Single Sign-On di Active Directory

Informazioni sul Single Sign-On

Grazie a Google Cloud Directory Sync, hai già automatizzato la creazione e la gestione degli utenti e collegato il loro ciclo di vita agli utenti in Active Directory.

Anche se GCDS esegue il provisioning dei dettagli dell'account utente, non sincronizza le password. Ogni volta che un utente deve autenticarsi in Google Cloud, l'autenticazione deve essere delegata di nuovo ad Active Directory, operazione che viene eseguita utilizzando AD FS e il protocollo SAML (Security Assertion Markup Language). Questa configurazione garantisce che solo Active Directory abbia accesso alle credenziali utente e applica eventuali criteri o meccanismi di autenticazione a più fattori (MFA) esistenti. Inoltre, stabilisce un'esperienza Single Sign-On tra il tuo ambiente on-premise e Google.

Per maggiori dettagli sul Single Sign-On, consulta Single Sign-On

Crea un profilo SAML

Per configurare il Single Sign-On con AD FS, devi prima creare un profilo SAML nel tuo account Cloud Identity o Google Workspace. Il profilo SAML contiene le impostazioni relative all'istanza AD FS, tra cui l'URL e il certificato di firma.

In seguito, assegnerai il profilo SAML a determinati gruppi o unità organizzative.

Per creare un nuovo profilo SAML nel tuo account Cloud Identity o Google Workspace, segui questi passaggi:

1. Nella Console di amministrazione, vai a SSO con IdP di terze parti.

   Vai a SSO con un IdP di terze parti

2. Fai clic su Profili SSO di terze parti > Aggiungi profilo SAML.

3. Nella pagina Profilo SSO SAML, inserisci le seguenti impostazioni:

   • Nome: AD FS

   • ID entità IdP:

     https://ADFS/adfs/services/trust
     

   • URL della pagina di accesso:

     https://ADFS/adfs/ls/
     

   • URL della pagina di uscita:

     https://ADFS/adfs/ls/?wa=wsignout1.0
     

   • URL per la modifica della password:

     https://ADFS/adfs/portal/updatepassword/
     

   In tutti gli URL, sostituisci ADFS con il nome di dominio completo del server AD FS.

   Non caricare ancora un certificato di verifica.

4. Fai clic su Salva.

   La pagina Profilo SSO SAML visualizzata contiene due URL:

   • ID entità
   • URL ACS

   Questi URL saranno necessari nella sezione successiva durante la configurazione di AD FS.

Configura AD FS

Puoi configurare il server AD FS creando un trust della parte attendibile.

Creazione del trust della parte attendibile

Crea un nuovo trust del componente:

1. Connettiti al server AD FS e apri lo snapshot MMC di Gestione di AD FS.
2. Seleziona AD FS > attendibilità componente.
3. Nel riquadro Azioni, fai clic su Aggiungi attendibilità componente.
4. Nella pagina Benvenuto della procedura guidata, seleziona Rileva rivendicazioni e fai clic su Avvia.
5. Nella pagina Seleziona origine dati, scegli Inserisci manualmente i dati sulla parte richiedente e fai clic su Avanti.
6. Nella pagina Specifica il nome visualizzato, inserisci un nome, ad esempio Google Cloud, e fai clic su Avanti.
7. Nella pagina Configura il certificato, fai clic su Avanti.

8. Nella pagina Configura URL, seleziona Attiva il supporto per il protocollo WebSSO SAML 2.0 e inserisci l'URL ACS dal tuo profilo SAML. Quindi, fai clic su Avanti.

   

9. Nella pagina Configura identificatori, aggiungi l'ID entità dal tuo profilo SAML.

   

   Quindi, fai clic su Next.

10. Nella pagina Scegli criterio di controllo dell'accesso#39;accesso, scegli un criterio di accesso appropriato e fai clic su Avanti.

11. Nella pagina Vuoi aggiungere attendibilità, controlla le impostazioni e fai clic su Avanti.

12. Nella pagina finale, deseleziona la casella di controllo Configura criterio di emissione delle rivendicazioni e chiudi la procedura guidata.

    Nell'elenco dei trust di parti attendibili, viene visualizzata una nuova voce.

Configurazione dell'URL di disconnessione

Quando consenti agli utenti di utilizzare il Single Sign-On su più applicazioni, è importante consentire loro di uscire da più applicazioni:

1. Apri il trust del componente attendibile che hai appena creato.
2. Seleziona la scheda Endpoint.

3. Fai clic su Add SAML (Aggiungi SAML) e configura le seguenti impostazioni:

   1. Endpoint type (Tipo di endpoint): logout SAML (Disconnessione SAML)
   2. Binding: POST

   3. URL attendibile:

      https://ADFS/adfs/ls/?wa=wsignout1.0
      

      Sostituisci ADFS con il nome di dominio completo del tuo server AD FS.

      

4. Fai clic su Ok.

5. Fai clic su OK per chiudere la finestra di dialogo.

Configurazione del mapping delle attestazioni

Dopo che AD FS ha autenticato un utente, emette un'asserzione SAML. Questa asserzione dimostra che l'autenticazione è avvenuta correttamente. L'asserzione deve identificare chi è stato autenticato, ovvero lo scopo della rivendicazione NameID.

Per consentire la funzionalità Accedi con Google per associare NameID a un utente, NameID deve contenere l'indirizzo email principale dell'utente. A seconda di come stai mappando gli utenti tra Active Directory e Cloud Identity o Google Workspace, NameID deve contenere il numero UPN o l'indirizzo email dell'utente di Active Directory e, se necessario, vengono applicate le sostituzioni del dominio.

Esportazione del certificato di firma del token AD FS

Dopo aver autenticato un utente, AD FS trasmette un'asserzione SAML a Cloud Identity o Google Workspace. Per consentire a Cloud Identity e Google Workspace di verificare l'integrità e l'autenticità dell'asserzione, AD FS firma l'asserzione con una speciale chiave di firma del token e fornisce un certificato che consenta a Cloud Identity o Google Workspace di controllare la firma.

Esporta il certificato di firma da AD FS procedendo nel seguente modo:

1. Nella console di gestione di AD FS, fai clic su Servizio > Certificati.
2. Fai clic con il pulsante destro del mouse sul certificato elencato in Firma dei token, quindi fai clic su Visualizza certificato.
3. Seleziona la scheda Dettagli.
4. Fai clic su Copia in un file per aprire l'esportazione guidata dei certificati.
5. Nella pagina Ti diamo il benvenuto nella procedura guidata di esportazione dei certificati, fai clic su Avanti.
6. Nella pagina Esporta chiave privata, seleziona No, non esportare la chiave privata.
7. Nella pagina Esporta formato file, seleziona X.509 (.CER) codificato Base-64 e fai clic su Avanti.
8. Nella pagina File da esportare, specifica un nome file locale e fai clic su Avanti.
9. Fai clic su Fine per chiudere la finestra di dialogo.
10. Copia il certificato esportato sul tuo computer locale.

Completa il profilo SAML

Utilizza il certificato di firma per completare la configurazione del profilo SAML:

1. Torna alla Console di amministrazione e vai a Sicurezza > Autenticazione > SSO con IdP di terze parti.

   Vai a SSO con un IdP di terze parti

2. Apri il profilo SAML AD FS che hai creato in precedenza.

3. Fai clic sulla sezione Dettagli IdP per modificare le impostazioni.

4. Fai clic su Carica certificato e scegli il certificato di firma del token che hai esportato da AD FS.

5. Fai clic su Salva.

Il tuo profilo SAML è completo, ma devi ancora assegnarlo.

Assegna il profilo SAML

Seleziona gli utenti a cui deve essere applicato il nuovo profilo SAML:

1. Nella pagina SSO con IdP di terze parti della Console di amministrazione, fai clic su Gestisci le assegnazioni dei profili SSO > Gestisci.

   Vai a Gestisci assegnazioni dei profili SSO

2. Nel riquadro a sinistra, seleziona il gruppo o l'unità organizzativa a cui vuoi applicare il profilo SSO. Per applicare il profilo a tutti gli utenti, seleziona l'unità organizzativa principale.

3. Nel riquadro a destra, seleziona Un altro profilo SSO.

4. Nel menu, seleziona il profilo SSO AD FS - SAML che hai creato in precedenza.

5. Fai clic su Salva.

Ripeti i passaggi per assegnare il profilo SAML a un altro gruppo o a un'altra unità organizzativa.

Testa il Single Sign-On

Hai completato la configurazione Single Sign-On. Puoi verificare se l'accesso SSO funziona come previsto.

1. Scegli un utente di Active Directory che soddisfi i seguenti criteri:

   • È stato eseguito il provisioning dell'utente su Cloud Identity o Google Workspace.

   • L'utente Cloud Identity non dispone dei privilegi di super amministratore.

     Gli account utente con privilegi di super amministratore devono sempre accedere utilizzando le credenziali Google, pertanto non sono idonei per il test del Single Sign-On.

2. Apri una nuova finestra del browser e vai all'indirizzo https://console.cloud.google.com/.

3. Nella pagina Accedi con Google visualizzata, inserisci l'indirizzo email dell'utente e fai clic su Avanti. Se usi la sostituzione del dominio, devi applicarla all'indirizzo email.

   

   Il sistema ti reindirizzerà ad AD FS. Se hai configurato AD FS per l'utilizzo dell'autenticazione basata su moduli, viene visualizzata la pagina di accesso.

4. Inserisci il tuo UPN e la password per l'utente di Active Directory e fai clic su Accedi.

   

5. Dopo l'autenticazione, AD FS ti reindirizza alla console Google Cloud. Poiché si tratta del primo accesso per l'utente, ti verrà chiesto di accettare i Termini di servizio e le norme sulla privacy di Google.

6. Se accetti i termini, fai clic su Accetta.

7. Si aprirà la console Google Cloud, in cui ti verrà chiesto di confermare le preferenze e accettare i Termini di servizio di Google Cloud. Se accetti i termini, fai clic su Sì, poi su Accetta e continua.

8. In alto a sinistra, fai clic sull'icona dell'avatar e poi su Esci.

   Si aprirà una pagina di AD FS per la conferma della disconnessione.

In caso di problemi di accesso, potresti trovare ulteriori informazioni nel log di amministrazione di AD FS.

Tieni presente che gli utenti con privilegi di super amministratore sono esenti dal servizio Single Sign-On, pertanto puoi comunque utilizzare la Console di amministrazione per verificare o modificare le impostazioni.

(Facoltativo) Configurare i reindirizzamenti per gli URL di servizi specifici del dominio

Quando esegui il collegamento alla console Google Cloud da portali o documenti interni, puoi migliorare l'esperienza utente utilizzando URL di servizio specifici del dominio.

A differenza dei normali URL di servizio come https://console.cloud.google.com/, gli URL di servizi specifici del dominio includono il nome del tuo dominio principale. Gli utenti non autenticati che fanno clic su un link all'URL di un servizio specifico di un dominio vengono immediatamente reindirizzati ad AD FS invece di visualizzare prima la pagina di accesso di Google.

Ecco alcuni esempi di URL di servizi specifici del dominio:

Servizio Google	URL	Logo
Console Google Cloud	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com
Documenti Google	https://docs.google.com/a/DOMAIN
Fogli Google	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Gruppi	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com

Per configurare gli URL di servizi specifici del dominio in modo che reindirizzino ad AD FS:

1. Nella pagina SSO con IdP di terze parti della Console di amministrazione, fai clic su URL di servizio specifici del dominio > Modifica.

   Vai agli URL di servizio specifici del dominio

2. Imposta Reindirizza automaticamente gli utenti all'IdP di terze parti nel seguente profilo SSO su attivato.

3. Imposta il profilo SSO su AD FS.

4. Fai clic su Salva.

(Facoltativo) Configurare le verifiche dell'accesso

Accedi con Google potrebbe chiedere agli utenti di effettuare ulteriori verifiche quando accedono da dispositivi sconosciuti o quando il loro tentativo di accesso sembra sospetto per altri motivi. Queste verifiche dell'accesso migliorano la sicurezza e ti consigliamo di lasciarle attivate.

Se noti che le verifiche dell'accesso causano troppi problemi, puoi disattivarle nel seguente modo:

1. Nella Console di amministrazione, vai a Sicurezza > Autenticazione > Verifiche dell'accesso.
2. Nel riquadro a sinistra, seleziona un'unità organizzativa per la quale vuoi disattivare le verifiche dell'accesso. Per disattivare le verifiche dell'accesso per tutti gli utenti, seleziona l'unità organizzativa principale.
3. In Impostazioni per gli utenti che accedono utilizzando altri profili SSO, seleziona Non chiedere agli utenti verifiche aggiuntive da Google.
4. Fai clic su Salva.