Active Directory 单点登录

了解单点登录

通过使用 Google Cloud Directory Sync，您可以自动创建和维护用户，并将其生命周期与 Active Directory 中的用户相关联。

虽然 Google Cloud Directory Sync 会预配用户账号详细信息，但不会同步密码。每当用户需要在 Google Cloud 中进行身份验证时，必须使用 AD FS 和安全断言标记语言 (SAML) 协议将身份验证委派回 Active Directory。此设置可确保只有 Active Directory 可以访问用户凭据，并且会强制实施任何现有的政策或多因素身份验证 (MFA) 机制。此外，它还会在您的本地环境与 Google 之间建立单点登录体验。

如需详细了解单点登录，请参阅单点登录

配置 AD FS

在 Cloud Identity 或 Google Workspace 中启用单点登录之前，您必须先配置 AD FS。

创建信赖方信任

创建新的信赖方信任：

1. 登录 AD FS 服务器并打开 AD FS Management MMC 管理单元。
2. 选择 AD FS > Relying Party Trusts。
3. 在 Actions 窗格上，点击 Add trusting party trust。
4. 在向导的 Welcome 页面上，选择 Claims aware，然后点击 Start。
5. 在 Select data source 页面上，选择 Enter data about the relying party manually，然后点击 Next。
6. 在 Specify display name 页面上，输入名称（例如 Google Cloud），然后点击 Next。
7. 在 Configure certificate 页面上，点击 Next。

8. 在 Configure URL 页面上，选择 Enable support for the SAML 2.0 WebSSO protocol，然后输入下列 SSO 服务网址：

   https://www.google.com/a/DOMAIN/acs

   将 DOMAIN 替换为 Cloud Identity 或 Google Workspace 账号的主域名，然后点击 Next。

   

9. 在 Configure identifiers 页面上，添加以下两个标识符：

   • google.com/a/DOMAIN，将 DOMAIN 替换为 Cloud Identity 或 Google Workspace 账号的主域名。
   • google.com

   然后点击 Next。

   

10. 在 Choose access control policy 页面上，选择适当的访问权限政策，然后点击 Next。

11. 在 Ready to Add Trust 页面上，查看您的设置，然后点击 Next。

12. 在最后一页上，清除 Configure claims issuance policy 复选框并关闭向导。

    在依赖方信任列表中，您现在会看到新条目。

配置退出登录网址

如果您要让用户可以跨多个应用使用单点登录，请务必允许他们跨多个应用退出登录：

1. 在 AD FS 管理控制台的 Relying Party Trusts 下方，右键点击刚创建的信任，然后点击 Properties。
2. 在 Endpoints 标签页上，点击 Add SAML。

3. 在 Add an Endpoint 对话框中，配置以下设置：

   1. Endpoint type：SAML Logout
   2. Binding：POST

   3. Trusted URL：https://ADFS/adfs/ls/?wa=wsignout1.0

      将 ADFS 替换为 AD FS 服务器的完全限定域名。

      

4. 点击 OK。

5. 点击 OK 以关闭对话框。

配置声明映射

AD FS 在验证用户身份后，会发出 SAML 断言。 此断言会用作已成功进行身份验证的证据。该断言必须标识出已验证身份的用户，这是 NameID 声明的目的。

要启用 Google 登录，以便将 NameID 与用户相关联，NameID 必须包含该用户的主电子邮件地址。根据您在 Active Directory 与 Cloud Identity 或 Google Workspace 之间映射用户的方式，NameID 必须包含 Active Directory 用户的 UPN 或电子邮件地址，并根据需要应用网域替换。

导出 AD FS 令牌签名证书

AD FS 在验证用户身份后，会将 SAML 断言传递给 Cloud Identity 或 Google Workspace。为了使 Cloud Identity 和 Google Workspace 能够验证该断言的完整性和真实性，AD FS 使用特殊的令牌签名密钥为断言签名，并提供使 Cloud Identity 或 Google Workspace 能够检查签名的证书。

现在，您需要从 AD FS 中导出签名证书：

1. 在 AD FS 管理控制台中，点击 Service > Certificates。
2. 右键点击 Token-signing 下方列出的证书，然后点击 View Certificate。
3. 选择 Details 标签页。
4. 点击 Copy to File 以打开“证书导出向导”。
5. 在 Welcome to the certificate export wizard 上，点击 Next。
6. 在 Export private key 页面上，选择 No, do not export the private key。
7. 在 Export file format 页面上，选择 Base-64 encoded X.509 (.CER)，然后点击 Next。
8. 在 File to export 页面上，提供本地文件名，然后点击 Next。
9. 点击 Finish 以关闭对话框。
10. 将导出的证书复制到本地计算机。

配置 Cloud Identity 或 Google Workspace 账号

完成 AD FS 配置后，您现在可以在 Cloud Identity 或 Google Workspace 账号中配置单点登录了：

1. 打开管理控制台，然后转到使用第三方身份提供商进行单点登录。

   转到“使用第三方身份提供商进行单点登录”

2. 点击添加单点登录配置文件。

3. 将设置采用第三方身份提供商的单点登录设置为已启用。

4. 输入以下设置。在所有网址中，将 ADFS 替换为 AD FS 服务器的完全限定域名：

   1. 登录页面网址：https://ADFS/adfs/ls/
   2. 退出页网址：https://ADFS/adfs/ls/?wa=wsignout1.0
   3. 更改密码网址：https://ADFS/adfs/portal/updatepassword/

5. 在验证证书下，点击上传证书，然后选择先前下载的令牌签名证书。

6. 点击保存。

7. 退出管理控制台。

测试单点登录

您现在已在 AD FS 和 Cloud Identity 或 Google Workspace 中完成单点登录配置。要检查单点登录是否按预期工作，请运行以下测试：

1. 选择先前已预配到 Cloud Identity 或 Google Workspace 且未被分配超级用户权限的 Active Directory 用户。具有超级用户权限的用户必须始终使用 Google 凭据登录，因此这些账号不适合测试单点登录。
2. 打开新的浏览器窗口，然后转到 https://console.cloud.google.com/。

3. 在显示的 Google 登录页面上，输入用户的电子邮件地址，然后点击下一步。如果您使用域名替换，则必须将替换应用于电子邮件地址。

   

   您会被重定向到 AD FS。如果您已将 AD FS 配置为使用基于表单的身份验证，现在会看到登录页面。

4. 输入 Active Directory 用户的 UPN 和密码，然后点击登录。

   

5. 成功进行身份验证后，AD FS 会将您重定向回 Google Identity Platform。由于此用户是首次登录，因此系统会询问您是否接受 Google 服务条款和隐私权政策。

6. 如果您同意这些条款，请点击接受。

7. 您将被重定向到 Google Cloud 控制台，Google Cloud 控制台会要求您确认偏好设置并接受 Google Cloud 服务条款。如果您同意这些条款，请点击是，然后点击同意并继续。

8. 在左上角，点击头像图标，然后点击退出登录。

   然后，您将被重定向到 AD FS 页面，确认您已成功退出登录。

如果您在登录时遇到问题，则可能会在 AD FS 管理日志中找到其他信息。

请注意，具有超级用户权限的用户不必进行单点登录，因此您仍然可以使用管理控制台来验证或更改设置。