Questo articolo spiega come configurare Single Sign-On tra Active Directory e il tuo account Cloud Identity o Google Workspace utilizzando Microsoft Servizi federazione di Active Directory (AD FS) e Federazione SAML.
L'articolo presuppone che tu abbia compreso come la gestione delle identità di Active Directory può essere estesa a Google Cloud e hanno già il provisioning degli utenti configurato. L'articolo presuppone inoltre che tu disponga di un server AD FS 4.0 funzionante in esecuzione su Windows Server 2016 o una versione successiva di Windows Server.
Per seguire questa guida, devi conoscere i servizi di dominio Active Directory AD FS è obbligatorio. Devi anche avere un utente in Cloud Identity Google Workspace con super amministratore privilegi e un utente in Active Directory che dispone dell'accesso amministrativo a sul tuo server AD FS.
Obiettivi
- Configura il server AD FS in modo che Cloud Identity o Google Workspace può usarlo come provider di identità.
- Crea un criterio di emissione delle attestazioni che corrisponda alle identità dei gruppi attivi e Cloud Identity o Google Workspace.
- Configura il tuo account Cloud Identity o Google Workspace in modo che che delega l'autenticazione ad AD FS.
Costi
Se utilizzi versione gratuita di Cloud Identity, seguire questo articolo non utilizzerà alcun componente fatturabile di in Google Cloud.
Prima di iniziare
- Verifica che il server AD FS esegua Windows Server 2016 o versioni successive. Mentre puoi configurare il servizio Single Sign-On utilizzando le versioni precedenti di Windows, Server e ADFS, i passaggi di configurazione necessari potrebbero essere diversi come spiegato in questo articolo.
- Assicurati di aver compreso come la gestione delle identità di Active Directory può essere estesa a Google Cloud.
- Configura il provisioning degli utenti tra Active Directory e Cloud Identity o Google Workspace.
- Potresti impostare AD FS in una configurazione di server farm per per evitare che diventi un single point of failure. Dopo aver abilitato le singole l'accesso, la disponibilità di AD FS determina se gli utenti possono accedere alla console Google Cloud.
Informazioni sul Single Sign-On
Utilizzando Google Cloud Directory Sync hai già automatizzato la creazione e la gestione degli utenti ha associato il proprio ciclo di vita agli utenti in Active Directory.
Sebbene GCDS esegua il provisioning dei dettagli degli account utente, sincronizzare le password. Ogni volta che un utente deve autenticarsi in Google Cloud, l'autenticazione deve essere delegata nuovamente ad Attiva Directory, che viene eseguita utilizzando AD FS e il markup dell'asserzione di sicurezza. protocollo SAML. Questa configurazione garantisce che solo Active Directory abbia l'accesso alle credenziali utente e applica eventuali criteri esistenti o meccanismi di autenticazione a più fattori (MFA). Inoltre, stabilisce Single Sign-On tra il tuo ambiente on-premise e Google.
Per ulteriori dettagli sul Single Sign-On, vedi Single Sign-On
Crea un profilo SAML
Per configurare il servizio Single Sign-On con AD FS, devi prima creare un profilo SAML nel tuo un account Cloud Identity o Google Workspace. Il profilo SAML contiene le impostazioni relative all'istanza AD FS, inclusi l'URL e di firma del certificato.
Successivamente, assegna il profilo SAML a determinati gruppi o unità organizzative.
Per creare un nuovo profilo SAML in Cloud Identity o Google Workspace account, procedi nel seguente modo:
Nella Console di amministrazione, vai a SSO con IdP di terze parti.
Fai clic su Profili SSO di terze parti > Aggiungi profilo SAML.
Nella pagina SAML SSO profile (Profilo SSO SAML), inserisci le seguenti impostazioni:
- Nome:
AD FS
ID entità IdP:
https://ADFS/adfs/services/trust
URL della pagina di accesso:
https://ADFS/adfs/ls/
URL della pagina di uscita:
https://ADFS/adfs/ls/?wa=wsignout1.0
URL per la modifica della password:
https://ADFS/adfs/portal/updatepassword/
In tutti gli URL, sostituisci
ADFS
con il valore completo del tuo server AD FS.Non caricare ancora un certificato di verifica.
- Nome:
Fai clic su Salva.
La pagina Profilo SSO SAML visualizzata contiene due URL:
- ID entità
- URL ACS
Questi URL saranno necessari nella sezione successiva quando configuri AD FS.
Configurare AD FS
Per configurare il server AD FS devi creare un'attendibilità del componente.
Creazione dell'attendibilità del componente
Crea una nuova attendibilità del componente:
- Connettiti al server AD FS e apri lo snapshot MMC Gestione AD FS.
- Seleziona AD FS > Trust del componente di base.
- Nel riquadro Azioni, fai clic su Aggiungi attendibilità del componente.
- Nella pagina Benvenuto della procedura guidata, seleziona Rivendicazioni a conoscenza e fai clic su Inizia.
- Nella pagina Seleziona origine dati, scegli Inserisci manualmente i dati sulla parte di base e fai clic su Avanti.
- Nella pagina Specifica nome visualizzato, inserisci un nome, ad esempio
Google Cloud
e fai clic su Avanti. - Nella pagina Configura certificato, fai clic su Avanti.
Nella pagina Configura URL, seleziona Attiva il supporto per il protocollo WebSSO SAML 2.0 e inserisci l'URL ACS dal tuo profilo SAML. Quindi, fai clic su Avanti.
Nella pagina Configura identificatori, aggiungi l'ID entità dal tuo Profilo SAML.
Quindi, fai clic su Next.
Nella pagina Scegli il criterio di controllo dell'accesso, scegli un criterio di accesso appropriato e fai clic su Avanti.
Nella pagina Pronto per aggiungere fiducia, controlla le impostazioni e fai clic su Avanti.
Nell'ultima pagina, deseleziona Configura le norme per l'emissione delle rivendicazioni e chiudi la procedura guidata.
Nell'elenco dei trust del componente, vedrai una nuova voce.
Configurazione dell'URL di disconnessione
Se permetti agli utenti di utilizzare il Single Sign-On per più applicazioni, è importante consentire la disconnessione da più applicazioni:
- Apri l'attendibilità del componente che hai appena creato.
- Seleziona la scheda Endpoint.
Fai clic su Add SAML (Aggiungi SAML) e configura le seguenti impostazioni:
- Tipo di endpoint: Disconnessione SAML
- Associazione: POST
URL attendibile:
https://ADFS/adfs/ls/?wa=wsignout1.0
Sostituisci
ADFS
con il dominio completo del tuo server AD FS.
Fai clic su OK.
Fai clic su OK per chiudere la finestra di dialogo.
Configurare la mappatura delle attestazioni
Dopo che AD FS ha autenticato un utente, emette un'asserzione SAML.
Questa asserzione serve a dimostrare che l'autenticazione ha
sia eseguita correttamente. L'asserzione deve identificare chi è stato
autenticati, ovvero lo scopo
Rivendicazione NameID
.
Per consentire ad Accedi con Google di associare NameID
a un utente, NameID
Deve contenere l'indirizzo email principale dell'utente. In base a come stai
di mappatura degli utenti
tra Active Directory e Cloud Identity o Google Workspace,
NameID
deve contenere il codice UPN o l'indirizzo email di Active Directory
dell'utente, applicando le sostituzioni del dominio in base alle esigenze.
UPN
- Nell'elenco dei trust della parte coinvolta, seleziona quella che creata e fai clic su Modifica norma di emissione della rivendicazione.
- Fai clic su Aggiungi regola.
- Nella pagina Scegli il tipo di regola della procedura guidata Aggiungi regola di attestazione della trasformazione, Seleziona Trasforma una richiesta in arrivo, quindi fai clic su Avanti.
Nella pagina Configura regola di rivendicazione, configura le seguenti impostazioni:
- Nome regola rivendicazione:
Name Identifier
- Tipo di reclamo in arrivo: UPN
- Tipo di attestazione in uscita: ID nome
- Formato ID nome in uscita: Email
- Nome regola rivendicazione:
Seleziona Trasmetti tutti i valori delle rivendicazioni e fai clic su Fine.
Fai clic su OK per chiudere la finestra di dialogo della norma di emissione della rivendicazione.
UPN: sostituzione del dominio
- Nell'elenco dei trust della parte coinvolta, seleziona quella che creata e fai clic su Modifica norma di emissione della rivendicazione.
- Fai clic su Aggiungi regola.
- Nella pagina Scegli il tipo di regola della procedura guidata Aggiungi regola di attestazione della trasformazione, Seleziona Trasforma una richiesta in arrivo, quindi fai clic su Avanti.
Nella pagina Configura regola di rivendicazione, configura le seguenti impostazioni:
- Nome regola rivendicazione:
Name Identifier
- Tipo di reclamo in arrivo: UPN
- Tipo di attestazione in uscita: ID nome
- Formato ID nome in uscita: Email
- Nome regola rivendicazione:
Seleziona Sostituisci il suffisso email della richiesta in arrivo con un nuovo suffisso dell'email e configura la seguente impostazione:
- Nuovo suffisso email: un nome di dominio utilizzato da Cloud Identity Google Workspace o Google Workspace.
Fai clic su Fine, quindi su OK.
- Nell'elenco dei trust della parte coinvolta, seleziona quella che creata e fai clic su Modifica norma di emissione della rivendicazione.
- Aggiungi una regola per cercare l'indirizzo email:
- Nella finestra di dialogo, fai clic su Aggiungi regola.
- Seleziona Send LDAP Attributes as Claims (Invia attributi LDAP come attestazioni) e fai clic su Next (Avanti).
- Nella pagina successiva, applica le seguenti impostazioni:
- Nome regola rivendicazione:
Email address
- Archivio attributi: Active Directory
- Nome regola rivendicazione:
- Aggiungi una riga all'elenco delle mappature degli attributi LDAP:
- LDAP Attribute (Attributo LDAP): Indirizzi e-mail
- Tipo di attestazione in uscita: Indirizzo email
- Fai clic su Fine.
Aggiungi un'altra regola per impostare
NameID
:- Fai clic su Aggiungi regola.
- Nella pagina Scegli il tipo di regola della procedura guidata Aggiungi regola di attestazione della trasformazione, Seleziona Trasforma una richiesta in arrivo, quindi fai clic su Avanti.
Nella pagina Configura regola di rivendicazione, configura le seguenti impostazioni:
- Nome regola rivendicazione:
Name Identifier
- Tipo di attestazione in entrata: Indirizzo email
- Tipo di attestazione in uscita: ID nome
- Formato ID nome in uscita: Email
- Nome regola rivendicazione:
Seleziona Trasmetti tutti i valori delle rivendicazioni e fai clic su Fine.
Fai clic su OK per chiudere la finestra di dialogo della norma di emissione della rivendicazione.
Email: sostituzione del dominio
- Nell'elenco dei trust della parte coinvolta, seleziona quella che creata e fai clic su Modifica norma di emissione della rivendicazione.
- Aggiungi una regola per cercare l'indirizzo email:
- Nella finestra di dialogo, fai clic su Aggiungi regola.
- Seleziona Send LDAP Attributes as Claims (Invia attributi LDAP come attestazioni) e fai clic su Next (Avanti).
- Nella pagina successiva, applica le seguenti impostazioni:
- Nome regola rivendicazione:
Email address
- Archivio attributi: Active Directory
- Nome regola rivendicazione:
- Aggiungi una riga all'elenco delle mappature degli attributi LDAP:
- LDAP Attribute (Attributo LDAP): Indirizzi e-mail
- Tipo di attestazione in uscita: Indirizzo email
- Fai clic su Fine.
Aggiungi un'altra regola per impostare il valore
NameID
:- Fai clic su Aggiungi regola.
- Nella pagina Scegli il tipo di regola della procedura guidata Aggiungi regola di attestazione della trasformazione, Seleziona Trasforma una richiesta in arrivo, quindi fai clic su Avanti.
Nella pagina Configura regola di rivendicazione, configura le seguenti impostazioni:
- Nome regola rivendicazione:
Name Identifier
- Tipo di attestazione in entrata: Indirizzo email
- Tipo di attestazione in uscita: ID nome
- Formato ID nome in uscita: Email
- Nome regola rivendicazione:
Seleziona Sostituisci il suffisso email della richiesta in arrivo con un nuovo suffisso dell'email e configura la seguente impostazione:
- Nuovo suffisso email: un nome di dominio utilizzato da Cloud Identity Google Workspace o Google Workspace.
Fai clic su Fine e poi su OK.single-sign-on.
Esportazione del certificato di firma del token di AD FS
Dopo che AD FS ha autenticato un utente, passa un'asserzione SAML a Cloud Identity o Google Workspace. Per attivare Cloud Identity e Google Workspace per verificare l'integrità l'autenticità di tale asserzione, AD FS la firma con uno speciale di firma del token e fornisce un certificato che abilita Cloud Identity o Google Workspace per controllare la firma.
Esporta il certificato di firma da AD FS nel seguente modo:
- Nella console di gestione AD FS, fai clic su Servizio > certificati.
- Fai clic con il pulsante destro del mouse sul certificato elencato sotto Firma di token. Fai clic su Visualizza certificato.
- Seleziona la scheda Dettagli.
- Fai clic su Copia su file per aprire l'esportazione guidata dei certificati.
- In Ti diamo il benvenuto nella procedura guidata di esportazione dei certificati, fai clic su Avanti.
- Nella pagina Esporta chiave privata, seleziona No, non esportare la chiave privata.
- Nella pagina Formato file per l'esportazione, seleziona X.509 (.CER) con codifica Base-64 e fai clic su Avanti.
- Nella pagina File da esportare, fornisci un nome file locale e fai clic su Avanti.
- Fai clic su Fine per chiudere la finestra di dialogo.
- Copia il certificato esportato sul tuo computer locale.
Completa il profilo SAML
Utilizzi il certificato di firma per completare la configurazione del tuo SAML profilo:
Torna alla Console di amministrazione e vai a Sicurezza > Autenticazione > tramite SSO con IdP di terze parti.
Apri il profilo SAML
AD FS
che hai creato in precedenza.Fai clic sulla sezione Dettagli IdP per modificare le impostazioni.
Fai clic su Carica certificato e scegli il certificato di firma del token che esportate da AD FS.
Fai clic su Salva.
Il tuo profilo SAML è completo, ma devi ancora assegnarlo.
Assegna il profilo SAML
Seleziona gli utenti a cui deve essere applicato il nuovo profilo SAML:
Nella pagina SSO con IdP di terze parti della Console di amministrazione, fai clic su Gestisci assegnazioni profilo SSO > Gestisci.
Nel riquadro a sinistra, seleziona il gruppo o l'unità organizzativa per cui vuoi applicare il profilo SSO. Per applicare il profilo a tutti gli utenti, seleziona nell'unità organizzativa principale.
Nel riquadro a destra, seleziona Un altro profilo SSO.
Nel menu, seleziona il profilo SSO
AD FS - SAML
che hai creato in precedenza.Fai clic su Salva.
Ripeti i passaggi per assegnare il profilo SAML a un altro gruppo o a un'altra unità organizzativa.
Prova il Single Sign-On
Hai completato la configurazione del Single Sign-On. Puoi controllare se il servizio SSO funziona come previsto.
Scegli un utente di Active Directory che soddisfi i seguenti criteri:
- È stato eseguito il provisioning dell'utente in Cloud Identity o Google Workspace.
L'utente di Cloud Identity non dispone dei privilegi di super amministratore.
Gli account utente con privilegi di super amministratore devono sempre accedere usando le credenziali Google, perciò non sono adatte per il test di singoli l'accesso.
Apri una nuova finestra del browser e vai a https://console.cloud.google.com/.
Nella pagina Accedi con Google che viene visualizzata, inserisci l'indirizzo email utente e fai clic su Avanti. Se utilizzi la sostituzione del dominio, devi applicare la sostituzione all'indirizzo email.
Si aprirà la pagina di AD FS. Se hai configurato AD FS per utilizzare autenticazione basata su moduli, viene visualizzata la pagina di accesso.
Inserisci il tuo UPN e la password per l'utente di Active Directory e fai clic su Accedi.
Dopo l'autenticazione, AD FS ti reindirizza al nella console Google Cloud. Poiché questo è il primo accesso dell'utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.
Se accetti i termini, fai clic su Accetta.
Si aprirà la console Google Cloud, dove ti verrà chiesto di confermare le preferenze e accettare i Termini di servizio di Google Cloud. Se accetta i termini, fai clic su Sì e poi su Accetta e continua.
In alto a sinistra, fai clic sull'icona dell'avatar e poi su Esci.
Viene visualizzata una pagina di AD FS a conferma del fatto che sei stato disconnesso correttamente.
Se hai problemi di accesso, potresti trovare ulteriori informazioni nella Log di amministrazione AD FS.
Tieni presente che gli utenti con privilegi di super amministratore sono esenti dal Single Sign-On, quindi potrai comunque utilizzare la Console di amministrazione per la verifica o la modifica impostazioni.
(Facoltativo) Configura i reindirizzamenti per gli URL dei servizi specifici del dominio
Quando colleghi la console Google Cloud da documenti o portali interni, puoi migliorare l'esperienza utente usando URL di servizio specifici del dominio.
A differenza dei normali URL di servizio come https://console.cloud.google.com/
,
gli URL di servizi specifici del dominio includono il nome del dominio principale. Non autenticato
gli utenti che fanno clic su un link all'URL di un servizio specifico del dominio vengono reindirizzati immediatamente
ad AD FS anziché visualizzare prima una pagina di accesso a Google.
Ecco alcuni esempi di URL di servizi specifici del dominio:
Servizio Google | URL | Logo |
---|---|---|
Console Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
![]() |
Documenti Google | https://docs.google.com/a/DOMAIN |
![]() |
Fogli Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
![]() |
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
![]() |
Google Drive | https://drive.google.com/a/DOMAIN |
![]() |
Gmail | https://mail.google.com/a/DOMAIN |
![]() |
Google Gruppi | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
![]() |
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
![]() |
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
![]() |
Per configurare URL di servizio specifici del dominio in modo che reindirizzino ad AD FS, procedi le seguenti:
Nella pagina SSO con IdP di terze parti della Console di amministrazione, Fai clic su URL dei servizi specifici del dominio > Modifica.
Imposta Reindirizza automaticamente gli utenti all'IdP di terze parti nel profilo SSO seguente su attivato.
Imposta Profilo SSO su
AD FS
.Fai clic su Salva.
(Facoltativo) Configurare le verifiche dell'accesso
Accedi con Google potrebbe chiedere agli utenti di eseguire ulteriori verifiche quando accedono da dispositivi sconosciuti o quando il loro tentativo di accesso sembra sospetto per altri motivi. Queste verifiche dell'accesso contribuiscono a migliorare la sicurezza e ti consigliamo lasciare attive le verifiche dell'accesso.
Se ritieni che le verifiche dell'accesso siano troppo complesse, puoi disattivare delle verifiche dell'accesso nel seguente modo:
- Nella Console di amministrazione, vai a Sicurezza > Autenticazione > Verifiche dell'accesso.
- Nel riquadro a sinistra, seleziona un'unità organizzativa per la quale vuoi disabilitare le verifiche dell'accesso. Per disattivare le verifiche dell'accesso per tutti gli utenti, seleziona nell'unità organizzativa principale.
- In Impostazioni per gli utenti che eseguono l'accesso con altri profili SSO, seleziona Non chiedere agli utenti ulteriori verifiche da parte di Google.
- Fai clic su Salva.
Esegui la pulizia
Se non intendi mantenere abilitato il Single Sign-On per la tua organizzazione, segui questi passaggi per disattivare il Single Sign-On in Cloud Identity Google Workspace
Nella Console di amministrazione, vai a Gestire le assegnazioni dei profili SSO.
Per ogni assegnazione del profilo, procedi nel seguente modo:
- Apri il profilo.
- Se viene visualizzato il pulsante Eredita, fai clic su Eredita. Se non vedi Un pulsante Eredita, seleziona Nessuno e fai clic su Salva.
Torna alla pagina SSO con IdP di terze parti e apri AD FS. Profilo SAML.
Fai clic su Elimina.
Per eseguire la pulizia della configurazione in AD FS, segui questi passaggi:
- Connettiti al server AD FS e apri lo snapshot MMC di AD FS.
- Nel menu a sinistra, fai clic con il pulsante destro del mouse sulla cartella Attendibilità componente.
- Nell'elenco dei trust della parte coinvolta, fai clic con il tasto destro del mouse l'attendibilità del componente che hai creato e fai clic su Elimina.
- Conferma l'eliminazione facendo clic su Sì.
Passaggi successivi
- Scopri di più sulla federazione di Google Cloud con Active Directory.
- Scopri di più sul provisioning degli utenti B2B di Azure Active Directory e il Single Sign-On.
- Informazioni best practice per la pianificazione di account e organizzazioni e best practice per la federazione di Google Cloud con un provider di identità esterno.
- Scopri i nostri best practice per la gestione degli utenti super amministratori.