Penyediaan pengguna dan single sign-on Microsoft Entra ID (sebelumnya Azure AD)


Dokumen ini menunjukkan cara menyiapkan penyediaan pengguna dan single sign-on antara tenant Microsoft Entra ID (sebelumnya Azure AD) dan akun Cloud Identity atau Google Workspace Anda.

Pada dokumen ini, Anda diasumsikan sudah menggunakan Microsoft Office 365 atau Microsoft Entra ID di organisasi Anda dan ingin menggunakan Microsoft Entra ID agar pengguna dapat melakukan autentikasi dengan Google Cloud. Microsoft Entra ID sendiri mungkin terhubung ke Active Directory lokal dan mungkin menggunakan federasi Entra ID, autentikasi pass-through, atau sinkronisasi hash sandi.

Tujuan

  • Menyiapkan Microsoft Entra ID untuk menyediakan pengguna dan, grup ke Cloud Identity atau Google Workspace secara otomatis.
  • Mengonfigurasi Single Sign-On agar pengguna dapat login ke Google Cloud menggunakan akun pengguna Microsoft Entra ID atau pengguna yang telah disediakan dari Active Directory ke Microsoft Entra ID.

Biaya

Jika Anda menggunakan Cloud Identity edisi gratis, penyiapan penggabungan dengan Microsoft Entra ID tidak akan menggunakan komponen Google Cloud yang dapat ditagih.

Lihat halaman harga Microsoft Entra ID untuk mengetahui biaya yang mungkin berlaku pada penggunaan Microsoft Entra ID.

Sebelum memulai

  • Pastikan Anda memahami perbedaan antara menghubungkan Google Cloud ke Microsoft Entra ID dibandingkan dengan secara langsung menghubungkan Google Cloud ke Active Directory.
  • Tentukan cara yang Anda inginkan untuk memetakan identitas, grup, dan domain antara Microsoft Entra ID dan Cloud Identity atau Google Workspace. Secara khusus, jawab pertanyaan berikut ini:
    • Apakah Anda berencana untuk menggunakan alamat email atau Nama Utama Pengguna (UPN) sebagai ID umum untuk pengguna?
    • Apakah Anda berencana untuk menyediakan grup? Jika demikian, apakah Anda berencana untuk memetakan grup berdasarkan alamat email atau nama?
    • Apakah Anda berencana untuk menyediakan semua pengguna ke Google Cloud atau hanya sebagian pengguna tertentu?
  • Sebelum menghubungkan tenant Microsoft Entra ID produksi ke Google Cloud, pertimbangkan untuk menggunakan tenant pengujian Microsoft Entra ID untuk menyiapkan dan menguji penyediaan pengguna.
  • Daftar ke Cloud Identity jika Anda belum memiliki akun.
  • Jika Anda menggunakan Cloud Identity edisi gratis dan bermaksud untuk menyediakan lebih dari 50 pengguna, minta penambahan jumlah total pengguna Cloud Identity gratis melalui kontak dukungan Anda.
  • Jika Anda mencurigai bahwa salah satu domain yang akan Anda gunakan untuk Cloud Identity mungkin telah digunakan oleh karyawan untuk mendaftarkan akun konsumen, pertimbangkan untuk memigrasikan akun pengguna ini terlebih dahulu. Untuk mengetahui detail selengkapnya, lihat Menilai akun pengguna yang ada.

Menyiapkan akun Cloud Identity atau Google Workspace

Membuat pengguna untuk Microsoft Entra ID

Agar Microsoft Entra ID dapat mengakses akun Cloud Identity atau Google Workspace Anda, Anda harus membuat pengguna untuk Microsoft Entra ID di akun Cloud Identity atau Google Workspace.

Pengguna Microsoft Entra ID hanya dimaksudkan untuk penyediaan otomatis. Oleh karena itu, sebaiknya pisahkan dari akun pengguna lain dengan menempatkannya pada unit organisasi (OU) yang terpisah. Menggunakan OU terpisah juga memastikan bahwa Anda nantinya dapat menonaktifkan single sign-on untuk pengguna Microsoft Entra ID.

Untuk membuat OU baru, lakukan tindakan berikut:

  1. Buka Konsol Admin dan login menggunakan pengguna admin super yang dibuat saat Anda mendaftar ke Cloud Identity atau Google Workspace.
  2. Di menu, buka Direktori > Unit organisasi.
  3. Klik Buat unit organisasi dan berikan nama dan deskripsi untuk OU:
    • Nama: Automation
    • Deskripsi: Automation users
  4. Klik Buat.

Buat akun pengguna untuk Microsoft Entra ID dan tempatkan di Automation OU:

  1. Di menu, buka Direktori > Pengguna dan klik Tambahkan pengguna baru untuk membuat pengguna.
  2. Berikan nama dan alamat email yang sesuai seperti berikut:

    • Nama Depan: Microsoft Entra ID
    • Nama Belakang: Provisioning
    • Email utama: azuread-provisioning

      Tetap gunakan domain primer untuk alamat email.

  3. Klik Kelola sandi, unit organisasi, dan foto profil pengguna dan konfigurasikan setelan berikut:

    • Unit organisasi: Pilih OU Automation yang Anda buat sebelumnya.
    • Sandi: Pilih Buat sandi dan masukkan sandi.
    • Minta perubahan sandi saat login berikutnya: Dinonaktifkan.
  4. Klik Tambahkan pengguna baru.

  5. Klik Done.

Menetapkan hak istimewa ke Microsoft Entra ID

Agar Microsoft Entra ID dapat membuat, mencantumkan, dan menangguhkan pengguna serta grup pada akun Cloud Identity atau Google Workspace, Anda harus memberikan hak istimewa tambahan kepada pengguna azuread-provisioning sebagai berikut:

  • Agar Microsoft Entra ID dapat mengelola semua pengguna, termasuk administrator delegasi dan pengguna admin super, Anda harus menjadikan pengguna azuread-provisioning sebagai admin super.

  • Agar Microsoft Entra ID hanya dapat mengelola pengguna non-admin, Anda cukup menjadikan pengguna azuread-provisioning sebagai administrator delegasi. Sebagai administrator yang didelegasikan, Microsoft Entra ID tidak dapat mengelola administrator delegasi atau pengguna admin super lainnya.

Admin-super

Untuk menjadikan pengguna azuread-provisioning sebagai admin super, lakukan hal berikut:

  1. Cari pengguna yang baru dibuat dalam daftar, lalu klik nama pengguna tersebut untuk membuka halaman akunnya.
  2. Pada bagian Peran dan hak istimewa admin, klik Tetapkan peran.
  3. Aktifkan peran admin super.
  4. Klik Save.

Administrator delegasi

Untuk menjadikan pengguna azuread-provisioning sebagai administrator delegasi, buat peran admin baru dan tetapkan kepada pengguna:

  1. Pada menu, buka Akun > Peran admin.
  2. Klik Buat peran baru.
  3. Berikan nama dan deskripsi untuk peran seperti berikut:
    • Nama: Microsoft Entra ID
    • Deskripsi: Role for automated user and group provisioning
  4. Klik Lanjutkan.
  5. Di layar berikutnya, scroll ke bawah ke bagian yang bernama Hak istimewa Admin API dan tetapkan hak istimewa berikut ke diaktifkan:
    • Unit Organisasi > Baca
    • Pengguna
    • Grup
  6. Klik Lanjutkan.
  7. Klik Buat peran.
  8. Klik Tetapkan pengguna.
  9. Pilih pengguna azuread-provisioning, lalu klik Tetapkan peran.

Mendaftarkan domain

Di Cloud Identity dan Google Workspace, pengguna dan grup diidentifikasi berdasarkan alamat email. Domain yang digunakan oleh alamat email ini harus terdaftar dan terverifikasi terlebih dahulu.

Siapkan daftar domain DNS yang perlu didaftarkan:

  • Jika Anda berencana untuk memetakan pengguna berdasarkan UPN, sertakan semua domain yang digunakan oleh UPN. Jika ragu, sertakan semua domain kustom tenant Microsoft Entra ID Anda.
  • Jika Anda berencana memetakan pengguna berdasarkan alamat email, sertakan semua domain yang digunakan di alamat email. Daftar domain mungkin berbeda dengan daftar domain kustom tenant Microsoft Entra ID Anda.

Jika Anda berencana menyediakan grup, ubah daftar domain DNS:

  • Jika Anda berencana memetakan grup menurut alamat email, sertakan semua domain yang digunakan di alamat email grup. Jika ragu, sertakan semua domain kustom tenant Microsoft Entra ID Anda.
  • Jika Anda berencana memetakan grup berdasarkan nama, sertakan subdomain khusus seperti groups.PRIMARY_DOMAIN, dengan PRIMARY_DOMAIN sebagai nama domain primer akun Cloud Identity atau Google Workspace Anda.

Setelah mengidentifikasi daftar domain DNS, Anda dapat mendaftarkan domain yang tidak ada. Untuk setiap domain dalam daftar yang belum terdaftar, lakukan langkah-langkah berikut:

  1. Pada konsol Admin, buka Akun > Domain > Kelola domain.
  2. Klik Tambahkan domain.
  3. Masukkan nama domain, kemudian pilih Domain sekunder.
  4. Klik Tambahkan domain dan mulai verifikasi lalu ikuti petunjuk untuk memverifikasi kepemilikan domain.

Mengonfigurasi penyediaan Microsoft Entra ID

Membuat aplikasi perusahaan

Anda siap untuk menghubungkan Microsoft Entra ID ke akun Cloud Identity atau Google Workspace dengan menyiapkan aplikasi galeri Google Cloud/G Suite Connector by Microsoft dari Microsoft Azure marketplace.

Aplikasi galeri dapat dikonfigurasi untuk menangani penyediaan pengguna dan single sign-on. Dalam dokumen ini, Anda menggunakan dua instance aplikasi galeri, yaitu satu untuk penyediaan pengguna dan satu untuk single sign-on.

Pertama, buat instance aplikasi galeri untuk menangani penyediaan pengguna:

  1. Buka Portal Azure lalu login sebagai pengguna dengan hak istimewa administrator global.
  2. Pilih Microsoft Entra ID > Enterprise applications.
  3. Klik New application.
  4. Telusuri Google Cloud, lalu klik item Google Cloud/G Suite Connector by Microsoft dalam daftar hasil.
  5. Tetapkan nama aplikasi ke Google Cloud (Provisioning).
  6. Klik Buat.
  7. Menambahkan aplikasi mungkin perlu waktu beberapa detik, Anda kemudian akan dialihkan ke halaman berjudul Google Cloud (Provisioning) - Overview.
  8. Pada menu sebelah kiri, klik Manage > Properties:
    1. Set Enabled for users to sign-in ke No.
    2. Setel Assignment required ke No.
    3. Set Visible to users ke No.
    4. Klik Save.
  9. Pada menu sebelah kiri, klik Manage > Provisioning:

    1. Klik Mulai.
    2. Ubah Provisioning Mode ke Automatic.
    3. Klik Admin Credentials > Authorize.
    4. Login menggunakan pengguna azuread-provisioning@DOMAIN yang Anda buat sebelumnya, dengan DOMAIN sebagai domain primer akun Cloud Identity atau Google Workspace Anda.

    5. Karena ini adalah pertama kalinya Anda login menggunakan pengguna ini, Anda akan diminta untuk menyetujui Persyaratan Layanan Google dan kebijakan privasi Google.

    6. Jika Anda menyetujui persyaratannya, klik Saya mengerti.

    7. Konfirmasi akses ke Cloud Identity API dengan mengklik Allow.

    8. Klik Test Connection untuk memverifikasi bahwa Microsoft Entra ID dapat berhasil melakukan autentikasi dengan Cloud Identity atau Google Workspace.

    9. Klik Save.

Mengonfigurasi penyediaan pengguna

Cara yang tepat untuk mengonfigurasi penyediaan pengguna bergantung pada apakah Anda ingin memetakan pengguna berdasarkan alamat email atau UPN.

UPN

  1. Di bagian Mappings, klik Provision Entra ID Users.
  2. Untuk atribut surname dan givenName, lakukan tindakan berikut:
    1. Klik Edit.
    2. Tetapkan Default value if null ke _.
    3. Klik Oke.
  3. Klik Save.
  4. Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
  5. Klik X untuk menutup dialog Attribute Mapping.

UPN: substitusi domain

  1. Di bagian Mappings, klik Provision Entra ID Users.
  2. Untuk atribut userPrincipalName, lakukan hal berikut:

    1. Klik Edit.
    2. Konfigurasi pemetaan berikut:

      • Mapping type: Expression
      • Expression:

        Replace([userPrincipalName], "@DOMAIN", , , "@SUBSTITUTE_DOMAIN", , )
        

      Ganti kode berikut:

      • DOMAIN: nama domain yang ingin diganti
      • SUBSTITUTE_DOMAIN nama domain yang akan digunakan
    3. Klik Oke.

  3. Untuk atribut surname dan givenName, lakukan hal berikut:

    1. Klik Edit.
    2. Tetapkan Default value if null ke _.
    3. Klik Oke.
  4. Klik Save.

  5. Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.

  6. Klik X untuk menutup dialog Attribute Mapping.

Alamat email

  1. Di bagian Mappings, klik Provision Entra ID Users.
  2. Untuk atribut userPrincipalName, lakukan tindakan berikut:
    1. Klik Edit.
    2. Tetapkan Source attribute ke mail.
    3. Klik Oke.
  3. Untuk atribut surname dan givenName, lakukan tindakan berikut:
    1. Klik Edit.
    2. Tetapkan Default value if null ke _.
    3. Klik Oke.
  4. Klik Save.
  5. Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
  6. Klik X untuk menutup dialog Attribute Mapping.

Anda harus mengonfigurasi pemetaan untuk primaryEmail, name.familyName, name.givenName, dan suspended. Semua pemetaan atribut lainnya bersifat opsional.

Saat Anda mengonfigurasi pemetaan atribut tambahan, perhatikan hal berikut:

  • Galeri Google Cloud/G Suite Connector dari Microsoft saat ini tidak mengizinkan Anda menetapkan alias email.
  • Galeri Google Cloud/G Suite Connector dari Microsoft saat ini tidak mengizinkan Anda menetapkan lisensi kepada pengguna Sebagai solusinya, pertimbangkan untuk menyiapkan pemberian lisensi otomatis untuk unit organisasi.
  • Untuk menetapkan pengguna ke unit organisasi, tambahkan pemetaan untuk OrgUnitPath. Jalurnya harus dimulai dengan karakter / dan harus merujuk ke unit organisasi yang sudah ada, misalnya /employees/engineering.

Mengonfigurasi penyediaan grup

Cara yang tepat untuk mengonfigurasi penyediaan grup bergantung pada apakah grup Anda diaktifkan untuk email atau tidak. JIka grup tidak diaktifkan untuk email, atau jika grup menggunakan alamat email yang berakhiran "onmicrosoft.com", Anda dapat memperoleh alamat email dari nama grup.

Tidak ada pemetaan grup

  1. Di bagian Mappings, klik Provision Entra ID Groups.
  2. Set Enabled ke No.
  3. Klik Save.
  4. Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
  5. Klik X untuk menutup dialog Attribute Mapping.

Nama

  1. Di bagian Mappings, klik Provision Entra ID Groups.
  2. Untuk atribut mail, lakukan hal berikut:
    1. Klik Edit.
    2. Konfigurasikan setelan berikut:
      1. Jenis pemetaan: Ekspresi.
      2. Ekspresi: Join("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN"). Ganti GROUPS_DOMAIN dengan domain yang seharusnya digunakan oleh semua alamat email grup—misalnya, groups.example.com.
      3. Atribut target: email.
    3. Klik Oke.
  3. Klik Save.
  4. Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
  5. Klik X untuk menutup dialog Attribute Mapping.

Alamat email

  • Jika Anda memetakan grup berdasarkan alamat email, jangan ubah setelan default-nya.

Mengonfigurasi penetapan pengguna

Jika mengetahui bahwa hanya sebagian pengguna tertentu yang memerlukan akses ke Google Cloud, Anda dapat secara opsional membatasi kumpulan pengguna yang akan disediakan dengan menetapkan aplikasi perusahaan untuk pengguna atau kelompok pengguna tertentu.

Jika ingin semua pengguna disediakan, Anda dapat melewati langkah-langkah berikut.

  1. Di menu sebelah kiri, klik Manage > Users and groups.
  2. Tambahkan pengguna atau grup yang ingin Anda sediakan. Jika Anda memilih grup, semua anggota grup ini akan disediakan secara otomatis.
  3. Klik Tetapkan.

Mengaktifkan penyediaan otomatis

Langkah berikutnya adalah mengonfigurasi Microsoft Entra ID untuk menyediakan pengguna secara otomatis ke Cloud Identity atau Google Workspace:

  1. Pada menu sebelah kiri, klik Manage > Provisioning.
  2. Pilih Edit provisioning.
  3. Set Provisioning Status ke On.
  4. Di bagian Settings, set Scope ke salah satu opsi berikut:

    1. Sync only assigned users and groups jika Anda telah mengonfigurasi penetapan pengguna.
    2. Sync all users and groups jika tidak.

    Jika kotak untuk menetapkan cakupan ini tidak ditampilkan, klik Save dan muat ulang halaman tersebut.

  5. Klik Save.

Microsoft Entra ID memulai sinkronisasi awal. Bergantung pada jumlah pengguna dan grup dalam direktori, proses ini dapat memerlukan waktu beberapa menit atau jam. Anda dapat memuat ulang halaman browser untuk melihat status sinkronisasi di bagian bawah halaman, atau pilih Audit Logs pada menu untuk melihat detail selengkapnya.

Setelah sinkronisasi awal selesai, Microsoft Entra ID akan menerapkan update dari Microsoft Entra ID secara berkala ke akun Cloud Identity atau Google Workspace Anda. Untuk mengetahui detail selengkapnya tentang cara Microsoft Entra ID menangani modifikasi pengguna dan grup, lihat Memetakan siklus hidup pengguna dan Memetakan siklus hidup grup.

Pemecahan masalah

Jika sinkronisasi tidak dimulai dalam waktu lima menit, Anda dapat memaksanya untuk memulai dengan melakukan hal berikut:

  1. Klik Edit provisioning.
  2. Set Provisioning Status ke Off.
  3. Klik Save.
  4. Set Provisioning Status ke On.
  5. Klik Simpan.
  6. Tutup dialog penyediaan.
  7. Klik Mulai ulang penyediaan.

Jika sinkronisasi masih tidak dimulai, klik Uji Koneksi untuk memverifikasi bahwa kredensial Anda berhasil disimpan.

Mengonfigurasi Microsoft Entra ID untuk single sign-on

Meskipun semua pengguna Microsoft Entra ID yang relevan kini secara otomatis disediakan ke Cloud Identity atau Google Workspace, Anda belum dapat menggunakan pengguna ini untuk login. Agar pengguna dapat login, Anda tetap harus mengonfigurasi single sign-on.

Membuat profil SAML

Untuk mengonfigurasi single sign-on dengan Microsoft Entra ID, Anda harus membuat profil SAML di akun Cloud Identity atau Google Workspace terlebih dahulu. Profil SAML berisi setelan yang terkait dengan tenant Microsoft Entra ID Anda, termasuk URL dan sertifikat penandatanganannya.

Kemudian, Anda menetapkan profil SAML ke grup atau unit organisasi tertentu.

Untuk membuat profil SAML baru di akun Cloud Identity atau Google Workspace, lakukan hal berikut:

  1. Di Konsol Admin, buka SSO dengan IdP pihak ketiga.

    Buka SSO dengan IdP pihak ketiga

  2. Klik Profil SSO pihak ketiga > Tambahkan profil SAML.

  3. Di halaman SAML SSO profile, masukkan setelan berikut:

    • Nama: Entra ID
    • ID entitas IdP: Biarkan kosong
    • URL halaman login: Biarkan kosong
    • URL halaman logout:: Biarkan kosong
    • URL ubah sandi:: Kosongkan

    Jangan upload sertifikat verifikasi dulu.

  4. Klik Simpan.

    Halaman Profil SSO SAML yang muncul berisi dua URL:

    • ID Entitas
    • URL ACS

    Anda memerlukan URL ini di bagian berikutnya saat mengonfigurasi Microsoft Entra ID.

Membuat aplikasi Microsoft Entra ID

Buat aplikasi perusahaan kedua untuk menangani single sign-on:

  1. Pada Portal Azure, buka Microsoft Entra ID > Enterprise applications.
  2. Klik New application.
  3. Telusuri Google Cloud, lalu klik item Google Cloud/G Suite Connector by Microsoft dalam daftar hasil.
  4. Tetapkan nama aplikasi ke Google Cloud.
  5. Klik Create.

    Menambahkan aplikasi mungkin memerlukan waktu beberapa detik. Anda kemudian akan dialihkan ke halaman berjudul Google Cloud - Overview.

  6. Pada menu sebelah kiri, klik Manage > Properties.

  7. Set Enabled for users to sign-in ke Yes.

  8. Tetapkan Assignment required ke Yes kecuali jika Anda ingin mengizinkan semua pengguna menggunakan single sign-on.

  9. Klik Simpan.

Mengonfigurasi penetapan pengguna

Jika sudah mengetahui bahwa hanya sebagian pengguna tertentu yang memerlukan akses ke Google Cloud, Anda dapat secara opsional membatasi sekelompok pengguna yang akan diizinkan untuk login dengan cara menetapkan aplikasi perusahaan kepada pengguna atau kelompok pengguna tertentu.

Jika Anda sudah menetapkan User assignment required ke No sebelumnya, Anda dapat melewati langkah-langkah berikut.

  1. Di menu sebelah kiri, klik Manage > Users and groups.
  2. Tambahkan pengguna atau grup yang ingin Anda izinkan untuk Single Sign-On.
  3. Klik Tetapkan.

Mengaktifkan single sign-on

Agar Cloud Identity dapat menggunakan Microsoft Entra ID untuk autentikasi, Anda harus menyesuaikan beberapa setelan:

  1. Pada menu di sebelah kiri, klik Manage > Single sign-on.
  2. Di layar balot, klik kartu SAML.
  3. Di kartu Basic SAML Configuration, klik Edit.
  4. Pada dialog Basic SAML Configuration, masukkan setelan berikut:

    1. ID (Entity ID):
      • Tambahkan URL Entitas dari profil SSO Anda dan tetapkan Default ke enabled.
      • Hapus semua entri lainnya.
    2. Reply URL: Tambahkan URL ACS dari profil SSO Anda.
    3. URL login:

      https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
      

      Ganti PRIMARY_DOMAIN dengan nama domain primer yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.

  5. Klik Save, lalu tutup dialog dengan mengklik X.

  6. Pada kartu SAML Signing Certificate, temukan entri berlabel Certificate (Base 64) lalu klik Download untuk mendownload sertifikat ke komputer lokal Anda.

  7. Di kartu Set up Google Cloud, Anda akan menemukan dua URL:

    • URL Login
    • ID Microsoft Entra ID

    Anda memerlukan URL ini di bagian berikutnya saat menyelesaikan profil SAML.

Langkah-langkah berikutnya akan berbeda bergantung pada apakah Anda memetakan pengguna berdasarkan alamat email atau UPN.

UPN

  1. Pada kartu Attributes & Claims, klik Edit.
  2. Hapus semua klaim yang tercantum di bagian Additional claims. Anda dapat menghapus data dengan mengklik tombol lalu pilih Delete.

    Daftar atribut dan klaim terlihat seperti berikut:

    Dialog Atribut & Klaim Pengguna.

  3. Tutup dialog dengan mengklik X.

UPN: substitusi domain

  1. Di kartu User Attributes & Claims, klik Edit.
  2. Hapus semua klaim yang tercantum di bagian Additional claims. Anda dapat menghapus data dengan mengklik tombol lalu pilih Delete.

    Daftar atribut dan klaim terlihat seperti berikut:

    Dialog Atribut & Klaim Pengguna.

  3. Klik Unique User Identifier (Name ID) untuk mengubah pemetaan klaim.

  4. Set Source ke Transformation dan konfigurasikan transformasi berikut:

    • Transformation: ExtractMailPrefix()
    • Parameter 1: user.userPrincipalName
  5. Pilih Add transformation lalu konfigurasi transformasi berikut:

    • Transformation: Join()
    • Separator: @
    • Parameter 2: Masukkan nama domain pengganti.

    Anda harus menggunakan nama domain pengganti yang sama untuk penyediaan pengguna dan single sign-on. Jika nama domain tidak tercantum, Anda mungkin perlu memverifikasinya terlebih dahulu .

  6. Klik Tambahkan.

  7. Klik Save.

  8. Tutup dialog dengan mengklik X.

Alamat email

  1. Di kartu User Attributes & Claims, klik Edit.
  2. Pilih baris berlabel Unique User Identifier (Name ID).
  3. Ubah Source attribute ke user.mail.
  4. Klik Save.
  5. Hapus semua klaim yang tercantum di bagian Additional claims. Untuk menghapus semua data klik , lalu klik Delete.

    Dialog Atribut & Klaim Pengguna.

  6. Tutup dialog dengan mengklik .

Lengkapi profil SAML

Selesaikan konfigurasi profil SAML Anda:

  1. Kembali ke Konsol Admin, lalu buka Keamanan > Autentikasi > SSO dengan IdP pihak ketiga.

    Buka SSO dengan IdP pihak ketiga

  2. Buka profil SAML Entra ID yang Anda buat sebelumnya.

  3. Klik bagian IDP details untuk mengedit setelan.

  4. Masukkan setelan berikut:

    • ID entitas IdP: Masukkan Microsoft Entra Identifier dari kartu Set up Google Cloud di Portal Azure.
    • Sign-in page URL: Masukkan Login URL dari kartu Set up Google Cloud di Portal Azure.
    • URL halaman logout: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
    • Change password URL: https://account.activedirectory.windowsazure.com/changepassword.aspx
  5. Di bagian Verification certificate, klik Upload certificate, lalu pilih sertifikat penandatanganan token yang Anda download sebelumnya.

  6. Klik Simpan.

Sertifikasi penandatanganan token ID Microsoft Entra valid selama jangka waktu terbatas dan Anda harus merotasi sertifikat sebelum masa berlakunya habis. Untuk informasi selengkapnya, lihat Merotasi sertifikat single sign-on nanti dalam dokumen ini.

Profil SAML Anda sudah selesai, tetapi Anda masih perlu menetapkannya.

Menetapkan profil SAML

Pilih pengguna yang akan menggunakan profil SAML baru:

  1. Di Konsol Admin, pada halaman SSO dengan IDP pihak ketiga, klik Kelola penetapan profil SSO > Kelola.

    Buka Kelola penetapan profil SSO

  2. Di panel kiri, pilih grup atau unit organisasi yang ingin Anda terapkan profil SSO. Untuk menerapkan profil ke semua pengguna, pilih unit organisasi root.

  3. Di panel kanan, pilih Profil SSO lain.

  4. Di menu, pilih profil SSO Entra ID - SAML yang Anda buat sebelumnya.

  5. Klik Simpan.

Untuk menetapkan profil SAML ke grup atau unit organisasi lain, ulangi langkah-langkah di atas.

Perbarui setelan SSO untuk OUAutomation untuk menonaktifkan single sign-on:

  1. Di panel kiri, pilih OU Automation.
  2. Di panel kanan, pilih Tidak ada.
  3. Klik Ganti.

Opsional: Mengonfigurasi pengalihan untuk URL layanan khusus domain

Saat menautkan ke konsol Google Cloud dari portal atau dokumen internal, Anda dapat meningkatkan pengalaman pengguna dengan menggunakan URL layanan khusus domain.

Tidak seperti URL layanan reguler seperti https://console.cloud.google.com/, URL layanan khusus domain menyertakan nama domain utama Anda. Pengguna yang tidak diautentikasi yang mengklik link ke URL layanan khusus domain akan langsung dialihkan ke Entra ID, bukan ditampilkan halaman login Google terlebih dahulu.

Contoh untuk URL layanan khusus domain mencakup:

Google service URL Logo
Konsol Google Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Logo Google Cloud
Google Dokumen https://docs.google.com/a/DOMAIN Logo Google Dokumen
Google Spreadsheet https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Logo Google Spreadsheet
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Logo Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logo Google Drive
Gmail https://mail.google.com/a/DOMAIN Logo Gmail
Google Grup https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Logo Google Grup
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Logo Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Logo Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logo YouTube

Untuk mengonfigurasi URL layanan khusus domain agar dialihkan ke Entra ID, lakukan langkah berikut:

  1. Di Konsol Admin, pada halaman SSO dengan IDP pihak ketiga, klik URL layanan khusus domain > Edit.

    Buka URL layanan khusus domain

  2. Tetapkan Otomatis mengalihkan pengguna ke IdP pihak ketiga di profil SSO berikut ke aktif.

  3. Tetapkan Profil SSO ke Entra ID.

  4. Klik Simpan.

Opsional: Mengonfigurasi verifikasi login

Login dengan Google mungkin meminta verifikasi tambahan kepada pengguna saat mereka login dari perangkat yang tidak dikenal atau saat upaya login mereka terlihat mencurigakan karena alasan lain. Verifikasi login ini membantu meningkatkan keamanan dan sebaiknya Anda mengaktifkan verifikasi login.

Jika Anda mendapati bahwa verifikasi login menyebabkan terlalu banyak hambatan, Anda dapat menonaktifkan verifikasi login dengan melakukan hal berikut:

  1. Di Konsol Admin, buka Keamanan > Autentikasi > Verifikasi login.
  2. Di panel kiri, pilih unit organisasi yang verifikasi loginnya ingin Anda nonaktifkan. Untuk menonaktifkan verifikasi login bagi semua pengguna, pilih unit organisasi root.
  3. Di bagian Setelan untuk pengguna yang login menggunakan profil SSO lain, pilih Jangan minta pengguna melakukan verifikasi tambahan dari Google.
  4. Klik Simpan.

Menguji Single Sign-On

Setelah menyelesaikan konfigurasi single sign-on di Microsoft Entra ID dan Cloud Identity atau Google Workspace, Anda dapat mengakses Google Cloud dengan dua cara:

Untuk memeriksa apakah opsi kedua berfungsi sebagaimana mestinya, jalankan pengujian berikut:

  1. Pilih pengguna Microsoft Entra ID yang telah disediakan untuk Cloud Identity atau Google Workspace dan yang tidak memiliki hak istimewa admin super. Pengguna dengan hak istimewa admin super selalu harus login menggunakan kredensial Google, sehingga tidak cocok untuk menguji single sign-on.
  2. Buka jendela browser baru, lalu buka https://console.cloud.google.com/.
  3. Di halaman Login dengan Google yang muncul, masukkan alamat email pengguna dan klik Next. Jika Anda menggunakan substitusi domain, alamat ini harus merupakan alamat email dengan substitusi yang diterapkan.

    Dialog Login dengan Google.

  4. Anda akan dialihkan ke Microsoft Entra ID dan akan melihat perintah login lainnya. Masukkan alamat email pengguna (tanpa penggantian domain) dan klik Next.

    Dialog login Microsoft Entra ID.

  5. Setelah memasukkan sandi, Anda akan diminta untuk tetap login atau tidak. Untuk saat ini, pilih No.

    Setelah autentikasi berhasil, Microsoft Entra ID akan mengalihkan Anda kembali ke Login dengan Google. Karena ini pertama kalinya Anda login menggunakan pengguna ini, Anda diminta untuk menyetujui Persyaratan Layanan Google dan kebijakan privasi Google.

  6. Jika Anda menyetujui persyaratannya, klik Saya mengerti.

    Anda dialihkan ke konsol Google Cloud, yang meminta Anda untuk mengonfirmasi preferensi dan menyetujui Persyaratan Layanan Google Cloud.

  7. Jika Anda menyetujui persyaratannya, pilih Yes dan klik Agree and continue.

  8. Klik ikon avatar di kiri atas halaman, lalu klik Sign out.

    Anda akan dialihkan ke halaman Microsoft Entra ID yang mengonfirmasi bahwa Anda berhasil logout.

Perlu diingat bahwa pengguna dengan hak istimewa admin super dikecualikan dari single sign-on, sehingga Anda masih dapat menggunakan Konsol Admin untuk memverifikasi atau mengubah setelan.

Merotasi sertifikat single sign-on

Sertifikasi penandatanganan token ID Microsoft Entra hanya valid untuk beberapa bulan, dan Anda harus mengganti sertifikat tersebut sebelum masa berlakunya habis.

Untuk merotasi sertifikat penandatanganan, tambahkan sertifikat tambahan ke aplikasi Microsoft Entra ID:

  1. Pada Portal Azure, buka Microsoft Entra ID > Enterprise applications lalu buka aplikasi yang Anda buat untuk single sign-on.
  2. Pada menu di sebelah kiri, klik Manage > Single sign-on.
  3. Pada kartu SAML Signing Certificate, klik Edit.

    Anda akan melihat daftar yang berisi satu atau beberapa sertifikat. Satu sertifikat ditandai sebagai Active.

  4. Klik New certificate.

  5. Tetap gunakan setelan penandatanganan default, lalu klik Save.

    Sertifikat ini ditambahkan ke daftar sertifikat dan diberi tanda Inactive.

  6. Pilih sertifikat baru, lalu klik  > Base64 certificate download.

    Biarkan jendela browser tetap terbuka dan jangan tutup dialog.

Untuk menggunakan sertifikat baru, lakukan hal berikut:

  1. Buka tab atau jendela browser baru.

  2. Buka Konsol Admin, lalu buka SSO dengan IdP pihak ketiga.

    Buka SSO dengan IdP pihak ketiga

  3. Buka profil SAML Entra ID.

  4. Klik IDP details.

  5. Klik Upload another certificate lalu pilih sertifikat baru yang Anda download sebelumnya.

  6. Klik Simpan.

  7. Kembali ke portal Microsoft Entra ID dan dialog SAML Signing Certificate.

  8. Pilih sertifikat baru, lalu klik  > Make certificate active.

  9. Klik Yes untuk mengaktifkan sertifikat.

    Microsoft Entra ID sekarang menggunakan sertifikat penandatanganan baru.

  10. Uji apakah SSO masih berfungsi seperti yang diharapkan. Untuk mengetahui informasi selengkapnya, lihat Menguji single sign-on.

Untuk menghapus sertifikat lama, lakukan hal berikut:

  1. Kembali ke Konsol Admin dan profil SAML Entra ID.
  2. Klik IDP details.
  3. Di bagian Sertifikat verifikasi, bandingkan tanggal habis masa berlaku sertifikat Anda untuk menemukan sertifikat lama, lalu klik .
  4. Klik Simpan.

Pembersihan

Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

Untuk menonaktifkan single sign-on pada akun Cloud Identity atau Google Workspace Anda, ikuti langkah-langkah berikut:

  1. Di Konsol Admin, buka Kelola penetapan profil SSO.

    Buka Kelola penetapan profil SSO

  2. Untuk setiap penetapan profil, lakukan hal berikut:

    1. Buka profil.
    2. Jika Anda melihat tombol Wariskan, klik Wariskan. Jika Anda tidak melihat tombol Inherit, pilih None, lalu klik Save.
  3. Kembali ke halaman SSO dengan IDP pihak ketiga dan buka profil SAML Microsoft Entra ID.

  4. Klik Hapus.

Anda dapat menghapus setelan single sign-on dan penyediaan di Microsoft Entra ID dengan cara sebagai berikut:

  1. Pada Portal Azure, buka Microsoft Entra ID > Enterprise applications.
  2. Dari daftar aplikasi, pilih Google Cloud.
  3. Pada menu di sebelah kiri, klik Manage > Single sign-on.
  4. Klik Delete.
  5. Konfirmasi penghapusan dengan mengklik Yes.

Langkah berikutnya