode utilizar o seguinte comando do PowerShell:

Get-MgDomainFederationConfiguration -DomainId $domainId |fl

ActiveSignInUri                       : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
DisplayName                           : Google Workspace Identity
FederatedIdpMfaBehavior               : acceptIfMfaDoneByFederatedIdp
Id                                    : 3f600dce-ab37-4798-9341-ffd34b147f70
IsSignedAuthenticationRequestRequired :
IssuerUri                             : https://accounts.google.com/o/saml2?idpid=<GUID>
MetadataExchangeUri                   :
NextSigningCertificate                :
PassiveSignInUri                      : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
PreferredAuthenticationProtocol       : saml
PromptLoginBehavior                   :
SignOutUri                            : https://accounts.google.com/logout
SigningCertificate                    : <BASE64 encoded certificate>
AdditionalProperties                  : {}

Verificar a autenticação federada entre o Google Workspace e o Microsoft Entra ID

Numa sessão privada do browser, navegue para https://portal.azure.com e inicie sessão com uma conta do Google Workspace:

1. Como nome de utilizador, utilize o e-mail conforme definido no Google Workspace
2. O utilizador é redirecionado para o Google Workspace para iniciar sessão
3. Após a autenticação do Google Workspace, o utilizador é redirecionado novamente para o Microsoft Entra ID e com sessão iniciada