Share via

Microsoft Entra SSO-integratie met Google Cloud / G Suite Connector by Microsoft

  • Artikel

In dit artikel leert u hoe u Google Cloud/G Suite Connector van Microsoft integreert met Microsoft Entra ID. Wanneer u Google Cloud /G Suite Connector by Microsoft integreert met Microsoft Entra ID, kunt u het volgende doen:

  • In Microsoft Entra ID bepalen wie toegang heeft tot Google Cloud/G Suite Connector door Microsoft.
  • Ervoor zorgen dat gebruikers automatisch met hun Microsoft Entra-account worden aangemeld bij Google Cloud/G Suite Connector door Microsoft.
  • Beheer uw accounts op één centrale locatie.

Vereisten

In het scenario dat in dit artikel wordt beschreven, wordt ervan uitgegaan dat u al beschikt over de volgende vereisten:

  • Een Google Cloud / G Suite Connector by Microsoft abonnement met ingeschakeld single sign-on (SSO).
  • Een Google Apps-abonnement of Google Cloud Platform-abonnement.

Notitie

Als u de stappen in dit artikel wilt testen, raden we u niet aan een productieomgeving te gebruiken. Dit document is gemaakt met behulp van de nieuwe ervaring voor eenmalige aanmelding. Als u nog steeds gebruikmaakt van de oude versie, ziet de installatie er anders uit. U kunt de nieuwe ervaring inschakelen in de instellingen voor eenmalige aanmelding van de G Suite-toepassing. Ga naar Microsoft Entra ID>Enterprise-toepassingen, selecteer Google Cloud /G Suite Connector by Microsoft, selecteer Eenmalige aanmelding en klik vervolgens op Onze nieuwe ervaring uitproberen.

Als u de stappen in dit artikel wilt testen, moet u de volgende aanbevelingen volgen:

  • Gebruik uw productieomgeving niet, tenzij dit nodig is.
  • Als u geen abonnement hebt, kunt u een gratis account krijgen.

Recente wijzigingen

Recente updates van Google maken het toevoegen van gebruikersgroepen nu mogelijk aan SSO-profielen van derden. Dit maakt gedetailleerdere controle mogelijk over de toewijzing van SSO-instellingen. U kunt nu SSO-profieltoewijzingen maken, zodat u gebruikers in fasen kunt migreren in plaats van het hele bedrijf tegelijk te verplaatsen. In dit gebied krijgt u SP-details met een entiteits-id en ACS-URL, die u nu moet toevoegen aan Azure-app s voor antwoord en entiteit.

Veelgestelde vragen

  1. V: Ondersteunt deze integratie integratie van Google Cloud Platform SSO met Microsoft Entra ID?

    A: Ja. Google Cloud Platform en Google Apps delen hetzelfde verificatieplatform. Voor de GCP-integratie moet u dus de eenmalige aanmelding met Google Apps configureren.

  2. V: Zijn Chromebooks en andere Chrome-apparaten compatibel met eenmalige aanmelding van Microsoft Entra?

    A: Ja, gebruikers kunnen zich aanmelden bij hun Chromebook-apparaten met hun Microsoft Entra-referenties. Bekijk dit ondersteuningsartikel over Google Cloud / G Suite Connector by Microsoft voor informatie over waarom gebruikers mogelijk tweemaal om hun referenties wordt gevraagd.

  3. V: Als ik eenmalige aanmelding inschakelen, kunnen gebruikers hun Microsoft Entra-referenties gebruiken om zich aan te melden bij een Google-product, zoals Google Classroom, GMail, Google Drive, YouTube, enzovoort?

    A: Ja, afhankelijk van de Google Cloud / G Suite Connector by Microsoft die u inschakelt of uitschakelt voor uw organisatie.

  4. V: Kan ik eenmalige aanmelding voor alleen een subset van gebruikers van Google Cloud / G Suite Connector by Microsoft inschakelen?

    A: Ja, de profielen voor eenmalige aanmelding kunnen worden geselecteerd per gebruiker, organisatorische eenheid of groep in Google Workspace.

    Schermopname van SSO-profieltoewijzing.

    Selecteer het SSO-profiel als "geen" voor de Google Workspace-groep. Hiermee voorkomt u dat leden van deze (Google Workspace-groep) worden omgeleid naar de Microsoft Entra-id voor aanmelding.

  5. V: Wordt een gebruiker die is aangemeld via Windows, automatisch gevraagd om zich te verifiëren bij Google Cloud / G Suite Connector by Microsoft, zonder dat om een wachtwoord wordt gevraagd?

    A: Er zijn twee opties voor het inschakelen van dit scenario. Gebruikers kunnen zich eerst aanmelden bij Windows 10-apparaten via Microsoft Entra join. Gebruikers kunnen zich ook aanmelden bij Windows-apparaten die zijn gekoppeld aan een on-premises Active Directory-domein dat is geconfigureerd voor eenmalige aanmelding bij Microsoft Entra ID via een Active Directory Federation Services (AD FS) implementatie. Voor beide opties moet u de stappen in het volgende artikel uitvoeren om eenmalige aanmelding tussen Microsoft Entra ID en Google Cloud/G Suite Connector by Microsoft in te schakelen.

  6. V: Wat moet ik doen wanneer ik een foutbericht 'ongeldig e-mailbericht' krijg?

    A: Voor deze installatie is het e-mailkenmerk vereist voor de gebruikers om zich aan te melden. Dit kenmerk kan niet handmatig worden ingesteld.

    Het e-mailkenmerk wordt automatisch ingevuld voor elke gebruiker met een geldige Exchange-licentie. Als de gebruiker geen e-mail heeft ingeschakeld, wordt deze fout ontvangen omdat de toepassing dit kenmerk moet ophalen om toegang te verlenen.

    U kunt met een beheerdersaccount naar portal.office.com gaan, in het beheercentrum klikken op Facturering > Abonnementen, uw Microsoft 365-abonnement selecteren en vervolgens klikken op Toewijzen aan gebruikers. Selecteer de gebruikers van wie u het abonnement wilt controleren, en klik in het rechterdeelvenster op Licenties bewerken.

    Nadat de Microsoft 365-licentie is toegewezen, kan het enkele minuten duren voordat deze is toegepast. Hierna wordt het kenmerk user.mail automatisch ingevuld en is het probleem zeer waarschijnlijk opgelost.

Beschrijving van scenario

In dit artikel configureer en test je Microsoft Entra SSO in een testomgeving.

Google Cloud / G Suite Connector by Microsoft toevoegen vanuit de galerie

Als u de integratie van Google Cloud /G Suite Connector by Microsoft in Microsoft Entra ID wilt configureren, moet u Google Cloud/G Suite Connector by Microsoft vanuit de galerie toevoegen aan uw lijst met beheerde SaaS-apps.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een cloudtoepassingsbeheerder.
  2. Blader naar Identiteit>Toepassingen>Ondernemingstoepassingen>Nieuwe toepassing.
  3. Typ Google Cloud / G Suite Connector by Microsoft in het zoekvak in de sectie Toevoegen vanuit de galerie.
  4. Selecteer Google Cloud / G Suite Connector by Microsoft in het resultatenvenster en voeg de app vervolgens toe. Wacht een paar seconden terwijl de app aan je tenant wordt toegevoegd.

U kunt ook de Enterprise App Configuration-wizard gebruiken. In deze wizard kunt u een toepassing toevoegen aan uw tenant, gebruikers/groepen toevoegen aan de app, rollen toewijzen en ook de configuratie van eenmalige aanmelding doorlopen. Meer informatie over Microsoft 365-wizards.

Eenmalige aanmelding van Microsoft Entra configureren en testen voor Google Cloud /G Suite Connector by Microsoft

Configureer en test Microsoft Entra Single Sign-On (SSO) met Google Cloud / G Suite Connector van Microsoft met behulp van een testgebruiker genaamd B.Simon. Eenmalige aanmelding werkt alleen als u een koppelingsrelatie tot stand brengt tussen een Microsoft Entra-gebruiker en de bijbehorende gebruiker in Google Cloud en G Suite Connector door Microsoft.

nl-NL: Voer de volgende stappen uit om Microsoft Entra SSO met Google Cloud/G Suite Connector by Microsoft te configureren en te testen:

  1. Configureer Microsoft Entra SSO - zodat uw gebruikers deze functie kunnen gebruiken.
    1. Een Microsoft Entra-testgebruiker maken : eenmalige aanmelding van Microsoft Entra testen met B.Simon.
    2. Wijs de Microsoft Entra-testgebruiker toe om B.Simon in staat te stellen eenmalige aanmelding van Microsoft Entra te gebruiken.
  2. Eenmalige aanmelding bij Google Cloud/G Suite Connector by Microsoft configureren : als u de instellingen voor eenmalige aanmelding aan de toepassingszijde wilt configureren.
    1. Maak een testgebruiker voor Google Cloud/G Suite Connector by Microsoft: om een tegenhanger van B.Simon in Google Cloud/G Suite Connector by Microsoft te hebben die is gekoppeld aan de Microsoft Entra-weergave van de gebruiker.
  3. Eenmalige aanmelding testen: om te controleren of de configuratie werkt.

Microsoft Entra SSO configureren

Volg deze stappen om Microsoft Entra SSO (Eenmalige Aanmelding) in te schakelen.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een cloudtoepassingsbeheerder.

  2. Blader naar Identity>Toepassingen>Enterprisetoepassingen>Google Cloud/G Suite Connector door Microsoft>Eenmalige aanmelding.

  3. Selecteer SAML op de pagina Selecteer een methode voor eenmalige aanmelding.

  4. Op de pagina Eenmalige aanmelding instellen met SAML klikt u op het potloodpictogram voor Standaard-SAML-configuratie om de instellingen te bewerken.

    Standaard SAML-configuratie bewerken

  5. Voer in het gedeelte Standaard SAML-configuratie de volgende stappen uit als u wilt configureren voor Gmail:

    a. In het tekstvak Identifier typt u een URL in een van de volgende notaties:

    Identificator
    google.com/a/<yourdomain.com>
    google.com
    https://google.com
    https://google.com/a/<yourdomain.com>

    b. In het tekstvak Antwoord-URL typt u een URL volgens een van de volgende patronen:

    Antwoord-URL
    https://www.google.com
    https://www.google.com/a/<yourdomain.com>

    c. Typ in het tekstvak Aanmeldings-URL een URL met het volgende patroon: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com

  6. Voer in het gedeelte Standaard SAML-configuratie de volgende stappen uit als u wilt configureren voor Google Cloud Platform:

    a. In het tekstvak Identifier typt u een URL volgens een van de volgende notaties:

    Identificatie
    google.com/a/<yourdomain.com>
    google.com
    https://google.com
    https://google.com/a/<yourdomain.com>

    b. In het tekstvak Antwoord-URL typt u een URL in door gebruik te maken van een van de volgende notaties:

    Antwoord-URL
    https://www.google.com/acs
    https://www.google.com/a/<yourdomain.com>/acs

    c. Typ in het tekstvak Aanmeldings-URL een URL met het volgende patroon: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

    Notitie

    Dit zijn geen echte waarden. Werk deze waarden bij met de werkelijke id, antwoord-URL en aanmeldings-URL. Google Cloud / G Suite Connector by Microsoft geeft geen Entiteits-ID-waarde op voor de configuratie van eenmalige aanmelding, dus wanneer u de optie voor domeinspecifieke uitgever uitschakelt, zal de Identifier waarde google.com zijn. Als u de optie voor de domeinspecifieke uitgever inschakelt, wordt deze google.com/a/<yourdomainname.com>. Als u de domeinspecifieke verlener optie wilt controleren/uitschakelen, gaat u naar de sectie Google Cloud/G Suite Connector configureren door Microsoft SSO, zoals verderop in het artikel wordt uitgelegd. Neem contact op met het ondersteuningsteam van Google Cloud / G Suite Connector by Microsoft voor meer informatie.

  7. De Google Cloud / G Suite Connector by Microsoft-toepassing verwacht de SAML-asserties in een specifieke indeling. Hiervoor moet u aangepaste kenmerktoewijzingen toevoegen aan de configuratie van uw SAML-tokenkenmerken. In de volgende schermopname ziet u een voorbeeld hiervan. De standaardwaarde van Unieke gebruikers-id is user.userprincipalname, maar in Google Cloud / G Suite Connector by Microsoft wordt verwacht dat aan deze waarde het e-mailadres van de gebruiker is toegewezen. Hiervoor kunt u het kenmerk user.mail in de lijst gebruiken of de juiste kenmerkwaarde op basis van uw organisatieconfiguratie.

    image

    Notitie

    Zorg ervoor dat het SAML-antwoord geen niet-standaard ASCII-tekens bevat in het kenmerk Achternaam.

  8. Op de pagina Eenmalige aanmelding met SAML instellen in de sectie SAML-handtekeningcertificaat gaat u naar Certificaat (Base64) en selecteert u Downloaden om het certificaat te downloaden en op te slaan op uw computer.

    Schermopname van de koppeling Certificaat downloaden.

  9. In de sectie Google Cloud / G Suite Connector by Microsoft instellen kopieert u de juiste URL('s) op basis van uw behoeften.

    Schermopname van het kopiëren van configuratie-URL's.

    Notitie

    De standaardaanmeldings-URL die in de app wordt vermeld, is onjuist. De juiste URL is: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

Een Microsoft Entra-testgebruiker maken

In deze sectie maakt u een testgebruiker met de naam B.Simon.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een gebruikersbeheerder.
  2. Blader naar Identiteit>Gebruikers>Alle gebruikers.
  3. Selecteer Nieuwe gebruiker>Nieuwe gebruiker maken bovenaan het scherm.
  4. Voer in de gebruikerseigenschappen de volgende stappen uit:
    1. In het Weergavenaam veld, voer B.Simon in.
    2. Voer in het veld User Principal Name de username@companydomain.extensionnaam in. Bijvoorbeeld: B.Simon@contoso.com.
    3. Schakel het selectievakje Wachtwoord weergeven in en noteer de waarde die wordt weergegeven in het vak Wachtwoord.
    4. Selecteer Review + maken.
  5. Selecteer Creëer.

De Microsoft Entra-testgebruiker toewijzen

In deze sectie geeft u B.Simon toestemming om eenmalige aanmelding te gebruiken door toegang te verlenen tot Google Cloud/G Suite Connector by Microsoft.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.
  2. Blader naar Identiteit>Toepassingen>Bedrijfstoepassingen>Google Cloud / G Suite Connector door Microsoft.
  3. Selecteer gebruikers en groepen op de overzichtspagina van de app.
  4. Selecteer Gebruiker/groep toevoegen en selecteer vervolgens Gebruikers en groepen in het dialoogvenster Toewijzing toevoegen.
    1. Selecteer in het dialoogvenster Gebruikers en groepen de optie B.Simon in de lijst Gebruikers. Klik vervolgens op de knop Selecteren onderaan het scherm.
    2. Als u verwacht dat een rol wordt toegewezen aan de gebruikers, kunt u deze selecteren in de vervolgkeuzelijst Een rol selecteren. Als er geen rol is ingesteld voor deze app, wordt de rol Standaardtoegang geselecteerd.
    3. Klik in het dialoogvenster Toewijzing toevoegen op de knop Toewijzen.

Google Cloud/G Suite Connector by Microsoft SSO configureren

  1. Open een nieuw tabblad in uw browser en meld u met uw beheerdersaccount aan bij de beheerconsole van Google Cloud / G Suite Connector by Microsoft.

  2. Ga naar het menu -> Beveiliging -> Verificatie -> SSO met externe IDP.

    G Suite-beveiligingspagina.

  3. Voer de volgende configuratiewijzigingen uit in het tabblad SSO-profiel van derden voor uw organisatie:

    Configureer eenmalige aanmelding.

    a. Schakel het SSO-profiel voor uw organisatie in.

    b. Plak in het veld Aanmeldingspagina-URL in Google Cloud/G Suite Connector van Microsoft de waarde van de aanmeldings-URL.

    c. Plak in het veld Afmeldingspagina URL in Google Cloud/ G Suite Connector by Microsoft de waarde van afmeldings-URL.

    d. Upload in Google Cloud/G Suite Connector van Microsoft voor het verificatiecertificaat het certificaat dat u eerder hebt gedownload.

    e. Schakel de optie Een domeinspecifieke uitgever gebruiken in of uit volgens de opmerking in de bovenstaande sectie Standaard SAML-configuratie in de Microsoft Entra ID.

    f. Voer in het veld Wachtwoord-URL wijzigen in Google Cloud / G Suite Connector by Microsoft de waarde in als https://mysignins.microsoft.com/security-info/password/change

    g. Klik op Opslaan.

Testgebruiker voor Google Cloud/G Suite Connector van Microsoft aanmaken

Het doel van deze sectie is het maken van een gebruiker in Google Cloud / G Suite Connector by Microsoft met de naam B.Simon. Nadat de gebruiker handmatig is gemaakt in Google Cloud / G Suite Connector by Microsoft, kan de gebruiker zich nu aanmelden met haar aanmeldingsreferenties voor Microsoft 365.

Google Cloud /G Suite Connector by Microsoft ondersteunt ook automatische inrichting van gebruikers. Als u automatische inrichting van gebruikers wilt configureren, moet u de Google Cloud / G Suite Connector by Microsoft eerst configureren voor automatische inrichting van gebruikers.

Notitie

Zorg ervoor dat uw gebruiker al bestaat in de Google Cloud/G Suite Connector van Microsoft als het inrichten in Microsoft Entra ID nog niet is ingeschakeld voordat u de eenmalige aanmelding test.

Notitie

Neem contact op met het ondersteuningsteam van Google als u handmatig een gebruiker moet maken.

Test SSO

In deze sectie test u de configuratie voor eenmalige aanmelding van Microsoft Entra met de volgende opties.

  • Klik op Deze toepassing testen. U wordt omgeleid naar de aanmeldings-URL van Google Cloud/G Suite Connector door Microsoft, waar u de aanmeldingsstroom kunt initiëren.

  • Ga rechtstreeks naar de aanmeldings-URL van Google Cloud / G Suite Connector by Microsoft en initieer daar de aanmeldingsstroom.

  • U kunt Microsoft Mijn apps gebruiken. Wanneer u in Mijn apps op de tegel Google Cloud / G Suite Connector by Microsoft klikt, wordt u omgeleid naar de aanmeldings-URL van Google Cloud / G Suite Connector by Microsoft. Zie Introduction to My Apps (Inleiding tot Mijn apps) voor meer informatie over Mijn apps.

Verwante inhoud

Zodra u Google Cloud / G Suite Connector by Microsoft hebt geconfigureerd, kunt u sessiebeheer afdwingen, waardoor exfiltratie en infiltratie van gevoelige gegevens van uw organisatie in realtime worden beschermd. Sessiebeheer is een uitbreiding van voorwaardelijke toegang. Meer informatie over het afdwingen van sessiebeheer met Microsoft Defender voor Cloud Apps.