Configurar o Google Cloud / G Suite Connector da Microsoft para início de sessão único com o Microsoft Entra ID

Neste artigo, você aprenderá a integrar o Google Cloud / G Suite Connector da Microsoft com o Microsoft Entra ID. Ao integrar o Google Cloud / G Suite Connector da Microsoft com o Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao Google Cloud / G Suite Connector da Microsoft.
• Permita que seus usuários façam login automaticamente no Google Cloud / G Suite Connector pela Microsoft com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de aplicativos
  • Administrador de aplicativos na nuvem
  • Proprietário do aplicativo.

• Subscrição para o conector Google Cloud / G Suite da Microsoft, com autenticação única (SSO) ativada.
• Uma subscrição do Google Apps ou do Google Cloud Platform.

Nota

Para testar as etapas neste artigo, não recomendamos o uso de um ambiente de produção. Este documento foi criado usando a nova experiência de logon único do usuário. Se você ainda estiver usando o antigo, a configuração será diferente. Você pode habilitar a nova experiência nas configurações de logon único do aplicativo G-Suite. Aceda às aplicações Microsoft Entra ID>Enterprise, selecione Google Cloud / G Suite Connector by Microsoft, selecione Início de sessão único e, em seguida, selecione Experimentar a nossa nova experiência.

Para testar as etapas neste artigo, siga estas recomendações:

• Não use seu ambiente de produção, a menos que seja necessário.
• Se não tiver uma subscrição, pode obter uma conta gratuita.

Alterações recentes

As atualizações recentes do Google agora permitem a adição de grupos de usuários a perfis de SSO de terceiros. Isso permite um controle mais granular sobre a atribuição de configurações de SSO. Agora você pode criar atribuições de perfil SSO, permitindo migrar usuários em etapas, em vez de mover toda a empresa de uma só vez. Nesta área, você recebe detalhes do SP com uma ID de entidade e uma URL do ACS, que agora você precisa incluir nos Aplicativos Azure como resposta e entidade.

Perguntas Mais Frequentes

1. P: Esta integração permite o suporte ao SSO do Google Cloud Platform com o Microsoft Entra ID?

   R: Sim. O Google Cloud Platform e o Google Apps partilham a mesma plataforma de autenticação. Portanto, para fazer a integração do GCP, você precisa configurar o SSO com o Google Apps.

2. P: Os Chromebooks e outros dispositivos Chrome são compatíveis com a autenticação única do Microsoft Entra?

   R: Sim, os utilizadores podem iniciar sessão nos seus dispositivos Chromebook utilizando as credenciais do Microsoft Entra. Consulte este artigo de suporte do Google Cloud / G Suite Connector by Microsoft para obter informações sobre por que os usuários podem ser solicitados a fornecer credenciais duas vezes.

3. P: Se eu habilitar o logon único, os usuários poderão usar suas credenciais do Microsoft Entra para fazer login em qualquer produto do Google, como Google Classroom, GMail, Google Drive, YouTube e assim por diante?

   R: Sim, dependendo do Google Cloud / G Suite Connector da Microsoft que optar por ativar ou desativar para a sua organização.

4. P: Posso ativar o início de sessão único apenas para um subconjunto do meu Google Cloud/G Suite Connector por utilizadores da Microsoft?

   R: Sim, os perfis de SSO podem ser selecionados por Usuário, Unidade Organizacional ou Grupo no Google Workspace.

   

   Selecione o perfil SSO como "nenhum" para o grupo do Google Workspace. Isso impede que os membros deste (grupo do Google Workspace) sejam redirecionados para o Microsoft Entra ID para fazer login.

5. P: Se um utilizador tiver sessão iniciada através do Windows, é automaticamente autenticado no Google Cloud / G Suite Connector pela Microsoft sem que lhe seja solicitada uma palavra-passe?

   R: Há duas opções para habilitar esse cenário. Primeiro, os utilizadores podiam iniciar sessão em dispositivos Windows 10 através da adesão ao Microsoft Entra. Como alternativa, os utilizadores podem iniciar sessão em dispositivos Windows ligados a um domínio de um Active Directory local que foi ativado para início de sessão único no Microsoft Entra ID por meio de uma implantação dos Serviços de Federação do Active Directory (AD FS). Ambas as opções exigem que você execute as etapas no artigo a seguir para habilitar o logon único entre o Microsoft Entra ID e o Google Cloud / G Suite Connector da Microsoft.

6. P: O que devo fazer quando recebo uma mensagem de erro "e-mail inválido"?

   R: Para esta configuração, o atributo email é necessário para que os utilizadores possam iniciar sessão. Este atributo não pode ser definido manualmente.

   O atributo email é preenchido automaticamente para qualquer usuário com uma licença válida do Exchange. Se o usuário não estiver habilitado para email, esse erro será recebido, pois o aplicativo precisa obter esse atributo para dar acesso.

   Pode aceder a portal.office.com com uma conta de administrador e, em seguida, selecionar no Centro de administração, faturação, subscrições, selecionar a sua Subscrição do Microsoft 365 e, em seguida, selecionar atribuir aos utilizadores, selecionar os utilizadores que pretende verificar a respetiva subscrição e, no painel direito, selecionar editar licenças.

   Uma vez que a licença do Microsoft 365 é atribuída, pode levar alguns minutos para ser aplicada. Depois disso, o atributo user.mail é preenchido automaticamente e o problema deve ser resolvido.

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

• O Google Cloud / G Suite Connector da Microsoft é compatível com SSO iniciado por SP .

• O Google Cloud / G Suite Connector da Microsoft suporta o provisionamento automatizado de usuários.

Adicionar o Google Cloud / G Suite Connector da Microsoft a partir da galeria

Para configurar a integração do Google Cloud / G Suite Connector pela Microsoft no Microsoft Entra ID, você precisa adicionar o Google Cloud / G Suite Connector by Microsoft da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Entra ID>Enterprise apps>Novo aplicativo.
3. Na seção Adicionar da galeria , digite Google Cloud / G Suite Connector by Microsoft na caixa de pesquisa.
4. Selecione Google Cloud / G Suite Connector by Microsoft no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente de configuração, pode adicionar uma aplicação ao seu tenant, adicionar utilizadores/grupos à aplicação, atribuir funções e também configurar o SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o logon único do Microsoft Entra para o Google Cloud / G Suite Connector da Microsoft

Configure e teste o Microsoft Entra SSO com o Google Cloud / G Suite Connector da Microsoft usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Google Cloud / G Suite Connector da Microsoft.

Para configurar e testar o Microsoft Entra SSO com o Google Cloud / G Suite Connector da Microsoft, execute as seguintes etapas:

1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
   1. Crie um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
   2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use o logon único do Microsoft Entra.
2. Configurar o Google Cloud/G Suite Connector by Microsoft SSO - para ajustar as definições de logon único na aplicação.
   1. Criar o Google Cloud/G Suite Connector pelo usuário de teste da Microsoft - para ter uma contraparte de B.Simon no Google Cloud / G Suite Connector da Microsoft que esteja vinculada à representação do usuário do Microsoft Entra.
3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Entra ID>Aplicações Empresariais>Google Cloud / G Suite Connector by Microsoft>Início de sessão único.

3. Na página Selecione um método de logon único , selecione SAML.

4. Na página Configurar logon único com SAML , selecione o ícone de lápis para Configuração Básica de SAML para editar as configurações.

   

5. Na seção Configuração básica do SAML , se você quiser configurar para o Gmail , execute as seguintes etapas:

   a) Na caixa de texto Identificador , digite uma URL usando um dos seguintes padrões:

   Identificador
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b) Na caixa de texto URL de resposta , digite uma URL usando um dos seguintes padrões:

   URL de resposta
   https://www.google.com
   https://www.google.com/a/<yourdomain.com>

   c. Na caixa de texto URL de logon , digite uma URL usando o seguinte padrão: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com

6. Na seção Configuração básica do SAML , se você quiser configurar para o Google Cloud Platform , execute as seguintes etapas:

   a) Na caixa de texto Identificador , digite uma URL usando um dos seguintes padrões:

   Identificador
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b) Na caixa de texto URL de resposta , digite uma URL usando um dos seguintes padrões:

   URL de resposta
   https://www.google.com/acs
   https://www.google.com/a/<yourdomain.com>/acs

   c. Na caixa de texto URL de logon , digite uma URL usando o seguinte padrão: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

   Nota

   Esses valores não são reais. Atualize esses valores com o identificador real, URL de resposta e URL de logon. O Google Cloud / G Suite Connector da Microsoft não fornece o valor de ID de entidade/identificador na configuração de logon único, assim, quando se desmarca a opção de emissor específico do domínio, o valor do identificador é google.com. Se marcar a opção emissor específico do domínio, é google.com/a/<yourdomainname.com>. Para marcar/desmarcar a opção de emissor específico do domínio , você precisa ir para a seção Configurar o Google Cloud / G Suite Connector by Microsoft SSO , que é explicada mais adiante no artigo. Para obter mais informações, entre em contato com o Google Cloud / G Suite Connector pela equipe de suporte ao cliente Microsoft.

7. Seu aplicativo Google Cloud / G Suite Connector by Microsoft espera as asserções SAML em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à configuração de atributos de token SAML. A captura de tela a seguir mostra um exemplo disso. O valor padrão do Identificador Exclusivo do Usuário é user.userprincipalname, mas o Google Cloud / G Suite Connector da Microsoft espera que ele seja mapeado com o endereço de e-mail do usuário. Para isso, você pode usar o atributo user.mail da lista ou usar o valor de atributo apropriado com base na configuração da sua organização.

   

   Nota

   Certifique-se de que a resposta SAML não inclua caracteres ASCII não padrão no atributo Sobrenome.

8. Na página Configurar logon único com SAML , na seção Certificado de Assinatura SAML , localize Certificado (Base64) e selecione Download para baixar o certificado e salvá-lo em seu computador.

   

9. Na seção Configurar o Google Cloud / G Suite Connector by Microsoft , copie o(s) URL(s) apropriado(s) com base em sua necessidade.

   

   Nota

   O URL de logout padrão listado no aplicativo está incorreto. O URL correto é: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

Criar e atribuir usuário de teste do Microsoft Entra

Siga as diretrizes no início rápido de criar e atribuir uma conta de usuário para criar uma conta de usuário de teste chamada B.Simon.

Configurar o Google Cloud/G Suite Connector pelo Microsoft SSO

1. Abra uma nova guia no navegador e faça login no Google Cloud / G Suite Connector by Microsoft Admin Console usando sua conta de administrador.

2. Vá para o Menu -> Segurança -> Autenticação -> SSO com IDP de terceiros.

   

3. Execute as seguintes alterações de configuração na guia Perfil SSO de terceiros para sua organização :

   

   a) Ative o perfil SSO da sua organização.

   b) No campo URL da página de login no Google Cloud / G Suite Connector da Microsoft, cole o valor do URL de login.

   c. No campo URL da página de saída no Google Cloud / G Suite Connector da Microsoft, cole o valor do URL de logout.

   d. No Google Cloud / G Suite Connector da Microsoft, para obter o certificado de verificação, carregue o certificado que você baixou anteriormente.

   e. Marque/Desmarque a opção Usar um emissor específico do domínio de acordo com a observação mencionada na seção Configuração Básica de SAML acima na ID do Microsoft Entra.

   f. No campo Alterar URL da senha no Google Cloud / G Suite Connector da Microsoft, insira o valor como https://mysignins.microsoft.com/security-info/password/change

   g. Selecione Salvar.

Criar o Google Cloud/G Suite Connector pelo usuário de teste da Microsoft

O objetivo desta seção é criar um usuário no Google Cloud / G Suite Connector da Microsoft chamado B.Simon. Depois que o usuário tiver sido criado manualmente no Google Cloud / G Suite Connector pela Microsoft, ele poderá fazer login usando suas credenciais de login do Microsoft 365.

O Google Cloud / G Suite Connector da Microsoft também suporta o provisionamento automático de usuários. Para configurar o provisionamento automático de usuários, você deve primeiro configurar o Google Cloud / G Suite Connector by Microsoft para provisionamento automático de usuários.

Nota

Verifique se o usuário já existe no Google Cloud/G Suite Connector da Microsoft se o provisionamento no Microsoft Entra ID não tiver sido ativado antes de testar o Logon único.

Nota

Se você precisar criar um usuário manualmente, entre em contato com a equipe de suporte do Google.

Teste de SSO

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Selecione Testar esta aplicação, esta opção redireciona para o Google Cloud / G Suite Connector pelo URL de início de sessão da Microsoft, onde pode iniciar o fluxo de início de sessão.

• Aceda diretamente ao URL de início de sessão do Google Cloud / G Suite Connector by Microsoft e inicie o fluxo de início de sessão a partir daí.

• Você pode usar o Microsoft My Apps. Quando você seleciona o bloco Google Cloud / G Suite Connector by Microsoft em Meus aplicativos, essa opção redireciona para o URL de login do Google Cloud / G Suite Connector by Microsoft. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Conteúdo relacionado

Depois de configurar o Google Cloud / G Suite Connector da Microsoft, você pode aplicar o Controle de sessão, que protege a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. O Controle de Sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.