Настройка федерации между Google Workspace и Microsoft Entra ID
В этой статье описаны действия, необходимые для настройки Google Workspace в качестве поставщика удостоверений (IdP) для Microsoft Entra ID.
После настройки пользователи могут входить в Microsoft Entra ID с учетными данными Google Workspace.
Предварительные условия
Чтобы настроить Google Workspace в качестве поставщика удостоверений для Microsoft Entra ID, необходимо выполнить следующие предварительные требования:
- Клиент Microsoft Entra с одним или несколькими личными доменами DNS (то есть доменами, которые не соответствуют формату *.onmicrosoft.com).
- Если федеративный домен еще не добавлен в Microsoft Entra ID, необходимо иметь доступ к домену DNS для создания записи DNS. Это необходимо для проверки владения пространством имен DNS.
- Узнайте, как добавить имя личного домена с помощью Центр администрирования Microsoft Entra
- Доступ к Центр администрирования Microsoft Entra по крайней мере в качестве администратора внешнего поставщика удостоверений
- Доступ к Google Workspace с помощью учетной записи с правами суперадминистраторов
Чтобы протестировать федерацию, необходимо выполнить следующие предварительные требования:
- Среда Google Workspace с уже созданными пользователями
Важно.
Пользователям требуется адрес электронной почты, определенный в Google Workspace, который используется для сопоставления пользователей в Microsoft Entra ID. Дополнительные сведения о сопоставлении удостоверений см. в разделе Сопоставление удостоверений в Microsoft Entra ID.
- Отдельные учетные записи Microsoft Entra уже созданы: каждому пользователю Google Workspace требуется соответствующая учетная запись, определенная в Microsoft Entra ID. Эти учетные записи обычно создаются с помощью автоматизированных решений, например:
- School Data Sync (SDS)
- Microsoft Entra Подключение синхронизации для среды с локальными AD DS
- Скрипты PowerShell, вызывающие microsoft API Graph
- Средства подготовки, предлагаемые поставщиком удостоверений — Google Workspace предлагает автоматическую подготовку
Настройка Google Workspace в качестве поставщика удостоверений для Microsoft Entra ID
Войдите в консоль google Workspace Администратор с помощью учетной записи с правами суперадминистраторов.
Выберите Веб-приложения > и мобильные приложения
Выберите Добавить приложение > Поиск приложений и поиск по запросу Майкрософт
На странице результатов поиска наведите указатель мыши на приложение Microsoft Office 365 - Web (SAML) и выберите Выбрать
На странице Сведений о поставщике удостоверений Google выберите Скачать метаданные и запишите расположение, в котором хранятся метаданные - поставщика удостоверенийGoogleIDPMetadata.xml - файл, так как он используется для настройки Microsoft Entra ID позже
На странице сведений о поставщике услуг :
- Выберите параметр Подписанный ответ
- Убедитесь, что для формата идентификатора имени задано значение PERSISTENT.
- В зависимости от того, как были подготовлены пользователи Microsoft Entra в Microsoft Entra ID, может потребоваться изменить сопоставление идентификаторов имен.
При использовании автоматической подготовки Google выберите Основные сведения > о основном сообщении электронной почты. - Нажмите кнопку Продолжить.
На странице Сопоставление атрибутов сопоставьте атрибуты Google с атрибутами Microsoft Entra
Атрибуты Google Directory атрибуты Microsoft Entra Основные сведения: основная Email Атрибуты приложения: IDPEmail Важно.
Необходимо убедиться, что адрес электронной почты учетной записи пользователя Microsoft Entra соответствует электронной почте в Вашей рабочей области Google.
Нажмите кнопку Готово
Теперь, когда приложение настроено, его необходимо включить для пользователей в Google Workspace:
- Войдите в консоль google Workspace Администратор с помощью учетной записи с правами суперадминистраторов.
- Выберите Веб-приложения > и мобильные приложения
- Выберите Microsoft Office 365
- Выберите Доступ пользователя
- Выберите Включено для всех > Сохранить
Настройка Microsoft Entra ID в качестве поставщика услуг (SP) для Google Workspace
Конфигурация Microsoft Entra ID состоит из изменения метода проверки подлинности для личных доменов DNS. Эту настройку можно выполнить с помощью PowerShell.
Используя XML-файл метаданных поставщика удостоверений , скачанный из Google Workspace, измените переменную $DomainName следующего скрипта в соответствии с вашей средой, а затем запустите ее в сеансе PowerShell. При появлении запроса на проверку подлинности для Microsoft Entra ID войдите как минимум от имени администратора внешнего поставщика удостоверений.
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
Install-Module Microsoft.Graph -Scope CurrentUser
Import-Module Microsoft.Graph
$domainId = "<your domain name>"
$xml = [Xml](Get-Content GoogleIDPMetadata.xml)
$cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
$issuerUri = $xml.EntityDescriptor.entityID
$signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
$signoutUri = "https://accounts.google.com/logout"
$displayName = "Google Workspace Identity"
Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
$domainAuthParams = @{
DomainId = $domainId
IssuerUri = $issuerUri
DisplayName = $displayName
ActiveSignInUri = $signinUri
PassiveSignInUri = $signinUri
SignOutUri = $signoutUri
SigningCertificate = $cert
PreferredAuthenticationProtocol = "saml"
federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}
New-MgDomainFederationConfiguration @domainAuthParams
Чтобы убедиться в правильности конфигурации, можно использовать следующую команду PowerShell:
Get-MgDomainFederationConfiguration -DomainId $domainId |fl
ActiveSignInUri : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
DisplayName : Google Workspace Identity
FederatedIdpMfaBehavior : acceptIfMfaDoneByFederatedIdp
Id : 3f600dce-ab37-4798-9341-ffd34b147f70
IsSignedAuthenticationRequestRequired :
IssuerUri : https://accounts.google.com/o/saml2?idpid=<GUID>
MetadataExchangeUri :
NextSigningCertificate :
PassiveSignInUri : https://accounts.google.com/o/saml2/idp?idpid=<GUID>
PreferredAuthenticationProtocol : saml
PromptLoginBehavior :
SignOutUri : https://accounts.google.com/logout
SigningCertificate : <BASE64 encoded certificate>
AdditionalProperties : {}
Проверка федеративной проверки подлинности между Google Workspace и Microsoft Entra ID
В закрытом сеансе браузера перейдите по https://portal.azure.com адресу и войдите с помощью учетной записи Google Workspace:
В качестве имени пользователя используйте адрес электронной почты, как определено в Google Workspace.
Пользователь перенаправляется в Google Workspace для входа.
После проверки подлинности в Рабочей области Google пользователь перенаправляется обратно в Microsoft Entra ID и входит в систему.