Självstudie: Microsoft Entra SSO-integrering med Google Cloud/G Suite Connector från Microsoft
I den här självstudien lär du dig att integrera Google Cloud/G Suite Connector från Microsoft med Microsoft Entra-ID. När du integrerar Google Cloud/G Suite Connector från Microsoft med Microsoft Entra-ID kan du:
- Kontroll i Microsoft Entra-ID som har åtkomst till Google Cloud/G Suite Connector av Microsoft.
- Gör så att dina användare automatiskt loggas in på Google Cloud/G Suite Connector av Microsoft med sina Microsoft Entra-konton.
- Hantera dina konton på en central plats.
Förutsättningar
För att komma igång behöver du följande:
- En Microsoft Entra-prenumeration.
- Google Cloud/G Suite Connector by Microsoft single sign-on (SSO) aktiverad prenumeration.
- En Google Apps-prenumeration eller Google Cloud Platform-prenumeration.
Kommentar
Vi rekommenderar att du inte använder en produktionsmiljö för att testa stegen i den här självstudien. Det här dokumentet har skapats med den nya användarupplevelsen Enkel inloggning. Om du fortfarande använder den gamla upplevelsen ser installationen annorlunda ut. Du kan aktivera den nya upplevelsen i inställningarna för enkel inloggning i G Suite-programmet. Gå till Microsoft Entra ID>Enterprise-program, välj Google Cloud/G Suite Connector från Microsoft, välj Enkel inloggning och klicka sedan på Prova vår nya upplevelse.
Du bör följa de här rekommendationerna när du testar stegen i självstudien:
- Använd inte produktionsmiljön om det inte är nödvändigt.
- Om du inte har en prenumeration kan du få ett kostnadsfritt konto.
Senaste ändringar
De senaste uppdateringarna från Google tillåter nu tillägg av användargrupper till profiler för enkel inloggning från tredje part. Detta ger mer detaljerad kontroll över tilldelningen av SSO-inställningar. Nu kan du skapa SSO-profiltilldelningar så att du kan migrera användare stegvis i stället för att flytta hela företaget samtidigt. I det här området får du SP-information med ett entitets-ID och ENTitets-URL som du nu behöver lägga till i Azure Apps för svar och entitet.
Vanliga frågor och svar
F: Stöder den här integreringen Google Cloud Platform SSO-integrering med Microsoft Entra-ID?
S: Ja. Google Cloud Platform och Google Apps delar samma autentiseringsplattform. Så om du vill göra GCP-integreringen måste du konfigurera enkel inloggning med Google Apps.
F: Är Chromebooks och andra Chrome-enheter kompatibla med enkel inloggning med Microsoft Entra?
S: Ja, användarna kan logga in på sina Chromebook-enheter med sina Microsoft Entra-autentiseringsuppgifter. Mer information om varför användare kan uppmanas att ange autentiseringsuppgifter två gånger finns i den här artikeln om Google Cloud/G Suite Connector från Microsofts support.
F: Om jag aktiverar enkel inloggning kan användarna använda sina Microsoft Entra-autentiseringsuppgifter för att logga in på alla Google-produkter, till exempel Google Classroom, GMail, Google Drive, YouTube och så vidare?
S: Ja, beroende på vilket Google Cloud/G Suite Connector från Microsoft du väljer att aktivera eller inaktivera för din organisation.
F: Kan jag aktivera enkel inloggning för endast en delmängd av min Google Cloud/G Suite Connector av Microsoft-användare?
S: Ja, SSO-profilerna kan väljas per användare, organisationsenhet eller grupp på Google-arbetsytan.
Välj profilen för enkel inloggning som "ingen" för gruppen Google Workspace. Detta förhindrar att medlemmar i den här gruppen (Google Workspace) omdirigeras till Microsoft Entra-ID för inloggning.
F: Om en användare är inloggad via Windows autentiseras de automatiskt till Google Cloud/G Suite Connector av Microsoft utan att uppmanas att ange ett lösenord?
S: Det finns två alternativ för att aktivera det här scenariot. Först kan användare logga in på Windows 10-enheter via Microsoft Entra-anslutning. Alternativt kan användare logga in på Windows-enheter som är domänanslutna till en lokal Active Directory som har aktiverats för enkel inloggning till Microsoft Entra-ID via en distribution av Active Directory Federation Services (AD FS) (AD FS). Båda alternativen kräver att du utför stegen i följande självstudie för att aktivera enkel inloggning mellan Microsoft Entra ID och Google Cloud/G Suite Connector från Microsoft.
F: Vad ska jag göra när jag får felmeddelandet "ogiltigt e-postmeddelande"?
S: För den här konfigurationen krävs e-postattributet för att användarna ska kunna logga in. Det här attributet kan inte anges manuellt.
E-postadressattribut fylls i automatiskt för alla användare med en giltig Exchange-licens. Om användaren inte är e-postaktiverad tas det här felet emot eftersom programmet behöver hämta det här attributet för att ge åtkomst.
Du kan gå till portal.office.com med ett administratörskonto och sedan klicka i administrationscentret, fakturering, prenumerationer, välja din Microsoft 365-prenumeration och sedan klicka på tilldela till användare, välja de användare som du vill kontrollera deras prenumeration och klicka på redigera licenser i den högra rutan.
När Microsoft 365-licensen har tilldelats kan det ta några minuter att tillämpa den. Efter det kommer attributet user.mail att fyllas i automatiskt och problemet ska vara löst.
Beskrivning av scenario
I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.
Google Cloud/G Suite Connector från Microsoft har stöd för SP-initierad enkel inloggning.
Google Cloud/G Suite Connector från Microsoft har stöd för automatiserad användaretablering.
Lägga till Google Cloud/G Suite Connector från Microsoft från galleriet
För att konfigurera integreringen av Google Cloud/G Suite Connector av Microsoft i Microsoft Entra-ID måste du lägga till Google Cloud/G Suite Connector från Microsoft från galleriet till din lista över hanterade SaaS-appar.
- Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
- Bläddra till Identity>Applications Enterprise-program>>Nytt program.
- I avsnittet Lägg till från galleriet skriver du Google Cloud/G Suite Connector av Microsoft i sökrutan.
- Välj Google Cloud/G Suite Connector från Microsoft i resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.
Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.
Konfigurera och testa enkel inloggning med Microsoft Entra för Google Cloud/G Suite Connector av Microsoft
Konfigurera och testa Microsoft Entra SSO med Google Cloud/G Suite Connector från Microsoft med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i Google Cloud/G Suite Connector från Microsoft.
Utför följande steg för att konfigurera och testa Microsoft Entra SSO med Google Cloud/G Suite Connector från Microsoft:
- Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
- Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
- Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för B.Simon att använda enkel inloggning med Microsoft Entra.
- Konfigurera Google Cloud/G Suite Connector från Microsoft SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
- Skapa Google Cloud/G Suite Connector av Microsoft-testanvändare – för att ha en motsvarighet till B.Simon i Google Cloud/G Suite Connector från Microsoft som är länkad till Microsoft Entra-representationen av användaren.
- Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.
Konfigurera enkel inloggning med Microsoft Entra
Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.
Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
Bläddra till Identity>Applications>Enterprise-program>Google Cloud/G Suite Connector via Microsoft>Enkel inloggning.
På sidan Välj en enkel inloggningsmetod väljer du SAML.
På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.
I avsnittet Grundläggande SAML-konfiguration utför du följande steg om du vill konfigurera för Gmail:
a. I textrutan Identifierare skriver du en URL med något av följande mönster:
Identifierare google.com/a/<yourdomain.com>google.comhttps://google.comhttps://google.com/a/<yourdomain.com>b. I textrutan Svars-URL skriver du en URL med något av följande mönster:
Svarswebbadress https://www.google.comhttps://www.google.com/a/<yourdomain.com>c. I textrutan Inloggnings-URL skriver du en URL med följande mönster:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.comI avsnittet Grundläggande SAML-konfiguration utför du följande steg om du vill konfigurera för Google Cloud Platform:
a. I textrutan Identifierare skriver du en URL med något av följande mönster:
Identifierare google.com/a/<yourdomain.com>google.comhttps://google.comhttps://google.com/a/<yourdomain.com>b. I textrutan Svars-URL skriver du en URL med något av följande mönster:
Svarswebbadress https://www.google.com/acshttps://www.google.com/a/<yourdomain.com>/acsc. I textrutan Inloggnings-URL skriver du en URL med följande mönster:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.comKommentar
Dessa värden är inte verkliga. Uppdatera dessa värden med den faktiska identifieraren, svars-URL:en och inloggnings-URL: en. Google Cloud/G Suite Connector från Microsoft tillhandahåller inte entitets-ID/identifierarvärde för Enkel inloggning konfiguration, så när du avmarkerar det domänspecifika utfärdaralternativet blir
google.comidentifierarvärdet . Om du kontrollerar det domänspecifika utfärdaralternativet blirgoogle.com/a/<yourdomainname.com>det . Om du vill kontrollera/avmarkera det domänspecifika utfärdaralternativet måste du gå till avsnittet Konfigurera Google Cloud/G Suite Connector by Microsoft SSO som beskrivs senare i självstudien. Om du vill ha mer information kontaktar du Supportteamet för Google Cloud/G Suite Connector från Microsoft Client.Ditt Google Cloud/G Suite Connector från Microsoft-program förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. Följande skärmbild visar ett exempel på detta. Standardvärdet för unik användaridentifierare är user.userprincipalname men Google Cloud/G Suite Connector från Microsoft förväntar sig att detta mappas med användarens e-postadress. Till det kan du använda user.mail-attributet från listan eller rätt attributvärde baserat på organisationens konfiguration.
Kommentar
Se till att SAML-svaret inte innehåller några ASCII-tecken som inte är standard i attributet Efternamn.
På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och letar upp Certifikat (Base64) och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.
I avsnittet Konfigurera Google Cloud/G Suite Connector by Microsoft kopierar du lämpliga URL:er baserat på dina behov.
Kommentar
Standardutloggnings-URL:en som anges i appen är felaktig. Rätt URL är:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
Skapa en Microsoft Entra-testanvändare
I det här avsnittet skapar du en testanvändare med namnet B.Simon.
- Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
- Gå till Identitet>Användare>Alla användare.
- Välj Ny användare>Skapa ny användare överst på skärmen.
- Följ dessa steg i användaregenskaperna :
- I fältet Visningsnamn anger du
B.Simon. - I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel:
B.Simon@contoso.com - Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
- Välj Granska + skapa.
- I fältet Visningsnamn anger du
- Välj Skapa.
Tilldela Microsoft Entra-testanvändaren
I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till Google Cloud/G Suite Connector av Microsoft.
- Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
- Bläddra till Identity>Applications Enterprise-program>>Google Cloud/G Suite Connector från Microsoft.
- På appens översiktssida väljer du Användare och grupper.
- Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
- I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
- Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
- I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.
Konfigurera Google Cloud/G Suite Connector av Microsoft SSO
Öppna en ny flik i webbläsaren och logga in på Google Cloud/G Suite Connector från Microsoft Admin Console med ditt administratörskonto.
Gå till menyn –> Säkerhet –> Autentisering –> enkel inloggning med tredjeparts-IDP.
Utför följande konfigurationsändringar i fliken SSO-profil från tredje part för din organisation :
a. Aktivera SSO-profilen för din organisation.
b. I fältet URL för inloggningssidan i Google Cloud/G Suite Connector från Microsoft klistrar du in värdet för Inloggnings-URL.
c. I fältet Url för utloggningssidan i Google Cloud/G Suite Connector från Microsoft klistrar du in värdet för utloggnings-URL.
d. I Google Cloud/G Suite Connector från Microsoft laddar du upp certifikatet som du har laddat ned tidigare för verifieringscertifikatet.
e. Kontrollera/avmarkera alternativet Använd en domänspecifik utfärdare enligt anteckningen som nämns i avsnittet Grundläggande SAML-konfiguration i Microsoft Entra-ID.
f. I fältet Ändra lösenords-URL i Google Cloud/G Suite Connector av Microsoft anger du värdet som
https://mysignins.microsoft.com/security-info/password/changeg. Klicka på Spara.
Skapa Google Cloud/G Suite Connector av Microsoft-testanvändare
Målet med det här avsnittet är att skapa en användare i Google Cloud/G Suite Connector av Microsoft med namnet B.Simon. När användaren har skapats manuellt i Google Cloud/G Suite Connector av Microsoft kan användaren nu logga in med sina Inloggningsuppgifter för Microsoft 365.
Google Cloud/G Suite Connector från Microsoft har också stöd för automatisk användaretablering. För att konfigurera automatisk användaretablering måste du först konfigurera Google Cloud/G Suite Connector av Microsoft för automatisk användaretablering.
Kommentar
Kontrollera att användaren redan finns i Google Cloud/G Suite Connector av Microsoft om etableringen i Microsoft Entra-ID inte har aktiverats innan du testar enkel inloggning.
Kommentar
Om du vill skapa en användare manuellt kan du kontakta Google-supportteamet.
Testa enkel inloggning
I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.
Klicka på Testa det här programmet, detta omdirigeras till Google Cloud/G Suite Connector via Microsoft Sign-on URL där du kan initiera inloggningsflödet.
Gå till Google Cloud/G Suite Connector via Microsofts inloggnings-URL direkt och initiera inloggningsflödet därifrån.
Du kan använda Microsoft Mina appar. När du klickar på Google Cloud/G Suite Connector by Microsoft-panelen i Mina appar omdirigeras detta till Google Cloud/G Suite Connector via Microsofts inloggnings-URL. Mer information om Mina appar finns i Introduktion till Mina appar.
Nästa steg
När du har konfigurerat Google Cloud/G Suite Connector från Microsoft kan du tillämpa sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorsstyrd åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.