Microsoft Entra ID(以前称为 Azure AD)用户预配和单点登录

本文档介绍如何在 Microsoft Entra ID(以前称为 Azure AD)租户和 Cloud Identity 或 Google Workspace 账号之间设置用户预配和单点登录。

本文假设您已在组织中使用 Microsoft Office 365 或 Microsoft Entra ID,并希望将 Microsoft Entra ID 用于允许用户向 Google Cloud 进行身份验证。Microsoft Entra ID 自身可连接到本地 Active Directory,并且可以使用 Entra ID 联合、直通式身份验证或密码哈希同步。

目标

  • 将 Microsoft Entra ID 设置为自动将用户和群组(可选)预配到 Cloud Identity 或 Google Workspace。
  • 将单点登录配置为允许用户使用 Microsoft Entra ID 用户账号或从 Active Directory 预配到 Microsoft Entra ID 的用户登录 Google Cloud。

费用

如果您使用的是免费版 Cloud Identity,则设置与 Microsoft Entra ID 的联合不会使用 Google Cloud 的任何收费组件。

查看 Microsoft Entra ID 价格页面,了解使用 Microsoft Entra ID 的费用。

准备工作

  • 确保您了解将 Google Cloud 连接到 Microsoft Entra ID 与直接将 Google Cloud 连接到 Active Directory 之间的区别。
  • 决定如何在 Microsoft Entra ID 与 Cloud Identity 或 Google Workspace 之间映射身份群组网域。具体来讲,请回答以下问题:
    • 您是否计划将电子邮件地址或用户主体名称 (UPN) 用作用户的通用标识符?
    • 您是否计划预配群组?如果是,您是计划通过电子邮件地址还是通过名称来映射群组?
    • 您是计划将所有用户还是仅选择部分用户预配到 Google Cloud?
  • 在将正式版 Microsoft Entra ID 租户连接到 Google Cloud 之前,请考虑使用 Microsoft Entra ID 测试租户来设置和测试用户预配。
  • 如果您还没有账号,请注册 Cloud Identity
  • 如果您使用的是免费版 Cloud Identity并打算预配超过 50 位用户,请通过支持联系人申请增加免费 Cloud Identity 用户总数。
  • 如果您怀疑您要用于 Cloud Identity 的任何网域可能已经被员工用来注册消费者账号,可以考虑先迁移这些用户账号。如需了解详情,请参阅评估现有用户账号

准备 Cloud Identity 或 Google Workspace 账号

为 Microsoft Entra ID 创建用户

如需允许 Microsoft Entra ID 访问您的 Cloud Identity 或 Google Workspace 账号,您必须在 Cloud Identity 或 Google Workspace 账号中创建 Microsoft Entra ID 用户。

Microsoft Entra ID 用户仅适用于自动预配。因此,最好将其保存在单独的用户组织部门 (OU) 中,以与其他用户账号分开。使用单独的组织部门还可确保您可以稍后为 Microsoft Entra ID 用户停用单点登录

如需创建新的组织部门,请执行以下操作:

  1. 打开管理控制台,然后使用您在注册 Cloud Identity 或 Google Workspace 时创建的超级用户登录。
  2. 在菜单中,转到目录 > 组织部门
  3. 点击创建组织部门,并为组织部门提供名称和说明:
    • 名称Automation
    • 说明Automation users
  4. 点击创建

为 Microsoft Entra ID 创建用户账号,并将其放置在 Automation 组织部门中:

  1. 在菜单中,转至目录 > 用户,然后点击添加新用户,以创建用户。

  2. 提供适当的名称和电子邮件地址,如下所示:

    • 名字Microsoft Entra ID
    • 姓氏Provisioning

    • 主电子邮件azuread-provisioning

      保留电子邮件地址的主域名。

  3. 点击管理用户的密码、组织部门和个人资料照片,并配置以下设置:

    • 组织部门:选择您之前创建的 Automation 组织部门。
    • 密码:选择创建密码并输入密码。
    • 要求在下次登录时更改密码已停用

  4. 点击添加新用户

  5. 点击完成

为 Microsoft Entra ID 分配权限

如需允许 Microsoft Entra ID 在您的 Cloud Identity 或 Google Workspace 账号中创建、列出和暂停用户和群组,您必须为 azuread-provisioning 用户授予额外的权限,如下所示:

  • 如需允许 Microsoft Entra ID 管理所有用户(包括指派的管理员超级用户),您必须将 azuread-provisioning 用户设为超级用户管理员。

  • 如需仅允许 Microsoft Entra ID 管理非管理员用户,只需将 azuread-provisioning 用户设为指派的管理员即可。作为委派管理员,Microsoft Entra ID 无法管理其他委派管理员或超级用户。

超级用户

如需使 azuread-provisioning 用户成为超级用户,请执行以下操作:

  1. 在列表中找到新创建的用户,然后点击该用户的名称以打开其账号页面。
  2. 管理员角色和权限下,点击分配角色
  3. 启用超级用户角色。
  4. 点击保存

指派的管理员

如需将 azuread-provisioning 用户设为指派的管理员,请创建新的管理员角色并将其分配给该用户:

  1. 在菜单中,转到账号 > 管理员角色
  2. 点击创建新角色
  3. 提供角色的名称和说明,如下所示:
    • 名称Microsoft Entra ID
    • 说明Role for automated user and group provisioning
  4. 点击继续
  5. 在下一个屏幕上,向下滚动到名为 Admin API 权限的部分,并将以下权限设置为已启用
    • 组织部门 > 读取
    • 用户
    • 网上论坛
  6. 点击继续
  7. 点击 Create role
  8. 点击为用户分配角色
  9. 选择 azuread-provisioning 用户,然后点击分配角色

注册网域

在 Cloud Identity 和 Google Workspace 中,用户和群组由电子邮件地址进行标识。这些电子邮件地址使用的网域必须先进行注册和验证。

准备您需要注册的 DNS 网域列表:

  • 如果您计划通过 UPN 映射用户,请包括 UPN 使用的所有网域。如有疑问,请包括 Microsoft Entra ID 租户的所有自定义网域。
  • 如果您计划通过电子邮件地址映射用户,请包括电子邮件地址中使用的所有网域。网域列表可能与 Microsoft Entra ID 租户的自定义网域列表不同。

如果您计划预配群组,请修改 DNS 网域列表:

  • 如果您计划通过电子邮件地址映射群组,请包括群组电子邮件地址中使用的所有网域。如有疑问,请包括 Microsoft Entra ID 租户的所有自定义网域。
  • 如果您计划通过名称映射群组,请包括专用子网域(例如 groups.PRIMARY_DOMAIN),其中 PRIMARY_DOMAIN 是您的 Cloud Identity 或 Google Workspace 账号的主域名。

现在您已经确定了 DNS 网域列表,接下来就可以注册任何缺失的网域了。对于列表中尚未注册的每个网域,请执行以下步骤:

  1. 在管理控制台中,转到账号 > 网域 > 管理网域
  2. 点击添加网域
  3. 输入域名,然后选择辅助域名
  4. 点击添加网域并开始验证,然后按照说明验证网域的所有权。

配置 Microsoft Entra ID 预配

创建企业应用

您可以通过设置 Microsoft Azure 市场中的 Google Cloud/G Suite Connector by Microsoft 库应用,将 Microsoft Entra ID 连接到 Cloud Identity 或 Google Workspace 账号。

该库应用可以配置为处理用户预配和单点登录。在本文档中,您将使用该库应用的两个实例,一个用于用户预配,另一个用于单点登录。

首先,创建一个该库应用的实例来处理用户预配:

  1. 打开 Azure 门户并以具有全局管理员权限的用户身份登录。
  2. 选择 Microsoft Entra ID > 企业应用
  3. 点击新建应用
  4. 搜索 Google Cloud,然后点击结果列表中的 Google Cloud/G Suite Connector by Microsoft 项。
  5. 将应用的名称设置为 Google Cloud (Provisioning)
  6. 点击创建
  7. 添加应用可能需要几秒钟的时间,然后您应该会被重定向到标题为 Google Cloud(预配)- 概览 (Google Cloud (Provisioning) - Overview) 的页面。
  8. 在左侧菜单中,点击管理 > 属性
    1. 启用以供用户登录设置为
    2. 需要分配设置为
    3. 对用户可见设置为
    4. 点击保存
  9. 在左侧菜单中,点击管理 > 预配
    1. 点击开始使用
    2. 预配模式更改为自动
    3. 点击管理员凭据 > 授权
    4. 使用您之前创建的 azuread-provisioning@DOMAIN 用户登录,其中 DOMAIN 是您的 Cloud Identity 或 Google Workspace 账号的主域名。
    5. 由于这是您首次使用此用户登录,因此系统会询问您是否接受 Google 服务条款和隐私权政策。
    6. 如果您同意这些条款,请点击我了解
    7. 点击允许以确认对 Cloud Identity API 的访问。
    8. 点击测试连接以验证 Microsoft Entra ID 可以使用 Cloud Identity 或 Google Workspace 成功进行身份验证。
    9. 点击保存

配置用户预配

配置用户预配的正确方法取决于您是计划通过电子邮件地址还是 UPN 映射用户。

UPN

  1. 映射下,点击预配 Entra ID 用户
  2. 对于姓氏名字属性,执行以下操作:
    1. 点击修改
    2. 默认值(如果为 null)设置为 _
    3. 点击确定
  3. 点击保存
  4. 点击,确认保存更改将导致用户和组重新同步。
  5. 点击 X 关闭 Attribute Mapping 对话框。

UPN:网域替换

  1. 映射下,点击预配 Entra ID 用户

  2. 对于属性 userPrincipalName,执行以下操作:

    1. 点击修改

    2. 配置以下映射:

      • Mapping typeExpression

      • 表达式

        Replace([userPrincipalName], "@DOMAIN", , , "@SUBSTITUTE_DOMAIN", , )

      请替换以下内容:

      • DOMAIN:您要替换的域名
      • 要改用的 SUBSTITUTE_DOMAIN 域名

    3. 点击确定

  3. 对于姓氏名字属性,执行以下操作:

    1. 点击修改
    2. 默认值(如果为 null)设置为 _
    3. 点击确定

  4. 点击保存

  5. 点击,确认保存更改将导致用户和组重新同步。

  6. 点击 X 关闭 Attribute Mapping 对话框。

电子邮件地址

  1. 映射下,点击预配 Entra ID 用户
  2. 对于属性 userPrincipalName,执行以下操作:
    1. 点击修改
    2. 来源属性设置为邮件
    3. 点击确定
  3. 对于姓氏名字属性,执行以下操作:
    1. 点击修改
    2. 默认值(如果为 null)设置为 _
    3. 点击确定
  4. 点击保存
  5. 点击,确认保存更改将导致用户和组重新同步。
  6. 点击 X 关闭 Attribute Mapping 对话框。

您必须为 primaryEmailname.familyNamename.givenNamesuspended 配置映射。所有其他特性映射都是可选的。

配置其他特性映射时,请注意以下事项:

  • Google Cloud/G Suite Connector by Microsoft 库目前不允许您分配电子邮件别名
  • Google Cloud/G Suite Connector by Microsoft 库目前不允许您向用户分配许可。如需解决此问题,请考虑为组织部门设置自动分配许可功能
  • 如要将用户分配给组织部门,请为 OrgUnitPath 添加映射。该路径必须以 / 字符开头,并且必须引用已存在的组织单元(例如 /employees/engineering)。

配置群组预配

配置群组预配的正确方法取决于您的群组是否启用了邮件。如果群组未启用邮件,或者群组使用以“onmicrosoft.com”结尾的电子邮件地址,则可以根据群组名称衍生电子邮件地址。

没有群组映射

  1. 映射下,点击预配 Entra ID 组
  2. Enabled 设置为 No
  3. 点击保存
  4. 点击,确认保存更改将导致用户和组重新同步。
  5. 点击 X 关闭 Attribute Mapping 对话框。

名称

  1. 映射部分下,点击预配 Entra ID 组
  2. 对于邮件属性,执行以下操作:
    1. 点击修改
    2. 配置以下设置:
      1. Mapping typeExpression
      2. ExpressionJoin("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN")。将 GROUPS_DOMAIN 替换为所有群组电子邮件地址应使用的网域,例如 groups.example.com
      3. Target attributeemail
    3. 点击确定
  3. 点击保存
  4. 点击,确认保存更改将导致用户和组重新同步。
  5. 点击 X 关闭 Attribute Mapping 对话框。

电子邮件地址

  • 如果您通过电子邮件地址映射群组,请保留默认设置。

配置用户分配

如果您知道只有某部分用户需要访问 Google Cloud,则可以选择通过向特定用户或用户群组分配企业应用来限定要预配的那部分用户。

如果要预配所有用户,则可以跳过以下步骤。

  1. 在左侧菜单中,点击管理 > 用户和组
  2. 添加要预配的用户或群组。如果选择组,则会自动预配该组的所有成员。
  3. 点击分配

启用自动预配

下一步是配置 Microsoft Entra ID,以自动将用户预配到 Cloud Identity 或 Google Workspace:

  1. 在左侧菜单中,点击管理 > 预配
  2. 选择修改预配
  3. 预配状态设置为开启

  4. 设置下,将范围设置为以下任一项:

    1. 如果已配置用户分配,则设置为仅同步分配的用户和组
    2. 否则,设置为同步所有用户和组

    如果未显示用于设置范围的框,请点击保存并刷新页面。

  5. 点击保存

Microsoft Entra ID 启动初始同步。根据目录中的用户和群组数量,此过程可能需要几分钟或几小时的时间。您可以刷新浏览器页面,在页面底部查看同步状态,或者在菜单中选择审核日志以查看更多详细信息。

初始同步完成后,Microsoft Entra ID 会定期将 Microsoft Entra ID 中的更新传播到您的 Cloud Identity 或 Google Workspace 账号。如需详细了解 Microsoft Entra ID 如何处理用户和群组修改,请参阅映射用户生命周期映射群组生命周期

问题排查

如果同步在五分钟内未启动,则可以通过执行以下操作强制启动:

  1. 点击修改预配
  2. 预配状态设置为关闭
  3. 点击保存
  4. 预配状态设置为开启
  5. 点击保存
  6. 关闭预配对话框。
  7. 点击重启预配

如果仍未启动同步,请点击测试连接以验证是否已成功保存凭据。

配置 Microsoft Entra ID 以进行单点登录

虽然现在所有相关的 Microsoft Entra ID 用户都已自动预配到 Cloud Identity 或 Google Workspace,但您还无法使用这些用户登录。若要允许用户登录,您仍需要配置单点登录。

创建 SAML 配置文件

如需使用 Microsoft Entra ID 配置单点登录,请先在 Cloud Identity 或 Google Workspace 账号中创建 SAML 配置文件。SAML 配置文件包含与您的 Microsoft Entra ID 租户相关的设置,包括其网址和签名证书。

您稍后将 SAML 配置文件分配给特定群组或组织部门。

如需在 Cloud Identity 或 Google Workspace 账号中创建新的 SAML 配置文件,请执行以下操作:

  1. 在管理控制台中,前往使用第三方身份提供商进行单点登录

    转到“使用第三方身份提供商进行单点登录”

  2. 点击第三方单点登录配置文件 > 添加 SAML 配置文件

  3. SAML 单点登录配置文件页面上,输入以下设置:

    • 名称Entra ID
    • IDP 实体 ID:留空
    • 登录页面网址:留空
    • 退出页网址:留空
    • 更改密码网址:留空

    暂时不要上传验证证书。

  4. 点击保存

    随即显示的 SAML 单点登录配置文件页面包含两个网址:

    • 实体 ID
    • ACS 网址

    配置 Microsoft Entra ID 时,在下一部分中您需要用到这些网址。

创建 Microsoft Entra ID 应用

创建第二个企业应用来处理单点登录:

  1. Azure 门户中,转到 Microsoft Entra ID > 企业应用
  2. 点击新建应用
  3. 搜索 Google Cloud,然后点击结果列表中的 Google Cloud/G Suite Connector by Microsoft
  4. 将应用的名称设置为 Google Cloud

  5. 点击创建

    添加应用可能需要几秒钟的时间。然后,您会被重定向到标题为 Google Cloud - 概览 (Google Cloud - Overview) 的页面。

  6. 在左侧菜单中,点击管理 > 属性

  7. 启用以供用户登录设置为

  8. 请将需要分配设置为,除非您希望允许所有用户使用单点登录。

  9. 点击保存

配置用户分配

如果您已经知道只有某部分用户需要访问 Google Cloud,则可以选择通过向特定用户或用户群组分配企业应用来限定允许登录的那部分用户。

如果您之前将需要使用用户分配设置为,则可以跳过以下步骤。

  1. 在左侧菜单中,点击管理 > 用户和组
  2. 添加要允许使用单点登录的用户或组。
  3. 点击分配

启用单点登录

要使 Cloud Identity 能够使用 Microsoft Entra ID 进行身份验证,您必须调整某些设置:

  1. 在左侧菜单中,点击 Manage > Single sign-on
  2. 在投票屏幕上,点击 SAML 卡片。
  3. 基本 SAML 配置卡片上,点击 修改

  4. 基本 SAML 配置对话框中,输入以下设置:

    1. 标识符(实体 ID)
      • 从单点登录配置文件添加实体网址,并将默认设置为已启用
      • 移除所有其他条目。
    2. 回复网址:添加您的单点登录配置文件中的 ACS 网址

    3. 登录网址

      https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/

      PRIMARY_DOMAIN 替换为您的 Cloud Identity 或 Google Workspace 账号使用的主域名。

  5. 点击 Save,然后点击 X 关闭该对话框。

  6. SAML Signing Certificate 卡片上,找到标记为 Certificate (Base 64) 的条目,然后点击 Download 将该证书下载到本地计算机。

  7. 设置 Google Cloud 卡片上,您会看到两个网址:

    • 登录网址
    • Microsoft Entra ID 标识符

    完成 SAML 配置文件后,下一部分需要用到这些网址。

其余步骤因您是通过电子邮件地址还是 UPN 映射用户而有所不同。

UPN

  1. 特性和声明卡片上,点击 修改

  2. 删除 Additional claims 下列出的所有声明。您可以通过点击 按钮并选择 Delete 来删除记录。

    属性和声明列表如下所示:

    “User Attributes & Claims”对话框。

  3. 点击 X 关闭该对话框。

UPN:网域替换

  1. 用户特性和声明卡片上,点击 修改

  2. 删除 Additional claims 下列出的所有声明。您可以通过点击 按钮并选择 Delete 来删除记录。

    属性和声明列表如下所示:

    “User Attributes & Claims”对话框。

  3. 点击唯一用户标识符(名称 ID)以更改声明映射。

  4. 来源设置为转换并配置以下转换:

    • 转换ExtractMailPrefix()
    • 参数 1user.userPrincipalName

  5. 选择添加转换并配置以下转换:

    • 转换Join()
    • 分词符@
    • 参数 2:输入替换域名。

    必须使用相同的替换域名进行用户预配和单点登录。如果域名未列出,您可能需要先验证域名

  6. 点击添加

  7. 点击保存

  8. 点击 X 关闭该对话框。

电子邮件地址

  1. 用户特性和声明卡片上,点击 修改
  2. 选择标为 Unique User Identifier (Name ID) 的行。
  3. 源属性更改为 user.mail
  4. 点击 Save

  5. 删除 Additional claims 下列出的所有声明。如需删除所有记录,请点击 ,然后点击 Delete

    “User Attributes & Claims”对话框。

  6. 点击 关闭该对话框。

填写 SAML 配置文件

完成 SAML 配置文件的配置:

  1. 返回管理控制台,然后转到安全性 > 身份验证 > 第三方身份提供商的单点登录服务

    转到“使用第三方身份提供商进行单点登录”

  2. 打开您之前创建的 Entra ID SAML 配置文件。

  3. 点击 IDP 详细信息部分以修改设置。

  4. 输入以下设置:

    • IDP 实体 ID:输入 Azure 门户的设置 Google Cloud 卡片中的 Microsoft Entra 标识符
    • 登录页面网址:输入 Azure 门户的 Set up Google Cloud 卡片中的 Login URL
    • 退出页网址https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
    • 更改密码网址https://account.activedirectory.windowsazure.com/changepassword.aspx

  5. 验证证书下,点击上传证书,然后选择先前下载的令牌签名证书。

  6. 点击保存

Microsoft Entra ID 令牌签名证书在有限的时间段内有效,您必须在证书过期之前轮替证书。如需了解详情,请参阅本文档后面的轮替单点登录证书

您的 SAML 配置文件已完成,但您仍需要分配它。

分配 SAML 配置文件

选择应为哪些用户应用新的 SAML 配置文件:

  1. 在管理控制台的使用第三方身份提供商的单点登录服务页面上,点击管理 SSO 配置文件分配 > 管理

    转到“管理单点登录配置文件分配”

  2. 在左侧窗格中,选择要为其应用单点登录配置文件的群组或组织部门。如需将配置文件应用于所有用户,请选择根级组织部门。

  3. 在右侧窗格中,选择其他单点登录配置文件

  4. 在菜单中,选择您之前创建的 Entra ID - SAML 单点登录配置文件。

  5. 点击保存

如需将 SAML 配置文件分配给其他群组或组织部门,请重复上述步骤。

更新 Automation 组织部门的 SSO 设置以停用单点登录

  1. 在左侧窗格中,选择 Automation 组织部门。
  2. 在右侧窗格中,选择
  3. 点击覆盖

可选:为网域专用服务网址配置重定向

从内部门户或文档链接到 Google Cloud 控制台时,您可以使用网域专用服务网址来提升用户体验。

与常规服务网址(例如 https://console.cloud.google.com/)不同,网域专用服务网址包含主域名的名称。未经身份验证的用户点击指向网域专用服务网址的链接后,会立即重定向到 Entra ID,而不是先显示 Google 登录页面。

网域专用服务网址的示例包括:

Google 服务 网址 徽标
Google Cloud 控制台 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Google Cloud 徽标
Google 文档 https://docs.google.com/a/DOMAIN Google 文档徽标
Google 表格 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Google 表格徽标
Google 协作平台 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Google 协作平台徽标
Google 云端硬盘 https://drive.google.com/a/DOMAIN Google 云端硬盘徽标
Gmail https://mail.google.com/a/DOMAIN Gmail 徽标
Google 网上论坛 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Google 网上论坛徽标
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Google Keep 徽标
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Looker Studio 徽标

如需配置网域专用服务网址以重定向到 Entra ID,请执行以下操作:

  1. 在管理控制台中的使用第三方身份提供商的单点登录服务页面上,点击网域专用服务网址 > 修改

    转到网域专用服务网址

  2. 自动将用户重定向到以下单点登录配置文件中的第三方 IdP 设置为已启用

  3. 单点登录配置文件设置为 Entra ID

  4. 点击保存

可选:配置登录验证方式

当用户从未知设备登录时,或者由于其他原因而导致登录尝试看起来可疑时,Google 登录可能会要求用户进行额外的验证。这些登录验证方式有助于提高安全性,因此我们建议您让登录验证功能保持启用状态。

如果您发现登录验证太麻烦,则可以执行以下操作来停用登录验证:

  1. 在管理控制台中,转到安全性 > 身份验证 > 登录验证
  2. 在左侧窗格中,选择要为其停用登录验证的组织部门。如需为所有用户停用登录验证,请选择根级组织部门。
  3. 针对使用其他 SSO 配置文件登录的用户的设置下,选择不要求用户通过 Google 进行其他验证
  4. 点击保存

测试单点登录

现在您已在 Microsoft Entra ID 和 Cloud Identity 或 Google Workspace 中都完成了单点登录配置,接下来可以通过以下两种方式访问 Google Cloud:

如需检查第二个选项是否按预期工作,请运行以下测试:

  1. 选择已预配到 Cloud Identity 或 Google Workspace 且未被分配超级用户权限的 Microsoft Entra ID 用户。由于具有超级用户权限的用户始终必须使用 Google 凭据登录,因此不适合测试单点登录。
  2. 打开新的浏览器窗口,然后转到 https://console.cloud.google.com/

  3. 在显示的“Google 登录”页面中,输入用户的电子邮件地址,然后点击下一步。如果您使用网域替换,则此地址必须是已替换的电子邮件地址。

    “Google 登录”对话框。

  4. 您会被重定向到 Microsoft Entra ID,并将看到另一个登录提示。输入用户的电子邮件地址(不使用网域替换),然后点击下一步

    Microsoft Entra ID 登录对话框。

  5. 输入密码后,系统会提示您是否保持登录状态。暂时选择

    成功进行身份验证后,Microsoft Entra ID 应将您重定向回 Google 登录。由于这是您首次使用此用户登录,因此系统会询问您是否接受 Google 服务条款和隐私权政策。

  6. 如果您同意这些条款,请点击我了解

    您将被重定向到 Google Cloud 控制台,Google Cloud 控制台会要求您确认偏好设置并接受 Google Cloud 服务条款。

  7. 如果您同意这些条款,请选择,然后点击同意并继续

  8. 点击页面左上角的头像图标,然后点击退出登录

    您将被重定向到 Microsoft Entra ID 页面,确认您已成功退出登录。

请注意,具有超级用户权限的用户不必进行单点登录,因此您仍然可以使用管理控制台来验证或更改设置。

轮替单点登录证书

Microsoft Entra ID 令牌签名证书仅在几个月内有效,您必须在证书过期之前替换证书。

如需轮替签名证书,请在 Microsoft Entra ID 应用中添加其他证书:

  1. Azure 门户中,转到 Microsoft Entra ID > 企业应用,然后打开您创建的应用以便进行单点登录。
  2. 在左侧菜单中,点击 Manage > Single sign-on

  3. SAML Signing Certificate 卡片上,点击 Edit

    您会看到一份或多份证书的列表。一份证书标记为有效

  4. 点击 New certificate

  5. 保留默认的签名设置,然后点击 Save

    该证书会添加到证书列表中,并标记为 Inactive

  6. 选择新证书,然后点击 > Base64 certificate download

    保持浏览器窗口打开状态,且不要关闭对话框。

如需使用新证书,请执行以下操作:

  1. 打开新的浏览器标签页或窗口。

  2. 打开管理控制台,然后转到使用第三方身份提供商进行单点登录

    转到“使用第三方身份提供商进行单点登录”

  3. 打开 Entra ID SAML 配置文件。

  4. 点击 IDP 详细信息

  5. 点击上传其他证书,然后选择您之前下载的新证书。

  6. 点击保存

  7. 返回 Microsoft Entra ID 门户和 SAML 签名证书对话框。

  8. 选择新证书,然后点击 > Make certificate active

  9. 点击以激活证书。

    Microsoft Entra ID 现在使用新的签名证书。

  10. 测试单点登录是否仍可按预期运行。如需了解详情,请参阅测试单点登录

如需移除旧证书,请执行以下操作:

  1. 返回到管理控制台和 Entra ID SAML 配置文件。
  2. 点击 IDP 详细信息
  3. 验证证书下,比较证书的失效日期以找到旧证书,然后点击
  4. 点击保存

清除数据

为避免因本教程中使用的资源导致您的 Google Cloud 账号产生费用,请删除包含这些资源的项目,或者保留项目但删除各个资源。

如需在 Cloud Identity 或 Google Workspace 账号中停用单点登录,请按照以下步骤操作:

  1. 在管理控制台中,转到管理单点登录配置文件分配

    转到“管理单点登录配置文件分配”

  2. 对于每项配置文件分配,请执行以下操作:

    1. 打开配置文件。
    2. 如果您看到继承按钮,请点击继承。如果您没有看到继承按钮,请选择,然后点击保存

  3. 返回使用第三方 IDP 的单点登录页面,然后打开 Microsoft Entra ID SAML 配置文件。

  4. 点击删除

您可以在 Microsoft Entra ID 中移除单点登录和预配设置,如下所示:

  1. Azure 门户中,转到 Microsoft Entra ID > 企业应用
  2. 从应用列表中选择 Google Cloud
  3. 在左侧菜单中,点击 Manage > Single sign-on
  4. 点击删除
  5. 点击确认删除。

后续步骤