Dokumen ini menunjukkan cara menyiapkan penyediaan pengguna dan single sign-on antara tenant Microsoft Entra ID (sebelumnya Azure AD) dan akun Cloud Identity atau Google Workspace Anda.
Pada dokumen ini, Anda diasumsikan sudah menggunakan Microsoft Office 365 atau Microsoft Entra ID di organisasi Anda dan ingin menggunakan Microsoft Entra ID agar pengguna dapat melakukan autentikasi dengan Google Cloud. Microsoft Entra ID sendiri mungkin terhubung ke Active Directory lokal dan mungkin menggunakan federasi AD FS, autentikasi pass-through, atau sinkronisasi hash sandi.
Tujuan
- Menyiapkan Microsoft Entra ID untuk menyediakan pengguna dan, grup ke Cloud Identity atau Google Workspace secara otomatis.
- Mengonfigurasi Single Sign-On agar pengguna dapat login ke Google Cloud menggunakan akun pengguna Microsoft Entra ID atau pengguna yang telah disediakan dari Active Directory ke Microsoft Entra ID.
Biaya
Jika Anda menggunakan Cloud Identity edisi gratis, penyiapan penggabungan dengan Microsoft Entra ID tidak akan menggunakan komponen Google Cloud yang dapat ditagih.
lihat halaman harga Microsoft Entra ID untuk mengetahui biaya yang mungkin berlaku pada penggunaan Microsoft Entra ID.
Sebelum memulai
- Pastikan Anda memahami perbedaan antara menghubungkan Google Cloud ke Microsoft Entra ID dibandingkan dengan secara langsung menghubungkan Google Cloud ke Active Directory.
- Tentukan cara yang Anda inginkan untuk memetakan
identities,
grup,
dan domain
antara Microsoft Entra ID dan Cloud Identity atau Google Workspace.
Secara khusus, jawab pertanyaan berikut ini:
- Apakah Anda berencana untuk menggunakan alamat email atau Nama Utama Pengguna (UPN) sebagai ID umum untuk pengguna?
- Apakah Anda berencana untuk menyediakan grup? Jika demikian, apakah Anda berencana untuk memetakan grup berdasarkan alamat email atau nama?
- Apakah Anda berencana untuk menyediakan semua pengguna ke Google Cloud atau hanya sebagian pengguna tertentu?
- Sebelum menghubungkan tenant Microsoft Entra ID produksi ke Google Cloud, pertimbangkan untuk menggunakan tenant pengujian Microsoft Entra ID untuk menyiapkan dan menguji penyediaan pengguna.
- Daftar ke Cloud Identity jika Anda belum memiliki akun.
- Jika Anda menggunakan Cloud Identity edisi gratis dan bermaksud untuk menyediakan lebih dari 50 pengguna, minta penambahan jumlah total pengguna Cloud Identity gratis melalui kontak dukungan Anda.
- Jika Anda mencurigai bahwa salah satu domain yang akan Anda gunakan untuk Cloud Identity mungkin telah digunakan oleh karyawan untuk mendaftarkan akun konsumen, pertimbangkan untuk memigrasikan akun pengguna ini terlebih dahulu. Untuk mengetahui detail selengkapnya, lihat Menilai akun pengguna yang ada.
Menyiapkan akun Cloud Identity atau Google Workspace
Membuat pengguna untuk Microsoft Entra ID
Agar Microsoft Entra ID dapat mengakses akun Cloud Identity atau Google Workspace Anda, Anda harus membuat pengguna untuk Microsoft Entra ID di akun Cloud Identity atau Google Workspace.
Pengguna Microsoft Entra ID hanya dimaksudkan untuk penyediaan otomatis. Oleh karena itu, sebaiknya pisahkan dari akun pengguna lain dengan menempatkannya pada unit organisasi (OU) yang terpisah. Menggunakan OU terpisah juga memastikan bahwa Anda nantinya dapat menonaktifkan single sign-on untuk pengguna Microsoft Entra ID.
Untuk membuat OU baru, lakukan tindakan berikut:
- Buka Konsol Admin dan login menggunakan pengguna admin super yang dibuat saat Anda mendaftar ke Cloud Identity atau Google Workspace.
- Di menu, buka Direktori > Unit organisasi.
- Klik Buat unit organisasi dan berikan nama dan deskripsi untuk OU:
- Nama:
Automation
- Deskripsi:
Automation users
- Nama:
- Klik Create.
Buat akun pengguna untuk Microsoft Entra ID dan tempatkan di Automation
OU:
- Di menu, buka Direktori > Pengguna dan klik Tambahkan pengguna baru untuk membuat pengguna.
Berikan nama dan alamat email yang sesuai seperti berikut:
- Nama Depan:
Microsoft Entra ID
- Nama Belakang:
Provisioning
Email utama:
azuread-provisioning
Tetap gunakan domain primer untuk alamat email.
- Nama Depan:
Klik Kelola sandi, unit organisasi, dan foto profil pengguna dan konfigurasikan setelan berikut:
- Unit organisasi: Pilih OU
Automation
yang Anda buat sebelumnya. - Sandi: Pilih Buat sandi dan masukkan sandi.
- Minta perubahan sandi saat login berikutnya: Dinonaktifkan.
- Unit organisasi: Pilih OU
Klik Tambahkan pengguna baru.
Klik Done.
Menetapkan hak istimewa ke Microsoft Entra ID
Agar Microsoft Entra ID dapat membuat, mencantumkan, dan menangguhkan pengguna serta grup pada
akun Cloud Identity atau Google Workspace, Anda harus memberikan
hak istimewa tambahan kepada pengguna azuread-provisioning
sebagai berikut:
Agar Microsoft Entra ID dapat mengelola semua pengguna, termasuk administrator delegasi dan pengguna admin super, Anda harus menjadikan pengguna
azuread-provisioning
sebagai admin super.Agar Microsoft Entra ID hanya dapat mengelola pengguna non-admin, Anda cukup menjadikan pengguna
azuread-provisioning
sebagai administrator delegasi. Sebagai administrator yang didelegasikan, Microsoft Entra ID tidak dapat mengelola administrator delegasi atau pengguna admin super lainnya.
Admin-super
Untuk menjadikan pengguna azuread-provisioning
sebagai admin super, lakukan hal berikut:
- Cari pengguna yang baru dibuat dalam daftar, lalu klik nama pengguna tersebut untuk membuka halaman akunnya.
- Pada bagian Peran dan hak istimewa admin, klik Tetapkan peran.
- Aktifkan peran admin super.
- Klik Save.
Administrator delegasi
Untuk menjadikan pengguna azuread-provisioning
sebagai administrator delegasi, buat
peran admin baru dan tetapkan kepada pengguna:
- Pada menu, buka Akun > Peran admin.
- Klik Buat peran baru.
- Berikan nama dan deskripsi untuk peran seperti berikut:
- Nama:
Microsoft Entra ID
- Deskripsi:
Role for automated user and group provisioning
- Nama:
- Klik Lanjutkan.
- Di layar berikutnya, scroll ke bawah ke bagian yang bernama Hak istimewa Admin API
dan tetapkan hak istimewa berikut ke diaktifkan:
- Unit Organisasi > Baca
- Pengguna
- Grup
- Klik Lanjutkan.
- Klik Buat peran.
- Klik Tetapkan pengguna.
- Pilih pengguna
azuread-provisioning
, lalu klik Tetapkan peran.
Mendaftarkan domain
Di Cloud Identity dan Google Workspace, pengguna dan grup diidentifikasi berdasarkan alamat email. Domain yang digunakan oleh alamat email ini harus terdaftar dan terverifikasi terlebih dahulu.
Siapkan daftar domain DNS yang perlu didaftarkan:
- Jika Anda berencana untuk memetakan pengguna berdasarkan UPN, sertakan semua domain yang digunakan oleh UPN. Jika ragu, sertakan semua domain kustom tenant Microsoft Entra ID Anda.
- Jika Anda berencana memetakan pengguna berdasarkan alamat email, sertakan semua domain yang digunakan di alamat email. Daftar domain mungkin berbeda dengan daftar domain kustom tenant Microsoft Entra ID Anda.
Jika Anda berencana menyediakan grup, ubah daftar domain DNS:
- Jika Anda berencana memetakan grup menurut alamat email, sertakan semua domain yang digunakan di alamat email grup. Jika ragu, sertakan semua domain kustom tenant Microsoft Entra ID Anda.
- Jika Anda berencana memetakan grup berdasarkan nama, sertakan subdomain khusus seperti
groups.PRIMARY_DOMAIN
, denganPRIMARY_DOMAIN
sebagai nama domain primer akun Cloud Identity atau Google Workspace Anda.
Setelah mengidentifikasi daftar domain DNS, Anda dapat mendaftarkan domain yang tidak ada. Untuk setiap domain dalam daftar yang belum terdaftar, lakukan langkah-langkah berikut:
- Pada konsol Admin, buka Akun > Domain > Kelola domain.
- Klik Tambahkan/hapus domain.
- Klik Tambahkan domain.
- Masukkan nama domain, kemudian pilih Domain sekunder.
- Klik Tambahkan domain dan mulai verifikasi lalu ikuti petunjuk untuk memverifikasi kepemilikan domain.
Mengonfigurasi penyediaan Microsoft Entra ID
Membuat aplikasi perusahaan
Sekarang Anda siap untuk menghubungkan Microsoft Entra ID ke akun Cloud Identity atau Google Workspace dengan menyiapkan aplikasi galeri Google Cloud/G Suite Connector by Microsoft dari Microsoft Marketplace Azure.
Aplikasi galeri dapat dikonfigurasi untuk menangani penyediaan pengguna dan single sign-on. Dalam dokumen ini, Anda menggunakan dua instance aplikasi galeri, yaitu satu untuk penyediaan pengguna dan satu untuk single sign-on.
Pertama, buat instance aplikasi galeri untuk menangani penyediaan pengguna:
- Buka Portal Azure lalu login sebagai pengguna dengan hak istimewa administrator global.
- Pilih Microsoft Entra ID > Enterprise applications.
- Klik New application.
- Telusuri Google Cloud, lalu klik item Google Cloud/G Suite Connector by Microsoft dalam daftar hasil.
- Tetapkan nama aplikasi ke
Google Cloud (Provisioning)
. - Klik Create.
- Menambahkan aplikasi mungkin perlu waktu beberapa detik, Anda kemudian akan dialihkan ke halaman berjudul Google Cloud (Provisioning) - Overview.
- Pada menu sebelah kiri, klik Manage > Properties:
- Set Enabled for users to sign-in ke No.
- Set User assignment required ke No.
- Set Visible to users ke No.
- Klik Save.
- Pada menu sebelah kiri, klik Manage > Provisioning:
- Klik Get started.
- Ubah Provisioning Mode ke Automatic.
- Klik Admin Credentials > Authorize.
- Login menggunakan pengguna
azuread-provisioning@DOMAIN
yang Anda buat sebelumnya, denganDOMAIN
sebagai domain primer akun Cloud Identity atau Google Workspace Anda. - Karena ini adalah pertama kalinya Anda login menggunakan pengguna ini, Anda akan diminta untuk menyetujui Persyaratan Layanan Google dan kebijakan privasi Google.
- Jika Anda menyetujui persyaratannya, klik Saya mengerti.
- Konfirmasi akses ke Cloud Identity API dengan mengklik Allow.
- Klik Test Connection untuk memverifikasi bahwa Microsoft Entra ID dapat berhasil melakukan autentikasi dengan Cloud Identity atau Google Workspace.
- Klik Save.
Mengonfigurasi penyediaan pengguna
Cara yang tepat untuk mengonfigurasi penyediaan pengguna bergantung pada apakah Anda ingin memetakan pengguna berdasarkan alamat email atau UPN.
UPN
- Di bagian Mappings, klik Provision Azure Active Directory Users.
- Di bagian Attribute Mappings, pilih baris surname
and set Default value if null ke
_
. - Pilih baris givenName
dan set Default value if null ke
_
. - Klik OK.
- Klik Save.
- Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
- Klik X untuk menutup dialog Attribute Mapping.
UPN: substitusi domain
- Di bagian Mappings, klik Provision Azure Active Directory Users.
Di bagian Attribute Mapping, pilih baris userPrincipalName dan konfigurasikan pemetaan berikut:
- Mapping type: Expression
Expression:
Replace([userPrincipalName], "@DOMAIN", , , "@SUBSTITUTE_DOMAIN", , )
Ganti kode berikut:
DOMAIN
: nama domain yang ingin digantiSUBSTITUTE_DOMAIN
nama domain yang akan digunakan
Klik OK.
Pilih baris surname dan set Default value if null ke
_
.Pilih baris givenName dan set Default value if null ke
_
.Klik OK.
Klik Save.
Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
Klik X untuk menutup dialog Attribute Mapping.
Alamat email
- Di bagian Mappings, klik Provision Azure Active Directory Users.
- Di bagian Attribute Mapping, pilih baris userPrincipalName dan set Source Attribute ke mail.
- Pilih baris surname
dan set Default value if null ke
_
. - Pilih baris givenName
dan set Default value if null ke
_
. - Klik OK.
- Klik Save.
- Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
- Klik X untuk menutup dialog Attribute Mapping.
Anda harus mengonfigurasi pemetaan untuk primaryEmail
, name.familyName
, name.givenName
,
dan suspended
. Semua pemetaan atribut lainnya bersifat opsional.
Saat Anda mengonfigurasi pemetaan atribut tambahan, perhatikan hal berikut:
- Galeri Google Cloud/G Suite Connector dari Microsoft saat ini tidak mengizinkan Anda menetapkan alias email.
- Galeri Google Cloud/G Suite Connector dari Microsoft saat ini tidak mengizinkan Anda menetapkan lisensi kepada pengguna Sebagai solusinya, pertimbangkan untuk menyiapkan pemberian lisensi otomatis untuk unit organisasi.
- Untuk menetapkan pengguna ke unit organisasi, tambahkan pemetaan untuk
OrgUnitPath
. Jalurnya harus dimulai dengan karakter/
dan harus merujuk ke unit organisasi yang sudah ada, misalnya/employees/engineering
.
Mengonfigurasi penyediaan grup
Cara yang tepat untuk mengonfigurasi penyediaan grup bergantung pada apakah grup Anda diaktifkan untuk email atau tidak. JIka grup tidak diaktifkan untuk email, atau jika grup menggunakan alamat email yang berakhiran "onmicrosoft.com", Anda dapat memperoleh alamat email dari nama grup.
Tidak ada pemetaan grup
- Di bagian Mappings, klik Provision Azure Active Directory Groups.
- Set Enabled ke No.
- Klik Save.
- Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
- Klik X untuk menutup dialog Attribute Mapping.
Nama
- Di bagian Mappings, klik Provision Azure Active Directory Groups.
- Di bagian Attribute Mappings , klik mail, yang akan membuka dialog Edit Attribute.
- Konfigurasikan setelan berikut:
- Jenis pemetaan: Ekspresi.
- Ekspresi:
Join("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN")
. GantiGROUPS_DOMAIN
dengan domain yang seharusnya digunakan oleh semua alamat email grup—misalnya,groups.example.com
. - Atribut target: email.
- Klik OK.
- Klik Save.
- Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
- Klik X untuk menutup dialog Attribute Mapping.
Alamat email
- Jika Anda memetakan grup berdasarkan alamat email, jangan ubah setelan default-nya.
Mengonfigurasi penetapan pengguna
Jika mengetahui bahwa hanya sebagian pengguna tertentu yang memerlukan akses ke Google Cloud, Anda dapat secara opsional membatasi kumpulan pengguna yang akan disediakan dengan menetapkan aplikasi perusahaan untuk pengguna atau kelompok pengguna tertentu.
Jika ingin semua pengguna disediakan, Anda dapat melewati langkah-langkah berikut.
- Di menu sebelah kiri, klik Manage > Users and groups.
- Klik Tambahkan pengguna.
- Pilih Pengguna.
- Pilih pengguna atau grup yang ingin Anda sediakan. Jika Anda memilih grup, semua anggota grup ini akan disediakan secara otomatis.
- Klik Select.
- Klik Tetapkan.
Mengaktifkan penyediaan otomatis
Langkah berikutnya adalah mengonfigurasi Microsoft Entra ID untuk menyediakan pengguna secara otomatis ke Cloud Identity atau Google Workspace:
- Pada menu sebelah kiri, klik Manage > Provisioning.
- Pilih Edit provisioning.
- Set Provisioning Status ke On.
Di bagian Settings, set Scope ke salah satu opsi berikut:
- Sync only assigned users and groups jika Anda telah mengonfigurasi penetapan pengguna.
- Sync all users and groups jika tidak.
Jika kotak untuk menetapkan cakupan ini tidak ditampilkan, klik Save dan muat ulang halaman tersebut.
Klik Save.
Microsoft Entra ID memulai sinkronisasi awal. Bergantung pada jumlah pengguna dan grup dalam direktori, proses ini dapat memerlukan waktu beberapa menit atau jam. Anda dapat memuat ulang halaman browser untuk melihat status sinkronisasi di bagian bawah halaman, atau pilih Audit Logs pada menu untuk melihat detail selengkapnya.
Setelah sinkronisasi awal selesai, Microsoft Entra ID akan menerapkan update dari Microsoft Entra ID secara berkala ke akun Cloud Identity atau Google Workspace Anda. Untuk mengetahui detail selengkapnya tentang cara Microsoft Entra ID menangani modifikasi pengguna dan grup, lihat Memetakan siklus hidup pengguna dan Memetakan siklus hidup grup.
Pemecahan masalah
Jika sinkronisasi tidak dimulai dalam waktu lima menit, Anda dapat memaksanya untuk memulai dengan melakukan hal berikut:
- Set Provisioning Status ke Off.
- Klik Save.
- Set Provisioning Status ke On.
- Klik Save.
- Centang Restart provisioning.
- Klik Save.
- Konfirmasi memulai ulang sinkronisasi dengan mengklikYes.
Jika sinkronisasi masih tidak dimulai, klik Uji Koneksi untuk memverifikasi bahwa kredensial Anda berhasil disimpan.
Mengonfigurasi Microsoft Entra ID untuk single sign-on
Meskipun semua pengguna Microsoft Entra ID yang relevan kini secara otomatis disediakan ke Cloud Identity atau Google Workspace, Anda belum dapat menggunakan pengguna ini untuk login. Agar pengguna dapat login, Anda tetap harus mengonfigurasi single sign-on.
Membuat aplikasi perusahaan
Buat aplikasi perusahaan kedua untuk menangani single sign-on:
- Pada Portal Azure, buka Microsoft Entra ID > Enterprise applications.
- Klik New application.
- Telusuri Google Cloud, lalu klik item Google Cloud/G Suite Connector by Microsoft dalam daftar hasil.
- Tetapkan nama aplikasi ke
Google Cloud
. Klik Tambahkan.
Menambahkan aplikasi mungkin memerlukan waktu beberapa detik. Anda kemudian akan dialihkan ke halaman berjudul Google Cloud - Overview.
Pada menu sebelah kiri, klik Manage > Properties.
Set Enabled for users to sign-in ke Yes.
Set User assignment required ke Yes kecuali jika Anda ingin mengizinkan semua pengguna menggunakan single sign-on.
Klik Save.
Mengonfigurasi penetapan pengguna
Jika sudah mengetahui bahwa hanya sebagian pengguna tertentu yang memerlukan akses ke Google Cloud, Anda dapat secara opsional membatasi sekelompok pengguna yang akan diizinkan untuk login dengan cara menetapkan aplikasi perusahaan kepada pengguna atau kelompok pengguna tertentu.
Jika Anda sudah menetapkan User assignment required ke No sebelumnya, Anda dapat melewati langkah-langkah berikut.
- Di menu sebelah kiri, klik Manage > Users and groups.
- Klik Tambahkan pengguna.
- Pilih Users and groups/None Selected.
- Pilih pengguna atau grup yang ingin Anda izinkan untuk Single Sign-On.
- Klik Select.
- Klik Tetapkan.
Mengonfigurasi setelan SAML
Agar Cloud Identity dapat menggunakan Microsoft Entra ID untuk autentikasi, Anda harus menyesuaikan beberapa setelan:
- Pada menu di sebelah kiri, klik Manage > Single sign-on.
- Di layar balot, klik kartu SAML.
- Di kartu Basic SAML Configuration, klik edit Edit.
- Pada dialog Basic SAML Configuration, masukkan setelan berikut ini:
- Identifier (Entity ID):
google.com
- Reply URL:
https://www.google.com/
- Sign on URL:
https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
, menggantikanPRIMARY_DOMAIN
dengan nama domain primer yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.
- Identifier (Entity ID):
- Klik Save, lalu tutup dialog dengan mengklik X.
- Pada kartu SAML Signing Certificate, temukan entri berlabel Certificate (Base 64) lalu klik Download untuk mendownload sertifikat ke komputer lokal Anda.
- Pada kartu Set up Google Cloud, cari Login URL. Anda akan segera memerlukan URL ini.
Langkah-langkah berikutnya akan berbeda bergantung pada apakah Anda memetakan pengguna berdasarkan alamat email atau UPN.
UPN
- Pada kartu Attributes & Claims, klik edit Edit.
Hapus semua klaim yang tercantum di bagian Additional claims. Anda dapat menghapus data dengan mengklik tombol … lalu pilih Delete.
Daftar atribut dan klaim kini terlihat seperti berikut:
Tutup dialog dengan mengklik X.
UPN: substitusi domain
- Di kartu User Attributes & Claims, klik edit Edit.
Hapus semua klaim yang tercantum di bagian Additional claims. Anda dapat menghapus data dengan mengklik tombol … lalu pilih Delete.
Daftar atribut dan klaim kini terlihat seperti berikut:
Klik Unique User Identifier (Name ID) untuk mengubah pemetaan klaim.
Set Source ke Transformation dan konfigurasikan transformasi berikut:
- Transformation: ExtractMailPrefix()
- Parameter 1: user.userPrincipalName
Pilih Add transformation lalu konfigurasi transformasi berikut:
- Transformation: Join()
- Separator:
@
- Parameter 2: Masukkan nama domain pengganti.
Anda harus menggunakan nama domain pengganti yang sama untuk penyediaan pengguna dan single sign-on. Jika nama domain tidak tercantum, Anda mungkin perlu memverifikasinya terlebih dahulu .
Klik Tambahkan.
Klik Save.
Tutup dialog dengan mengklik X.
Alamat email
- Di kartu User Attributes & Claims, klik edit Edit.
- Pilih baris berlabel Unique User Identifier (Name ID).
- Ubah Source attribute ke user.mail.
- Klik Save.
Hapus semua klaim yang tercantum di bagian Additional claims. Untuk menghapus semua data klik more_horiz, lalu klik Delete.
Tutup dialog dengan mengklik close.
Mengonfigurasi Cloud Identity atau Google Workspace untuk Single Sign-On
Setelah menyiapkan ID Microsoft Entra untuk single sign-on, Anda dapat mengaktifkan Single Sign-On di akun Cloud Identity atau Google Workspace:
- Buka Konsol Admin dan login menggunakan pengguna admin super.
- Pada menu, klik Tampilkan lainnya lalu buka Keamanan > Autentikasi > SSO dengan IdP pihak ketiga.
Klik Tambahkan profil SSO.
Setel Siapkan SSO dengan Penyedia Identitas pihak ketiga ke aktif.
Masukkan setelan berikut:
- Sign-in page URL: Masukkan URL Login Microsoft Entra ID. URL Login berada di kartu Set up Google Cloud di Portal Azure di bagian Configuration URLs > Login URL.
- Sign-out page URL:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
- Change password URL:
https://account.activedirectory.windowsazure.com/changepassword.aspx
Di bagian Verification certificate, klik Upload certificate, lalu pilih sertifikat penandatanganan token yang Anda download sebelumnya.
Klik Save.
Perbarui setelan SSO untuk OUAutomation
untuk
menonaktifkan single sign-on:
- Di bagian Kelola penetapan profil SSO, klik Mulai.
- Luaskan Unit Organisasi dan pilih
Automation
OU. - Ubah penetapan profil SSO dari Organization's third-party SSO profile menjadi None.
- Klik Ganti.
Sertifikat penandatanganan token ID Microsoft Entra valid untuk waktu terbatas dan Anda harus merotasi sertifikat sebelum masa berlakunya habis. Untuk mengetahui informasi selengkapnya, lihat Merotasi sertifikat single sign-on nanti dalam dokumen ini.
Pertimbangkan untuk mengonfigurasi Microsoft Entra ID untuk mengirim email notifikasi sebelum akhir masa berlaku sertifikat agar masa berlaku sertifikat tidak memengaruhi pengguna.
Menguji Single Sign-On
Setelah menyelesaikan konfigurasi single sign-on di Microsoft Entra ID dan Cloud Identity atau Google Workspace, Anda dapat mengakses Google Cloud dengan dua cara:
- Melalui daftar aplikasi di portal Microsoft Office Anda.
- Secara langsung dengan membuka https://console.cloud.google.com/.
Untuk memeriksa apakah opsi kedua berfungsi sebagaimana mestinya, jalankan pengujian berikut:
- Pilih pengguna Microsoft Entra ID yang telah disediakan untuk Cloud Identity atau Google Workspace dan yang tidak memiliki hak istimewa admin super. Pengguna dengan hak istimewa admin super selalu harus login menggunakan kredensial Google, sehingga tidak cocok untuk menguji single sign-on.
- Buka jendela browser baru, lalu buka https://console.cloud.google.com/.
Di halaman Login dengan Google yang muncul, masukkan alamat email pengguna dan klik Next. Jika Anda menggunakan substitusi domain, alamat ini harus merupakan alamat email dengan substitusi yang diterapkan.
Anda akan dialihkan ke Microsoft Entra ID dan akan melihat perintah login lainnya. Masukkan alamat email pengguna (tanpa penggantian domain) dan klik Next.
Setelah memasukkan sandi, Anda akan diminta untuk tetap login atau tidak. Untuk saat ini, pilih No.
Setelah autentikasi berhasil, Microsoft Entra ID akan mengalihkan Anda kembali ke Login dengan Google. Karena ini pertama kalinya Anda login menggunakan pengguna ini, Anda diminta untuk menyetujui Persyaratan Layanan Google dan kebijakan privasi Google.
Jika Anda menyetujui persyaratannya, klik Saya mengerti.
Anda dialihkan ke konsol Google Cloud, yang meminta Anda untuk mengonfirmasi preferensi dan menyetujui Persyaratan Layanan Google Cloud.
Jika Anda menyetujui persyaratannya, pilih Yes dan klik Agree and continue.
Klik ikon avatar di kiri atas halaman, lalu klik Sign out.
Anda akan dialihkan ke halaman Microsoft Entra ID yang mengonfirmasi bahwa Anda berhasil logout.
Perlu diingat bahwa pengguna dengan hak istimewa admin super dikecualikan dari single sign-on, sehingga Anda masih dapat menggunakan Konsol Admin untuk memverifikasi atau mengubah setelan.
Merotasi sertifikat single sign-on
Sertifikasi penandatanganan token ID Microsoft Entra hanya valid untuk beberapa bulan, dan Anda harus mengganti sertifikat tersebut sebelum masa berlakunya habis.
Untuk merotasi sertifikat penandatanganan, tambahkan sertifikat tambahan ke aplikasi Microsoft Entra ID:
- Pada Portal Azure, buka Microsoft Entra ID > Enterprise applications lalu buka aplikasi yang Anda buat untuk single sign-on.
- Pada menu di sebelah kiri, klik Manage > Single sign-on.
Pada kartu SAML Signing Certificate, klik edit Edit.
Anda akan melihat daftar yang berisi satu atau beberapa sertifikat. Satu sertifikat ditandai sebagai Active.
Klik New certificate.
Tetap gunakan setelan penandatanganan default, lalu klik Save.
Sertifikat ini ditambahkan ke daftar sertifikat dan diberi tanda Inactive.
Pilih sertifikat baru, lalu klik more_horiz > Base64 certificate download.
Biarkan jendela browser tetap terbuka dan jangan tutup dialog.
Untuk menggunakan sertifikat baru, lakukan hal berikut:
- Buka tab atau jendela browser baru.
- Buka Konsol Admin dan login menggunakan pengguna admin super.
- Pada menu, klik Show more lalu bukaSecurity > Authentication > SSO with third-party IdP.
- Klik Profil SSO untuk organisasi Anda.
Klik Replace certificate lalu pilih sertifikat baru yang Anda download sebelumnya.
Klik Save.
Kembali ke portal Microsoft Entra ID dan dialog SAML Signing Certificate.
Pilih sertifikat baru, lalu klik more_horiz > Make certificate active.
Klik Yes untuk mengaktifkan sertifikat.
Microsoft Entra ID sekarang menggunakan sertifikat penandatanganan baru.
Uji apakah SSO masih berfungsi seperti yang diharapkan. Untuk mengetahui informasi selengkapnya, lihat Menguji single sign-on.
Pembersihan
Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.
Untuk menonaktifkan single sign-on pada akun Cloud Identity atau Google Workspace Anda, ikuti langkah-langkah berikut:
- Buka Konsol Admin dan login menggunakan pengguna admin super yang dibuat saat Anda mendaftar ke Cloud Identity atau Google Workspace.
- Di menu, buka Security > Settings.
- Klik Menyiapkan single sign-on (SSO) dengan IdP pihak ketiga.
- Pastikan bahwa Set up SSO with third party identity provider dinonaktifkan.
Anda dapat menghapus setelan single sign-on dan penyediaan di Microsoft Entra ID dengan cara sebagai berikut:
- Pada Portal Azure, buka Microsoft Entra ID > Enterprise applications.
- Dari daftar aplikasi, pilih Google Cloud.
- Pada menu di sebelah kiri, klik Manage > Single sign-on.
- Klik Delete.
- Konfirmasi penghapusan dengan mengklik Yes.