Single Sign-On di Active Directory

Informazioni sul Single Sign-On

Utilizzando Google Cloud Directory Sync hai già automatizzato la creazione e la gestione degli utenti ha associato il proprio ciclo di vita agli utenti in Active Directory.

Sebbene GCDS esegua il provisioning dei dettagli degli account utente, sincronizzare le password. Ogni volta che un utente deve autenticarsi in Google Cloud, l'autenticazione deve essere delegata nuovamente ad Attiva Directory, che viene eseguita utilizzando AD FS e il markup dell'asserzione di sicurezza. protocollo SAML. Questa configurazione garantisce che solo Active Directory abbia l'accesso alle credenziali utente e applica eventuali criteri esistenti o meccanismi di autenticazione a più fattori (MFA). Inoltre, stabilisce Single Sign-On tra il tuo ambiente on-premise e Google.

Per ulteriori dettagli sul Single Sign-On, vedi Single Sign-On

Crea un profilo SAML

Per configurare il servizio Single Sign-On con AD FS, devi prima creare un profilo SAML nel tuo un account Cloud Identity o Google Workspace. Il profilo SAML contiene le impostazioni relative all'istanza AD FS, inclusi l'URL e di firma del certificato.

Successivamente, assegna il profilo SAML a determinati gruppi o unità organizzative.

Per creare un nuovo profilo SAML in Cloud Identity o Google Workspace account, procedi nel seguente modo:

1. Nella Console di amministrazione, vai a SSO con IdP di terze parti.

   Vai a SSO con IdP di terze parti

2. Fai clic su Profili SSO di terze parti > Aggiungi profilo SAML.

3. Nella pagina SAML SSO profile (Profilo SSO SAML), inserisci le seguenti impostazioni:

   • Nome: AD FS

   • ID entità IdP:

     https://ADFS/adfs/services/trust
     

   • URL della pagina di accesso:

     https://ADFS/adfs/ls/
     

   • URL della pagina di uscita:

     https://ADFS/adfs/ls/?wa=wsignout1.0
     

   • URL per la modifica della password:

     https://ADFS/adfs/portal/updatepassword/
     

   In tutti gli URL, sostituisci ADFS con il valore completo del tuo server AD FS.

   Non caricare ancora un certificato di verifica.

4. Fai clic su Salva.

   La pagina Profilo SSO SAML visualizzata contiene due URL:

   • ID entità
   • URL ACS

   Questi URL saranno necessari nella sezione successiva quando configuri AD FS.

Configurare AD FS

Per configurare il server AD FS devi creare un'attendibilità del componente.

Creazione dell'attendibilità del componente

Crea una nuova attendibilità del componente:

1. Connettiti al server AD FS e apri lo snapshot MMC Gestione AD FS.
2. Seleziona AD FS > Trust del componente di base.
3. Nel riquadro Azioni, fai clic su Aggiungi attendibilità del componente.
4. Nella pagina Benvenuto della procedura guidata, seleziona Rivendicazioni a conoscenza e fai clic su Inizia.
5. Nella pagina Seleziona origine dati, scegli Inserisci manualmente i dati sulla parte di base e fai clic su Avanti.
6. Nella pagina Specifica nome visualizzato, inserisci un nome, ad esempio Google Cloud e fai clic su Avanti.
7. Nella pagina Configura certificato, fai clic su Avanti.

8. Nella pagina Configura URL, seleziona Attiva il supporto per il protocollo WebSSO SAML 2.0 e inserisci l'URL ACS dal tuo profilo SAML. Quindi, fai clic su Avanti.

   

9. Nella pagina Configura identificatori, aggiungi l'ID entità dal tuo Profilo SAML.

   

   Quindi, fai clic su Next.

10. Nella pagina Scegli il criterio di controllo dell'accesso, scegli un criterio di accesso appropriato e fai clic su Avanti.

11. Nella pagina Pronto per aggiungere fiducia, controlla le impostazioni e fai clic su Avanti.

12. Nell'ultima pagina, deseleziona Configura le norme per l'emissione delle rivendicazioni e chiudi la procedura guidata.

    Nell'elenco dei trust del componente, vedrai una nuova voce.

Configurazione dell'URL di disconnessione

Se permetti agli utenti di utilizzare il Single Sign-On per più applicazioni, è importante consentire la disconnessione da più applicazioni:

1. Apri l'attendibilità del componente che hai appena creato.
2. Seleziona la scheda Endpoint.

3. Fai clic su Add SAML (Aggiungi SAML) e configura le seguenti impostazioni:

   1. Tipo di endpoint: Disconnessione SAML
   2. Associazione: POST

   3. URL attendibile:

      https://ADFS/adfs/ls/?wa=wsignout1.0
      

      Sostituisci ADFS con il dominio completo del tuo server AD FS.

      

4. Fai clic su OK.

5. Fai clic su OK per chiudere la finestra di dialogo.

Configurare la mappatura delle attestazioni

Dopo che AD FS ha autenticato un utente, emette un'asserzione SAML. Questa asserzione serve a dimostrare che l'autenticazione ha sia eseguita correttamente. L'asserzione deve identificare chi è stato autenticati, ovvero lo scopo Rivendicazione NameID.

Per consentire ad Accedi con Google di associare NameID a un utente, NameID Deve contenere l'indirizzo email principale dell'utente. In base a come stai di mappatura degli utenti tra Active Directory e Cloud Identity o Google Workspace, NameID deve contenere il codice UPN o l'indirizzo email di Active Directory dell'utente, applicando le sostituzioni del dominio in base alle esigenze.

Esportazione del certificato di firma del token di AD FS

Dopo che AD FS ha autenticato un utente, passa un'asserzione SAML a Cloud Identity o Google Workspace. Per attivare Cloud Identity e Google Workspace per verificare l'integrità l'autenticità di tale asserzione, AD FS la firma con uno speciale di firma del token e fornisce un certificato che abilita Cloud Identity o Google Workspace per controllare la firma.

Esporta il certificato di firma da AD FS nel seguente modo:

1. Nella console di gestione AD FS, fai clic su Servizio > certificati.
2. Fai clic con il pulsante destro del mouse sul certificato elencato sotto Firma di token. Fai clic su Visualizza certificato.
3. Seleziona la scheda Dettagli.
4. Fai clic su Copia su file per aprire l'esportazione guidata dei certificati.
5. In Ti diamo il benvenuto nella procedura guidata di esportazione dei certificati, fai clic su Avanti.
6. Nella pagina Esporta chiave privata, seleziona No, non esportare la chiave privata.
7. Nella pagina Formato file per l'esportazione, seleziona X.509 (.CER) con codifica Base-64 e fai clic su Avanti.
8. Nella pagina File da esportare, fornisci un nome file locale e fai clic su Avanti.
9. Fai clic su Fine per chiudere la finestra di dialogo.
10. Copia il certificato esportato sul tuo computer locale.

Completa il profilo SAML

Utilizzi il certificato di firma per completare la configurazione del tuo SAML profilo:

1. Torna alla Console di amministrazione e vai a Sicurezza > Autenticazione > tramite SSO con IdP di terze parti.

   Vai a SSO con IdP di terze parti

2. Apri il profilo SAML AD FS che hai creato in precedenza.

3. Fai clic sulla sezione Dettagli IdP per modificare le impostazioni.

4. Fai clic su Carica certificato e scegli il certificato di firma del token che esportate da AD FS.

5. Fai clic su Salva.

Il tuo profilo SAML è completo, ma devi ancora assegnarlo.

Assegna il profilo SAML

Seleziona gli utenti a cui deve essere applicato il nuovo profilo SAML:

1. Nella pagina SSO con IdP di terze parti della Console di amministrazione, fai clic su Gestisci assegnazioni profilo SSO > Gestisci.

   Vai a Gestisci le assegnazioni dei profili SSO

2. Nel riquadro a sinistra, seleziona il gruppo o l'unità organizzativa per cui vuoi applicare il profilo SSO. Per applicare il profilo a tutti gli utenti, seleziona nell'unità organizzativa principale.

3. Nel riquadro a destra, seleziona Un altro profilo SSO.

4. Nel menu, seleziona il profilo SSO AD FS - SAML che hai creato in precedenza.

5. Fai clic su Salva.

Ripeti i passaggi per assegnare il profilo SAML a un altro gruppo o a un'altra unità organizzativa.

Prova il Single Sign-On

Hai completato la configurazione del Single Sign-On. Puoi controllare se il servizio SSO funziona come previsto.

1. Scegli un utente di Active Directory che soddisfi i seguenti criteri:

   • È stato eseguito il provisioning dell'utente in Cloud Identity o Google Workspace.

   • L'utente di Cloud Identity non dispone dei privilegi di super amministratore.

     Gli account utente con privilegi di super amministratore devono sempre accedere usando le credenziali Google, perciò non sono adatte per il test di singoli l'accesso.

2. Apri una nuova finestra del browser e vai a https://console.cloud.google.com/.

3. Nella pagina Accedi con Google che viene visualizzata, inserisci l'indirizzo email utente e fai clic su Avanti. Se utilizzi la sostituzione del dominio, devi applicare la sostituzione all'indirizzo email.

   

   Si aprirà la pagina di AD FS. Se hai configurato AD FS per utilizzare autenticazione basata su moduli, viene visualizzata la pagina di accesso.

4. Inserisci il tuo UPN e la password per l'utente di Active Directory e fai clic su Accedi.

   

5. Dopo l'autenticazione, AD FS ti reindirizza al nella console Google Cloud. Poiché questo è il primo accesso dell'utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.

6. Se accetti i termini, fai clic su Accetta.

7. Si aprirà la console Google Cloud, dove ti verrà chiesto di confermare le preferenze e accettare i Termini di servizio di Google Cloud. Se accetta i termini, fai clic su Sì e poi su Accetta e continua.

8. In alto a sinistra, fai clic sull'icona dell'avatar e poi su Esci.

   Viene visualizzata una pagina di AD FS a conferma del fatto che sei stato disconnesso correttamente.

Se hai problemi di accesso, potresti trovare ulteriori informazioni nella Log di amministrazione AD FS.

Tieni presente che gli utenti con privilegi di super amministratore sono esenti dal Single Sign-On, quindi potrai comunque utilizzare la Console di amministrazione per la verifica o la modifica impostazioni.

(Facoltativo) Configura i reindirizzamenti per gli URL dei servizi specifici del dominio

Quando colleghi la console Google Cloud da documenti o portali interni, puoi migliorare l'esperienza utente usando URL di servizio specifici del dominio.

A differenza dei normali URL di servizio come https://console.cloud.google.com/, gli URL di servizi specifici del dominio includono il nome del dominio principale. Non autenticato gli utenti che fanno clic su un link all'URL di un servizio specifico del dominio vengono reindirizzati immediatamente ad AD FS anziché visualizzare prima una pagina di accesso a Google.

Ecco alcuni esempi di URL di servizi specifici del dominio:

Servizio Google	URL	Logo
Console Google Cloud	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com
Documenti Google	https://docs.google.com/a/DOMAIN
Fogli Google	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Gruppi	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com

Per configurare URL di servizio specifici del dominio in modo che reindirizzino ad AD FS, procedi le seguenti:

1. Nella pagina SSO con IdP di terze parti della Console di amministrazione, Fai clic su URL dei servizi specifici del dominio > Modifica.

   Vai agli URL dei servizi specifici del dominio

2. Imposta Reindirizza automaticamente gli utenti all'IdP di terze parti nel profilo SSO seguente su attivato.

3. Imposta Profilo SSO su AD FS.

4. Fai clic su Salva.

(Facoltativo) Configurare le verifiche dell'accesso

Accedi con Google potrebbe chiedere agli utenti di eseguire ulteriori verifiche quando accedono da dispositivi sconosciuti o quando il loro tentativo di accesso sembra sospetto per altri motivi. Queste verifiche dell'accesso contribuiscono a migliorare la sicurezza e ti consigliamo lasciare attive le verifiche dell'accesso.

Se ritieni che le verifiche dell'accesso siano troppo complesse, puoi disattivare delle verifiche dell'accesso nel seguente modo:

1. Nella Console di amministrazione, vai a Sicurezza > Autenticazione > Verifiche dell'accesso.
2. Nel riquadro a sinistra, seleziona un'unità organizzativa per la quale vuoi disabilitare le verifiche dell'accesso. Per disattivare le verifiche dell'accesso per tutti gli utenti, seleziona nell'unità organizzativa principale.
3. In Impostazioni per gli utenti che eseguono l'accesso con altri profili SSO, seleziona Non chiedere agli utenti ulteriori verifiche da parte di Google.
4. Fai clic su Salva.