Настройка федерации между Google Workspace и Идентификатором Microsoft Entra
В этой статье описаны действия, необходимые для настройки Google Workspace в качестве поставщика удостоверений (IdP) для Идентификатора Microsoft Entra.
После настройки пользователи могут входить в Microsoft Entra ID с учетными данными Google Workspace.
Предварительные условия
Чтобы настроить Google Workspace в качестве поставщика удостоверений для Идентификатора Microsoft Entra, необходимо выполнить следующие предварительные требования:
- Клиент Microsoft Entra с одним или несколькими личными доменами DNS (то есть доменами, которые не соответствуют формату *.onmicrosoft.com).
- Если федеративный домен еще не добавлен в идентификатор Microsoft Entra, необходимо иметь доступ к домену DNS, чтобы создать запись DNS. Это необходимо для проверки владения пространством имен DNS.
- Узнайте, как добавить имя личного домена с помощью Центра администрирования Microsoft Entra
- Доступ к Центру администрирования Microsoft Entra как минимум в качестве администратора внешнего поставщика удостоверений
- Доступ к Google Workspace с помощью учетной записи с правами суперадминистраторов
Чтобы протестировать федерацию, необходимо выполнить следующие предварительные требования:
- Среда Google Workspace с уже созданными пользователями
Важно.
Пользователям требуется адрес электронной почты, определенный в Google Workspace, который используется для сопоставления пользователей с идентификатором Microsoft Entra. Дополнительные сведения о сопоставлении удостоверений см. в разделе Сопоставление удостоверений в Идентификаторе Microsoft Entra.
- Отдельные учетные записи Microsoft Entra уже созданы: каждому пользователю Google Workspace требуется соответствующая учетная запись, определенная в идентификаторе Microsoft Entra. Эти учетные записи обычно создаются с помощью автоматизированных решений, например:
- School Data Sync (SDS)
- Microsoft Entra Connect Sync для среды с локальными AD DS
- Скрипты PowerShell, вызывающие API Microsoft Graph
- Средства подготовки, предлагаемые поставщиком удостоверений — Google Workspace предлагает автоматическую подготовку
Настройка Google Workspace в качестве поставщика удостоверений для Идентификатора Microsoft Entra
Войдите в консоль администрирования Google Workspace с помощью учетной записи с правами суперадминистраторов .
Выберите Веб-приложения > и мобильные приложения
Выберите Добавить приложение > Поиск приложений и поиск по запросу Майкрософт
На странице результатов поиска наведите указатель мыши на приложение Microsoft Office 365 — Web (SAML) и выберите Выбрать
На странице сведений о поставщике удостоверений Google выберите Скачать метаданные и запишите расположение, в котором хранятся метаданные - поставщика удостоверенийGoogleIDPMetadata.xml - файл, так как он используется для настройки идентификатора Microsoft Entra в дальнейшем.
На странице сведений о поставщике услуг
- Выберите параметр Подписанный ответ
- Убедитесь, что для формата идентификатора имени задано значение PERSISTENT.
- В зависимости от того, как пользователи Microsoft Entra были подготовлены в Идентификаторе Microsoft Entra, может потребоваться изменить сопоставление идентификаторов имен .
При использовании автоматической подготовки Google выберите Основные сведения > о основном сообщении электронной почты. - Нажмите кнопку Продолжить.
На странице Сопоставление атрибутов сопоставьте атрибуты Google с атрибутами Microsoft Entra
Атрибуты Google Directory Атрибуты Microsoft Entra Основные сведения: основная электронная почта Атрибуты приложения: IDPEmail Важно.
Необходимо убедиться, что адрес электронной почты вашей учетной записи пользователя Microsoft Entra соответствует электронной почте в Google Workspace.
Нажмите кнопку Готово
Теперь, когда приложение настроено, его необходимо включить для пользователей в Google Workspace:
- Войдите в консоль администрирования Google Workspace с помощью учетной записи с правами суперадминистраторов .
- Выберите Веб-приложения > и мобильные приложения
- Выберите Microsoft Office 365
- Выберите Доступ пользователя
- Выберите Включено для всех > Сохранить
Настройка Идентификатора Microsoft Entra в качестве поставщика услуг (SP) для Google Workspace
Конфигурация Идентификатора Microsoft Entra состоит из изменения метода проверки подлинности для личных доменов DNS. Эту настройку можно выполнить с помощью PowerShell.
Используя XML-файл метаданных поставщика удостоверений , скачанный из Google Workspace, измените переменную $DomainName следующего скрипта в соответствии с вашей средой, а затем запустите ее в сеансе PowerShell. При появлении запроса на проверку подлинности в Microsoft Entra ID войдите как минимум от имени администратора внешнего поставщика удостоверений.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
$domainId = "<your domain name>"
$xml = [Xml](Get-Content GoogleIDPMetadata.xml)
$cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
$issuerUri = $xml.EntityDescriptor.entityID
$signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
$signoutUri = "https://accounts.google.com/logout"
$displayName = "Google Workspace Identity"
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
$domainAuthParams = @{
DomainId = $domainId
IssuerUri = $issuerUri
DisplayName = $displayName
ActiveSignInUri = $signinUri
PassiveSignInUri = $signinUri
SignOutUri = $signoutUri
SigningCertificate = $cert
PreferredAuthenticationProtocol = "saml"
federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}
New-MgDomainFederationConfiguration @domainAuthParams
Чтобы убедиться в правильности конфигурации, можно использовать следующую команду PowerShell:
Get-MgDomainFederationConfiguration -DomainId $domainId |fl
ActiveSignInUri : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
DisplayName : Google Workspace Identity
FederatedIdpMfaBehavior : acceptIfMfaDoneByFederatedIdp
Id : 3f600dce-ab37-4798-9341-ffd34b147f70
IsSignedAuthenticationRequestRequired :
IssuerUri : https://accounts.google.com/o/saml2?idpid=<GUID>
MetadataExchangeUri :
NextSigningCertificate :
PassiveSignInUri : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
PreferredAuthenticationProtocol : saml
PromptLoginBehavior :
SignOutUri : https://accounts.google.com/logout
SigningCertificate : <BASE64 encoded certificate>
AdditionalProperties : {}
Проверка федеративной проверки подлинности между Google Workspace и Идентификатором Microsoft Entra
В закрытом сеансе браузера перейдите по https://portal.azure.com адресу и войдите с помощью учетной записи Google Workspace:
- В качестве имени пользователя используйте адрес электронной почты, как определено в Google Workspace.
- Пользователь перенаправляется в Google Workspace для входа.
- После проверки подлинности в Рабочей области Google пользователь перенаправляется обратно в Microsoft Entra ID и войдет в систему.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по