Este documento mostra como pode estender o aprovisionamento de utilizadores e o Início de sessão único do Microsoft Entra ID (anteriormente Azure AD) para ativar o Início de sessão único (SSO) para utilizadores de colaboração B2B do Microsoft Entra ID.
O documento pressupõe que usa o Microsoft Office 365 ou o Microsoft Entra ID na sua organização e que já configurou o aprovisionamento de utilizadores e o início de sessão único do Microsoft Entra ID, conforme ilustrado no diagrama seguinte.
Neste diagrama, os utilizadores de fornecedores de identidade (IdPs) externos e de outros inquilinos do Microsoft Entra ID iniciam sessão no inquilino do Microsoft Entra ID através do início de sessão B2B.
Objetivos
- Estenda a configuração do aprovisionamento de utilizadores do Microsoft Entra ID para abranger utilizadores convidados do Microsoft Entra B2B.
- Estenda a configuração do SSO do Microsoft Entra ID para abranger os utilizadores convidados do Microsoft Entra B2B.
- Configure o Cloud ID para limitar a duração das sessões de utilizadores convidados.
Antes de começar
Certifique-se de que configurou o aprovisionamento de utilizadores e o início de sessão único do Microsoft Entra ID.
Utilizadores convidados do Microsoft Entra B2B
O Microsoft Entra ID permite-lhe convidar utilizadores externos como convidados para o seu inquilino do Microsoft Entra ID. Quando convida um utilizador externo, o Microsoft Entra ID cria uma conta de utilizador convidado no seu inquilino. Estas contas de utilizador convidado diferem das contas de utilizador normais do Microsoft Entra ID de várias formas:
- Os utilizadores convidados não têm uma palavra-passe. Para iniciar sessão, os utilizadores convidados são automaticamente redirecionados para o respetivo inquilino principal ou para o fornecedor de identidade (IdP) externo a partir do qual receberam o convite.
- O nome principal do utilizador (UPN) da conta de utilizador convidado usa um prefixo derivado do endereço de email do convidado, combinado com o domínio inicial do inquilino, por exemplo:
prefix#EXT#@tenant.onmicrosoft.com. - Se convidar um utilizador de um inquilino do Microsoft Entra ID diferente e o utilizador for eliminado posteriormente no respetivo inquilino principal, a conta de utilizador convidado permanece ativa no seu inquilino do Microsoft Entra ID.
Estas diferenças afetam a forma como configura o aprovisionamento de utilizadores e o início de sessão único:
Uma vez que
onmicrosoft.comé um domínio DNS pertencente à Microsoft, não pode adicionartenant.onmicrosoft.comcomo um domínio secundário à sua conta do Cloud ID ou do Google Workspace. Esta ressalva significa que não pode usar o UPN do utilizador convidado como endereço de email principal quando aprovisiona o utilizador no Cloud ID ou no Google Workspace.Para aprovisionar utilizadores convidados no Cloud ID ou Google Workspace, tem de configurar um mapeamento que transforme o UPN do utilizador convidado num domínio usado pela sua conta do Cloud ID ou Google Workspace.
Neste documento, configura um mapeamento de UPN conforme indicado na tabela seguinte.
UPN original no Microsoft Entra ID Endereço de email principal no Cloud ID ou Google Workspace Utilizador normal alice@example.comalice@example.comConvidado do Microsoft Entra ID charlie@altostrat.comcharlie_altostrat.com@example.comConvidado externo user@hotmail.comuser_hotmail.com@example.comQuando um utilizador é eliminado no respetivo inquilino principal, o Microsoft Entra ID não suspende o utilizador correspondente no Cloud Identity nem no Google Workspace. Isto representa um risco de segurança: embora todas as tentativas de usar o início de sessão único falhem para esse utilizador, as sessões do navegador e os tokens de atualização existentes (incluindo os usados pela CLI do Google Cloud) podem permanecer ativos durante dias ou semanas, o que permite ao utilizador continuar a aceder aos recursos.
Usando a abordagem apresentada neste documento, pode mitigar este risco através do aprovisionamento de utilizadores convidados numa unidade organizacional dedicada no Cloud ID ou no Google Workspace e aplicando uma política que restringe a duração da sessão a 8 horas. A política garante que as sessões do navegador e os tokens de atualização existentes são invalidados, no máximo, 8 horas após a eliminação do utilizador no respetivo inquilino principal, revogando efetivamente todo o acesso. O utilizador no Cloud ID ou no Google Workspace permanece ativo até eliminar o utilizador convidado da sua conta do Microsoft Entra ID.
Prepare a sua conta do Cloud ID ou Google Workspace
Crie uma unidade organizacional na sua conta do Cloud ID ou do Google Workspace para a qual todos os utilizadores convidados vão ser aprovisionados.
- Abra a consola do administrador e inicie sessão com o utilizador superadministrador criado quando se inscreveu no Cloud ID ou no Google Workspace.
- No menu, aceda a Diretório > Unidades organizacionais.
- Clique em Criar unidade organizacional e indique um nome e uma descrição para a UO:
- Nome da unidade organizacional:
guests - Descrição:
Microsoft Entra B2B guest users
- Nome da unidade organizacional:
- Clique em Criar.
Aplicar uma política à unidade organizacional que limita a duração da sessão a 8 horas. A duração da sessão não se aplica apenas às sessões do navegador, mas também restringe a duração dos tokens de atualização do OAuth.
- Na consola do administrador, aceda a Segurança > Acesso e controlo de dados > Controlo de sessões do Google Cloud.
Selecione a unidade organizacional convidados e aplique as seguintes definições:
- Política de reautenticação: exigir reautenticação
Frequência de reautenticação: 8 horas.
Esta duração reflete o período máximo durante o qual um utilizador convidado ainda pode aceder aos recursos Google Cloud depois de ter sido suspenso no Microsoft Entra ID.
Método de reautenticação: palavra-passe.
Esta definição garante que os utilizadores têm de fazer novamente a autenticação através do Microsoft Entra ID após a expiração de uma sessão.
Clique em Substituir.
Configure o aprovisionamento do Microsoft Entra ID
Já pode ajustar a sua configuração existente do Microsoft Entra ID para suportar o aprovisionamento de utilizadores convidados B2B.
- No portal do Azure, aceda a Microsoft Entra ID > Aplicações empresariais.
- Selecione a aplicação empresarial Google Cloud (Aprovisionamento), que usa para o aprovisionamento de utilizadores.
- Clique em Gerir > Aprovisionamento.
- Clique em Editar aprovisionamento.
- Em Mapeamentos, clique em Aprovisionar utilizadores do Microsoft Entra ID.
- Selecione a linha userPrincipalName.
Na caixa de diálogo Editar atributo, aplique as seguintes alterações:
- Tipo de mapeamento: altere de Direto para Expressão.
Expressão:
Replace([originalUserPrincipalName], "#EXT#@TENANT_DOMAIN", , , "@PRIMARY_DOMAIN", , )Substitua o seguinte:
TENANT_DOMAIN: o domínio.onmicrosoft.comdo seu inquilino do Microsoft Entra ID, comotenant.onmicrosoft.com.PRIMARY_DOMAIN: o nome do domínio principal usado pela sua conta do Cloud ID ou Google Workspace, comoexample.org.
Clique em OK.
Selecione Adicionar novo mapeamento.
Na caixa de diálogo Editar atributo, configure as seguintes definições:
- Tipo de mapeamento: expressão.
Expressão:
IIF(Instr([originalUserPrincipalName], "#EXT#", , )="0", "/", "/guests")Atributo de destino: OrgUnitPath
Clique em OK.
Clique em Guardar.
Clique em Sim para confirmar que guardar as alterações vai resultar na resincronização dos utilizadores e dos grupos.
Feche a caixa de diálogo Mapeamento de atributos.
Configure o Microsoft Entra ID para o Início de sessão único
Para garantir que os utilizadores convidados podem autenticar-se através do Início de sessão único, agora estende a sua configuração existente do Microsoft Entra ID para ativar o Início de sessão único para convidados:
- No portal do Azure, aceda a Microsoft Entra ID > Aplicações empresariais.
- Selecione a aplicação empresarial Google Cloud, que usa para o início de sessão único.
- Clique em Gerir > Início de sessão único.
- No ecrã de votação, clique no cartão SAML.
- No cartão Atributos e reivindicações do utilizador, clique em Editar.
- Selecione a linha com a etiqueta Identificador exclusivo do utilizador (ID do nome).
- Selecione Condições de reivindicação.
- Adicione uma reivindicação condicional para convidados externos:
- Tipo de utilizador: convidados externos
- Fonte: Transformação
- Transformação: RegexReplace()
- Parâmetro 1: atributo
- Atributo: user.userprincipalname
- Padrão de regex:
(?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$ - Padrão de substituição:
{username}@PRIMARY_DOMAIN, substituindoPRIMARY_DOMAINpelo nome do domínio principal usado pela sua conta do Cloud ID ou Google Workspace.
- Clique em Adicionar.
Adicione uma reivindicação condicional para convidados do Microsoft Entra ID de diferentes inquilinos:
- Tipo de utilizador: convidados do Microsoft Entra
- Fonte: Transformação
- Transformação: RegexReplace()
- Parâmetro 1: atributo
Atributo: user.localuserprincipalname
Padrão de regex:
(?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$Padrão de substituição:
{username}@PRIMARY_DOMAIN, substituindoPRIMARY_DOMAINpelo nome do domínio principal usado pela sua conta do Cloud ID ou Google Workspace.
Clique em Adicionar.
Adicione uma reivindicação condicional para utilizadores normais do Microsoft Entra ID:
- Tipo de utilizador: membros
- Fonte: atributo
- Valor: user.userprincipalname
Clique em Guardar.
Teste o início de sessão único
Para verificar se a configuração funciona corretamente, precisa de três utilizadores de teste no inquilino do Microsoft Entra ID:
- Um utilizador normal do Microsoft Entra ID.
- Um utilizador convidado do Microsoft Entra ID. Este é um utilizador que foi convidado a partir de um inquilino do Microsoft Entra ID diferente.
- Um utilizador convidado externo. Este é um utilizador que foi convidado através de um endereço de email que não é do Microsoft Entra ID, como um endereço
@hotmail.com.
Para cada utilizador, realiza o seguinte teste:
- Abra uma nova janela do navegador de navegação anónima e aceda a https://console.cloud.google.com/.
Na página de início de sessão da Google apresentada, introduza o endereço de email do utilizador tal como aparece na coluna Endereço de email principal no Cloud ID ou Google Workspace da tabela anterior. Consulte essa tabela para ver como o endereço de email no Cloud ID ou no Google Workspace deriva do nome principal do utilizador.
É feito o redirecionamento para o Microsoft Entra ID, onde vê outro pedido de início de sessão.
No pedido de início de sessão, introduza o UPN do utilizador e siga as instruções para autenticar.
Após a autenticação bem-sucedida, o Microsoft Entra ID redireciona-o de volta para o Início de sessão da Google. Uma vez que é a primeira vez que inicia sessão com este utilizador, é-lhe pedido que aceite os Termos de Utilização e a Política de Privacidade da Google.
Se concordar com os termos, clique em Aceitar.
É redirecionado para a Google Cloud consola, que lhe pede para confirmar as preferências e aceitar os Google Cloud Termos de Utilização.
Se aceitar os termos, escolha Sim e, de seguida, clique em Aceitar e continuar.
Clique no ícone de avatar e, de seguida, clique em Terminar sessão.
É feito o redirecionamento para uma página do Microsoft Entra ID a confirmar que terminou sessão com êxito.
O que se segue?
- Saiba mais sobre a federação Google Cloud com o Microsoft Entra ID.
- Leia acerca das práticas recomendadas para planear contas e organizações e das práticas recomendadas para federar Google Cloud com um IdP externo.
Colaboradores
Autor: Johannes Passing | Arquiteto de soluções na nuvem