Integração do Microsoft Entra SSO com o Google Cloud / G Suite Connector da Microsoft

Neste artigo, você aprenderá a integrar o Google Cloud / G Suite Connector da Microsoft com o Microsoft Entra ID. Ao integrar o Google Cloud / G Suite Connector da Microsoft com o Microsoft Entra ID, você pode:

• Controle no Microsoft Entra ID quem tem acesso ao Google Cloud / G Suite Connector da Microsoft.
• Permita que seus usuários façam login automaticamente no Google Cloud / G Suite Connector pela Microsoft com suas contas do Microsoft Entra.
• Gerencie suas contas em um local central.

Pré-requisitos

O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode Criar uma conta gratuitamente.
• Uma das seguintes funções:
  • Administrador de aplicativos
  • Administrador de Aplicações na Nuvem
  • Proprietário da Aplicação.

• Subscrição para o conector Google Cloud / G Suite da Microsoft, com autenticação única (SSO) ativada.
• Uma subscrição do Google Apps ou do Google Cloud Platform.

Para testar as etapas neste artigo, siga estas recomendações:

• Não use seu ambiente de produção, a menos que seja necessário.
• Se não tiver uma subscrição, pode obter uma conta gratuita.

Alterações recentes

As atualizações recentes do Google agora permitem a adição de grupos de usuários a perfis de SSO de terceiros. Isso permite um controle mais granular sobre a atribuição de configurações de SSO. Agora você pode criar atribuições de perfil SSO, permitindo migrar usuários em etapas, em vez de mover toda a empresa de uma só vez. Nesta área, são fornecidos detalhes do Fornecedor de Serviço com um ID de Entidade e um URL do ACS, que você agora precisa adicionar aos aplicativos do Azure para resposta e entidade.

Perguntas Mais Frequentes

1. P: Esta integração suporta a integração do SSO do Google Cloud Platform com o Microsoft Entra ID?

   R: Sim. O Google Cloud Platform e o Google Apps partilham a mesma plataforma de autenticação. Portanto, para fazer a integração do GCP, você precisa configurar o SSO com o Google Apps.

2. P: Os Chromebooks e outros dispositivos Chrome são compatíveis com a assinatura única do Microsoft Entra?

   R: Sim, os utilizadores podem iniciar sessão nos seus dispositivos Chromebook utilizando as credenciais do Microsoft Entra. Consulte este artigo de suporte do Google Cloud / G Suite Connector by Microsoft para obter informações sobre por que os usuários podem ser solicitados a fornecer credenciais duas vezes.

3. P: Se eu habilitar o logon único, os usuários poderão usar suas credenciais do Microsoft Entra para fazer login em qualquer produto do Google, como Google Classroom, GMail, Google Drive, YouTube e assim por diante?

   R: Sim, dependendo do Google Cloud / G Suite Connector da Microsoft que optar por ativar ou desativar para a sua organização.

4. P: Posso ativar o início de sessão único apenas para um subconjunto dos utilizadores do meu Conector do Google Cloud/G Suite da Microsoft?

   R: Sim, os perfis de SSO podem ser selecionados por Usuário, Unidade Organizacional ou Grupo no Google Workspace.

   

   Selecione o perfil SSO como "nenhum" para o grupo do Google Workspace. Isso impede que os membros deste (grupo do Google Workspace) sejam redirecionados para o Microsoft Entra ID para fazer login.

5. P: Se um utilizador tiver sessão iniciada através do Windows, é automaticamente autenticado no Google Cloud / G Suite Connector pela Microsoft sem que lhe seja pedido uma palavra-chave?

   R: Há duas opções para habilitar esse cenário. Primeiro, os utilizadores podiam iniciar sessão em dispositivos Windows 10 através da adesão ao Microsoft Entra. Como alternativa, os utilizadores podem entrar em dispositivos Windows que estão vinculados a um domínio em um Active Directory local que foi habilitado para autenticação única no Microsoft Entra ID por meio de uma implantação dos Serviços de Federação do Active Directory (AD FS). Ambas as opções exigem que você execute as etapas no artigo a seguir para habilitar o logon único entre o Microsoft Entra ID e o Google Cloud / G Suite Connector da Microsoft.

6. P: O que devo fazer quando recebo uma mensagem de erro "e-mail inválido"?

   R: Para esta configuração, o atributo email é necessário para que os utilizadores possam iniciar sessão. Este atributo não pode ser definido manualmente.

   O atributo email é preenchido automaticamente para qualquer usuário com uma licença válida do Exchange. Se o usuário não estiver habilitado para email, esse erro será recebido, pois o aplicativo precisa obter esse atributo para dar acesso.

   Pode aceder a portal.office.com com uma conta de administrador, clicar no Centro de administração, faturação, subscrições, selecionar a sua Subscrição do Microsoft 365 e, em seguida, clicar em atribuir aos utilizadores, selecionar os utilizadores que pretende verificar a respetiva subscrição e, no painel direito, clicar em editar licenças.

   Uma vez que a licença do Microsoft 365 é atribuída, pode levar alguns minutos para ser aplicada. Depois disso, o atributo user.mail será preenchido automaticamente e o problema deve ser resolvido.

Descrição do cenário

Neste artigo, você configura e testa o Microsoft Entra SSO em um ambiente de teste.

• O Google Cloud / G Suite Connector da Microsoft é compatível com SSO iniciado por SP .

• O Google Cloud / G Suite Connector da Microsoft suporta o provisionamento automatizado de usuários.

Adicionar o Google Cloud / G Suite Connector da Microsoft a partir da galeria

Para configurar a integração do Google Cloud / G Suite Connector pela Microsoft no Microsoft Entra ID, você precisa adicionar o Google Cloud / G Suite Connector by Microsoft da galeria à sua lista de aplicativos SaaS gerenciados.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue para Identidade>Aplicações>Aplicações empresariais>Nova aplicação.
3. Na seção Adicionar da galeria, digite Google Cloud / G Suite Connector by Microsoft na caixa de pesquisa.
4. Selecione Google Cloud / G Suite Connector by Microsoft no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.

Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.

Configurar e testar o logon único do Microsoft Entra para o Google Cloud / G Suite Connector da Microsoft

Configure e teste o Microsoft Entra SSO com o Google Cloud / G Suite Connector da Microsoft usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no Google Cloud / G Suite Connector da Microsoft.

Para configurar e testar o Microsoft Entra SSO com o Google Cloud / G Suite Connector da Microsoft, execute as seguintes etapas:

1. Configure o Microsoft Entra SSO - para permitir que seus usuários usem esse recurso.
   1. Criar um usuário de teste do Microsoft Entra - para testar o logon único do Microsoft Entra com B.Simon.
   2. Atribua o usuário de teste do Microsoft Entra - para permitir que B.Simon use a autenticação única do Microsoft Entra.
2. Configure o Google Cloud/G Suite Connector by Microsoft SSO - para configurar as configurações de logon único no lado do aplicativo.
   1. Crie um utilizador de teste para o Google Cloud/G Suite Connector da Microsoft - para ter um equivalente a B.Simon no Google Cloud / G Suite Connector da Microsoft que esteja ligado à representação de utilizador do Microsoft Entra.
3. Teste SSO - para verificar se a configuração funciona.

Configurar o Microsoft Entra SSO

Siga estas etapas para habilitar o Microsoft Entra SSO.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Identity>Applications>Enterprise applications>Google Cloud / G Suite Connector by Microsoft>Single sign-on.

3. Na página Selecione um método de logon único, selecione SAML.

4. Na página Configurar logon único com SAML, clique no ícone de lápis para Configuração Básica de SAML para editar as configurações.

   

5. Na seção Configuração básica do SAML, se você quiser configurar para o Gmail, execute as seguintes etapas:

   a. Na caixa de texto Identificador, digite uma URL usando um dos seguintes padrões:

   Identificador
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. Na caixa de texto de URL de resposta, digite uma URL usando um dos seguintes padrões:

   URL de resposta
   https://www.google.com
   https://www.google.com/a/<yourdomain.com>

   c. Na caixa de texto Sign on URL, digite uma URL usando o seguinte padrão: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com

6. Na seção Configuração básica do SAML, se você quiser configurar para o Google Cloud Platform, execute as seguintes etapas:

   a. Na caixa de texto Identificador, digite uma URL usando um dos seguintes padrões:

   Identificador
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. Na caixa de texto de URL de resposta, digite uma URL usando um dos seguintes padrões:

   URL de resposta
   https://www.google.com/acs
   https://www.google.com/a/<yourdomain.com>/acs

   c. Na caixa de texto Sign on URL, digite uma URL usando o seguinte padrão: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

   Nota

   Estes valores não são reais. Atualize esses valores com o identificador real, URL de resposta e URL de logon. O Google Cloud / G Suite Connector da Microsoft não fornece o valor de ID de entidade/identificador na configuração de logon único, portanto, quando desmarcar a opção emissor específico do domínio, o valor do identificador será google.com. Se marcar a opção emissor específico do domínio, será google.com/a/<yourdomainname.com>. Para marcar/desmarcar a opção do emissor específico do domínio, é necessário ir até à secção Configurar o Conector do Google Cloud / G Suite da Microsoft para SSO, a qual é explicada mais adiante no artigo. Para obter mais informações, entre em contato com o Google Cloud / G Suite Connector pela equipe de suporte ao cliente Microsoft.

7. Seu aplicativo Google Cloud / G Suite Connector by Microsoft espera as asserções SAML em um formato específico, o que requer que você adicione mapeamentos de atributos personalizados à configuração de atributos de token SAML. A captura de tela a seguir mostra um exemplo disso. O valor padrão do Identificador de Usuário Exclusivo é user.userprincipalname, mas o Google Cloud / G Suite Connector da Microsoft espera que este seja mapeado com o endereço de e-mail do usuário. Para isso, você pode usar o atributo user.mail da lista ou usar o valor de atributo apropriado com base na configuração da sua organização.

   

   Nota

   Certifique-se de que a resposta SAML não inclua caracteres ASCII não padrão no atributo Sobrenome.

8. Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize Certificado (Base64) e selecione Download para baixar o certificado e salvá-lo em seu computador.

   

9. Na seção Configurar o Google Cloud / G Suite Connector by Microsoft , copie o(s) URL(s) apropriado(s) com base em sua necessidade.

   

   Nota

   O URL de logout padrão listado no aplicativo está incorreto. O URL correto é: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0

Criar um usuário de teste do Microsoft Entra

Nesta seção, você criará um usuário de teste chamado B.Simon.

1. Entre no centro de administração Microsoft Entra como pelo menos um Administrador de Utilizador.
2. Aceder a Identidade>Utilizadores>Todos os Utilizadores.
3. Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
4. Nas propriedades do usuário , siga estas etapas:
   1. No campo Nome de exibição, digite B.Simon.
   2. No campo Nome Principal do Utilizador, digite o username@companydomain.extension. Por exemplo, B.Simon@contoso.com.
   3. Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
   4. Selecione Rever + criar.
5. Selecione Criar.

Atribuir o usuário de teste do Microsoft Entra

Nesta seção, você habilitará B.Simon a usar o logon único concedendo acesso ao Google Cloud / G Suite Connector pela Microsoft.

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
2. Navegue até Identity>Applications>Enterprise applications>Google Cloud / G Suite Connector da Microsoft.
3. Na página de visão geral do aplicativo, selecione Usuários e grupos.
4. Selecione Adicionar usuário/grupo e, em seguida, selecione Usuários e grupos na caixa de diálogo Adicionar atribuição .
   1. Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista Usuários e clique no botão Selecionar na parte inferior da tela.
   2. Se estiveres à espera que um papel seja atribuído aos utilizadores, podes selecioná-lo na lista suspensa 'Selecionar um papel'. Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
   3. Na caixa de diálogo Adicionar atribuição, clique no botão Atribuir.

Configurar o Google Cloud/G Suite Connector pelo Microsoft SSO

1. Abra uma nova guia no navegador e faça login no Google Cloud / G Suite Connector by Microsoft Admin Console usando sua conta de administrador.

2. Vá para o Menu -> Segurança -> Autenticação -> SSO com IDP de terceiros.

   

3. Efetue as seguintes alterações de configuração no separador Perfil SSO de terceiros para a sua organização:

   

   a. Ative o perfil SSO da sua organização.

   b. No campo URL da página de início de sessão no Google Cloud / G Suite Connector da Microsoft, cole o valor do URL de início de sessão.

   c. No campo URL da página de saída no Google Cloud / G Suite Connector by Microsoft, cole o valor de Logout URL.

   d. No Google Cloud / G Suite Connector da Microsoft, para o certificado de verificação, carregue o certificado que tenha descarregado anteriormente.

   e. Marque/Desmarque a opção Usar um emissor específico de domínio de acordo com a observação mencionada na seção Configuração Básica de SAML acima na ID do Microsoft Entra.

   f. No campo Change password URL no Google Cloud / G Suite Connector by Microsoft, introduza o valor como https://mysignins.microsoft.com/security-info/password/change

   g. Clique em Guardar.

Criar o Google Cloud/G Suite Connector pelo usuário de teste da Microsoft

O objetivo desta seção é criar um usuário no Google Cloud / G Suite Connector da Microsoft chamado B.Simon. Depois que o usuário tiver sido criado manualmente no Google Cloud / G Suite Connector pela Microsoft, ele poderá fazer login usando suas credenciais de login do Microsoft 365.

O Google Cloud / G Suite Connector da Microsoft também suporta o provisionamento automático de usuários. Para configurar o provisionamento automático de usuários, você deve primeiro configurar o Google Cloud / G Suite Connector by Microsoft para provisionamento automático de usuários.

Teste de SSO

Nesta seção, você testa sua configuração de logon único do Microsoft Entra com as seguintes opções.

• Clique em Testar esta aplicação, isso irá redirecioná-lo para o URL de autenticação do Microsoft no Google Cloud / G Suite Connector, onde pode iniciar o processo de início de sessão.

• Aceda diretamente ao URL de início de sessão do Google Cloud / G Suite Connector by Microsoft e inicie o fluxo de início de sessão a partir daí.

• Você pode usar o Microsoft My Apps. Quando você clica no bloco Google Cloud / G Suite Connector by Microsoft em Meus aplicativos, isso redireciona para o URL de login do Google Cloud / G Suite Connector by Microsoft. Para obter mais informações sobre os Meus Aplicativos, consulte Introdução aos Meus Aplicativos.

Conteúdo relacionado

Depois de configurar o Google Cloud / G Suite Connector da Microsoft, você pode aplicar o Controle de sessão, que protege a exfiltração e a infiltração de dados confidenciais da sua organização em tempo real. O Controle de Sessão se estende do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.