Single Sign-On di Active Directory

Informazioni sul Single Sign-On

Utilizzando Google Cloud Directory Sync hai già automatizzato la creazione e la gestione degli utenti ha associato il proprio ciclo di vita agli utenti in Active Directory.

Sebbene GCDS esegua il provisioning dei dettagli degli account utente, sincronizzare le password. Ogni volta che un utente deve autenticarsi in Google Cloud, l'autenticazione deve essere delegata nuovamente ad Attiva Directory, che viene eseguita utilizzando AD FS e il markup dell'asserzione di sicurezza. protocollo SAML. Questa configurazione garantisce che solo Active Directory abbia l'accesso alle credenziali utente e applica eventuali criteri esistenti o meccanismi di autenticazione a più fattori (MFA). Inoltre, stabilisce un'esperienza di accesso singolo tra il tuo ambiente on-premise e Google.

Per ulteriori dettagli sul Single Sign-On, vedi Single Sign-On

Creare un profilo SAML

Per configurare il servizio Single Sign-On con AD FS, devi prima creare un profilo SAML nel tuo un account Cloud Identity o Google Workspace. Il profilo SAML contiene le impostazioni relative all'istanza AD FS, incluso l'URL e il certificato di firma.

Successivamente, assegna il profilo SAML a determinati gruppi o unità organizzative.

Per creare un nuovo profilo SAML nel tuo account Cloud Identity o Google Workspace:

1. Nella Console di amministrazione, vai a SSO con provider di identità di terze parti.

   Vai a SSO con IdP di terze parti

2. Fai clic su Profili SSO di terze parti > Aggiungi profilo SAML.

3. Nella pagina Profilo SSO SAML, inserisci le seguenti impostazioni:

   • Nome: AD FS

   • ID entità dell'IdP:

     https://ADFS/adfs/services/trust
     

   • URL pagina di accesso:

     https://ADFS/adfs/ls/
     

   • URL della pagina di uscita:

     https://ADFS/adfs/ls/?wa=wsignout1.0
     

   • URL per la modifica della password:

     https://ADFS/adfs/portal/updatepassword/
     

   In tutti gli URL, sostituisci ADFS con il nome di dominio completo del server AD FS.

   Non caricare ancora un certificato di verifica.

4. Fai clic su Salva.

   La pagina Profilo SSO SAML visualizzata contiene due URL:

   • ID entità
   • URL ACS

   Questi URL saranno necessari nella sezione successiva quando configuri AD FS.

Configurare AD FS

Per configurare il server AD FS devi creare un'attendibilità del componente.

Creazione dell'attendibilità del componente

Crea una nuova attendibilità del componente:

1. Connettiti al server AD FS e apri lo snap-in MMC Gestione AD FS.
2. Seleziona AD FS > Attendibilità componenti.
3. Nel riquadro Azioni, fai clic su Aggiungi attendibilità componente.
4. Nella pagina Benvenuto della procedura guidata, seleziona Rivendicazioni a conoscenza e fai clic su Inizia.
5. Nella pagina Seleziona un'origine dati, seleziona Inserisci manualmente i dati sulla terza parte attendibile e fai clic su Avanti.
6. Nella pagina Specifica il nome visualizzato, inserisci un nome come Google Cloud e fai clic su Avanti.
7. Nella pagina Configura certificato, fai clic su Avanti.

8. Nella pagina Configura URL, seleziona Attiva il supporto per il protocollo WebSSO SAML 2.0 e inserisci l'URL ACS dal tuo profilo SAML. Quindi, fai clic su Avanti.

   

9. Nella pagina Configura identificatori, aggiungi l'ID entità dal tuo profilo SAML.

   

   Quindi, fai clic su Next.

10. Nella pagina Scegli il criterio di controllo dell'accesso, scegli un criterio di accesso appropriato e fai clic su Avanti.

11. Nella pagina Ready to Add Trust (Pronto per aggiungere la relazione di attendibilità), controlla le impostazioni e poi fai clic su Avanti.

12. Nella pagina finale, deseleziona la casella di controllo Configura il criterio di emissione dei reclami e chiudi la procedura guidata.

    Nell'elenco delle attendibilità delle parti attendibili viene visualizzata una nuova voce.

Configurazione dell'URL di logout

Se permetti agli utenti di utilizzare il Single Sign-On per più applicazioni, è importante consentire la disconnessione da più applicazioni:

1. Apri l'attendibilità del componente che hai appena creato.
2. Seleziona la scheda Endpoint.

3. Fai clic su Add SAML (Aggiungi SAML) e configura le seguenti impostazioni:

   1. Tipo di endpoint: Disconnessione SAML
   2. Associazione: POST

   3. URL attendibile:

      https://ADFS/adfs/ls/?wa=wsignout1.0
      

      Sostituisci ADFS con il dominio completo del tuo server AD FS.

      

4. Fai clic su OK.

5. Fai clic su OK per chiudere la finestra di dialogo.

Configurazione della mappatura delle rivendicazioni

Dopo aver autenticato un utente, AD FS emette un'affermazione SAML. Questa asserzione serve come prova che l'autenticazione è avvenuta correttamente. L'affermazione deve identificare chi è stato autenticato, che è lo scopo della rivendicazione NameID.

Per consentire ad Accedi con Google di associare NameID a un utente, NameID Deve contenere l'indirizzo email principale dell'utente. In base a come stai di mappatura degli utenti tra Active Directory e Cloud Identity o Google Workspace, NameID deve contenere il codice UPN o l'indirizzo email di Active Directory dell'utente, applicando le sostituzioni del dominio in base alle esigenze.

Esportazione del certificato di firma del token di AD FS

Dopo che AD FS ha autenticato un utente, passa un'affermazione SAML a Cloud Identity o Google Workspace. Per attivare Cloud Identity e Google Workspace per verificare l'integrità l'autenticità di tale asserzione, AD FS la firma con uno speciale di firma del token e fornisce un certificato che abilita Cloud Identity o Google Workspace per controllare la firma.

Esporta il certificato di firma da AD FS nel seguente modo:

1. Nella console di gestione AD FS, fai clic su Servizio > certificati.
2. Fai clic con il pulsante destro del mouse sul certificato elencato sotto Firma di token. Fai clic su Visualizza certificato.
3. Seleziona la scheda Dettagli.
4. Fai clic su Copia in file per aprire la procedura guidata per l'esportazione dei certificati.
5. In Ti diamo il benvenuto nella procedura guidata di esportazione dei certificati, fai clic su Avanti.
6. Nella pagina Esporta chiave privata, seleziona No, non esportare la chiave privata.
7. Nella pagina Formato file di esportazione, seleziona X.509 con codifica Base-64 (.CER) e fai clic su Avanti.
8. Nella pagina File da esportare, fornisci un nome file locale e fai clic su Avanti.
9. Fai clic su Fine per chiudere la finestra di dialogo.
10. Copia il certificato esportato sul tuo computer locale.

Completa il profilo SAML

Utilizzi il certificato di firma per completare la configurazione del tuo SAML profilo:

1. Torna alla Console di amministrazione e vai a Sicurezza > Autenticazione > SSO con IdP di terze parti.

   Vai a SSO con IdP di terze parti

2. Apri il profilo SAML AD FS che hai creato in precedenza.

3. Fai clic sulla sezione Dettagli IdP per modificare le impostazioni.

4. Fai clic su Carica certificato e scegli il certificato di firma token che hai esportato da AD FS.

5. Fai clic su Salva.

Il tuo profilo SAML è completo, ma devi ancora assegnarlo.

Assegna il profilo SAML

Seleziona gli utenti a cui applicare il nuovo profilo SAML:

1. Nella Console di amministrazione, nella pagina SSO con IdP di terze parti, fai clic su Gestisci assegnazioni di profili SSO > Gestisci.

   Vai a Gestisci assegnazione di profili SSO

2. Nel riquadro a sinistra, seleziona il gruppo o l'unità organizzativa per cui vuoi applicare il profilo SSO. Per applicare il profilo a tutti gli utenti, seleziona nell'unità organizzativa principale.

3. Nel riquadro a destra, seleziona Un altro profilo SSO.

4. Nel menu, seleziona il profilo SSO AD FS - SAML che hai creato in precedenza.

5. Fai clic su Salva.

Ripeti i passaggi per assegnare il profilo SAML a un altro gruppo o a un'altra unità organizzativa.

Prova il Single Sign-On

Hai completato la configurazione del Single Sign-On. Puoi verificare se la funzionalità SSO funziona come previsto.

1. Scegli un utente di Active Directory che soddisfi i seguenti criteri:

   • È stato eseguito il provisioning dell'utente in Cloud Identity o Google Workspace.

   • L'utente Cloud Identity non dispone dei privilegi di super amministratore.

     Gli account utente con privilegi di super amministratore devono sempre accedere usando le credenziali Google, quindi non sono adatte per il test di singoli l'accesso.

2. Apri una nuova finestra del browser e vai all'indirizzo https://console.cloud.google.com/.

3. Nella pagina di accesso a Google visualizzata, inserisci l'indirizzo email dell'utente e fai clic su Avanti. Se utilizzi la sostituzione del dominio, devi applicare la sostituzione all'indirizzo email.

   

   Si aprirà la pagina di AD FS. Se hai configurato AD FS per utilizzare autenticazione basata su moduli, viene visualizzata la pagina di accesso.

4. Inserisci il tuo UPN e la password per l'utente Active Directory e fai clic su Accedi.

   

5. Dopo l'autenticazione, AD FS ti reindirizza al nella console Google Cloud. Poiché questo è il primo accesso dell'utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.

6. Se accetti i termini, fai clic su Accetta.

7. Ti reindirizziamo alla console Google Cloud, dove ti viene chiesto di confermare le preferenze e accettare i Termini di servizio di Google Cloud. Se accetta i termini, fai clic su Sì e poi su Accetta e continua.

8. In alto a sinistra, fai clic sull'icona dell'avatar e poi su Uscire.

   Viene visualizzata una pagina AD FS che conferma la disconnessione.

Se hai difficoltà ad accedere, potresti trovare ulteriori informazioni nel log amministratore AD FS.

Tieni presente che gli utenti con privilegi di super amministratore sono esenti dal Single Sign-On, quindi potrai comunque utilizzare la Console di amministrazione per la verifica o la modifica impostazioni.

(Facoltativo) Configura i reindirizzamenti per gli URL dei servizi specifici del dominio

Quando colleghi la console Google Cloud da documenti o portali interni, puoi migliorare l'esperienza utente usando URL di servizio specifici del dominio.

A differenza dei normali URL di servizio come https://console.cloud.google.com/, gli URL di servizi specifici del dominio includono il nome del dominio principale. Gli utenti non autenticati che fanno clic su un link a un URL di servizio specifico del dominio vengono reindirizzati immediatamente ad AD FS anziché visualizzare prima una pagina di accesso a Google.

Ecco alcuni esempi di URL di servizio specifici del dominio:

Servizio Google	URL	Logo
Console Google Cloud	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com
Documenti Google	https://docs.google.com/a/DOMAIN
Fogli Google	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Gruppi	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com

Per configurare gli URL di servizio specifici del dominio in modo che reindirizzino ad AD FS, svolgi i seguenti passaggi:

1. Nella Console di amministrazione, nella pagina SSO con provider di identità di terze parti, fai clic su URL di servizi specifici per dominio > Modifica.

   Vai agli URL dei servizi specifici del dominio

2. Imposta Reindirizza automaticamente gli utenti all'IdP di terze parti nel profilo SSO seguente su attivato.

3. Imposta Profilo SSO su AD FS.

4. Fai clic su Salva.

(Facoltativo) Configurare le verifiche dell'accesso

L'accesso con Google potrebbe richiedere agli utenti un'ulteriore verifica quando accedono da dispositivi sconosciuti o quando il loro tentativo di accesso sembra sospetto per altri motivi. Queste verifiche dell'accesso contribuiscono a migliorare la sicurezza e ti consigliamo di lasciarle attive.

Se ritieni che le verifiche dell'accesso causino troppe difficoltà, puoi disattivarle procedendo nel seguente modo:

1. Nella Console di amministrazione, vai a Sicurezza > Autenticazione > Verifiche dell'accesso.
2. Nel riquadro a sinistra, seleziona un'unità organizzativa per cui vuoi disattivare le verifiche dell'accesso. Per disattivare le verifiche dell'accesso per tutti gli utenti, seleziona l'unità organizzativa principale.
3. In Impostazioni per gli utenti che eseguono l'accesso con altri profili SSO, seleziona Non chiedere agli utenti ulteriori verifiche da parte di Google.
4. Fai clic su Salva.