Single Sign-On di Active Directory

Informazioni sul Single Sign-On

Utilizzando Google Cloud Directory Sync, hai già automatizzato la creazione e la manutenzione degli utenti e hai collegato il loro ciclo di vita agli utenti in Active Directory.

Sebbene GCDS esegua il provisioning dei dettagli degli account utente, non sincronizza le password. Ogni volta che un utente deve eseguire l'autenticazione in Google Cloud, l'autenticazione deve essere delegata nuovamente ad Active Directory, utilizzando AD FS e il protocollo SAML (Security Assertion Markup Language). Questa configurazione garantisce che solo Active Directory abbia accesso alle credenziali utente e che applichi eventuali criteri o meccanismi di autenticazione a più fattori (MFA) esistenti. Inoltre, stabilisce un'esperienza Single Sign-On tra l'ambiente on-premise e Google.

Per ulteriori dettagli su Single Sign-On, consulta Single Sign-On.

Crea un profilo SAML

Per configurare il Single Sign-On con AD FS, devi prima creare un profilo SAML nel tuo account Cloud Identity o Google Workspace. Il profilo SAML contiene le impostazioni relative all'istanza AD FS, inclusi l'URL e il certificato di firma.

Successivamente, assegna il profilo SAML a determinati gruppi o unità organizzative.

Per creare un nuovo profilo SAML nel tuo account Cloud Identity o Google Workspace, segui questi passaggi:

1. Nella Console di amministrazione, vai a SSO con IdP di terze parti.

   Vai a SSO con IdP di terze parti

2. Fai clic su Profili SSO di terze parti > Aggiungi profilo SAML.

3. Nella pagina SAML SSO profile (Profilo SSO SAML), inserisci le seguenti impostazioni:

   • Nome: AD FS

   • ID entità IdP:

     https://ADFS/adfs/services/trust
     

   • URL della pagina di accesso:

     https://ADFS/adfs/ls/
     

   • URL della pagina di uscita:

     https://ADFS/adfs/ls/?wa=wsignout1.0
     

   • URL per la modifica della password:

     https://ADFS/adfs/portal/updatepassword/
     

   In tutti gli URL, sostituisci ADFS con il nome di dominio completo del server AD FS.

   Non caricare ancora un certificato di verifica.

4. Fai clic su Salva.

   La pagina Profilo SSO SAML visualizzata contiene due URL:

   • ID entità
   • URL ACS

   Questi URL saranno necessari nella sezione successiva quando configuri AD FS.

Configurare AD FS

Per configurare il server AD FS devi creare un'attendibilità del componente.

Creazione dell'attendibilità del componente

Crea una nuova attendibilità del componente:

1. Connettiti al server AD FS e apri lo snapshot MMC Gestione AD FS.
2. Seleziona AD FS > Trust del componente di base.
3. Nel riquadro Azioni, fai clic su Aggiungi attendibilità del componente.
4. Nella pagina Benvenuto della procedura guidata, seleziona Claim consapevoli e fai clic su Avvia.
5. Nella pagina Seleziona origine dati, scegli Inserisci manualmente i dati sul componente e fai clic su Avanti.
6. Nella pagina Specifica il nome visualizzato, inserisci un nome, come Google Cloud, e fai clic su Avanti.
7. Nella pagina Configura certificato, fai clic su Avanti.

8. Nella pagina Configura URL, seleziona Attiva il supporto per il protocollo WebSSO SAML 2.0 e inserisci l'URL ACS dal tuo profilo SAML. Quindi, fai clic su Avanti.

   

9. Nella pagina Configura identificatori, aggiungi l'ID entità dal tuo profilo SAML.

   

   Quindi, fai clic su Next.

10. Nella pagina Scegli il criterio di controllo dell'accesso#39;accesso, scegli un criterio di accesso appropriato e fai clic su Avanti.

11. Nella pagina Tutto pronto per aggiungere attendibili, rivedi le impostazioni e fai clic su Avanti.

12. Nella pagina finale, deseleziona la casella di controllo Configura criterio di emissione delle rivendicazioni e chiudi la procedura guidata.

    Nell'elenco dei trust del componente, vedrai una nuova voce.

Configurazione dell'URL di disconnessione

Quando consenti agli utenti di utilizzare il Single Sign-On per più applicazioni, è importante consentire loro di uscire da più applicazioni:

1. Apri l'attendibilità del componente che hai appena creato.
2. Seleziona la scheda Endpoint.

3. Fai clic su Add SAML (Aggiungi SAML) e configura le seguenti impostazioni:

   1. Tipo di endpoint: Disconnessione SAML
   2. Associazione: POST

   3. URL attendibile:

      https://ADFS/adfs/ls/?wa=wsignout1.0
      

      Sostituisci ADFS con il nome di dominio completo del tuo server AD FS.

      

4. Fai clic su Ok.

5. Fai clic su OK per chiudere la finestra di dialogo.

Configurare la mappatura delle attestazioni

Dopo che AD FS ha autenticato un utente, emette un'asserzione SAML. Questa asserzione serve a dimostrare che l'autenticazione è stata eseguita correttamente. L'asserzione deve identificare chi è stato autenticato, che è lo scopo della rivendicazione NameID.

Per consentire ad Accedi con Google di associare NameID a un utente, NameID deve contenere l'indirizzo email principale dell'utente. A seconda di come stai mappando gli utenti tra Active Directory e Cloud Identity o Google Workspace, il NameID deve contenere il numero UPN o l'indirizzo email dell'utente di Active Directory, con le sostituzioni del dominio applicate in base alle necessità.

Esportazione del certificato di firma del token di AD FS

Dopo aver autenticato un utente, AD FS passa un'asserzione SAML a Cloud Identity o Google Workspace. Per consentire a Cloud Identity e Google Workspace di verificare l'integrità e l'autenticità dell'asserzione, AD FS firma l'asserzione con una chiave speciale di firma del token e fornisce un certificato che consente a Cloud Identity o Google Workspace di controllare la firma.

Esporta il certificato di firma da AD FS nel seguente modo:

1. Nella console di gestione AD FS, fai clic su Servizio > certificati.
2. Fai clic con il pulsante destro del mouse sul certificato elencato sotto Firma di token e fai clic su Visualizza certificato.
3. Seleziona la scheda Dettagli.
4. Fai clic su Copia su file per aprire l'esportazione guidata dei certificati.
5. In Ti diamo il benvenuto nella procedura guidata di esportazione dei certificati, fai clic su Avanti.
6. Nella pagina Esporta chiave privata, seleziona No, non esportare la chiave privata.
7. Nella pagina Esporta formato file, seleziona X.509 (.CER) con codifica Base-64 (.CER) e fai clic su Avanti.
8. Nella pagina File da esportare, fornisci un nome file locale e fai clic su Avanti.
9. Fai clic su Fine per chiudere la finestra di dialogo.
10. Copia il certificato esportato sul tuo computer locale.

Completa il profilo SAML

Utilizza il certificato di firma per completare la configurazione del tuo profilo SAML:

1. Torna alla Console di amministrazione e vai a Sicurezza > Autenticazione > SSO con IdP di terze parti.

   Vai a SSO con IdP di terze parti

2. Apri il profilo SAML AD FS che hai creato in precedenza.

3. Fai clic sulla sezione Dettagli IdP per modificare le impostazioni.

4. Fai clic su Carica certificato e scegli il certificato di firma del token che hai esportato da AD FS.

5. Fai clic su Salva.

Il tuo profilo SAML è completo, ma devi ancora assegnarlo.

Assegna il profilo SAML

Seleziona gli utenti a cui deve essere applicato il nuovo profilo SAML:

1. Nella Console di amministrazione, nella pagina SSO con IdP di terze parti, fai clic su Gestisci assegnazioni profili SSO > Gestisci.

   Vai a Gestisci le assegnazioni dei profili SSO

2. Nel riquadro a sinistra, seleziona il gruppo o l'unità organizzativa a cui vuoi applicare il profilo SSO. Per applicare il profilo a tutti gli utenti, seleziona l'unità organizzativa principale.

3. Nel riquadro a destra, seleziona Un altro profilo SSO.

4. Nel menu, seleziona il profilo SSO AD FS - SAML che hai creato in precedenza.

5. Fai clic su Salva.

Ripeti i passaggi per assegnare il profilo SAML a un altro gruppo o a un'altra unità organizzativa.

Prova il Single Sign-On

Hai completato la configurazione del Single Sign-On. Puoi verificare se SSO funziona come previsto.

1. Scegli un utente di Active Directory che soddisfi i seguenti criteri:

   • È stato eseguito il provisioning dell'utente in Cloud Identity o Google Workspace.

   • L'utente di Cloud Identity non dispone dei privilegi di super amministratore.

     Gli account utente con privilegi di super amministratore devono sempre accedere utilizzando le credenziali Google, quindi non sono adatti per testare il Single Sign-On.

2. Apri una nuova finestra del browser e vai a https://console.cloud.google.com/.

3. Nella pagina Accedi con Google visualizzata, inserisci l'indirizzo email dell'utente e fai clic su Avanti. Se usi la sostituzione del dominio, devi applicare la sostituzione all'indirizzo email.

   

   Verrai reindirizzato ad AD FS. Se hai configurato AD FS per l'uso dell'autenticazione basata su moduli, vedrai la pagina di accesso.

4. Inserisci il tuo UPN e la password per l'utente Active Directory e fai clic su Accedi.

   

5. Dopo l'autenticazione, AD FS ti reindirizza alla console Google Cloud. Poiché questo è il primo accesso dell'utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.

6. Se accetti i termini, fai clic su Accetta.

7. Si aprirà la console Google Cloud, che ti chiederà di confermare le preferenze e accettare i Termini di servizio di Google Cloud. Se accetti i termini, fai clic su Sì e poi su Accetta e continua.

8. In alto a sinistra, fai clic sull'icona dell'avatar e poi su Esci.

   Il sistema ti reindirizzerà a una pagina di AD FS a conferma dell'avvenuta disconnessione.

Se hai problemi di accesso, potresti trovare ulteriori informazioni nel log di amministrazione AD FS.

Tieni presente che gli utenti con privilegi di super amministratore sono esenti dal Single Sign-On, quindi puoi comunque utilizzare la Console di amministrazione per verificare o modificare le impostazioni.

(Facoltativo) Configura i reindirizzamenti per gli URL dei servizi specifici del dominio

Quando colleghi la console Google Cloud da documenti o portali interni, puoi migliorare l'esperienza utente utilizzando URL di servizio specifici del dominio.

A differenza dei normali URL di servizio come https://console.cloud.google.com/, gli URL di servizi specifici del dominio includono il nome del dominio principale. Gli utenti non autenticati che fanno clic su un link che rimanda all'URL di un servizio specifico del dominio vengono reindirizzati immediatamente ad AD FS anziché visualizzare prima una pagina di accesso di Google.

Ecco alcuni esempi di URL di servizi specifici del dominio:

Servizio Google	URL	Logo
Console Google Cloud	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com
Documenti Google	https://docs.google.com/a/DOMAIN
Fogli Google	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Gruppi	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com

Per configurare URL di servizio specifici del dominio in modo che reindirizzino ad AD FS, segui questi passaggi:

1. Nella pagina SSO con IdP di terze parti della Console di amministrazione, fai clic su URL di servizio specifici del dominio > Modifica.

   Vai agli URL dei servizi specifici del dominio

2. Imposta Reindirizza automaticamente gli utenti all'IdP di terze parti nel profilo SSO seguente su Abilitato.

3. Imposta Profilo SSO su AD FS.

4. Fai clic su Salva.

(Facoltativo) Configurare le verifiche dell'accesso

Accedi con Google potrebbe chiedere agli utenti ulteriori verifiche quando accedono da dispositivi sconosciuti o quando il loro tentativo di accesso sembra sospetto per altri motivi. Queste verifiche dell'accesso contribuiscono a migliorare la sicurezza e ti consigliamo di lasciarle abilitate.

Se ritieni che le verifiche dell'accesso siano troppo complesse, puoi disattivarle seguendo questi passaggi:

1. Nella Console di amministrazione, vai a Sicurezza > Autenticazione > Verifiche dell'accesso.
2. Nel riquadro a sinistra, seleziona un'unità organizzativa per la quale vuoi disabilitare le verifiche dell'accesso. Per disabilitare le verifiche dell'accesso per tutti gli utenti, seleziona l'unità organizzativa principale.
3. In Impostazioni per gli utenti che accedono utilizzando altri profili SSO, seleziona Non chiedere agli utenti ulteriori verifiche da parte di Google.
4. Fai clic su Salva.