Início de sessão único do Active Directory

Last reviewed 2025-01-13 UTC

Este artigo mostra-lhe como configurar o início de sessão único entre o seu ambiente do Active Directory e a sua conta do Cloud Identity ou Google Workspace através da utilização dos Active Directory Federation Services (AD FS) da Microsoft e da federação SAML.

O artigo pressupõe que compreende como a gestão de identidades do Active Directory pode ser alargada a Google Cloud e que já configurou o aprovisionamento de utilizadores. O artigo também pressupõe que tem um servidor AD FS 4.0 funcional que está a ser executado no Windows Server 2016 ou numa versão posterior do Windows Server.

Para seguir este guia, são necessários conhecimentos sobre o Active Directory Domain Services e o AD FS. Também precisa de um utilizador no Cloud ID ou no Google Workspace com privilégios de superadministrador e um utilizador no Active Directory com acesso administrativo ao seu servidor AD FS.

Compreender o Início de sessão único

Ao usar a Sincronização de diretórios do Google Cloud, já automatizou a criação e a manutenção de utilizadores e associou o respetivo ciclo de vida aos utilizadores no Active Directory.

Embora o GCDS forneça detalhes da conta de utilizador, não sincroniza palavras-passe. Sempre que um utilizador precisa de fazer a autenticação no Google Cloud, a autenticação tem de ser delegada novamente no Active Directory, o que é feito através do AD FS e do protocolo de Linguagem de marcação de declaração de segurança (SAML). Esta configuração garante que apenas o Active Directory tem acesso às credenciais do utilizador e está a aplicar todas as políticas existentes ou mecanismos de autenticação multifator (MFA). Além disso, estabelece uma experiência de início de sessão único entre o seu ambiente no local e a Google.

Para mais detalhes sobre o Início de sessão único, consulte o artigo Início de sessão único

Crie um perfil SAML

Para configurar o Início de sessão único com o AD FS, primeiro, crie um perfil SAML na sua conta do Cloud Identity ou do Google Workspace. O perfil SAML contém as definições relacionadas com a sua instância do AD FS, incluindo o respetivo URL e o certificado de assinatura.

Posteriormente, atribui o perfil SAML a determinados grupos ou unidades organizacionais.

Para criar um novo perfil SAML na sua conta do Cloud ID ou do Google Workspace, faça o seguinte:

  1. Na consola do administrador, aceda a SSO com IdP de terceiros.

    Aceda a SSO com IdP de terceiros

  2. Clique em Perfis de SSO de terceiros > Adicionar perfil de SAML.

  3. Na página Perfil de SSO de SAML, introduza as seguintes definições:

    • Nome: AD FS

    • ID de entidade do IDP:

      https://ADFS/adfs/services/trust

    • URL da página de início de sessão:

      https://ADFS/adfs/ls/

    • URL da página de fim de sessão:

      https://ADFS/adfs/ls/?wa=wsignout1.0

    • URL para alterar a palavra-passe:

      https://ADFS/adfs/portal/updatepassword/

    Em todos os URLs, substitua ADFS pelo nome do domínio totalmente qualificado do seu servidor AD FS.

    Não carregue ainda um certificado de validação.

  4. Clique em Guardar.

    A página Perfil de SSO de SAML apresentada contém dois URLs:

    • ID da entidade
    • URL do ACS

    Precisa destes URLs na secção seguinte quando configurar o AD FS.

Configure o AD FS

Configura o servidor AD FS criando uma confiança de parte fidedigna.

Criar a confiança da parte fidedigna

Crie uma nova relação de confiança com a parte fidedigna:

  1. Ligue-se ao servidor do AD FS e abra o snap-in MMC AD FS Management.
  2. Selecione AD FS > Confianças de partes fidedignas.
  3. No painel Ações, clique em Adicionar confiança de parte fidedigna.
  4. Na página Boas-vindas do assistente, selecione Com reconhecimento de reivindicações e clique em Iniciar.
  5. Na página Selecionar origem de dados, selecione Introduzir manualmente dados sobre a parte fidedigna e clique em Seguinte.
  6. Na página Especifique o nome a apresentar, introduza um nome, como Google Cloud e clique em Seguinte.
  7. Na página Configurar certificado, clique em Seguinte.

  8. Na página Configurar URL, selecione Ativar suporte para o protocolo WebSSO SAML 2.0 e introduza o URL ACS do seu perfil SAML. Em seguida, clique em Seguinte.

    Ativar o suporte para o protocolo WebSSO SAML 2.0.

  9. Na página Configurar identificadores, adicione o ID da entidade do seu perfil SAML.

    Identificadores de confiança da parte fidedigna.

    Em seguida, clique em Seguinte.

  10. Na página Escolher política de controlo de acesso, escolha uma política de acesso adequada e clique em Seguinte.

  11. Na página Pronto para adicionar confiança, reveja as suas definições e, de seguida, clique em Seguinte.

  12. Na página final, desmarque a caixa de verificação Configurar política de emissão de reivindicações e feche o assistente.

    Na lista de relações de confiança de partes fidedignas, é apresentada uma nova entrada.

Configurar o URL de saída

Quando permite que os utilizadores usem o início de sessão único em várias aplicações, é importante permitir que terminem sessão em várias aplicações:

  1. Abra a confiança da parte fidedigna que acabou de criar.
  2. Selecione o separador Endpoints.

  3. Clique em Adicionar SAML e configure as seguintes definições:

    1. Tipo de ponto final: SAML Logout
    2. Binding: POST

    3. URL fidedigno:

      https://ADFS/adfs/ls/?wa=wsignout1.0

      Substitua ADFS pelo nome do domínio totalmente qualificado do seu servidor AD FS.

      Adicione um ponto final.

  4. Clique em OK.

  5. Clique em OK para fechar a caixa de diálogo.

Configurar o mapeamento de reivindicações

Depois de o AD FS autenticar um utilizador, emite uma afirmação SAML. Esta afirmação serve como prova de que a autenticação foi realizada com êxito. A declaração tem de identificar quem foi autenticado, que é o objetivo da declaração NameID.

Para permitir que o Início de sessão do Google associe o NameID a um utilizador, o NameID tem de conter o endereço de email principal desse utilizador. Consoante a forma como está a mapear os utilizadores entre o Active Directory e o Cloud Identity ou o Google Workspace, o NameID tem de conter o UPN ou o endereço de email do utilizador do Active Directory, com as substituições de domínio aplicadas conforme necessário.

UPN

  1. Na lista de relações de confiança de terceiros fidedignos, selecione a relação de confiança que acabou de criar e clique em Editar política de emissão de reivindicações.
  2. Clique em Adicionar regra
  3. Na página Escolher tipo de regra do assistente Adicionar regra de reivindicação de transformação, selecione Transformar uma reivindicação recebida e, de seguida, clique em Seguinte.

  4. Na página Configurar regra de reivindicação, configure as seguintes definições:

    • Nome da regra de reivindicação: Name Identifier
    • Tipo de reivindicação recebida: UPN
    • Tipo de reivindicação de saída: ID do nome
    • Formato do ID do nome de saída: email

  5. Selecione Transmitir todos os valores de reivindicação e clique em Concluir.

  6. Clique em OK para fechar a caixa de diálogo da política de emissão de reivindicações.

UPN: substituição de domínio

  1. Na lista de relações de confiança de terceiros fidedignos, selecione a relação de confiança que acabou de criar e clique em Editar política de emissão de reivindicações.
  2. Clique em Adicionar regra
  3. Na página Escolher tipo de regra do assistente Adicionar regra de reivindicação de transformação, selecione Transformar uma reivindicação recebida e, de seguida, clique em Seguinte.

  4. Na página Configurar regra de reivindicação, configure as seguintes definições:

    • Nome da regra de reivindicação: Name Identifier
    • Tipo de reivindicação recebida: UPN
    • Tipo de reivindicação de saída: ID do nome
    • Formato do ID do nome de saída: email

  5. Selecione Substituir o sufixo do email de reivindicação recebido por um novo sufixo de email e configure a seguinte definição:

    • Novo sufixo de email: um nome de domínio usado pela sua conta do Cloud Identity ou do Google Workspace.

  6. Clique em Concluir e, de seguida, clique em OK.

Email

  1. Na lista de relações de confiança de terceiros fidedignos, selecione a relação de confiança que acabou de criar e clique em Editar política de emissão de reivindicações.
  2. Adicione uma regra para procurar o endereço de email:
    1. Na caixa de diálogo, clique em Adicionar regra.
    2. Selecione Enviar atributos LDAP como reivindicações e clique em Seguinte.
    3. Na página seguinte, aplique as seguintes definições:
      1. Nome da regra de reivindicação: Email address
      2. Armazenamento de atributos: Active Directory
    4. Adicione uma linha à lista de mapeamentos de atributos LDAP:
      1. Atributo LDAP: E-Mail-Addresses
      2. Tipo de reivindicação de saída: endereço de email
    5. Clique em Concluir.

  3. Adicione outra regra para definir o NameID:

    1. Clique em Adicionar regra
    2. Na página Escolher tipo de regra do assistente Adicionar regra de reivindicação de transformação, selecione Transformar uma reivindicação recebida e, de seguida, clique em Seguinte.

    3. Na página Configurar regra de reivindicação, configure as seguintes definições:

      • Nome da regra de reivindicação: Name Identifier
      • Tipo de reivindicação recebida: E-Mail-Address
      • Tipo de reivindicação de saída: ID do nome
      • Formato do ID do nome de saída: email

    4. Selecione Transmitir todos os valores de reivindicação e clique em Concluir.

    5. Clique em OK para fechar a caixa de diálogo da política de emissão de reivindicações.

Email: substituição de domínio

  1. Na lista de relações de confiança de terceiros fidedignos, selecione a relação de confiança que acabou de criar e clique em Editar política de emissão de reivindicações.
  2. Adicione uma regra para procurar o endereço de email:
    1. Na caixa de diálogo, clique em Adicionar regra.
    2. Selecione Enviar atributos LDAP como reivindicações e clique em Seguinte.
    3. Na página seguinte, aplique as seguintes definições:
      1. Nome da regra de reivindicação: Email address
      2. Armazenamento de atributos: Active Directory
    4. Adicione uma linha à lista de mapeamentos de atributos LDAP:
      1. Atributo LDAP: E-Mail-Addresses
      2. Tipo de reivindicação de saída: endereço de email
    5. Clique em Concluir.

  3. Adicione outra regra para definir o valor NameID:

    1. Clique em Adicionar regra
    2. Na página Escolher tipo de regra do assistente Adicionar regra de reivindicação de transformação, selecione Transformar uma reivindicação recebida e, de seguida, clique em Seguinte.

    3. Na página Configurar regra de reivindicação, configure as seguintes definições:

      • Nome da regra de reivindicação: Name Identifier
      • Tipo de reivindicação recebida: E-Mail-Address
      • Tipo de reivindicação de saída: ID do nome
      • Formato do ID do nome de saída: email

  4. Selecione Substituir o sufixo do email de reivindicação recebido por um novo sufixo de email e configure a seguinte definição:

    • Novo sufixo de email: um nome de domínio usado pela sua conta do Cloud Identity ou do Google Workspace.

  5. Clique em Concluir e, de seguida, em OK.single-sign-on

Exportar o certificado de assinatura de tokens do AD FS

Depois de o AD FS autenticar um utilizador, transmite uma declaração SAML ao Cloud ID ou ao Google Workspace. Para permitir que o Cloud Identity e o Google Workspace validem a integridade e a autenticidade dessa afirmação, o AD FS assina a afirmação com uma chave de assinatura de tokens especial e fornece um certificado que permite ao Cloud Identity ou ao Google Workspace verificar a assinatura.

Exporte o certificado de assinatura do AD FS fazendo o seguinte:

  1. Na consola de gestão do AD FS, clique em Serviço > Certificados.
  2. Clique com o botão direito do rato no certificado apresentado em Assinatura de tokens e clique em Ver certificado.
  3. Selecione o separador Detalhes.
  4. Clique em Copiar para ficheiro para abrir o assistente de exportação de certificados.
  5. Em Bem-vindo ao assistente de exportação de certificados, clique em Seguinte.
  6. Na página Exportar chave privada, selecione Não, não exportar a chave privada.
  7. Na página Formato do ficheiro de exportação, selecione X.509 codificado em Base-64 (.CER) e clique em Seguinte.
  8. Na página Ficheiro a exportar, indique um nome de ficheiro local e clique em Seguinte.
  9. Clique em Concluir para fechar a caixa de diálogo.
  10. Copie o certificado exportado para o seu computador local.

Conclua o perfil SAML

Use o certificado de assinatura para concluir a configuração do seu perfil SAML:

  1. Regresse à consola do administrador e aceda a Segurança > Autenticação > SSO com IdP de terceiros.

    Aceda a SSO com IdP de terceiros

  2. Abra o perfil SAML AD FS que criou anteriormente.

  3. Clique na secção Detalhes do IDP para editar as definições.

  4. Clique em Carregar certificado e escolha o certificado de assinatura de tokens que exportou do AD FS.

  5. Clique em Guardar.

O seu perfil SAML está concluído, mas ainda tem de o atribuir.

Atribua o perfil SAML

Selecione os utilizadores aos quais o novo perfil SAML deve ser aplicado:

  1. Na consola do administrador, na página SSO com IdPs de terceiros, clique em Gerir atribuições de perfis de SSO > Gerir.

    Aceda a Gerir atribuições de perfis de SSO

  2. No painel do lado esquerdo, selecione o grupo ou a unidade organizacional para os quais quer aplicar o perfil de SSO. Para aplicar o perfil a todos os utilizadores, selecione a unidade organizacional de raiz.

  3. No painel do lado direito, selecione Outro perfil de SSO.

  4. No menu, selecione o AD FS - SAML perfil de SSO que criou anteriormente.

  5. Clique em Guardar.

Repita os passos para atribuir o perfil SAML a outro grupo ou unidade organizacional.

Teste o início de sessão único

Concluiu a configuração do Início de sessão único. Pode verificar se o SSO funciona conforme previsto.

  1. Escolha um utilizador do Active Directory que cumpra os seguintes critérios:

    • O utilizador foi aprovisionado no Cloud ID ou no Google Workspace.

    • O utilizador do Cloud Identity não tem privilégios de superadministrador.

      As contas de utilizador com privilégios de superadministrador têm sempre de iniciar sessão através das credenciais Google, pelo que não são adequadas para testar o início de sessão único.

  2. Abra uma nova janela do navegador e aceda a https://console.cloud.google.com/.

  3. Na página de início de sessão do Google apresentada, introduza o endereço de email do utilizador e clique em Seguinte. Se usar a substituição de domínio, tem de aplicar a substituição ao endereço de email.

    introduza o endereço de email do utilizador

    É feito um redirecionamento para o AD FS. Se configurou o AD FS para usar a autenticação baseada em formulários, é apresentada a página de início de sessão.

  4. Introduza o UPN e a palavra-passe do utilizador do Active Directory e clique em Iniciar sessão.

    Introduza o UPN e a palavra-passe do utilizador do Active Directory.

  5. Após a autenticação bem-sucedida, o AD FS redireciona-o de volta para a Google Cloud consola. Uma vez que esta é a primeira vez que o utilizador inicia sessão, é-lhe pedido que aceite os Termos de Utilização e a Política de Privacidade da Google.

  6. Se concordar com os termos, clique em Aceitar.

  7. É redirecionado para a Google Cloud consola, que lhe pede para confirmar as preferências e aceitar os Google Cloud Termos de Utilização. Se aceitar os termos, clique em Sim e, de seguida, em Aceitar e continuar.

  8. Na parte superior esquerda, clique no ícone do avatar e, de seguida, em Terminar sessão.

    É feito o redirecionamento para uma página do AD FS a confirmar que terminou sessão com êxito.

Se tiver problemas ao iniciar sessão, pode encontrar informações adicionais no registo de administrador do AD FS.

Tenha em atenção que os utilizadores com privilégios de superadministrador estão isentos do início de sessão único, pelo que pode continuar a usar a consola do administrador para validar ou alterar as definições.

Opcional: configure redirecionamentos para URLs de serviço específicos do domínio

Quando cria uma associação à Google Cloud consola a partir de portais ou documentos internos, pode melhorar a experiência do utilizador através de URLs de serviços específicos do domínio.

Ao contrário dos URLs de serviço normais, como https://console.cloud.google.com/, os URLs de serviço específicos do domínio incluem o nome do seu domínio principal. Os utilizadores não autenticados que clicam num link para um URL de serviço específico do domínio são imediatamente redirecionados para o AD FS, em vez de lhes ser apresentada primeiro uma página de início de sessão do Google.

Seguem-se alguns exemplos de URLs de serviço específicos do domínio:

Serviço Google URL Logótipo
Google Cloud consola https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ Logótipo do Google Cloud
Google Docs https://docs.google.com/a/DOMAIN Logótipo do Google Docs
Google Sheets https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/ Logótipo do Google Sheets
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ Logótipo do Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logótipo do Google Drive
Gmail https://mail.google.com/a/DOMAIN Logótipo do Gmail
Grupos do Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ Logótipo do Grupos do Google
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/ Logótipo do Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ Logótipo do Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logótipo do YouTube

Para configurar URLs de serviço específicos do domínio para que sejam redirecionados para o AD FS, faça o seguinte:

  1. Na consola do administrador, na página SSO com IdPs de terceiros, clique em URLs de serviço específicos do domínio > Editar.

    Aceda aos URLs de serviço específicos do domínio

  2. Defina a opção Redirecione automaticamente os utilizadores para o IdP de terceiros no seguinte perfil de SSO como ativada.

  3. Defina o perfil de SSO como AD FS.

  4. Clique em Guardar.

Opcional: configure desafios de início de sessão

O início de sessão na Google pode pedir aos utilizadores uma validação adicional quando iniciam sessão a partir de dispositivos desconhecidos ou quando a respetiva tentativa de início de sessão parece suspeita por outros motivos. Estes desafios de início de sessão ajudam a melhorar a segurança e recomendamos que os deixe ativados.

Se considerar que os desafios de início de sessão causam demasiados inconvenientes, pode desativá-los da seguinte forma:

  1. Na consola do administrador, aceda a Segurança > Autenticação > Desafios de início de sessão.
  2. No painel do lado esquerdo, selecione uma unidade organizacional para a qual quer desativar os desafios de início de sessão. Para desativar os desafios de início de sessão para todos os utilizadores, selecione a unidade organizacional de raiz.
  3. Em Definições para utilizadores que iniciam sessão com outros perfis de SSO, selecione Não pedir validações adicionais da Google aos utilizadores.
  4. Clique em Guardar.