Questo documento illustra come estendere il provisioning degli utenti e il Single Sign-On di Microsoft Entra ID (in precedenza Azure AD) per attivare il Single Sign-On per gli utenti di collaborazione B2B di Microsoft Entra ID.
Il documento presuppone che tu utilizzi Microsoft Office 365 o Microsoft Entra ID nella tua organizzazione e che tu abbia già configurato il provisioning degli utenti e il Single Sign-On di Microsoft Entra ID come nel seguente diagramma.
In questo diagramma, gli utenti di provider di identità (IdP) esterni e di altri tenant di Microsoft Entra ID accedono al tenant di Microsoft Entra ID tramite l'accesso B2B.
Obiettivi
- Estendere la configurazione del provisioning degli utenti di Microsoft Entra ID in modo da includere gli utenti invitati di Microsoft Entra B2B.
- Estendere la configurazione SSO di Microsoft Entra ID in modo che includa gli utenti ospiti di Microsoft Entra B2B.
- Configura Cloud Identity per limitare la durata delle sessioni per gli utenti ospiti.
Prima di iniziare
Assicurati di aver configurato il provisioning degli utenti e il Single Sign-On di Microsoft Entra ID.
Utenti ospiti di Microsoft Entra B2B
Microsoft Entra ID ti consente di invitare utenti esterni come ospiti nel tuo tenant di Microsoft Entra ID. Quando invitate un utente esterno, Microsoft Entra ID crea un account utente ospite nel vostro tenant. Questi account utente ospite sono diversi dagli account utente Microsoft Entra ID standard in diversi modi:
- Gli utenti ospiti non hanno una password. Per accedere, gli utenti ospiti vengono reindirizzati automaticamente al proprio tenant principale o al provider di identità (IdP) esterno da cui sono stati invitati.
- Il nome principale dell'utente (UPN) dell'account utente ospite utilizza un prefisso derivato dall'indirizzo email dell'invitato, combinato con il dominio iniziale del tenant, ad esempio:
prefix#EXT#@tenant.onmicrosoft.com. - Se inviti un utente da un altro tenant di Microsoft Entra ID e l'utente viene successivamente eliminato nel suo tenant principale, l'account utente ospite rimane attivo nel tuo tenant di Microsoft Entra ID.
Queste differenze influiscono sul modo in cui configuri il provisioning degli utenti e l'accesso singolo:
Poiché
onmicrosoft.comè un dominio DNS di proprietà di Microsoft, non puoi aggiungeretenant.onmicrosoft.comcome dominio secondario al tuo account Cloud Identity o Google Workspace. Questo avvertimento significa che non puoi utilizzare il UPN dell'utente ospite come indirizzo email principale quando esegui il provisioning dell'utente in Cloud Identity o Google Workspace.Per eseguire il provisioning degli utenti guest in Cloud Identity o Google Workspace, devi configurare una mappatura che trasformi il UPN dell'utente guest in un dominio utilizzato dal tuo account Cloud Identity o Google Workspace.
In questo documento, configuri una mappatura UPN come indicato nella tabella seguente.
UPN originale in Microsoft Entra ID Indirizzo email principale in Cloud Identity o Google Workspace Utente normale alice@example.comalice@example.comOspite di Microsoft Entra ID charlie@altostrat.comcharlie_altostrat.com@example.comOspite esterno user@hotmail.comuser_hotmail.com@example.comQuando un utente viene eliminato nel suo tenant principale, Microsoft Entra ID non sospende l'utente corrispondente in Cloud Identity o Google Workspace. Ciò rappresenta un rischio per la sicurezza: anche se qualsiasi tentativo di utilizzare l'accesso singolo non andrà a buon fine per questo utente, le sessioni del browser esistenti e i token di aggiornamento (inclusi quelli utilizzati dalla Google Cloud CLI) potrebbero rimanere attivi per giorni o settimane, consentendo all'utente di continuare ad accedere alle risorse.
Utilizzando l'approccio presentato in questo documento, puoi ridurre questo rischio eseguendo il provisioning degli utenti ospiti in un'unità organizzativa dedicata in Cloud Identity o Google Workspace e applicando un criterio che limiti la durata della sessione a 8 ore. Il criterio garantisce che le sessioni del browser e i token di aggiornamento esistenti vengano invalidati al massimo 8 ore dopo l'eliminazione dell'utente nel tenant principale, revocando di fatto tutto l'accesso. L'utente in Cloud Identity o Google Workspace rimane attivo, tuttavia, finché non elimini l'utente ospite dal tuo account Microsoft Entra ID.
Preparare l'account Cloud Identity o Google Workspace
Crea un'unità organizzativa nel tuo account Cloud Identity o Google Workspace per cui verrà eseguito il provisioning di tutti gli utenti ospiti.
- Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore creato quando hai eseguito la registrazione a Cloud Identity o Google Workspace.
- Nel menu, vai a Directory > Unità organizzative.
- Fai clic su Crea unità organizzativa e fornisci un nome e una descrizione per l'UO:
- Nome dell'unità organizzativa:
guests - Descrizione:
Microsoft Entra B2B guest users
- Nome dell'unità organizzativa:
- Fai clic su Crea.
Applica all'unità organizzativa un criterio che limiti la durata della sessione a 8 ore. La durata della sessione non si applica solo alle sessioni del browser, ma limita anche la durata dei token di aggiornamento OAuth.
- Nella Console di amministrazione, vai a Sicurezza > Accesso e controllo dei dati > Controllo sessione Google Cloud.
Seleziona l'unità organizzativa ospiti e applica le seguenti impostazioni:
- Criterio di riautenticazione: Richiedi riautenticazione
Frequenza di riautenticazione: 8 ore.
Questa durata riflette il periodo di tempo massimo per cui un utente ospite potrebbe essere ancora in grado di accedere alle risorse Google Cloud dopo essere stato sospeso in Microsoft Entra ID.
Metodo di riautenticazione: Password.
Questa impostazione garantisce che gli utenti debbano eseguire nuovamente l'autenticazione utilizzando Microsoft Entra ID dopo la scadenza di una sessione.
Fai clic su Sostituisci.
Configurare il provisioning di Microsoft Entra ID
Ora puoi modificare la configurazione esistente di Microsoft Entra ID per supportare il provisioning degli utenti ospiti B2B.
- Nel portale di Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
- Seleziona l'applicazione aziendale Google Cloud (Provisioning), che utilizzi per il provisioning degli utenti.
- Fai clic su Gestisci > Provisionamento.
- Fai clic su Modifica provisioning.
- In Mappature, fai clic su Esegui il provisioning degli utenti di Microsoft Entra ID.
- Seleziona la riga userPrincipalName.
Nella finestra di dialogo Modifica attributo, applica le seguenti modifiche:
- Tipo di mappatura: passa da Diretta a Espressione.
Espressione:
Replace([originalUserPrincipalName], "#EXT#@TENANT_DOMAIN", , , "@PRIMARY_DOMAIN", , )Sostituisci quanto segue:
TENANT_DOMAIN: il dominio.onmicrosoft.comdel tuo tenant Microsoft Entra ID, ad esempiotenant.onmicrosoft.com.PRIMARY_DOMAIN: il nome di dominio principale utilizzato dall'account Cloud Identity o Google Workspace, ad esempioexample.org.
Fai clic su OK.
Seleziona Aggiungi nuova mappatura.
Nella finestra di dialogo Modifica attributo, configura le seguenti impostazioni:
- Tipo di mappatura: Espressione.
Espressione:
IIF(Instr([originalUserPrincipalName], "#EXT#", , )="0", "/", "/guests")Attributo target: OrgUnitPath
Fai clic su OK.
Fai clic su Salva.
Fai clic su Sì per confermare che il salvataggio delle modifiche comporterà la risincronizzazione di utenti e gruppi.
Chiudi la finestra di dialogo Mappatura attributi.
Configurare Microsoft Entra ID per il Single Sign-On
Per assicurarti che gli utenti ospiti possano autenticarsi utilizzando il Single Sign-On, ora puoi estendere la configurazione esistente di Microsoft Entra ID per attivare il Single Sign-On per gli ospiti:
- Nel portale Azure, vai a Microsoft Entra ID > App di azienda.
- Seleziona l'applicazione aziendale Google Cloud che utilizzi per il Single Sign-On.
- Fai clic su Gestisci > Single Sign-On.
- Nella schermata del voto, fai clic sulla scheda SAML.
- Nella scheda Attributi utente e rivendicazioni, fai clic su Modifica.
- Seleziona la riga etichettata Identificatore utente univoco (ID nome).
- Seleziona Condizioni di rivendicazione.
- Aggiungi una rivendicazione condizionale per gli ospiti esterni:
- Tipo di utente: Ospiti esterni
- Origine: Trasformazione
- Trasformazione: RegexReplace()
- Parametro 1: Attributo
- Attributo: user.userprincipalname
- Pattern regex:
(?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$ - Pattern di sostituzione:
{username}@PRIMARY_DOMAIN, sostituendoPRIMARY_DOMAINcon il nome del dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace.
- Fai clic su Aggiungi.
Aggiungi una rivendicazione condizionale per gli ospiti di Microsoft Entra ID di tenant diversi:
- Tipo di utente: Ospiti di Microsoft Entra
- Origine: Trasformazione
- Trasformazione: RegexReplace()
- Parametro 1: Attributo
Attributo: user.localuserprincipalname
Pattern regex:
(?'username'^.*?)#EXT#@(?i).*\.onmicrosoft\.com$Pattern di sostituzione:
{username}@PRIMARY_DOMAIN, sostituendoPRIMARY_DOMAINcon il nome del dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace.
Fai clic su Aggiungi.
Aggiungi un reclamo condizionale per gli utenti regolari di Microsoft Entra ID:
- Tipo di utente: Membri
- Origine: Attributo
- Valore: user.userprincipalname
Fai clic su Salva.
Testare il Single Sign-On
Per verificare che la configurazione funzioni correttamente, hai bisogno di tre utenti di test nel tuo tenant Microsoft Entra ID:
- Un normale utente di Microsoft Entra ID.
- Un utente ospite di Microsoft Entra ID. Si tratta di un utente che è stato invitato da un altro tenant di Microsoft Entra ID.
- Un utente ospite esterno. Si tratta di un utente che è stato invitato utilizzando un indirizzo email non Microsoft Entra ID, ad esempio un indirizzo
@hotmail.com.
Per ogni utente, esegui il seguente test:
- Apri una nuova finestra del browser in incognito e vai all'indirizzo https://console.cloud.google.com/.
Nella pagina di accesso Google visualizzata, inserisci l'indirizzo email dell'utente come visualizzato nella colonna Indirizzo email principale in Cloud Identity o Google Workspace della tabella precedente. Consulta questa tabella per scoprire in che modo l'indirizzo email in Cloud Identity o Google Workspace deriva dal nome principale dell'utente.
Ti reindirizziamo a Microsoft Entra ID, dove visualizzi un'altra richiesta di accesso.
Al prompt di accesso, inserisci il nome UPN dell'utente e segui le istruzioni per l'autenticazione.
Dopo l'autenticazione, Microsoft Entra ID ti reindirizza nuovamente a Accedi con Google. Poiché è la prima volta che accedi utilizzando questo utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.
Se accetti i termini, fai clic su Accetta.
Ti reindirizziamo alla console Google Cloud, dove ti verrà chiesto di confermare le preferenze e di accettare i Termini di servizio di Google Cloud.
Se accetti i termini, scegli Sì e poi fai clic su Accetta e continua.
Fai clic sull'icona dell'avatar, quindi su Esci.
Verrà visualizzata una pagina di Microsoft Entra ID che ti conferma che hai eseguito correttamente la disconnessione.
Passaggi successivi
- Scopri di più su come eseguire la federazione di Google Cloud con Microsoft Entra ID.
- Scopri le best practice per la pianificazione di account e organizzazioni e le best practice per la federazione di Google Cloud con un provider di identità esterno.