Logon único do Active Directory

Last reviewed 2023-02-27 UTC

Este artigo mostra como configurar o Logon único entre o ambiente do Active Directory e a conta do Cloud Identity ou do Google Workspace usando os Serviços de federação do Active Directory (AD FS) da Microsoft e a federação SAML.

O artigo pressupõe que você entenda como o gerenciamento de identidade do Active Directory pode ser estendido ao Google Cloud e já tenha configurado o aprovisionamento de usuários. O artigo também pressupõe que você tenha um servidor AD FS 4.0 em execução no Windows Server 2016 ou uma versão posterior do Windows Server.

Para seguir este guia, é necessário ter conhecimento dos serviços de domínio do Active Directory e do AD FS. Você também precisa de um usuário no Cloud Identity ou do Google Workspace que tenha privilégios de superadministrador e um usuário no Active Directory que tenha acesso administrativo ao servidor do AD FS.

Objetivos

Configure seu servidor AD FS para que o Cloud Identity ou o Google Workspace possa usá-lo como um provedor de identidade.
Crie uma política de emissão de reivindicações que corresponda às identidades entre o Active Directory e o Cloud Identity ou o Google Workspace.
Configure sua conta do Cloud Identity ou do Google Workspace para delegar a autenticação ao AD FS.

Custos

Se você estiver usando a edição gratuita do Cloud Identity, seguir este artigo não usará componentes faturáveis do Google Cloud.

Antes de começar

Verifique se o servidor do AD FS é executado no Windows Server 2016 ou posterior. Embora você também possa configurar o Logon único usando versões anteriores do Windows Server e do AD FS, as etapas de configuração necessárias podem ser diferentes das descritas neste artigo.
Entenda como o gerenciamento de identidade do Active Directory pode ser estendido para o Google Cloud.
Configure o provisionamento de usuários entre o Active Directory e o Cloud Identity ou o Google Workspace.
Defina o AD FS em uma configuração de farm de servidores para evitar que ele se torne um ponto único de falha. Depois de ativar o Logon único, a disponibilidade do AD FS determina se os usuários podem fazer login no Console do Google Cloud.

Noções básicas sobre o logon único

Ao usar o Google Cloud Directory Sync, você já automatizou a criação e a manutenção dos usuários e vinculou o ciclo de vida deles aos usuários no Active Directory.

Embora o Google Cloud Directory Sync forneça detalhes da conta de usuário, ele não sincroniza senhas. Sempre que um usuário precisa se autenticar no Google Cloud, a autenticação precisa ser delegada ao Active Directory, processo realizado usando o AD FS e o protocolo Linguagem de marcação para autorização de segurança (SAML, na sigla em inglês). Essa configuração garante que somente o Active Directory tenha acesso às credenciais do usuário e aplica todas as políticas atuais e mecanismos de autenticação multifator (MFA, na sigla em inglês). Além disso, estabelece uma experiência de logon único entre o ambiente local e o Google.

Para mais detalhes sobre o logon único, consulte Logon único

Como configurar o AD FS

Antes de ativar o Logon único no Cloud Identity ou no Google Workspace, configure o AD FS.

Como criar relying party trust

Crie uma nova relação de confiança com a parte confiável:

Faça login no servidor do AD FS e abra o snap-in do MMC do Gerenciamento de AD FS.
Selecione AD FS > Fundos de confiança confiáveis.
No painel Ações, clique em Adicionar confiança de terceiros confiáveis.
Na primeira página de Boas-vindas do assistente, selecione Claims aware e clique em Start.
Na página Selecionar fonte de dados, selecione Inserir dados sobre a parte confiável manualmente e clique em Próxima.
Na página Especificar nome de exibição, insira um nome como Google Cloud e clique em Avançar.
Na página Configurar certificado, clique em Avançar.
Na página Configurar URL, selecione Enable support for the SAML 2.0 WebSSO protocol e insira o URL do serviço de SSO a seguir:
```
https://www.google.com/a/DOMAIN/acs
```
Substitua DOMAIN pelo domínio principal da sua conta do Cloud Identity ou do Google Workspace e clique em Próxima.
Na página Configurar identificadores, adicione os dois identificadores a seguir:
- google.com/a/DOMAIN, substituindo DOMAIN pelo domínio principal da sua conta do Cloud Identity ou do Google Workspace
- google.com
Depois clique em Next.
Na página Escolher política de controle de acesso, escolha um acesso apropriado e clique em Próxima.
Na página Ready to Add Trust, revise suas configurações e clique em Next.
Na página final, desmarque a caixa de seleção Configure claims issuance policy e feche o assistente.

Na lista de "relying party trusts", agora é possível ver uma nova entrada.

Como configurar o URL de logout

Quando você dá permissão para que os usuários usem o logon único em vários aplicativos, é importante permitir que eles se desconectem de vários aplicativos:

No console de gerenciamento do AD FS, em Relying Party Trusts, clique com o botão direito do mouse no trust que você acabou de criar e clique em Properties.
Na guia Endpoints, clique em Add SAML.
Na caixa de diálogo Add an Endpoint, defina as seguintes configurações:
1. Endpoint type: SAML Logout
2. Vinculação: POST
3. URL de confiança : https://ADFS/adfs/ls/?wa=wsignout1.0
  
  Substitua ADFS pelo nome de domínio totalmente qualificado do servidor do AD FS.
Clique em OK.
Clique em OK para fechar a caixa de diálogo.

Como configurar o mapeamento de declarações

Depois que o AD FS autentica um usuário, ele emite uma declaração SAML. Esta declaração serve como prova do sucesso da autenticação. A declaração precisa identificar quem foi autenticado, que é a finalidade da declaração NameID.

Para ativar o Login do Google para associar o NameID a um usuário, o NameID precisa conter o endereço de e-mail principal desse usuário. Dependendo de como você está mapeando usuários entre o Active Directory e o Cloud Identity ou o Google Workspace, o NameID precisa conter o UPN ou o endereço de e-mail do usuário do Active Directory, com substituições de domínio aplicadas conforme necessário.

UPN

Na lista de relações de confiança com terceira parte confiável, selecione a confiança que você acabou de criar e clique em Editar política de emissão de declarações.
Clique em Adicionar regra.
Na página Escolha o tipo de regra do assistente Adicionar regra de declaração da transformação, selecione Transformar uma reivindicação recebida e clique em Avançar
Na página Configurar regra de declaração, defina as seguintes configurações:
- Nome da regra de reivindicação: Name Identifier.
- Tipo de reivindicação recebida: UPN
- Tipo de declaração de saída: Name ID
- Formato do código de nome de saída: e-mail
Selecione Passar por todos os valores de reivindicação e clique em Concluir.
Clique em OK para fechar a caixa de diálogo da política de emissão de reivindicações.

UPN: substituição de domínio

Na lista de relações de confiança com terceira parte confiável, selecione a confiança que você acabou de criar e clique em Editar política de emissão de declarações.
Clique em Adicionar regra.
Na página Escolha o tipo de regra do assistente Adicionar regra de declaração da transformação, selecione Transformar uma reivindicação recebida e clique em Avançar
Na página Configurar regra de declaração, defina as seguintes configurações:
- Nome da regra de reivindicação: Name Identifier.
- Tipo de reivindicação recebida: UPN
- Tipo de declaração de saída: Name ID
- Formato do código de nome de saída: e-mail
Selecione Substituir o sufixo de e-mail de reivindicação de entrada por um novo sufixo e defina a configuração a seguir:
- Novo sufixo de e-mail: um nome de domínio usado pela sua conta do Cloud Identity ou do Google Workspace.
Clique em Concluir e em OK.

E-mail

Na lista de relações de confiança com terceira parte confiável, selecione a confiança que você acabou de criar e clique em Editar política de emissão de declarações.
Adicione uma regra para procurar o endereço de e-mail:
1. Na caixa de diálogo, clique em Add Rule.
2. Selecione Enviar atributos LDAP como declarações e clique em Próximo.
3. Na próxima página, aplique as configurações a seguir:
  1. Nome da regra de reivindicação: Email address.
  2. Repositório de atributos: Active Directory
4. Adicione uma linha à lista de mapeamentos de atributos LDAP:
  1. LDAP Attribute: E-Mail-Addresses
  2. Tipo de declaração de saída: endereço de e-mail
5. Clique em Concluir.
Adicione outra regra para definir o NameID:
1. Clique em Adicionar regra.
2. Na página Escolha o tipo de regra do assistente Adicionar regra de declaração da transformação, selecione Transformar uma reivindicação recebida e clique em Avançar
3. Na página Configurar regra de declaração, defina as seguintes configurações:
  - Nome da regra de reivindicação: Name Identifier.
  - Tipo de reivindicação de entrada: endereço de e-mail
  - Tipo de declaração de saída: Name ID
  - Formato do código de nome de saída: e-mail
4. Selecione Passar por todos os valores de reivindicação e clique em Concluir.
5. Clique em OK para fechar a caixa de diálogo da política de emissão de reivindicações.

E-mail: substituição de domínio

Na lista de relações de confiança com terceira parte confiável, selecione a confiança que você acabou de criar e clique em Editar política de emissão de declarações.
Adicione uma regra para procurar o endereço de e-mail:
1. Na caixa de diálogo, clique em Add Rule.
2. Selecione Enviar atributos LDAP como declarações e clique em Próximo.
3. Na próxima página, aplique as configurações a seguir:
  1. Nome da regra de reivindicação: Email address.
  2. Repositório de atributos: Active Directory
4. Adicione uma linha à lista de mapeamentos de atributos LDAP:
  1. LDAP Attribute: E-Mail-Addresses
  2. Tipo de declaração de saída: endereço de e-mail
5. Clique em Concluir.
Adicione outra regra para definir o valor NameID:
1. Clique em Adicionar regra.
2. Na página Escolha o tipo de regra do assistente Adicionar regra de declaração da transformação, selecione Transformar uma reivindicação recebida e clique em Avançar
3. Na página Configurar regra de declaração, defina as seguintes configurações:
  - Nome da regra de reivindicação: Name Identifier.
  - Tipo de reivindicação de entrada: endereço de e-mail
  - Tipo de declaração de saída: Name ID
  - Formato do código de nome de saída: e-mail
Selecione Substituir o sufixo de e-mail de reivindicação de entrada por um novo sufixo e defina a configuração a seguir:
- Novo sufixo de e-mail: um nome de domínio usado pela sua conta do Cloud Identity ou do Google Workspace.
Clique em Concluir e em OK.Logon único

Como exportar o certificado de assinatura de tokens do AD FS

Depois que o AD FS autentica um usuário, ele transmite uma declaração SAML para o Cloud Identity ou o Google Workspace. Para permitir que o Cloud Identity e o Google Workspace verifiquem a integridade e a autenticação dessa declaração, o AD FS assina a declaração com uma chave de assinatura de token especial e fornece um certificado que ativa o Cloud Identity ou o Google Workspace para verificar a assinatura.

Agora você exporta o certificado de assinatura do AD FS:

No console de gerenciamento do AD FS, clique em Service > Certificates.
Clique com o botão direito do mouse no certificado listado em Token-signing e clique em View Certificate.
Selecione a guia Detalhes.
Clique em Copy to File para abrir o Certificate Export Wizard.
No Assistente de exportação de certificados, clique em Próxima.
Na página Exportar chave privada, selecione Não exportar a chave privada.
Na página Exportar formato do arquivo, selecione X.509 codificado em Base-64 (.CER) e clique em Próxima.
Na página Arquivo para exportar, forneça um nome de arquivo local e clique em Próxima.
Clique em Concluir para fechar a caixa de diálogo.
Copie o certificado exportado para o computador local.

Como configurar sua conta do Cloud Identity ou do Google Workspace

Com a configuração do AD FS concluída, agora é possível configurar o Logon único na sua conta do Cloud Identity ou do Google Workspace:

Abra o Admin Console e acesse SSO com IdP de terceiros.

Acessar SSO com o IdP de terceiros
Clique em ADICIONAR PERFIL DE SSO.

Observação: não use o botão Adicionar perfil SAML.
Defina Configurar SSO com provedor de identidade de terceiros como ativado.
Insira as configurações a seguir: Substitua ADFS pelo nome de domínio totalmente qualificado do servidor do AD FS em todos os URLs:
1. URL da página de login: https://ADFS/adfs/ls/
2. URL da página de logout: https://ADFS/adfs/ls/?wa=wsignout1.0
3. URL para alteração de senha: https://ADFS/adfs/portal/updatepassword/
Em Certificado de verificação, clique em Fazer upload do certificado e escolha o certificado de assinatura de token salvo anteriormente.
Clique em Save.
Saia do Admin Console.

Como testar o logon único

Você concluiu a configuração do Logon único no AD FS e no Cloud Identity ou no Google Workspace. Para verificar se o logon único está funcionando conforme o esperado, execute o seguinte teste:

Escolha um usuário do Active Directory que tenha sido provisionado anteriormente para o Cloud Identity ou o Google Workspace e que não tenha privilégios de superadministrador atribuídos. Os usuários que têm privilégios de superadministrador precisam sempre fazer login usando as credenciais do Google. Portanto, eles não são adequados para testar o Logon único.
Abra uma nova janela do navegador e acesse https://console.cloud.google.com/.
Na página de login do Google exibida, insira o endereço de e-mail do usuário e clique em Avançar. Se você usar substituição de domínio, será preciso aplicar a substituição ao endereço de e-mail.

Você será redirecionado para o AD FS. Se você configurou o AD FS para usar a autenticação baseada em formulários, verá a página de login.
Digite o UPN e a senha do usuário do Active Directory e clique em Fazer login.
Após realizar a autenticação, o AD FS redireciona você de volta para o Google Identity Platform. Como esse é o primeiro login desse usuário, é solicitado que você aceite os Termos de Serviço e a Política de Privacidade do Google.
Se você concordar, clique em Aceitar.
Você será redirecionado para o Console do Google Cloud, que solicitará a confirmação das preferências e a aceitação dos Termos de Serviço do Google Cloud. Se você concordar, clique em Sim e, em seguida, clique em Concordar e continuar.
No canto superior esquerdo, clique no ícone de avatar e clique em Sair.

Você será redirecionado para uma página do AD FS confirmando que foi desconectado.

Se você estiver com problemas para fazer login, veja outras informações no Registro de administradores do AD FS.

Lembre-se de que os usuários que têm privilégios de superadministrador estão isentos do Logon único. Portanto, você ainda pode usar o Admin Console para verificar ou alterar as configurações.

Limpeza

Se você não pretende manter o Logon único ativado para sua organização, siga estas etapas para desativar o Logon único no Cloud Identity ou no Google Workspace:

No Admin Console, clique em Segurança > Configurações.
Clique em Configurar Logon único (SSO) com um IdP de terceiros.
Desmarque a caixa de seleção Configurar Logon único de provedor de identidade de terceiros.
Clique em Salvar.

Para limpar a configuração no AD FS, siga estas etapas:

Faça login no servidor do AD FS e abra o snap-in do MMC do AD FS.
No menu à esquerda, clique com o botão direito do mouse na pasta Relying Party Trusts.
Na lista de objetos de confiança de terceira parte confiável, clique com o botão direito do mouse em Cloud Identity e depois clique em Excluir.
Confirme a exclusão clicando em Sim.

A seguir

Saiba mais sobre como federar o Google Cloud com o Active Directory.
Saiba mais sobre o provisionamento de usuário do Azure Active Directory B2B e o logon único.
Leia sobre as práticas recomendadas para o planejamento de contas e organizações e as práticas recomendadas para federar o Google Cloud com um provedor de identidade externo.
Conheça nossas práticas recomendadas para gerenciar usuários superadministradores.