Настройка федерации между Google Workspace и Microsoft Entra ID

  • Статья

В этой статье описаны действия, необходимые для настройки Google Workspace в качестве поставщика удостоверений (IdP) для Microsoft Entra ID.
После настройки пользователи могут входить в Microsoft Entra ID с учетными данными Google Workspace.

Предварительные условия

Чтобы настроить Google Workspace в качестве поставщика удостоверений для Microsoft Entra ID, необходимо выполнить следующие предварительные требования:

  1. Клиент Microsoft Entra с одним или несколькими личными доменами DNS (то есть доменами, которые не соответствуют формату *.onmicrosoft.com).
  2. Доступ к Microsoft Entra ID с учетной записью с ролью глобального администратора
  3. Доступ к Google Workspace с помощью учетной записи с правами суперадминистраторов

Чтобы протестировать федерацию, необходимо выполнить следующие предварительные требования:

  1. Среда Google Workspace с уже созданными пользователями

    Важно.

    Пользователям требуется адрес электронной почты, определенный в Google Workspace, который используется для сопоставления пользователей в Microsoft Entra ID. Дополнительные сведения о сопоставлении удостоверений см. в разделе Сопоставление удостоверений в Microsoft Entra ID.

  2. Отдельные учетные записи Microsoft Entra уже созданы: каждому пользователю Google Workspace требуется соответствующая учетная запись, определенная в Microsoft Entra ID. Эти учетные записи обычно создаются с помощью автоматизированных решений, например:
    • School Data Sync (SDS)
    • Microsoft Entra Подключение синхронизации для среды с локальными AD DS
    • Скрипты PowerShell, вызывающие microsoft API Graph
    • Средства подготовки, предлагаемые поставщиком удостоверений — Google Workspace предлагает автоматическую подготовку

Настройка Google Workspace в качестве поставщика удостоверений для Microsoft Entra ID

  1. Войдите в консоль google Workspace Администратор с помощью учетной записи с правами суперадминистраторов.

  2. Выберите Веб-приложения > и мобильные приложения

  3. Выберите Добавить Поиск приложений > для приложений и выполните поиск по запросу Майкрософт.

  4. На странице результатов поиска наведите указатель мыши на приложение Microsoft Office 365 - Web (SAML) и выберите Выбратьснимок экрана, показывающий Google Workspace и кнопку поиска для Microsoft Office 365 приложение SAML.

  5. На странице Сведений о поставщике удостоверений Google выберите Скачать метаданные и запишите расположение, в котором хранятся метаданные - поставщика удостоверенийGoogleIDPMetadata.xml - файл, так как он используется для настройки Microsoft Entra ID позже

  6. На странице сведений о поставщике услуг

    • Выберите параметр Подписанный ответ
    • Убедитесь, что для формата идентификатора имени задано значение PERSISTENT.
    • В зависимости от того, как были подготовлены пользователи Microsoft Entra в Microsoft Entra ID, может потребоваться изменить сопоставление идентификаторов имен.
      При использовании автоматической подготовки Google выберите Основные сведения > о основном сообщении электронной почты.
    • Нажмите кнопку Продолжить.

  7. На странице Сопоставление атрибутов сопоставьте атрибуты Google с атрибутами Microsoft Entra

    Атрибуты Google Directory атрибуты Microsoft Entra
    Основные сведения: основная Email Атрибуты приложения: IDPEmail

    Важно.

    Вы должны убедиться, что вы Microsoft Entra учетные записи пользователей соответствуют электронной почте в вашей Рабочей области Google.

  8. Нажмите кнопку Готово

Теперь, когда приложение настроено, его необходимо включить для пользователей в Google Workspace:

  1. Войдите в консоль google Workspace Администратор с помощью учетной записи с правами суперадминистраторов.
  2. Выберите Веб-приложения > и мобильные приложения
  3. Выберите Microsoft Office 365
  4. Выберите Доступ пользователя
  5. Выберите Включено для всех > Сохранить

Настройка Microsoft Entra ID в качестве поставщика услуг (SP) для Google Workspace

Конфигурация Microsoft Entra ID состоит из изменения метода проверки подлинности для личных доменов DNS. Эту настройку можно выполнить с помощью PowerShell.
Используя XML-файл метаданных поставщика удостоверений , скачанный из Google Workspace, измените переменную $DomainName следующего скрипта в соответствии с вашей средой, а затем запустите ее в сеансе PowerShell. При появлении запроса на проверку подлинности для Microsoft Entra ID используйте учетные данные учетной записи с ролью глобального администратора.

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph

$domainId = "<your domain name>"

$xml = [Xml](Get-Content GoogleIDPMetadata.xml)

$cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
$issuerUri = $xml.EntityDescriptor.entityID
$signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
$signoutUri = "https://accounts.google.com/logout"
$displayName = "Google Workspace Identity"
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"

$domainAuthParams = @{
  DomainId = $domainId
  IssuerUri = $issuerUri
  DisplayName = $displayName
  ActiveSignInUri = $signinUri
  PassiveSignInUri = $signinUri
  SignOutUri = $signoutUri
  SigningCertificate = $cert
  PreferredAuthenticationProtocol = "saml"
  federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}

New-MgDomainFederationConfiguration @domainAuthParams

Чтобы убедиться в правильности конфигурации, можно использовать следующую команду PowerShell:

Get-MgDomainFederationConfiguration -DomainId $domainId |fl

ActiveSignInUri                       : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
DisplayName                           : Google Workspace Identity
FederatedIdpMfaBehavior               : acceptIfMfaDoneByFederatedIdp
Id                                    : 3f600dce-ab37-4798-9341-ffd34b147f70
IsSignedAuthenticationRequestRequired :
IssuerUri                             : https://accounts.google.com/o/saml2?idpid=<GUID>
MetadataExchangeUri                   :
NextSigningCertificate                :
PassiveSignInUri                      : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
PreferredAuthenticationProtocol       : saml
PromptLoginBehavior                   :
SignOutUri                            : https://accounts.google.com/logout
SigningCertificate                    : <BASE64 encoded certificate>
AdditionalProperties                  : {}

Проверка федеративной проверки подлинности между Google Workspace и Microsoft Entra ID

В закрытом сеансе браузера перейдите по https://portal.azure.com адресу и войдите с помощью учетной записи Google Workspace:

  1. В качестве имени пользователя используйте адрес электронной почты, как определено в Google Workspace.
  2. Пользователь перенаправляется в Google Workspace для входа.
  3. После проверки подлинности в Рабочей области Google пользователь перенаправляется обратно в Microsoft Entra ID и входит в систему.

GIF-файл, показывающий, как пользователь проверяет подлинность портал Azure с помощью федеративного удостоверения Google Workspace.