Dokumen ini menjelaskan cara mengonfigurasi Cloud Identity atau Google Workspace untuk menggunakan Microsoft Entra ID (sebelumnya Azure AD) sebagai IdP dan sumber identitas.
Dokumen ini membandingkan struktur logis Microsoft Entra ID dengan struktur yang digunakan oleh Cloud Identity dan Google Workspace serta menjelaskan cara memetakan tenant, domain, pengguna, dan grup Microsoft Entra ID.
Menerapkan penggabungan
Google Cloud menggunakan identitas Google untuk autentikasi dan pengelolaan akses. Menyimpan Identitas Google secara manual untuk setiap karyawan dapat menambahkan beban pengelolaan yang tidak diperlukan jika semua karyawan sudah memiliki akun di Microsoft Entra ID. Dengan menggabungkan identitas pengguna antara Google Cloud dan sistem pengelolaan identitas yang sudah ada, Anda dapat mengotomatiskan pengelolaan identitas Google dan mengaitkan siklus prosesnya dengan pengguna yang sudah ada di Microsoft Entra ID.
Menyiapkan penggabungan antara Microsoft Entra ID dan Cloud Identity atau Google Workspace memerlukan dua langkah:
Penyediaan pengguna: Pengguna dan grup yang relevan disinkronkan secara berkala dari Microsoft Entra ID ke Cloud Identity atau Google Workspace. Proses ini memastikan bahwa saat Anda membuat akun pengguna baru di Microsoft Entra ID atau menyinkronkan akun pengguna baru dari Active Directory ke Microsoft Entra ID, akun pengguna baru tersebut juga tersedia di Google Cloud sehingga dapat dirujuk di Google Cloud, bahkan sebelum pengguna yang bersangkutan login untuk pertama kalinya. Proses ini juga memastikan bahwa penghapusan akun pengguna sedang diterapkan.
Penyediaan bekerja dengan satu cara, yang berarti perubahan pada Microsoft Entra ID direplikasi ke Google Cloud, tetapi tidak sebaliknya. Selain itu, penyediaan tidak termasuk sandi.
Single sign-on: Setiap kali pengguna perlu melakukan autentikasi, Google Cloud akan mendelegasikan autentikasi tersebut ke Microsoft Entra ID dengan menggunakan protokol Security Assertion Markup Language (SAML). Terkait dengan konfigurasi Microsoft Entra ID Anda, Microsoft Entra ID dapat melakukan salah satu hal berikut:
- Melakukan autentikasi itu sendiri.
- Menggunakan autentikasi pass-through atau sinkronisasi hash sandi.
- Mendelegasikan autentikasi ke server AD FS lokal.
Cloud Identity atau Google Workspace mendelegasikan autentikasi ke Microsoft Entra ID agar tidak hanya menghindari keharusan menyinkronkan sandi ke Google Cloud, tetapi juga memastikan bahwa semua kebijakan yang berlaku atau mekanisme autentikasi multi-faktor (MFA) yang Anda miliki dikonfigurasi di Microsoft Entra ID atau AD FS diterapkan.
Struktur logis Microsoft Entra ID
Saat menggunakan Azure, Anda dapat menggunakan satu atau beberapa tenant Microsoft Entra ID (yang disebut juga sebagai direktori). Tenant Microsoft Entra ID adalah struktur tingkat atas. Tenant dianggap sebagai batas administratif dan berfungsi sebagai penampung untuk pengguna, grup, serta grup resource dan beberapa resource lainnya.
Setiap tenant Microsoft Entra ID memiliki setidaknya satu domain DNS yang dikaitkan dengannya. Domain DNS
ini tercermin dalam nama pengguna (yang disebut juga sebagai Nama Utama Pengguna atau
UPN), yang berbentuk name@domain
,
di mana domain
ini adalah salah satu domain DNS yang terkait dengan
tenant yang sesuai.
Perusahaan dapat mengelola beberapa tenant Microsoft Entra ID. Alasan umumnya adalah untuk memiliki beberapa tenant, termasuk membedakan antara berbagai bagian organisasi, memisahkan resource produksi dari resource pengembangan dan pengujian, serta menggunakan tenant terpisah untuk mengintegrasikan beberapa forest dari Active Directory lokal.
Struktur logis Google Cloud
Di Google Cloud, organisasi berfungsi sebagai container untuk semua resource dan dapat dikelompokkan lebih lanjut dengan menggunakan folder dan project. Namun, kecuali untuk akun layanan, organisasi tidak digunakan untuk mengelola pengguna dan grup, sehingga organisasi berbeda dari tenant Microsoft Entra ID.
Untuk mengelola pengguna dan grup, Google Cloud mengandalkan Cloud Identity atau Google Workspace. Akun Cloud Identity atau Google Workspace berfungsi sebagai direktori pribadi untuk pengguna dan grup. Sebagai administrator akun, Anda dapat mengontrol siklus proses dan konfigurasi pengguna dan grup serta menentukan cara melakukan autentikasi.
Saat Anda membuat akun Cloud Identity atau Google Workspace, organisasi Google Cloud akan otomatis dibuat untuk Anda. Akun Cloud Identity atau Google Workspace dan organisasi Google Cloud yang terkait dengannya memiliki nama yang sama dan terikat satu sama lain. Namun, organisasi Google Cloud diizinkan untuk mereferensikan pengguna dan grup dari akun Cloud Identity atau Google Workspace lain.
Mengintegrasikan Microsoft Entra ID dan Google Cloud
Terlepas dari adanya kesamaan antara struktur logis Microsoft Entra ID dan Google Cloud, tidak ada pemetaan tunggal di antara dua struktur yang berfungsi dengan baik di semua skenario. Sebaliknya, pendekatan yang tepat untuk mengintegrasikan dua sistem dan memetakan struktur bergantung pada beberapa faktor:
- Cara memetakan tenant Microsoft Entra ID ke akun Cloud Identity atau akun Google Workspace
- Cara memetakan domain DNS
- Cara memetakan pengguna
- Cara memetakan grup
Bagian berikut membahas masing-masing faktor.
Google Cloud hanya berinteraksi dengan Microsoft Entra ID, bukan dengan Active Directory lokal. Jadi, cara Anda memetakan forest dan domain Active Directory lokal ke Microsoft Entra ID tidak perlu dikhawatirkan lagi.
Memetakan tenant Microsoft Entra ID
Bagian berikut menjelaskan cara memetakan tenant Microsoft Entra ID untuk skenario berikut:
Tenant tunggal
Jika hanya menggunakan satu tenant Microsoft Entra ID, Anda dapat memetakan tenant ke satu akun Cloud Identity atau Google Workspace dan menyiapkan penggabungan di antara keduanya. Akun Cloud Identity atau Google Workspace ini kemudian menyediakan dasar untuk satu organisasi Google Cloud yang dapat Anda gunakan untuk mengelola semua resource Google Cloud.
Beberapa tenant
Dalam organisasi yang lebih besar, tidak jarang organisasi tersebut memiliki lebih dari satu tenant Microsoft Entra ID. Beberapa tenant dapat digunakan untuk membedakan antara lingkungan pengujian dan produksi atau untuk membedakan antara berbagai bagian dalam suatu organisasi.
Anda dapat memetakan beberapa tenant Microsoft Entra ID ke satu akun Cloud Identity atau Google Workspace, dan menyiapkan penyediaan pengguna dan single sign-on dengan semestinya. Namun, pemetaan N:1 tersebut dapat melemahkan isolasi antara tenant Microsoft Entra ID: Jika Anda memberikan izin kepada beberapa tenant Microsoft Entra ID untuk membuat dan mengubah pengguna di satu akun Cloud Identity atau Google Workspace, tenant ini dapat mengganggu dan merusak perubahan satu sama lain.
Biasanya, pendekatan yang lebih baik untuk berintegrasi dengan beberapa tenant Microsoft Entra ID adalah dengan membuat akun Cloud Identity atau Google Workspace terpisah untuk setiap tenant dan menyiapkan penggabungan di antara setiap pasangan.
Di Google Cloud, organisasi yang terpisah dibuat untuk setiap akun Cloud Identity atau Google Workspace. Karena Google Cloud memungkinkan pengelolaan resource menggunakan project dan folder dalam satu organisasi, memiliki lebih dari satu organisasi sering kali tidak praktis. Namun, Anda dapat memilih salah satu organisasi dan menghubungkannya dengan akun Cloud Identity atau Google Workspace lainnya, yang secara efektif membuat organisasi gabungan dengan beberapa forest Active Directory. Organisasi lain tetap tidak digunakan.
Pengguna eksternal
Dengan
Microsoft Entra ID B2B,
Anda dapat mengundang pengguna eksternal sebagai tamu ke tenant Microsoft Entra ID Anda. Pengguna baru
dibuat untuk setiap tamu dan Microsoft Entra ID akan otomatis menetapkan UPN kepada
pengguna tamu tersebut. UPN yang dihasilkan Microsoft Entra ID menggunakan awalan yang berasal dari
alamat email penerima undangan yang digabungkan dengan domain awal tenant:
prefix#EXT#@tenant.onmicrosoft.com
.
Penyediaan pengguna tamu Microsoft Entra ID ke Cloud Identity atau Google Workspace tunduk pada batasan tertentu:
- Anda tidak dapat memetakan UPN pengguna tamu ke alamat email di
Cloud Identity atau Google Workspace karena
onmicrosoft.com
adalah domain yang tidak dapat ditambahkan dan diverifikasi di Cloud Identity atau Google Workspace. Oleh karena itu, Anda harus memetakan pengguna dengan menggunakan atribut selain UPN. - Jika pengguna tamu ditangguhkan di tenant rumahnya, pengguna yang bersangkutan di Cloud Identity atau Google Workspace mungkin akan tetap aktif dan akses ke resource Google Cloud tidak akan dicabut sebagaimana mestinya.
Cara yang lebih baik untuk menangani pengguna tamu yang berasal dari tenant Microsoft Entra ID yang berbeda adalah dengan membuat beberapa akun Cloud Identity atau Google Workspace seperti yang diuraikan di bagian sebelumnya, masing-masing digabungkan dengan tenant Microsoft Entra ID yang berbeda. Untuk informasi selengkapnya, lihat penyediaan pengguna dan single sign-on Microsoft Entra ID B2B
Untuk memberi pengguna eksternal akses ke resource Google Cloud tertentu, pengguna tidak harus memiliki akun sebagai prasyarat di Cloud Identity atau Google Workspace. Kecuali jika dibatasi oleh kebijakan, Anda juga dapat menambahkan pengguna eksternal secara langsung sebagai anggota ke masing-masing project, folder, atau organisasi yang bersangkutan, asalkan pengguna tersebut memiliki identitas Google.
Memetakan domain DNS
DNS memainkan peran penting, baik untuk Microsoft Entra ID, Cloud Identity, dan Google Workspace. Faktor kedua yang perlu diperhatikan saat berencana untuk menggabungkan Microsoft Entra ID dan Google Cloud adalah cara membagikan atau memetakan domain DNS antara Microsoft Entra ID dan Google Cloud.
Penggunaan domain DNS di Google Cloud
Login dengan Google, yang diandalkan Google Cloud untuk tujuan autentikasi, menggunakan alamat email untuk mengidentifikasi pengguna. Menggunakan alamat email tidak hanya menjamin bahwa alamat email tersebut unik secara global, tetapi juga memungkinkan Google Cloud untuk mengirimkan pesan notifikasi ke alamat tersebut.
Login dengan Google menentukan direktori atau penyedia identitas yang akan digunakan untuk melakukan
autentikasi pengguna berdasarkan bagian domain alamat email
yang mengikuti @
. Misalnya, untuk alamat email yang menggunakan domain gmail.com
,
Login dengan Google menggunakan direktori pengguna Gmail untuk
autentikasi.
Saat mendaftar ke akun
Google Workspace
atau
Cloud Identity, Anda membuat direktori pribadi yang digunakan sebagai proses Login
dan juga dapat digunakan untuk autentikasi. Dengan cara yang sama seperti direktori Gmail
yang dikaitkan dengan domain gmail.com
, akun Google Workspace dan
Cloud Identity harus dikaitkan dengan domain kustom.
Ada tiga jenis domain yang berbeda:
- Domain primer: Domain ini mengidentifikasi akun Cloud Identity atau Google Workspace dan digunakan sebagai nama untuk organisasi di Google Cloud. Saat mendaftar ke Cloud Identity atau Google Workspace, Anda harus menentukan nama domain ini.
- Domain sekunder: Bersama dengan domain primer, Anda dapat mengaitkan
domain sekunder lain dengan akun Cloud Identity atau
Google Workspace. Setiap
pengguna dalam direktori ini dikaitkan dengan domain primer atau
salah satu domain sekunder. Dua pengguna,
johndoe@example.com
danjohndoe@secondary.example.com
, dianggap sebagai pengguna terpisah jikaexample.com
adalah domain primer dansecondary.example.com
adalah domain sekunder. - Domain alias: Domain alias adalah nama alternatif untuk domain lain.
Artinya,
johndoe@example.com
danjohndoe@alias.example.com
merujuk ke pengguna yang sama jikaalias.example.com
disiapkan sebagai domain alias untukexample.com
.
Semua domain harus memenuhi persyaratan berikut:
- Nama tersebut harus berupa nama domain DNS global yang valid. Selama proses penyiapan, Anda mungkin memerlukan akses administratif ke zona DNS masing-masing untuk memverifikasi kepemilikan domain.
- Domain, seperti
example.com
, hanya dapat merujuk ke satu direktori. Namun, Anda dapat menggunakan subdomain yang berbeda, sepertisubdomain.example.com
, untuk merujuk ke direktori yang berbeda. - Domain primer dan sekunder harus memiliki data MX yang valid agar pesan yang dikirim ke alamat email yang dibentuk dengan menggunakan nama domain ini dapat terkirim dengan benar.
Penggunaan domain DNS di Microsoft Entra ID
Cara Cloud Identity dan Google Workspace menggunakan DNS mirip dengan cara Microsoft Entra ID bergantung pada DNS untuk membedakan tenant Microsoft Entra ID dan nama pengguna yang terkait dengan tenant. Namun, perhatikan dua perbedaan penting berikut:
Domain awal: Saat Anda membuat tenant Microsoft Entra ID, tenant tersebut akan dikaitkan dengan domain awal, yang merupakan subdomain dari
onmicrosoft.com
. Domain ini berbeda dengan nama domain kustom mana pun yang mungkin didaftarkan karena Anda tidak memiliki domain tersebut dan tidak memiliki akses administratif ke zona DNS yang bersangkutan.Cloud Identity tidak memiliki domain yang setara dengan domain awal, sehingga Anda harus memiliki semua domain yang dikaitkan dengan akun Cloud Identity. Persyaratan ini berarti Anda tidak dapat mendaftarkan subdomain
onmicrosoft.com
sebagai domain Cloud Identity.Domain yang digunakan dalam ID pengguna: Microsoft Entra ID membedakan antara alamat email MOERA (Alamat Perutean Email Online Microsoft) dan UPN. Keduanya mengikuti format RFC 822 (
user@domain
), tetapi memiliki tujuan yang berbeda: Saat UPN digunakan untuk mengidentifikasi pengguna dan digunakan dalam formulir login, hanya MOERA yang digunakan untuk mengirimkan email.Akhiran domain yang digunakan oleh UPN harus cocok dengan salah satu domain terdaftar dari tenant Microsoft Entra ID Anda—persyaratan yang sama tidak berlaku untuk alamat email.
Cloud Identity dan Google Workspace tidak mengandalkan konsep UPN dan sebagai gantinya, menggunakan alamat email pengguna sebagai ID. Oleh karena itu, domain yang digunakan oleh alamat email harus sama dengan salah satu domain terdaftar dari akun Cloud Identity atau Google Workspace.
Tenant Microsoft Entra ID dan akun Cloud Identity atau Google Workspace dapat menggunakan domain DNS yang sama. Jika penggunaan domain yang sama tidak memungkinkan, Anda dapat mengonfigurasi penyediaan pengguna dan single sign-on untuk menggantikan nama domain.
Dengan mempertimbangkan dua perbedaan yang diuraikan di atas, Anda harus mendasarkan pemetaan domain pada rencana pemetaan pengguna antara Microsoft Entra ID dan Cloud Identity atau Google Workspace.
Map users (Petakan pengguna)
Faktor ketiga yang harus diperhatikan saat berencana menggabungkan Microsoft Entra ID dan Google Cloud adalah cara memetakan pengguna antara Microsoft Entra ID dan Cloud Identity atau Google Workspace.
Keberhasilan pemetaan pengguna Microsoft Entra ID ke pengguna di Cloud Identity atau Google Workspace memerlukan dua informasi untuk setiap pengguna:
- ID unik yang stabil yang dapat Anda gunakan selama sinkronisasi untuk melacak pengguna Microsoft Entra ID mana yang sesuai dengan pengguna di Cloud Identity atau Google Workspace.
- Alamat email yang bagian domainnya sesuai dengan domain primer, sekunder, atau alias Cloud Identity. Karena alamat email ini akan digunakan di seluruh Google Cloud, alamat tersebut harus dapat dibaca manusia.
Secara internal, Microsoft Entra ID mengidentifikasi pengguna berdasarkan ObjectId, yang merupakan ID unik global yang dibuat secara acak. Meskipun ID ini stabil dan memenuhi persyaratan pertama, ID ini tidak ada artinya bagi manusia dan tidak mengikuti format alamat email. Untuk memetakan pengguna, satu-satunya opsi praktis adalah memetakan berdasarkan UPN atau oleh alamat email.
Jika pengguna memasukkan alamat email milik akun Cloud Identity atau Google Workspace yang dikonfigurasi untuk menggunakan single sign-on dengan Microsoft Entra ID, pengguna akan dialihkan ke proses layar login Microsoft Entra ID.
Microsoft Entra ID menggunakan UPN, bukan alamat email, untuk mengidentifikasi pengguna sehingga layar login akan meminta pengguna untuk memberikan UPN.
Jika tenant Microsoft Entra ID dikonfigurasikan untuk menggunakan AD FS untuk login, pengalihan lain
akan mengarahkan pengguna ke layar login AD FS. AD FS dapat mengidentifikasi pengguna dengan
UPN Active Directory mereka atau dengan nama login Pra–Windows 2000
(domain\user
).
Jika alamat email yang digunakan untuk Cloud Identity atau Google Workspace,
UPN yang digunakan oleh Microsoft Entra ID dan UPN yang digunakan oleh Active Directory semuanya berbeda, urutan
layar login dapat dengan mudah membingungkan pengguna akhir. Sebaliknya,
jika ketiga ID sama seperti dalam contoh screenshot
(johndoe@example.com
), pengguna tidak akan mengetahui perbedaan teknis
antara UPN dan alamat email, sehingga meminimalkan potensi kebingungan di antara
pengguna.
Peta menurut UPN
Dari perspektif pengalaman pengguna, pemetaan UPN Microsoft Entra ID ke alamat email Cloud Identity atau Google Workspace dapat dianggap sebagai opsi terbaik. Manfaat lain dari mengandalkan UPN adalah Microsoft Entra ID dapat menjamin keunikan nama sehingga dapat terhindar dari risiko penamaan yang bertentangan.
Namun, untuk memetakan UPN Microsoft Entra ID ke alamat email Cloud Identity, Anda harus memenuhi persyaratan berikut:
- UPN Microsoft Entra ID harus berupa alamat email yang valid agar setiap email notifikasi yang dikirim oleh Google Cloud terkirim dengan benar ke kotak masuk pengguna. Jika email notifikasi belum diterima, Anda mungkin dapat mengonfigurasi alamat email alias untuk memastikan bahwa pengguna menerima email tersebut.
- UPN semua pengguna yang relevan di Microsoft Entra ID harus menggunakan domain kustom sebagai
akhiran (
user@custom-domain
). UPN yang menggunakan domain awal Microsoft Entra ID (user@tenant.onmicrosoft.com
) tidak dapat dipetakan ke alamat email di Cloud Identity karena domain awal bukan milik Anda tetapi milik Microsoft. - Semua domain kustom yang digunakan oleh Microsoft Entra ID untuk UPN juga harus terdaftar di
Cloud Identity. Persyaratan ini berarti Anda harus memiliki
akses ke zona DNS masing-masing untuk melakukan validasi domain.
Untuk menghindari penamaan data
TXT
DNS yang sudah ada yang mungkin telah Anda buat untuk memverifikasi kepemilikan domain di Microsoft Entra ID, Anda dapat menggunakan kumpulan dataCNAME
untuk memverifikasi kepemilikan domain di Cloud Identity.
Memetakan pengguna berdasarkan alamat email
Jika pemetaan UPN Microsoft Entra ID ke Cloud Identity atau alamat email Google Workspace tidak memungkinkan, Anda dapat memetakan pengguna berdasarkan alamat email.
Jika Anda menentukan alamat email di Active Directory, alamat email tersebut akan disimpan di atribut
mail
setiap objek user
dan Microsoft Entra ID Connect akan
menyinkronkan nilai ke atribut Mail
di Microsoft Entra ID. Microsoft Entra ID juga menyediakan
atribut tersebut untuk penyediaan pengguna sehingga Anda dapat memetakannya ke
alamat email di Cloud Identity atau cloudid_name_short.
Yang terpenting, atribut Mail
Microsoft Entra ID saat ini tidak ditampilkan di portal Azure
dan hanya dapat dilihat serta diedit melalui API atau PowerShell. Meskipun
antarmuka pengguna memungkinkan Anda menentukan alamat email dan alamat email alternatif,
tetapi tidak satu pun dari nilai ini disimpan dalam atribut Mail
, sehingga
tidak dapat digunakan untuk penyediaan ke Cloud Identity atau cloudid_name_short.
Oleh karena itu, pemetaan pengguna alamat email hanya praktis digunakan jika Anda melakukan sebagian besar pembuatan
dan pengeditan pengguna di Active Directory bukan di Microsoft Entra ID.
Untuk memetakan pengguna berdasarkan alamat email, Anda harus memenuhi persyaratan tambahan berikut:
- Penetapan email harus selesai. Semua pengguna yang
melakukan sinkronisasi harus diberi alamat email. Terutama ketika pengguna
disinkronkan dari Active Directory lokal, hal ini mungkin tidak
terjadi karena
mail
adalah atribut pengguna opsional di Active Directory. Pengguna yang tidak memiliki alamat email dalam atributMail
Microsoft Entra ID akan diabaikan selama sinkronisasi. - Alamat email harus unik di seluruh tenant Microsoft Entra ID. Meskipun Active Directory tidak memeriksa keunikan pada pembuatan pengguna, Microsoft Entra ID Connect akan mendeteksi konflik secara default yang dapat menyebabkan sinkronisasi pengguna yang terpengaruh mengalami kegagalan.
- Domain yang digunakan oleh alamat email tidak perlu terdaftar di Microsoft Entra ID,
tetapi harus terdaftar di Cloud Identity atau
Google Workspace. Persyaratan ini
berarti Anda harus memiliki akses ke zona DNS masing-masing untuk
melakukan validasi domain dan persyaratan ini mengesampingkan penggunaan alamat email
dengan domain yang bukan milik Anda (seperti
gmail.com
).
Memetakan siklus proses pengguna
Setelah menentukan pemetaan antara pengguna Microsoft Entra ID dan pengguna di Cloud Identity atau Google Workspace, Anda harus memutuskan pengguna mana yang ingin Anda sediakan. Lihat praktik terbaik tentang pemetaan kumpulan identitas untuk mendapatkan panduan dalam membuat keputusan ini.
Jika tidak ingin menyediakan semua pengguna dari tenant Microsoft Entra ID, Anda dapat mengaktifkan penyediaan untuk sebagian pengguna dengan menggunakan penetapan pengguna atau filter cakupan.
Tabel berikut merangkum perilaku default penyediaan Microsoft Entra ID dan menunjukkan cara mengaktifkan atau menonaktifkan penyediaan untuk pengguna dalam mengontrol tindakan yang akan dilakukan oleh Microsoft Entra ID di Cloud Identity atau Google Workspace.
Penyediaan diaktifkan untuk pengguna Microsoft Entra ID | Status pengguna di Cloud Identity atau Google Workspace | Tindakan yang dilakukan di Microsoft Entra ID | Tindakan yang dilakukan di Cloud Identity atau Google Workspace |
---|---|---|---|
Tidak | (tidak ada) | Aktifkan penyediaan | Buat pengguna baru (*) |
Tidak | Ada (aktif) | Aktifkan penyediaan | Update pengguna yang sudah ada |
Tidak | Ada (ditangguhkan) | Aktifkan penyediaan | Update pengguna yang sudah ada, tetap ditangguhkan |
Ya | Ada | Ubah pengguna | Update pengguna yang sudah ada |
Ya | Ada | Ganti nama UPN/alamat email | Ubah alamat email utama, simpan alamat sebelumnya sebagai alias |
Ya | Ada | Nonaktifkan penyediaan | Tangguhkan pengguna |
Ya | Ada | Hapus pengguna secara sementara | Tangguhkan pengguna |
(*) Jika ada akun konsumen dengan alamat email yang sama, akun konsumen tersebut akan dihapus.
Grup peta
Faktor keempat yang harus diperhatikan ketika Anda berencana menggabungkan Microsoft Entra ID dan Google Cloud adalah perlu atau tidaknya menyinkronkan grup antara Microsoft Entra ID dan Google Cloud serta cara memetakannya.
Di Google Cloud, grup biasanya digunakan sebagai cara untuk mengelola akses secara efisien di seluruh project. Daripada menetapkan masing-masing pengguna ke peran IAM di setiap project, Anda dapat menentukan kumpulan grup yang memodelkan peran umum dalam organisasi Anda. Kemudian, Anda menetapkan grup tersebut ke sekumpulan peran IAM. Dengan mengubah keanggotaan grup, Anda dapat mengontrol akses pengguna ke seluruh set resource.
Pemetaan grup antara Microsoft Entra ID dan Google Cloud bersifat opsional. Setelah menyiapkan penyediaan pengguna, Anda dapat membuat dan mengelola grup secara langsung di Cloud Identity atau Google Workspace yang artinya Active Directory atau Microsoft Entra ID akan tetap menjadi sistem pusat untuk pengelolaan identitas, tetapi tidak untuk pengelolaan akses Google Cloud.
Untuk mempertahankan Active Directory atau Microsoft Entra ID sebagai sistem pusat untuk pengelolaan identitas dan pengelolaan akses, sebaiknya sinkronkan grup dari Microsoft Entra ID dan bukan mengelolanya di Cloud Identity atau Google Workspace. Dengan pendekatan ini, Anda dapat menyiapkan IAM sehingga Anda dapat menggunakan keanggotaan grup di Active Directory atau Microsoft Entra ID untuk mengontrol pengguna yang memiliki akses ke resource di Google Cloud.
Grup di Cloud Identity dan Google Workspace
Di Cloud Identity dan Google Workspace, hanya ada satu jenis grup. Grup di Cloud Identity dan Google Workspace tidak terbatas pada cakupan akun Cloud Identity atau Google Workspace tempat grup tersebut ditentukan. Sebaliknya, grup dapat menyertakan pengguna dari akun Cloud Identity atau Google Workspace yang berbeda, dukungan untuk direferensikan dan digabung dengan akun lain, serta digunakan di seluruh organisasi Google Cloud.
Seperti yang dilakukan pengguna, Cloud Identity dan Google Workspace mengidentifikasi grup berdasarkan alamat email. Alamat email tidak harus sesuai dengan kotak surat yang sebenarnya, tetapi harus menggunakan salah satu domain yang terdaftar untuk masing-masing akun Cloud Identity.
Saat bekerja dengan grup di IAM, Anda sering kali perlu menentukan grup berdasarkan alamat email, bukan nama. Jadi, yang terbaik bagi grup adalah tidak hanya memiliki nama yang bermakna, tetapi juga alamat email yang bermakna dan mudah dikenali.
Grup di Microsoft Entra ID
Microsoft Entra ID mendukung beberapa jenis grup yang masing-masing mengakomodasi kasus penggunaan yang berbeda. Grup dicakup ke satu tenant dan diidentifikasi oleh Object ID yang merupakan ID unik global yang dibuat secara acak. Grup dapat disusun dan dapat berisi pengguna dari tenant yang sama atau pengguna yang diundang dari tenant lain menggunakan Azure B2B. Microsoft Entra ID juga mendukung grup yang anggotanya ditentukan secara otomatis berdasarkan kueri.
Dalam konteks integrasi Microsoft Entra ID dengan Cloud Identity atau Google Workspace, dua properti grup menjadi hal paling penting—baik grup yang diaktifkan dengan email maupun grup yang diaktifkan dengan keamanan:
- Grup yang diaktifkan keamanannya dapat digunakan untuk mengelola akses ke resource di Microsoft Entra ID. Oleh karena itu, setiap grup yang diaktifkan keamanannya berpotensi relevan dalam konteks Google Cloud.
- Grup yang diaktifkan dengan email memiliki alamat email yang relevan karena Cloud Identity dan Google Workspace mengharuskan grup untuk diidentifikasi dengan alamat email.
Di Microsoft Entra ID, Anda dapat membuat grup jenis Keamanan atau Office 365 (terkadang disebut grup terpadu). Saat menyinkronkan grup dari Active Directory lokal atau saat menggunakan jenis Office 365, Anda juga dapat membuat grup jenis daftar Distribusi.
Tabel berikut merangkum perbedaan antara berbagai jenis grup yang berbeda dalam hal diaktifkannya dengan email atau diaktifkan keamanannya, dan cara grup tersebut dipetakan ke jenis grup Active Directory dengan menggunakan konfigurasi Microsoft Entra ID Connect default:
Asal | Jenis grup Active Directory | Jenis grup Microsoft Entra ID | Email diaktifkan | Keamanan diaktifkan |
---|---|---|---|---|
Microsoft Entra ID | - | Grup Office 365 | Selalu | Opsional |
Microsoft Entra ID | - | Grup keamanan | Opsional | Selalu |
lokal | Grup keamanan (dengan email) | Grup keamanan | Ya | Ya |
lokal | Grup keamanan (tanpa email) | Grup keamanan | Tidak | Ya |
lokal | Daftar distribusi (dengan email) | Daftar distribusi | Ya | Tidak |
lokal | Daftar distribusi (tanpa email) | (diabaikan oleh Microsoft Entra ID Connect) |
Tidak seperti pengguna, Microsoft Entra ID mengharuskan alamat email yang ditetapkan ke grup menggunakan domain yang telah terdaftar sebagai domain kustom di Microsoft Entra ID. Persyaratan ini menghasilkan perilaku default berikut:
- Jika grup di Active Directory menggunakan alamat email yang menggunakan domain yang sebelumnya telah terdaftar di Microsoft Entra ID, alamat email tersebut akan dikelola dengan benar selama sinkronisasi ke Microsoft Entra ID.
- Jika grup di Active Directory menggunakan alamat email yang belum terdaftar
di Microsoft Entra ID, Microsoft Entra ID akan otomatis membuat alamat email baru
selama sinkronisasi. Alamat email ini menggunakan domain default tenant. Jika tenant Anda menggunakan domain awal sebagai domain default,
alamat email yang dihasilkan akan berupa
[name]@[tenant].onmicrosoft.com
. - Jika Anda membuat grup Office 365 di Microsoft Entra ID, Microsoft Entra ID juga akan otomatis membuat alamat email yang menggunakan domain default tenant.
Memetakan identitas grup
Keberhasilan dalam memetakan grup Microsoft Entra ID ke grup Cloud Identity atau Google Workspace adalah dengan memerlukan ID umum dan ID ini harus berupa alamat email. Di sisi Microsoft Entra ID, persyaratan ini memberi Anda dua opsi:
- Anda dapat menggunakan alamat email grup di Microsoft Entra ID dan memetakannya ke alamat email Cloud Identity atau Google Workspace.
- Anda dapat memperoleh alamat email dari nama grup di Microsoft Entra ID dan memetakan alamat yang dihasilkan ke alamat email di Cloud Identity atau Google Workspace.
Memetakan berdasarkan alamat email
Memetakan grup berdasarkan alamat email adalah pilihan yang paling tepat, tetapi Anda harus memenuhi beberapa persyaratan:
- Semua grup yang mengalami sinkronisasi harus memiliki alamat email. Dalam praktiknya, Anda hanya dapat menyinkronkan grup yang diaktifkan dengan email. Grup yang tidak memiliki alamat email akan diabaikan selama penyediaan.
- Alamat email harus unik di seluruh tenant. Karena Microsoft Entra ID tidak menerapkan keunikan, Anda mungkin harus menerapkan pemeriksaan atau kebijakan kustom.
- Domain yang digunakan oleh alamat email harus terdaftar di Microsoft Entra ID
dan Cloud Identity atau Google Workspace. Setiap grup dengan alamat email
yang menggunakan domain yang tidak terdaftar di
Cloud Identity atau Google Workspace, termasuk domain
tenant.onmicrosoft.com
, akan mengalami kegagalan sinkronisasi.
Jika semua grup yang relevan memenuhi kriteria tersebut, identifikasi domain yang digunakan oleh alamat email ini dan pastikan daftar domain DNS yang terdaftar di Cloud Identity atau Google Workspace mencakup domain ini.
Memetakan berdasarkan nama
Memenuhi kriteria yang diperlukan untuk memetakan grup berdasarkan alamat email dapat menjadi tantangan, terutama jika banyak grup keamanan yang ingin Anda sediakan ke Cloud Identity atau Google Workspace yang tidak diaktifkan dengan email. Dalam hal ini, mungkin lebih baik untuk memperoleh alamat email secara otomatis dari nama tampilan grup.
Memperoleh alamat email memunculkan dua tantangan:
- Alamat email yang berasal dari nama grup mungkin bertentangan dengan alamat email pengguna.
- Microsoft Entra ID tidak menerapkan keunikan untuk nama grup. Jika beberapa grup dalam tenant Microsoft Entra ID Anda memiliki nama yang sama, alamat email yang berasal dari nama ini akan bertentangan, sehingga menyebabkan hanya satu grup yang berhasil disinkronkan.
Anda dapat mengatasi tantangan pertama menggunakan domain untuk alamat email
yang dihasilkan dari domain mana pun yang berbeda dan yang digunakan oleh pengguna. Misalnya, jika
semua pengguna Anda menggunakan alamat email dengan example.com
sebagai domain, Anda dapat menggunakan groups.example.com
untuk semua grup. Mendaftarkan subdomain di
Cloud Identity atau Google Workspace tidak memerlukan verifikasi
domain, sehingga zona DNS groups.example.com
tidak harus ada.
Anda dapat mengatasi tantangan kedua, menduplikasi nama grup, hanya secara teknis dengan mengambil alamat email grup dari Object ID. Karena nama grup yang dihasilkan agak samar dan sulit digunakan, sebaiknya identifikasi dan ganti nama grup duplikat di Microsoft Entra ID sebelum menyiapkan penyediaan ke Cloud Identity atau Google Workspace.
Memetakan siklus proses grup
Setelah menentukan pemetaan antara grup Microsoft Entra ID dan grup di Cloud Identity atau Google Workspace, Anda harus memutuskan kumpulan grup mana yang ingin disediakan. Serupa dengan pengguna, Anda dapat mengaktifkan penyediaan untuk sebagian grup dengan menggunakan penetapan grup atau filter cakupan.
Tabel berikut merangkum perilaku default penyediaan Microsoft Entra ID dan menunjukkan cara mengaktifkan atau menonaktifkan penyediaan untuk grup dalam mengontrol tindakan yang akan dilakukan Microsoft Entra ID di Cloud Identity atau Google Workspace.
Penyediaan diaktifkan untuk grup Microsoft Entra ID | Status grup di Cloud Identity atau Google Workspace | Tindakan yang dilakukan di Microsoft Entra ID | Tindakan yang dilakukan di Cloud Identity atau Google Workspace |
---|---|---|---|
Tidak | (tidak ada) | Aktifkan penyediaan | Membuat grup baru |
Tidak | Ada | Aktifkan penyediaan | Tambahkan anggota, pertahankan semua anggota yang ada |
Ya | Ada | Ganti nama grup | Ganti nama grup |
Ya | Ada | Ubah deskripsi | Update deskripsi |
Ya | Ada | Tambah anggota | Tambahkan anggota, pertahankan semua anggota yang ada |
Ya | Ada | Hapus anggota | Hapus anggota |
Ya | Ada | Nonaktifkan penyediaan | Grup dibiarkan apa adanya (termasuk anggota) |
Ya | Ada | Grup dihapus | Grup dibiarkan apa adanya (termasuk anggota) |
Langkah berikutnya
- Baca praktik terbaik untuk merencanakan akun dan organisasi serta praktik terbaik untuk menggabungkan Google Cloud dengan penyedia identitas eksternal.
- Pelajari cara mengonfigurasi penyediaan dan single sign-on antara Microsoft Entra ID dan Cloud Identity.
- Pelajari praktik terbaik untuk mengelola akun administrator super.