Руководство. Интеграция единого входа Microsoft Entra с Google Cloud / G Suite Connector от Майкрософт

В этом руководстве описано, как интегрировать Google Cloud / G Suite Connector от Майкрософт с идентификатором Microsoft Entra ID. Интеграция Google Cloud / G Suite Connector от Майкрософт с идентификатором Microsoft Entra можно:

• Контроль доступа к Google Cloud / G Suite Connector от Майкрософт с помощью идентификатора Microsoft Entra ID.
• Включите автоматический вход пользователей в Google Cloud или G Suite Connector от Майкрософт с помощью учетных записей Microsoft Entra.
• Управление учетными записями в одном центральном расположении.

Необходимые компоненты

Чтобы приступить к работе, потребуется следующее.

• Подписка Microsoft Entra.
• Подписка Google Cloud/G Suite Connector от Майкрософт с поддержкой единого входа.
• подписка Google Apps или Google Cloud Platform.

Примечание.

Мы не рекомендуем использовать рабочую среду для проверки действий в этом учебнике. Этот документ был создан с использованием нового пользовательского интерфейса единого входа. Если вы все еще используете старую версию, установка будет выглядеть иначе. Вы можете включить новый интерфейс в настройках единого входа приложения G-Suite. Перейдите к приложениям Microsoft Entra ID>Enterprise, выберите Google Cloud / G Suite Connector by Microsoft, выберите единый вход и нажмите кнопку "Попробовать новый интерфейс".

При проверке действий в этом учебнике соблюдайте следующие рекомендации:

• Не используйте рабочую среду, если это не необходимо.
• Если у вас нет подписки, вы можете получить бесплатную учетную запись.

Недавние изменения

Последние обновления от Google теперь позволяют добавлять группы пользователей в профили единого входа сторонних разработчиков. Это обеспечивает более детальный контроль над назначением параметров единого входа. Теперь вы можете создавать назначения профилей единого входа, позволяя переносить пользователей на этапах, а не перемещать всю компанию одновременно. В этой области вы получите сведения о пакете обновления с идентификатором сущности и URL-адресом ACS, который теперь необходимо добавить в приложение Azure для ответа и сущности.

Вопросы и ответы

1. Вопрос. Поддерживает ли эта интеграция единый вход Google Cloud Platform с идентификатором Microsoft Entra?

   Ответ. Да. Google Cloud Platform и Google Apps используют одну и ту же платформу проверки подлинности. Таким образом, чтобы обеспечить интеграцию с Google Cloud Platform, необходимо настроить единый вход в Google Apps.

2. Вопрос. Совместимы ли Chromebook и другие устройства Chrome с единым входом Microsoft Entra?

   Ответ. Да, пользователи могут войти на свои устройства Chromebook с помощью учетных данных Microsoft Entra. Сведения о том, почему учетные данные могут быть запрошены у пользователей дважды, см. в этой статье о поддержке Google Cloud/G Suite Connector от Майкрософт.

3. Вопрос. Если включить единый вход, пользователи смогут использовать свои учетные данные Microsoft Entra для входа в любой продукт Google, например Google Classroom, GMail, Google Drive, YouTube и т. д.?

   Ответ. Да, в зависимости от того, какие приложения Google Cloud/G Suite Connector от Майкрософт вы решили включить или отключить для своей организации.

4. Вопрос. Можно ли включить единый вход только для подмножества пользователей Google Cloud/G Suite Connector от Майкрософт?

   Ответ. Да, профили единого входа можно выбрать для каждого пользователя, подразделения или группы в рабочей области Google.

   

   Выберите параметр "нет"для профиля единого входа группы Google Workspace. Это предотвращает перенаправление участников этой группы (Google Workspace) на идентификатор Microsoft Entra для входа.

5. Вопрос. Если пользователь выполнил вход в Windows, пройдет ли он автоматическую аутентификацию в Google Cloud/G Suite Connector от Майкрософт без запроса пароля?

   Ответ. Существует два варианта включения этого сценария. Во-первых, пользователи могут войти на устройства Windows 10 через присоединение к Microsoft Entra. Кроме того, пользователи могут войти на устройства Windows, присоединенные к домену, к локальная служба Active Directory, который был включен для единого входа в Идентификатор Microsoft Entra с помощью развертывания службы федерации Active Directory (AD FS) (AD FS). Оба варианта требуют выполнения действий, описанных в следующем руководстве, чтобы включить единый вход между идентификатором Microsoft Entra и Google Cloud / G Suite Connector от Корпорации Майкрософт.

6. Вопрос. Что делать при получении сообщения об ошибке "недопустимая электронная почта"?

   Ответ. Для этой настройки атрибут электронной почты необходим для того, чтобы пользователи могли войти в систему. Этот атрибут нельзя задать вручную.

   Атрибут электронной почты заполняется автоматически для любого пользователя с действующей лицензией Exchange. Если пользователь не включен по электронной почте, эта ошибка будет получена, так как приложению необходимо получить этот атрибут для предоставления доступа.

   Вы можете перейти на страницу portal.office.com с помощью учетной записи администратора, последовательно выбрать "Центр администрирования > Выставление счетов > Подписки", выбрать подписку Microsoft 365, а затем щелкнуть "Назначить для пользователей", выбрать пользователей, подписки которых нужно проверить, и на панели справа щелкнуть "Изменить лицензии".

   После назначения лицензии Microsoft 365 ее применение может занять несколько минут. После этого атрибут user.mail заполнится автоматически, и проблема будет решена.

Описание сценария

В этом руководстве описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Google Cloud/G Suite Connector от Майкрософт поддерживает единый вход, инициируемый поставщиком служб.

• Google Cloud/G Suite Connector от Майкрософт поддерживает автоматическую подготовку пользователей.

Добавление Google Cloud/G Suite Connector от Майкрософт из коллекции

Чтобы настроить интеграцию Google Cloud / G Suite Connector от Майкрософт с идентификатором Microsoft Entra ID, необходимо добавить Google Cloud / G Suite Connector от Корпорации Майкрософт из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к приложениям>Identity>Applications>Enterprise. Новое приложение.
3. В разделе Добавление из коллекции в поле поиска введите Google Cloud/G Suite Connector от Майкрософт.
4. Выберите Google Cloud/G Suite Connector от Майкрософт в области результатов и добавьте это приложение. Подождите несколько секунд, пока приложение не будет добавлено в ваш клиент.

Кроме того, можно также использовать мастер конфигурации корпоративных приложений. В этом мастере можно добавить приложение в клиент, добавить пользователей и группы в приложение, назначить роли, а также просмотреть конфигурацию единого входа. Подробнее о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для Google Cloud / G Suite Connector от Майкрософт

Настройте и проверьте единый вход Microsoft Entra в Google Cloud / G Suite Connector от Майкрософт с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Google Cloud или G Suite Connector от Корпорации Майкрософт.

Чтобы настроить и проверить единый вход Microsoft Entra в Google Cloud / G Suite Connector от Майкрософт, выполните следующие действия.

1. Настройте единый вход Microsoft Entra, чтобы пользователи могли использовать эту функцию.
   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
2. Настройка единого входа в Google Cloud/G Suite Connector от Майкрософт необходима, чтобы настроить параметры единого входа на стороне приложения.
   1. Создание соединителя Google Cloud/G Suite от тестового пользователя Майкрософт требуется для того, чтобы в Google Cloud или G Suite Connector от Корпорации Майкрософт был создан пользователь B.Simon, связанный с представлением пользователя Microsoft Entra.
3. Проверка единого входа позволяет убедиться в правильности конфигурации.

Настройка единого входа Microsoft Entra

Выполните следующие действия, чтобы включить единый вход Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите к приложениям>Identity>Applications>Enterprise Google Cloud или G Suite Connector от Единого входа Майкрософт.>

3. На странице Выбрать метод единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша, чтобы открыть диалоговое окно Базовая конфигурация SAML для изменения параметров.

   

5. Чтобы настроить Gmail, в разделе Базовая конфигурация SAML выполните следующие действия:

   a. В текстовом поле Идентификатор введите URL-адрес в одном из следующих форматов:

   Идентификатор
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. В текстовое поле URL-адрес ответа введите URL-адрес в любом из следующих форматов:

   URL-адрес ответа
   https://www.google.com
   https://www.google.com/a/<yourdomain.com>

   c. В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com

6. Чтобы настроить Google Cloud Platform, в разделе Базовая конфигурация SAML выполните следующие действия:

   a. В текстовом поле Идентификатор введите URL-адрес в одном из следующих форматов:

   Идентификатор
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. В текстовое поле URL-адрес ответа введите URL-адрес в любом из следующих форматов:

   URL-адрес ответа
   https://www.google.com/acs
   https://www.google.com/a/<yourdomain.com>/acs

   c. В текстовом поле URL-адрес для входа введите URL-адрес в следующем формате: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

   Примечание.

   Эти значения приведены для примера. Замените их фактическими значениями идентификатора, URL-адреса ответа и URL-адреса входа. Google Cloud/G Suite Connector от Майкрософт не предоставляет значение идентификатора сущности для конфигурации единого входа, поэтому при снятии флажка Domain specific issuer (Издатель для определенного домена) значение идентификатора будет google.com. Если установить флажок Издатель для определенного домена, он будет равен "google.com/a/<yourdomainname.com>". Чтобы установить или снять флажок Domain specific issuer (Издатель для определенного домена), необходимо перейти в раздел Настройка единого входа в Google Cloud/G Suite Connector от Майкрософт, который описан далее в этом учебнике. Дополнительные сведения можно получить, обратившись в группу поддержки клиентов Google Cloud/G Suite Connector от Майкрософт.

7. Приложение Google Cloud/G Suite Connector от Майкрософт ожидает проверочные утверждения SAML в определенном формате, поэтому следует добавить сопоставления настраиваемых атрибутов в вашу конфигурацию атрибутов токена SAML. На следующем снимке экрана приведен пример. По умолчанию для уникального идентификатора пользователя установлено значение user.userprincipalname, но для Google Cloud/G Suite Connector от Майкрософт требуется сопоставить это значение с адресом электронной почты пользователя. Для этого можно использовать атрибут user.mail из списка или соответствующее значение атрибута, основанное на конфигурации организации.

   

   Примечание.

   Убедитесь, что ответ SAML не содержит не стандартные символы ASCII в атрибуте "Фамилия".

8. На странице Настройка единого входа с помощью SAML в разделе Сертификат подписи SAML найдите пункт Сертификат (Base64) и щелкните Скачать, чтобы скачать сертификат. Сохраните этот сертификат на компьютере.

   

9. Требуемые URL-адреса вы можете скопировать из раздела Настройка Google Cloud/G Suite Connector от Майкрософт.

   

   Примечание.

   URL-адрес выхода по умолчанию, указанный в приложении, является неверным. Правильный URL-адрес: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

Создание тестового пользователя Microsoft Entra

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор пользователя.
2. Перейдите в раздел Удостоверение>Пользователи>Все пользователи.
3. Выберите "Создать пользователя>" в верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле имени участника-пользователя введите username@companydomain.extensionимя пользователя. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль и запишите значение, которое отображается в поле Пароль.
   4. Выберите Review + create (Просмотреть и создать).
5. Нажмите кнопку создания.

Назначение тестового пользователя Microsoft Entra

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Google Cloud или G Suite Connector от Корпорации Майкрософт.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к корпоративным приложениям>Identity>Applications>Google Cloud / G Suite Connector от Майкрософт.
3. На странице обзора приложения выберите "Пользователи" и "Группы".
4. Выберите Добавить пользователя или группу, а затем в диалоговом окне Добавление назначения выберите Пользователи и группы.
   1. В диалоговом окне Пользователи и группы выберите B.Simon в списке пользователей, а затем в нижней части экрана нажмите кнопку Выбрать.
   2. Если пользователям необходимо назначить роль, вы можете выбрать ее из раскрывающегося списка Выберите роль. Если для этого приложения не настроена ни одна роль, будет выбрана роль "Доступ по умолчанию".
   3. В диалоговом окне Добавление назначения нажмите кнопку Назначить.

Настройка единого входа в Google Cloud/G Suite Connector от Майкрософт

1. Откройте в браузере новую вкладку и войдите в консоль администратора Google Cloud/G Suite Connector от Майкрософт с использованием учетной записи администратора.

2. Выберите меню -> Security (Безопасность) -> Authentication (Проверка подлинности) -> SSO with third party IDP (Единый вход с использованием стороннего поставщика удостоверений).

   

3. Выполните следующие изменения конфигурации на вкладке Third-party SSO profile for your organization (Профиль стороннего поставщика услуг единого входа для организации):

   

   a. Включите профиль единого входа для своей организации.

   b. В поле URL-адрес страницы входа в Google Cloud или G Suite Connector от Майкрософт вставьте значение URL-адреса входа.

   c. В поле URL-адрес страницы выхода в Google Cloud или G Suite Connector от Майкрософт вставьте значение URL-адреса выхода.

   d. В Google Cloud / G Suite Connector от Майкрософт для сертификата проверки отправьте сертификат, скачанный ранее.

   д) Установите или снимите флажок "Использовать определенный домен издателя" в соответствии с примечанием, упомянутым в приведенном выше разделе "Базовая конфигурация SAML" в идентификаторе Microsoft Entra.

   f. В поле Change password URL (URL-адрес изменения пароля) в Google Cloud/G Suite Connector от Майкрософт введите значение https://mysignins.microsoft.com/security-info/password/change

   ж. Нажмите кнопку Сохранить.

Создание тестового пользователя Google Cloud/G Suite Connector от Майкрософт

Цель этого раздела — создать пользователя в Google Cloud/G Suite Connector от Майкрософт с именем B.Simon. После того как пользователь будет создан в Google Cloud/G Suite Connector от Майкрософт вручную, он сможет войти в систему, используя учетные данные для входа в Microsoft 365.

Google Cloud/G Suite Connector от Майкрософт также поддерживает автоматическую подготовку пользователей. Чтобы настроить автоматическую подготовку пользователей, сначала необходимо настроить ее в Google Cloud/G Suite Connector от Майкрософт.

Примечание.

Убедитесь, что ваш пользователь уже существует в Google Cloud / G Suite Connector от Майкрософт, если подготовка в идентификаторе Microsoft Entra ID не включена перед тестированием единого входа.

Примечание.

Чтобы создать пользователя вручную, обратитесь к группе поддержки Google.

Проверка единого входа

В этом разделе описана конфигурация единого входа Microsoft Entra с помощью следующих параметров.

• Щелкните "Тестировать это приложение", вы будете перенаправлены в Google Cloud или G Suite Connector по URL-адресу для входа Майкрософт, где можно инициировать поток входа.

• Перейдите по URL-адресу для входа в Google Cloud/G Suite Connector от Майкрософт и инициируйте поток входа.

• Вы можете использовать портал "Мои приложения" корпорации Майкрософт. Щелкнув плитку Google Cloud/G Suite Connector от Майкрософт в области "Мои приложения", вы перейдете по URL-адресу Google Cloud/G Suite Connector от Майкрософт. Дополнительные сведения о портале "Мои приложения" см. в этой статье.

Следующие шаги

После настройки Google Cloud/G Suite Connector от Майкрософт вы можете применить функцию управления сеансом, которая в реальном времени защищает конфиденциальные данные вашей организации от хищения и несанкционированного доступа. Управление сеансом является расширением функции условного доступа. Узнайте, как применять управление сеансами с помощью приложений Defender для облака.