Questo articolo spiega come configurare il Single Sign-On tra il tuo ambiente Active Directory e il tuo account Cloud Identity o Google Workspace utilizzando Active Directory Federation Services (AD FS) e SAML Federation di Microsoft.
L'articolo presuppone che tu capisca come la gestione delle identità di Active Directory può essere estesa a Google Cloud e che tu abbia già configurato il provisioning degli utenti. L'articolo presuppone inoltre che tu abbia un server AD FS 4.0 funzionante eseguito su Windows Server 2016 o su una versione successiva di Windows Server.
Per seguire questa guida, è necessaria la conoscenza di Active Directory Domain Services e AD FS. Inoltre, devi disporre di un utente in Cloud Identity o Google Workspace con i privilegi di super amministratore e di un utente in Active Directory con accesso amministrativo al tuo server AD FS.
Obiettivi
- Configura il server AD FS in modo che Cloud Identity o Google Workspace possa utilizzarlo come provider di identità.
- Crea un criterio di emissione dei token che corrisponda alle identità tra Active Directory e Cloud Identity o Google Workspace.
- Configura il tuo account Cloud Identity o Google Workspace in modo che deleghi l'autenticazione ad AD FS.
Costi
Se utilizzi la versione gratuita di Cloud Identity, l'articolo che segue non utilizzerà alcun componente fatturabile di Google Cloud.
Prima di iniziare
- Verifica che il server AD FS esegua Windows Server 2016 o versioni successive. Anche se puoi configurare l'accesso singolo utilizzando versioni precedenti di Windows Server e AD FS, i passaggi di configurazione necessari potrebbero essere diversi da quelli descritti in questo articolo.
- Assicurati di comprendere come la gestione delle identità di Active Directory può essere estesa a Google Cloud.
- Configura il provisioning degli utenti tra Active Directory e Cloud Identity o Google Workspace.
- Valuta la possibilità di configurare AD FS in una configurazione di farm di server per evitare che diventi un singolo punto di errore. Dopo aver attivato l'accesso singolo, la disponibilità di AD FS determina se gli utenti possono accedere alla console Google Cloud.
Informazioni sul Single Sign-On
Se utilizzi Google Cloud Directory Sync, hai già automatizzato la creazione e la gestione degli utenti e hai collegato il loro ciclo di vita agli utenti di Active Directory.
Sebbene GCDS esegui la configurazione dei dettagli dell'account utente, non sincronizza le password. Ogni volta che un utente deve autenticarsi in Google Cloud, l'autenticazione deve essere delegata nuovamente ad Active Directory, utilizzando AD FS e il protocollo Security Assertion Markup Language (SAML). Questa configurazione garantisce che solo Active Directory abbia accesso alle credenziali utente e che vengano applicati eventuali criteri o meccanismi di autenticazione a più fattori esistenti. Inoltre, stabilisce un'esperienza di accesso singolo tra il tuo ambiente on-premise e Google.
Per maggiori dettagli su Single Sign-On, consulta Single Sign-On
Creare un profilo SAML
Per configurare il Single Sign-On con AD FS, devi prima creare un profilo SAML nel tuo account Cloud Identity o Google Workspace. Il profilo SAML contiene le impostazioni relative all'istanza AD FS, tra cui l'URL e il certificato di firma.
Successivamente, assegna il profilo SAML a determinati gruppi o unità organizzative.
Per creare un nuovo profilo SAML nel tuo account Cloud Identity o Google Workspace:
Nella Console di amministrazione, vai a SSO con provider di identità di terze parti.
Fai clic su Profili SSO di terze parti > Aggiungi profilo SAML.
Nella pagina Profilo SSO SAML, inserisci le seguenti impostazioni:
- Nome:
AD FS
ID entità dell'IdP:
https://ADFS/adfs/services/trust
URL pagina di accesso:
https://ADFS/adfs/ls/
URL della pagina di uscita:
https://ADFS/adfs/ls/?wa=wsignout1.0
URL per la modifica della password:
https://ADFS/adfs/portal/updatepassword/
In tutti gli URL, sostituisci
ADFS
con il nome di dominio completo del server AD FS.Non caricare ancora un certificato di verifica.
- Nome:
Fai clic su Salva.
La pagina Profilo SSO SAML visualizzata contiene due URL:
- ID entità
- URL ACS
Questi URL ti serviranno nella sezione successiva quando configuri AD FS.
Configura AD FS
Configura il server AD FS creando un'attendibilità del componente.
Creazione della relazione di attendibilità con il componente attendibile
Crea una nuova attendibilità della terza parte:
- Connettiti al server AD FS e apri lo snap-in MMC Gestione AD FS.
- Seleziona AD FS > Attendibilità componenti.
- Nel riquadro Azioni, fai clic su Aggiungi attendibilità componente.
- Nella pagina Welcome (Ti diamo il benvenuto) della procedura guidata, seleziona Conoscenza delle rivendicazioni e fai clic su Inizia.
- Nella pagina Seleziona un'origine dati, seleziona Inserisci manualmente i dati sulla terza parte attendibile e fai clic su Avanti.
- Nella pagina Specifica il nome visualizzato, inserisci un nome come
Google Cloud
e fai clic su Avanti. - Nella pagina Configura certificato, fai clic su Avanti.
Nella pagina Configura URL, seleziona Abilita il supporto del protocollo WebSSO SAML 2.0 e inserisci l'URL ACS del tuo profilo SAML. Fai quindi clic su Avanti.
Nella pagina Configura identificatori, aggiungi l'ID entità dal tuo profilo SAML.
Quindi, fai clic su Next.
Nella pagina Scegli il criterio di controllo dell'accesso#39;accesso, scegli un criterio di accesso appropriato e fai clic su Avanti.
Nella pagina Ready to Add Trust (Pronto per aggiungere la relazione di attendibilità), controlla le impostazioni e poi fai clic su Avanti.
Nella pagina finale, deseleziona la casella di controllo Configura il criterio di emissione dei reclami e chiudi la procedura guidata.
Nell'elenco delle attendibilità delle parti attendibili viene visualizzata una nuova voce.
Configurazione dell'URL di logout
Quando consenti agli utenti di utilizzare il Single Sign-On in più applicazioni, è importante consentire loro di uscire da più applicazioni:
- Apri la relazione attendibile con la terza parte che hai appena creato.
- Seleziona la scheda Endpoint.
Fai clic su Aggiungi SAML e configura le seguenti impostazioni:
- Tipo di endpoint: SAML Logout
- Associazione: POST
URL attendibile:
https://ADFS/adfs/ls/?wa=wsignout1.0
Sostituisci
ADFS
con il nome di dominio completo del tuo server AD FS.
Fai clic su OK.
Fai clic su OK per chiudere la finestra di dialogo.
Configurazione della mappatura delle rivendicazioni
Dopo aver autenticato un utente, AD FS emette un'affermazione SAML.
Questa asserzione serve come prova che l'autenticazione è avvenuta correttamente. L'affermazione deve identificare chi è stato autenticato, che è lo scopo della rivendicazione NameID
.
Per consentire ad Accedi con Google di associare NameID
a un utente, NameID
deve contenere l'indirizzo email principale dell'utente. A seconda di come esegui il mapping degli utenti tra Active Directory e Cloud Identity o Google Workspace, NameID
deve contenere il nome UPN o l'indirizzo email dell'utente Active Directory, con le sostituzioni del dominio applicate come necessario.
UPN
- Nell'elenco delle relazioni di attendibilità delle parti interessate, seleziona quella che hai appena creato e fai clic su Modifica criteri di emissione dei reclami.
- Fai clic su Aggiungi regola.
- Nella pagina Scegli il tipo di regola della procedura guidata Aggiungi regola di trasformazione della rivendicazione, seleziona Trasforma una rivendicazione in arrivo e poi fai clic su Avanti.
Nella pagina Configura regola di rivendicazione, configura le seguenti impostazioni:
- Nome regola di rivendicazione:
Name Identifier
- Tipo di rivendicazione in entrata: UPN
- Tipo di rivendicazione in uscita: ID nome
- Formato ID nome in uscita: Email
- Nome regola di rivendicazione:
Seleziona Trasmetti tutti i valori della rivendicazione e fai clic su Fine.
Fai clic su OK per chiudere la finestra di dialogo delle norme relative all'emissione dei risarcimenti.
UPN: sostituzione del dominio
- Nell'elenco delle relazioni di attendibilità delle parti interessate, seleziona quella che hai appena creato e fai clic su Modifica criteri di emissione dei reclami.
- Fai clic su Aggiungi regola.
- Nella pagina Scegli il tipo di regola della procedura guidata Aggiungi regola di trasformazione della rivendicazione, seleziona Trasforma una rivendicazione in arrivo e poi fai clic su Avanti.
Nella pagina Configura regola di rivendicazione, configura le seguenti impostazioni:
- Nome regola di rivendicazione:
Name Identifier
- Tipo di rivendicazione in entrata: UPN
- Tipo di rivendicazione in uscita: ID nome
- Formato ID nome in uscita: Email
- Nome regola di rivendicazione:
Seleziona Sostituisci il suffisso email delle richieste in arrivo con un nuovo suffisso email e configura la seguente impostazione:
- Nuovo suffisso email: un nome di dominio utilizzato dal tuo account Cloud Identity o Google Workspace.
Fai clic su Fine e poi su OK.
- Nell'elenco delle relazioni di attendibilità delle parti interessate, seleziona quella che hai appena creato e fai clic su Modifica criteri di emissione dei reclami.
- Aggiungi una regola per cercare l'indirizzo email:
- Nella finestra di dialogo, fai clic su Aggiungi regola.
- Seleziona Invia attributi LDAP come attestazioni e fai clic su Avanti.
- Nella pagina successiva, applica le seguenti impostazioni:
- Nome regola di rivendicazione:
Email address
- Archivio attributi: Active Directory
- Nome regola di rivendicazione:
- Aggiungi una riga all'elenco delle mappature degli attributi LDAP:
- Attributo LDAP: Indirizzi-email
- Tipo di rivendicazione in uscita: E-Mail-Address
- Fai clic su Fine.
Aggiungi un'altra regola per impostare
NameID
:- Fai clic su Aggiungi regola.
- Nella pagina Scegli il tipo di regola della procedura guidata Aggiungi regola di trasformazione della rivendicazione, seleziona Trasforma una rivendicazione in arrivo e poi fai clic su Avanti.
Nella pagina Configura regola di rivendicazione, configura le seguenti impostazioni:
- Nome regola di rivendicazione:
Name Identifier
- Tipo di rivendicazione in entrata: E-Mail-Address
- Tipo di rivendicazione in uscita: ID nome
- Formato ID nome in uscita: Email
- Nome regola di rivendicazione:
Seleziona Trasmetti tutti i valori della rivendicazione e fai clic su Fine.
Fai clic su OK per chiudere la finestra di dialogo delle norme relative all'emissione dei risarcimenti.
Email: sostituzione del dominio
- Nell'elenco delle relazioni di attendibilità delle parti interessate, seleziona quella che hai appena creato e fai clic su Modifica criteri di emissione dei reclami.
- Aggiungi una regola per cercare l'indirizzo email:
- Nella finestra di dialogo, fai clic su Aggiungi regola.
- Seleziona Invia attributi LDAP come attestazioni e fai clic su Avanti.
- Nella pagina successiva, applica le seguenti impostazioni:
- Nome regola di rivendicazione:
Email address
- Archivio attributi: Active Directory
- Nome regola di rivendicazione:
- Aggiungi una riga all'elenco delle mappature degli attributi LDAP:
- Attributo LDAP: Indirizzi-email
- Tipo di rivendicazione in uscita: E-Mail-Address
- Fai clic su Fine.
Aggiungi un'altra regola per impostare il valore
NameID
:- Fai clic su Aggiungi regola.
- Nella pagina Scegli il tipo di regola della procedura guidata Aggiungi regola di trasformazione della rivendicazione, seleziona Trasforma una rivendicazione in arrivo e poi fai clic su Avanti.
Nella pagina Configura regola di rivendicazione, configura le seguenti impostazioni:
- Nome regola di rivendicazione:
Name Identifier
- Tipo di rivendicazione in entrata: E-Mail-Address
- Tipo di rivendicazione in uscita: ID nome
- Formato ID nome in uscita: Email
- Nome regola di rivendicazione:
Seleziona Sostituisci il suffisso email delle richieste in arrivo con un nuovo suffisso email e configura la seguente impostazione:
- Nuovo suffisso email: un nome di dominio utilizzato dal tuo account Cloud Identity o Google Workspace.
Fai clic su Fine e poi su OK.
Esportazione del certificato per la firma dei token AD FS
Dopo aver autenticato un utente, AD FS passa un'affermazione SAML a Cloud Identity o Google Workspace. Per consentire a Cloud Identity e Google Workspace di verificare l'integrità e l'autenticità dell'affermazione, AD FS la firma con una chiave speciale per la firma dei token e fornisce un certificato che consente a Cloud Identity o Google Workspace di controllare la firma.
Esporta il certificato di firma da AD FS nel seguente modo:
- Nella console di gestione AD FS, fai clic su Servizio > Certificati.
- Fai clic con il tasto destro del mouse sul certificato elencato in Firma token e poi su Visualizza certificato.
- Seleziona la scheda Dettagli.
- Fai clic su Copia in file per aprire la procedura guidata per l'esportazione dei certificati.
- Nella pagina Ti diamo il benvenuto nella procedura guidata per l'esportazione dei certificati, fai clic su Avanti.
- Nella pagina Esporta chiave privata, seleziona No, non esportare la chiave privata.
- Nella pagina Formato file di esportazione, seleziona X.509 con codifica Base-64 (.CER) e fai clic su Avanti.
- Nella pagina File da esportare, fornisci un nome file locale e fai clic su Avanti.
- Fai clic su Fine per chiudere la finestra di dialogo.
- Copia il certificato esportato sul tuo computer locale.
Completa il profilo SAML
Utilizza il certificato di firma per completare la configurazione del tuo profilo SAML:
Torna alla Console di amministrazione e vai a Sicurezza > Autenticazione > SSO con IdP di terze parti.
Apri il profilo SAML
AD FS
che hai creato in precedenza.Fai clic sulla sezione Dettagli IdP per modificare le impostazioni.
Fai clic su Carica certificato e scegli il certificato di firma del token che hai esportato da AD FS.
Fai clic su Salva.
Il tuo profilo SAML è completo, ma devi ancora assegnarlo.
Assegna il profilo SAML
Seleziona gli utenti a cui applicare il nuovo profilo SAML:
Nella Console di amministrazione, nella pagina SSO con IdP di terze parti, fai clic su Gestisci assegnazioni di profili SSO > Gestisci.
Nel riquadro a sinistra, seleziona il gruppo o l'unità organizzativa per cui vuoi applicare il profilo SSO. Per applicare il profilo a tutti gli utenti, seleziona l'unità organizzativa principale.
Nel riquadro a destra, seleziona Un altro profilo SSO.
Nel menu, seleziona il profilo SSO
AD FS - SAML
creato in precedenza.Fai clic su Salva.
Ripeti i passaggi per assegnare il profilo SAML a un altro gruppo o a un'altra unità organizzativa.
Testare il Single Sign-On
Hai completato la configurazione di Single Sign-On. Puoi verificare se la funzionalità SSO funziona come previsto.
Scegli un utente Active Directory che soddisfi i seguenti criteri:
- È stato eseguito il provisioning dell'utente in Cloud Identity o Google Workspace.
L'utente Cloud Identity non dispone dei privilegi di super amministratore.
Gli account utente con privilegi di super amministratore devono sempre accedere utilizzando le credenziali Google, pertanto non sono adatti per testare l'accesso singolo.
Apri una nuova finestra del browser e vai all'indirizzo https://console.cloud.google.com/.
Nella pagina di accesso a Google visualizzata, inserisci l'indirizzo email dell'utente e fai clic su Avanti. Se utilizzi la sostituzione del dominio, devi applicarla all'indirizzo email.
Viene visualizzato AD FS. Se hai configurato AD FS per utilizzare l'autenticazione basata su moduli, viene visualizzata la pagina di accesso.
Inserisci il tuo UPN e la password per l'utente Active Directory e fai clic su Accedi.
Dopo l'autenticazione, AD FS ti reindirizza alla console Google Cloud. Poiché si tratta del primo accesso per questo utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.
Se accetti i termini, fai clic su Accetta.
Verrà visualizzata la console Google Cloud, che ti chiede di confermare le preferenze e di accettare i Google Cloud Termini di servizio. Se accetti i termini, fai clic su Sì e poi su Accetta e continua.
In alto a sinistra, fai clic sull'icona dell'avatar e poi su Uscire.
Viene visualizzata una pagina AD FS che conferma la disconnessione.
Se hai difficoltà ad accedere, potresti trovare ulteriori informazioni nel log amministratore AD FS.
Tieni presente che gli utenti con privilegi di super amministratore sono esenti dal Single Sign-On, quindi puoi comunque utilizzare la Console di amministrazione per verificare o modificare le impostazioni.
(Facoltativo) Configura i reindirizzamenti per gli URL di servizio specifici del dominio
Quando esegui il collegamento alla console Google Cloud da portali o documenti interni, puoi migliorare l'esperienza utente utilizzando gli URL di servizio specifici del dominio.
A differenza dei normali URL di servizio come https://console.cloud.google.com/
,
gli URL di servizio specifici del dominio includono il nome del tuo dominio principale. Gli utenti non autenticati che fanno clic su un link a un URL di servizio specifico del dominio vengono reindirizzati immediatamente ad AD FS anziché visualizzare prima una pagina di accesso a Google.
Ecco alcuni esempi di URL di servizio specifici del dominio:
Servizio Google | URL | Logo |
---|---|---|
Console Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Documenti Google | https://docs.google.com/a/DOMAIN |
|
Fogli Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Google Gruppi | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
|
YouTube | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/
|
Per configurare gli URL di servizio specifici del dominio in modo che reindirizzino ad AD FS, svolgi i seguenti passaggi:
Nella Console di amministrazione, nella pagina SSO con IdP di terze parti, fai clic su URL di servizio specifici del dominio > Modifica.
Imposta Reindirizza automaticamente gli utenti all'IdP di terze parti nel profilo SSO seguente su Attivato.
Imposta Profilo SSO su
AD FS
.Fai clic su Salva.
(Facoltativo) Configura le verifiche dell'accesso
L'accesso con Google potrebbe richiedere agli utenti un'ulteriore verifica quando accedono da dispositivi sconosciuti o quando il loro tentativo di accesso sembra sospetto per altri motivi. Queste verifiche dell'accesso contribuiscono a migliorare la sicurezza e ti consigliamo di lasciarle abilitate.
Se ritieni che le verifiche dell'accesso causino troppi disagi, puoi disattivarle nel seguente modo:
- Nella Console di amministrazione, vai a Sicurezza > Autenticazione > Verifiche dell'accesso.
- Nel riquadro a sinistra, seleziona un'unità organizzativa per cui vuoi disattivare le verifiche dell'accesso. Per disattivare le verifiche dell'accesso per tutti gli utenti, seleziona l'unità organizzativa principale.
- In Impostazioni per gli utenti che eseguono l'accesso con altri profili SSO, seleziona Non chiedere agli utenti ulteriori verifiche da parte di Google.
- Fai clic su Salva.
Esegui la pulizia
Se non intendi mantenere abilitato il Single Sign-On per la tua organizzazione, segui questi passaggi per disattivarlo in Cloud Identity o Google Workspace:
Nella Console di amministrazione, vai a Gestisci assegnazioni di profili SSO.
Per ogni assegnazione del profilo:
- Apri il profilo.
- Se vedi un pulsante Eredita, fai clic su Eredita. Se non vedi un pulsante Eredità, seleziona Nessuna e fai clic su Salva.
Torna alla pagina SSO con IdP di terze parti e apri il profilo SAML di AD FS.
Fai clic su Elimina.
Per ripulire la configurazione in AD FS:
- Connettiti al server AD FS e apri lo snap-in MMC AD FS.
- Nel menu a sinistra, fai clic con il tasto destro del mouse sulla cartella Entità attendibili.
- Nell'elenco delle attendibilità della terza parte, fai clic con il tasto destro del mouse sulla attendibilità della terza parte che hai creato e poi su Elimina.
- Conferma l'eliminazione facendo clic su Sì.
Passaggi successivi
- Scopri di più sulla federazione Google Cloud con Active Directory.
- Scopri di più sul provisioning degli utenti B2B di Azure Active Directory e su Single Sign-On.
- Scopri le best practice per la pianificazione di account e organizzazioni e le best practice per la federazione Google Cloud con un provider di identità esterno.
- Consulta le nostre best practice per la gestione degli utenti super amministratori.