Logon único e provisionamento de usuários com ID do Microsoft Entra (antigo Azure AD)

Neste documento, mostramos como configurar o provisionamento de usuários e o Logon único entre um locatário do Microsoft Entra ID (antigo Azure AD) e uma conta do Cloud Identity ou do Google Workspace.

O documento pressupõe que você já usa o ID do Microsoft Office 365 ou do Microsoft Entra na sua organização e quer usar o Microsoft Entra ID para permitir que os usuários se autentiquem com o Google Cloud. O próprio Microsoft Entra ID pode estar conectado a um Active Directory local e usar a federação do Entra ID, a autenticação de passagem ou a sincronização de hash de senha.

Objetivos

Configurar o Microsoft Entra ID para provisionar usuários automaticamente e, opcionalmente, grupos no Cloud Identity ou no Google Workspace.
Configure o Logon único para permitir que os usuários façam login no Google Cloud usando uma conta de usuário do Microsoft Entra ID ou um usuário provisionado do Active Directory para o Microsoft Entra ID.

Custos

Se você estiver usando a edição gratuita do Cloud Identity, configurar a federação com o o Microsoft Entra ID não usará componentes faturáveis do Google Cloud.

Consulte a página de preços do Microsoft Entra ID para ver as taxas aplicáveis ao uso do Microsoft Entra ID.

Antes de começar

Entenda as diferenças entre conectar o Google Cloud ao Microsoft Entra ID e conectar o Google Cloud diretamente ao Active Directory.
Decida como você quer mapear identidades, grupos e domínios entre o Microsoft Entra ID e o Cloud Identity ou o Google Workspace. Responda, especificamente, às seguintes perguntas:
- Você planeja usar endereços de e-mail ou Nomes principais de usuários (UPNs, na sigla em inglês) como identificadores comuns para usuário?
- Você planeja provisionar grupos? Em caso afirmativo, mapeará os grupos por endereço de e-mail ou por nome?
- Você planeja provisionar todos os usuários para o Google Cloud ou apenas um subconjunto selecionado de usuários?
Antes de conectar seu locatário do Microsoft Entra ID de produção ao Google Cloud, use um locatário de teste do Microsoft Entra ID para configurar e testar o provisionamento de usuários.
Inscreva-se no Cloud Identity se você ainda não tiver uma conta.
Se você estiver usando a edição gratuita do Cloud Identity e quiser provisionar mais de 50 usuários, solicite um aumento do número total de usuários gratuitos do Cloud Identity usando o contato de suporte.
Se você suspeitar que algum dos domínios que planeja usar no Cloud Identity possa ter sido usado pelos funcionários para registrar contas pessoais, primeiro migre essas contas de usuário. Para mais detalhes, consulte Como avaliar contas de usuário atuais.

Preparar sua conta do Cloud Identity ou do Google Workspace

Criar um usuário para o Microsoft Entra ID

Para permitir que o Microsoft Entra ID acesse sua conta do Cloud Identity ou do Google Workspace, crie um usuário para o Microsoft Entra ID na sua conta do Cloud Identity ou do Google Workspace.

O usuário do Microsoft Entra ID só deve ser usado para provisionamento automatizado. Portanto, é melhor mantê-la separada de outras contas de usuário, colocando-a em uma unidade organizacional (UO) separada. Usar uma UO separada também garante que você possa desativar o Logon único posteriormente para o usuário do Microsoft Entra ID.

Para criar um novo projeto, faça o seguinte:

Abra o Admin Console e faça login usando o usuário superadministrador criado quando você se inscreveu no Cloud Identity ou no Google Workspace.
No menu, acesse Diretório > Unidades organizacionais.
Clique em Criar unidade organizacional e forneça um nome e uma descrição para a unidade organizacional:
- Name: Automation
- Descrição: Automation users
Clique em Criar.

Crie uma conta de usuário para o Microsoft Entra ID e coloque-a na UO Automation:

No menu, navegue até Diretório > Usuários e clique em Adicionar novo usuário para criar um usuário.
Forneça um nome e um endereço de e-mail apropriados, como os seguintes:
- Nome: Microsoft Entra ID
- Sobrenome: Provisioning
- E-mail principal: azuread-provisioning
  
  Mantenha o domínio principal do endereço de e-mail.
Clique em Gerenciar a senha, a unidade organizacional e a foto do perfil do usuário e defina as seguintes configurações:
- Unidade organizacional: selecione a UO Automation que você criou anteriormente.
- Senha: Selecione Criar senha e insira uma senha.
- Solicitar uma alteração de senha no próximo login: Desabilitado
Clique em Adicionar novo usuário.
Clique em Concluído.

Atribuir privilégios ao Microsoft Entra ID

Para permitir que o Microsoft Entra ID crie, liste e suspenda usuários e grupos na sua conta do Cloud Identity ou do Google Workspace, conceda mais privilégios ao usuário azuread-provisioning da seguinte maneira:

Para permitir que o Microsoft Entra ID gerencie todos os usuários, incluindo administradores delegados e usuários superadministradores, torne o usuário azuread-provisioning um superadministrador.
Para permitir que o Microsoft Entra ID gerencie apenas usuários que não são administradores, basta tornar o usuário azuread-provisioning um administrador delegado. Como administrador delegado, o Microsoft Entra ID não pode gerenciar outros administradores delegados ou usuários superadministradores.

Superadministrador

Para tornar o usuário azuread-provisioning um superadministrador, faça o seguinte:

Localize o usuário recém-criado na lista e clique no nome dele para abrir a página da conta.
Em Papéis e privilégios do administrador, clique em Atribuir papéis.
Ative o papel de superadministrador.
Clique em Salvar.

Administrador delegado

Para tornar o usuário azuread-provisioning um administrador delegado, crie uma nova função de administrador e atribua-a ao usuário:

No menu, acesse Conta > Funções do administrador.
Clique em Criar nova função.
Forneça um nome e uma descrição para a função, como o seguinte:
- Name: Microsoft Entra ID
- Descrição: Role for automated user and group provisioning
Clique em Continuar.
Na próxima tela, role para baixo até a seção Privilégios da API Admine defina os seguintes privilégios como ativados:
- Unidades organizacionais > Leitura
- Usuários
- Grupos
Clique em Continuar.
Clique em Criar papel.
Clique em Atribuir usuários.
Selecione o usuário azuread-provisioning e clique em Atribuir função.

Registrar domínios

No Cloud Identity e no Google Workspace, os usuários e grupos são identificados por endereço de e-mail. Os domínios usados por esses endereços de e-mail precisam ser registrados e verificados antes.

Prepare uma lista de domínios DNS que você precisa registrar:

Se você planeja mapear usuários por UPN, inclua todos os domínios usados por UPNs. Em caso de dúvida, inclua todos os domínios personalizados do locatário do Microsoft Entra ID.
Se você pretende mapear usuários por endereço de e-mail, inclua todos os domínios usados nos endereços de e-mail. A lista de domínios pode ser diferente da lista de domínios personalizados do locatário do Microsoft Entra ID.

Se você planeja provisionar grupos, altere a lista de domínios DNS:

Se você pretende mapear grupos por endereço de e-mail, inclua todos os domínios usados nos endereços de e-mail do grupo. Em caso de dúvida, inclua todos os domínios personalizados do locatário do Microsoft Entra ID.
Se você planeja mapear grupos por nome, inclua um subdomínio dedicado como groups.PRIMARY_DOMAIN, em que PRIMARY_DOMAIN é o nome de domínio principal da sua conta do Cloud Identity ou do Google Workspace.

Agora que você identificou a lista de domínios DNS, é possível registrar os domínios ausentes. Faça o seguinte para cada domínio da lista que ainda não tenha sido registrado:

No Admin Console, acesse Conta > Domínios > Gerenciar domínios.
Clique em Adicionar um domínio.
Digite o nome do domínio e selecione Domínio secundário.
Clique em Adicionar domínio e iniciar a verificação e siga as instruções para verificar a propriedade do domínio.

Configurar o provisionamento do Microsoft Entra ID

Criar um aplicativo empresarial

Você está com tudo pronto para conectar o Microsoft Entra ID à sua conta do Cloud Identity ou do Google Workspace configurando o aplicativo de galeria Google Cloud/G Suite Connector by Microsoft no Microsoft Azure Marketplace.

O app de galeria pode ser configurado para processar o provisionamento de usuários e o logon único. Neste documento, você usa duas instâncias do app de galeria: uma para provisionamento de usuários e outra para logon único.

Primeiro, crie uma instância do aplicativo de galeria para processar o provisionamento de usuários:

Abra o portal do Azure e faça login como usuário com privilégios de administrador global.
Selecione Microsoft Entra ID > Aplicativos empresariais.
Clique em Novo aplicativo.
Pesquise Google Cloud e clique no item Google Cloud/G Suite Connector by Microsoft na lista de resultados.
Defina o nome do aplicativo como Google Cloud (Provisioning).
Clique em Criar.
A adição do aplicativo pode levar alguns segundos. Em seguida, você será redirecionado para uma página chamada Google Cloud (Provisionamento) - Visão geral.
No menu à esquerda, clique em Gerenciar >Propriedades:
1. Defina Habilitado para os usuários entrarem como Não.
2. Defina Atribuição necessária como Não.
3. Defina Visível aos usuários como Não.
4. Clique em Salvar.
No menu à esquerda, clique em Gerenciar > Provisionamento:
1. Clique em Primeiros passos.
2. Altere o Modo de provisionamento para Automático.
3. Clique em Credenciais de Administrador > Autorizar.
4. Faça login usando o usuário azuread-provisioning@DOMAIN que você criou anteriormente, em que DOMAIN é o domínio principal da sua conta do Cloud Identity ou do Google Workspace.
  
  Observação: se você configurou sua conta do Cloud Identity ou do Google Workspace para restringir o acesso a apps de terceiros, a tentativa de login pode falhar com a mensagem de erro Access blocked: Authorization Error. Para resolver esse erro, conceda acesso ao app Google Cloud Connector adicionando o ID do cliente 283861851054-1n5jlu9rm93njt6kh3k5k7pqv73q7d8d.apps.googleusercontent.com à sua lista de apps confiáveis.
5. Como esta é a primeira vez que você faz login usando esse usuário, precisará aceitar a Política de Privacidade e os Termos de Serviço do Google.
6. Se você concordar com os termos, clique em Entendi.
7. Confirme o acesso à API Cloud Identity clicando em Permitir.
8. Clique em Testar conexão para verificar se o Microsoft Entra ID pode ser autenticado com o Cloud Identity ou o Google Workspace.
9. Clique em Salvar.

Configurar provisionamento de usuários

A maneira correta de configurar o provisionamento de usuários depende se você pretende mapeá-los por endereço de e-mail ou por UPN.

UPN

Em Mapeamentos, clique em Provisionar usuários do Entra ID.
Para os atributos surname e givenName, faça isto:
1. Clique em Editar.
2. Defina Valor padrão se for nulo como _.
3. Clique em OK.
Clique em Salvar.
Clique em Sim na caixa de diálogo que avisa que salvar as alterações resultará em uma nova sincronização de usuários e grupos.
Clique no X para fechar a caixa de diálogo Mapeamento de atributos.

UPN: substituição de domínio

Em Mapeamentos, clique em Provisionar usuários do Entra ID.
Para o atributo userPrincipalName, faça isto:
1. Clique em Editar.
2. Configure o seguinte mapeamento:
  - Tipo de mapeamento: expressão.
  - Expressão:
```
Replace([userPrincipalName], "@DOMAIN", , , "@SUBSTITUTE_DOMAIN", , )
```
  Substitua:
  - DOMAIN: nome do domínio que você quer substituir
  - Nome do domínio SUBSTITUTE_DOMAIN para usar
3. Clique em OK.
Para os atributos surname e givenName, faça isto:
1. Clique em Editar.
2. Defina Valor padrão se for nulo como _.
3. Clique em OK.
Clique em Salvar.
Clique em Sim na caixa de diálogo que avisa que salvar as alterações resultará em uma nova sincronização de usuários e grupos.
Clique no X para fechar a caixa de diálogo Mapeamento de atributos.

Endereço de e-mail

Em Mapeamentos, clique em Provisionar usuários do Entra ID.
Para o atributo userPrincipalName, faça isto:
1. Clique em Editar.
2. Defina o Atributo de origem como mail.
3. Clique em OK.
Para os atributos surname e givenName, faça isto:
1. Clique em Editar.
2. Defina Valor padrão se for nulo como _.
3. Clique em OK.
Clique em Salvar.
Clique em Sim na caixa de diálogo que avisa que salvar as alterações resultará em uma nova sincronização de usuários e grupos.
Clique no X para fechar a caixa de diálogo Mapeamento de atributos.

É necessário configurar os mapeamentos para primaryEmail, name.familyName, name.givenName e suspended. Todos os outros mapeamentos de atributos são opcionais.

Ao configurar outros mapeamentos de atributos, observe o seguinte:

No momento, a galeria Conector do Google Cloud/G Suite da Microsoft não permite atribuir aliases de e-mail.
No momento, a galeria Conector do Google Cloud/G Suite da Microsoft não permite atribuir licenças a usuários. Como solução alternativa, considere configurar o licenciamento automático para unidades organizacionais.
Para atribuir um usuário a uma unidade organizacional, adicione um mapeamento para OrgUnitPath. O caminho precisa começar com um caractere / e se referir a uma unidade organizacional que já existe, por exemplo, /employees/engineering.

Configurar provisionamento de grupos

A maneira correta de configurar o provisionamento de grupos depende do status dos grupos. Se os grupos não forem ativados para e-mail ou se os grupos usarem um endereço de e-mail que termine com "onmicrosoft.com", crie um endereço de e-mail usando o nome do grupo.

Nenhum mapeamento de grupo

Em Mapeamentos, clique em Provisionar grupos do Entra ID.
Defina Ativado como Não.
Clique em Salvar.
Clique em Sim na caixa de diálogo que avisa que salvar as alterações resultará em uma nova sincronização de usuários e grupos.
Clique no X para fechar a caixa de diálogo Mapeamento de atributos.

Nome

Na seção Mapeamentos, clique em Provisionar grupos do Entra ID.
Para o atributo mail, faça isto:
1. Clique em Editar.
2. Defina as configurações a seguir:
  1. Tipo de mapeamento: expressão.
  2. Expressão: Join("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN"). Substitua GROUPS_DOMAIN pelo domínio que todos os endereços de e-mail do grupo tem que usar. Por exemplo, groups.example.com.
  3. Atributo de destino: e-mail.
3. Clique em OK.
Clique em Salvar.
Clique em Sim na caixa de diálogo que avisa que salvar as alterações resultará em uma nova sincronização de usuários e grupos.
Clique no X para fechar a caixa de diálogo Mapeamento de atributos.

Endereço de e-mail

Ao mapear grupos por endereço de e-mail, mantenha as configurações padrão.

Configurar atribuição de usuário

Se você sabe que apenas um determinado subconjunto de usuários precisa acessar o Google Cloud, é possível restringir o conjunto de usuários que será provisionado atribuindo o aplicativo empresarial a usuários ou grupos de usuários específicos.

Se você quiser que todos os usuários sejam provisionados, pule as etapas a seguir.

No menu à esquerda, clique em Gerenciar > Usuários e grupos.
Selecione os usuários ou grupos que você quer provisionar. Se você selecionar um grupo, todos os membros dele serão provisionados automaticamente.
Clique em Atribuir.

Ativar provisionamento automático

A próxima etapa é configurar o Microsoft Entra ID para provisionar usuários automaticamente no Cloud Identity ou no Google Workspace:

No menu à esquerda, clique em Gerenciar > Provisionamento.
Selecione Editar provisionamento.
Defina o Status de provisionamento como Ativado.
Em Configurações, defina o Escopo como uma das seguintes opções:
1. Sincronizar somente usuários e grupos atribuídos, se você tiver configurado a atribuição de usuários.
2. Caso contrário, Sincronizar todos os usuários e grupos.
Se a caixa de definição do escopo não for exibida, clique em Salvar e atualize a página.
Clique em Salvar.

O Microsoft Entra ID inicia uma sincronização inicial. Dependendo do número de usuários e grupos no diretório, esse processo pode levar vários minutos ou horas. Você pode atualizar o navegador para ver o status da sincronização na parte inferior da página ou selecionar Registros de auditoria no menu para ver mais detalhes.

Após a conclusão da sincronização inicial, o Microsoft Entra ID propaga periodicamente atualizações do Microsoft Entra ID para sua conta do Cloud Identity ou do Google Workspace. Para mais detalhes sobre como o Microsoft Entra ID lida com modificações de usuários e grupos, consulte Como mapear o ciclo de vida do usuário e Como mapear o ciclo de vida do grupo.

Solução de problemas

Se a sincronização não começar dentro de cinco minutos, você pode forçar a inicialização da seguinte forma:

Clique em Editar provisionamento.
Defina o Status de provisionamento como Desativado.
Clique em Salvar.
Defina o Status de provisionamento como Ativado.
Clique em Salvar.
Feche a caixa de diálogo de provisionamento.
Clique em Reiniciar provisionamento.

Se mesmo assim a sincronização não começar, clique em Testar conexão para verificar se suas credenciais foram salvas com sucesso.

Como configurar o Microsoft Entra ID para Logon único

Embora todos os usuários relevantes do Microsoft Entra ID agora estejam sendo provisionados automaticamente para o Cloud Identity ou o Google Workspace, ainda não é possível usá-los para fazer login. Para permitir que os usuários façam login, antes é preciso configurar o logon único.

Criar um perfil SAML

Para configurar o Logon único com o Microsoft Entra ID, crie um perfil SAML na sua conta do Cloud Identity ou do Google Workspace. O perfil SAML contém as configurações relacionadas ao locatário do Microsoft Entra ID, incluindo o URL e o certificado de assinatura.

Posteriormente, você atribuirá o perfil SAML a determinados grupos ou unidades organizacionais.

Para criar um novo perfil SAML na sua conta do Cloud Identity ou do Google Workspace, faça o seguinte:

No Admin Console, acesse SSO com o IdP de terceiros.

Acessar o SSO com o IdP de terceiros
Clique em Perfis de SSO de terceiros > Adicionar perfil SAML.

Aviso: os perfis de SSO de terceiros funcionam de maneira diferente de um perfil de SSO de terceiros para sua organização. As etapas a seguir se aplicam aos perfis de SSO de terceiros, que são recomendados para configurar o Logon único.
Na página SAML SSO profile, digite as seguintes configurações:
- Name: Entra ID
- ID da entidade do IdP: deixe em branco
- URL da página de login: deixe em branco
- URL da página de sair: deixe em branco.
- URL de alterar senha: deixe em branco
Não faça upload de um certificado de verificação ainda.
Clique em Salvar.

A página Perfil de SSO SAML contém dois URLs:
- ID da entidade
- URL do ACS
Você precisará desses URLs na próxima seção quando for configurar o Microsoft Entra ID.

Criar um aplicativo do Microsoft Entra ID

Crie um segundo aplicativo empresarial para processar o Logon único:

No portal do Azure, acesse Microsoft Entra ID > Aplicativos Enterprise.
Clique em Novo aplicativo.
Pesquise Google Cloud e clique em Google Cloud/G Suite Connector by Microsoft na lista de resultados.
Defina o nome do aplicativo como Google Cloud.
Clique em Criar.

A adição do aplicativo pode levar alguns segundos. Você será redirecionado para uma página chamada Google Cloud - Visão geral.
No menu à esquerda, clique em Gerenciar > Propriedades.
Defina Habilitar para os usuários entrarem como Sim.
Defina Atribuição necessária como Sim, exceto se quiser permitir que todos os usuários usem o Logon único.
Clique em Salvar.

Configurar atribuição de usuário

Se você já sabe que apenas um determinado subconjunto de usuários precisa acessar o Google Cloud, é possível restringir o conjunto de usuários que pode fazer login atribuindo o aplicativo empresarial a usuários ou grupos de usuários específicos.

Se você já tiver definido a Atribuição de usuário necessária como Não, pule as etapas a seguir.

No menu à esquerda, clique em Gerenciar > Usuários e grupos.
Adicione os usuários ou grupos para os quais você quer permitir o Logon único.
Clique em Atribuir.

Ativar Logon único

Para permitir que o Cloud Identity use o Microsoft Entra ID para autenticação, ajuste algumas configurações:

No menu à esquerda, clique em Gerenciar > Logon único.
Na tela de votação, clique no cartão SAML.
No card Configuração básica de SAML, clique em Editar.
Na caixa de diálogo Configuração básica de SAML, insira as seguintes configurações:
1. Identificador (ID da entidade):
  - Adicione o URL da entidade do seu perfil de SSO e defina Padrão como ativado.
  - Remova todas as outras entradas.
2. URL de resposta: adicione o URL do ACS do seu perfil de SSO.
3. URL de logon:
```
https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
```
  Substitua PRIMARY_DOMAIN pelo nome de domínio principal usado pela sua conta do Cloud Identity ou do Google Workspace.
Clique em Salvar e dispense a caixa de diálogo clicando no X.
No card Certificado de autenticação SAML, encontre a entrada chamada Certificado (Base 64) e clique em Fazer o download para salvar o certificado no computador local.
No card Configurar o Google Cloud, você encontra dois URLs:
- URL de login
- Identificador do Microsoft Entra ID
Você precisará desses URLs na próxima seção quando for preencher o perfil SAML.

Os passos restantes serão diferentes dependendo do tipo do mapeamento de usuários (por endereço de e-mail ou por UPN).

UPN

No card Atributos e declarações do usuário, clique em Editar.
Exclua todas as reivindicações listadas em Reivindicações adicionais. Para excluir registros, clique no botão … e selecione Excluir.

A lista de atributos e declarações são assim:
Para dispensar a caixa de diálogo, clique no X.

UPN: substituição de domínio

No card Atributos e declarações do usuário, clique em Editar.
Exclua todas as reivindicações listadas em Reivindicações adicionais. Para excluir registros, clique no botão … e selecione Excluir.

A lista de atributos e declarações são assim:
Clique em Identificador de usuário único (ID do nome) para alterar o mapeamento de reivindicações.
Defina Origem como Transformação e configure a seguinte transformação:
- Transformação: ExtractMailPrefix()
- Parâmetro 1: user.userPrincipalName
Selecione Adicionar transformação e configure a seguinte transformação:
- Transformação: Join()
- Separador: @
- Parâmetro 2: digite o nome de domínio substituto.
É preciso usar o mesmo nome de domínio substituto para o provisionamento de usuários e o logon único. Se o nome do domínio não estiver listado, talvez seja necessário verificá-lo primeiro .
Clique em Adicionar.
Clique em Salvar.
Para dispensar a caixa de diálogo, clique no X.

Endereço de e-mail

No card Atributos e declarações do usuário, clique em Editar.
Selecione a linha Identificador de usuário único (ID do nome).
Altere o Atributo de origem para user.mail.
Clique em Salvar.
Exclua todas as reivindicações listadas em Reivindicações adicionais. Para excluir todos os registros, clique em e, em seguida, em Excluir.
Feche a caixa de diálogo clicando em .

Completar o perfil de SAML

Conclua a configuração do seu perfil SAML:

Volte ao Admin Console e acesse Segurança > Autenticação > SSO com o IdP de terceiros.

Acessar o SSO com o IdP de terceiros
Abra o perfil SAML Entra ID que você criou anteriormente.
Clique na seção Detalhes do IdP para editar as configurações.
Insira as seguintes configurações:
- ID da entidade do IdP: digite o Identificador do Microsoft Entra no card Configurar o Google Cloud do Portal do Azure.
- URL da página de login: digite o URL de login do cartão Configurar o Google Cloud no Portal do Azure.
- URL da página de logout: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
- URL para alteração de senha: https://account.activedirectory.windowsazure.com/changepassword.aspx
Em Certificado de verificação, clique em Fazer upload do certificado e escolha o certificado de assinatura de token salvo anteriormente.
Clique em Salvar.

O certificado de assinatura de tokens do Microsoft Entra ID é válido por um período limitado, e você precisa fazer a rotação dele antes que ele expire. Para saber mais, consulte Alternar um certificado de Logon único mais adiante neste documento.

Seu perfil SAML está concluído, mas você ainda precisa atribuí-lo.

Atribuir o perfil SAML

Selecione os usuários a que o novo perfil SAML deve ser aplicado:

No Admin Console, na página SSO com IdPs de terceiros, clique em Gerenciar atribuições do perfil de SSO > Gerenciar.

Acessar "Gerenciar atribuições do perfil de SSO"
No painel esquerdo, selecione o grupo ou a unidade organizacional em que você quer aplicar o perfil de SSO. Para aplicar o perfil a todos os usuários, selecione a unidade organizacional raiz.
No painel à direita, selecione Outro perfil de SSO.
No menu, selecione o perfil de SSO Entra ID - SAML criado anteriormente.

Aviso: evite usar o perfil Microsoft - OIDC acidentalmente.
Clique em Salvar.

Para atribuir o perfil SAML a outro grupo ou unidade organizacional, repita as etapas acima.

Atualize as configurações do SSO da unidade organizacional Automation para desativar o Logon único:

No painel à esquerda, selecione a UO Automation.
No painel à direita, selecione Nenhum.
Clique em Substituir.

Opcional: configurar redirecionamentos para URLs de serviço específicos do domínio

Ao criar links para o console do Google Cloud em portais ou documentos internos, é possível melhorar a experiência do usuário usando URLs de serviço específicos do domínio.

Ao contrário dos URLs de serviço comuns, como https://console.cloud.google.com/, os URLs de serviço específico de domínio incluem o nome do seu domínio principal. Os usuários não autenticados que clicam em um link para um URL de serviço específico do domínio são redirecionados imediatamente para o Entra ID em vez de ver uma página de Login do Google primeiro.

Confira a seguir alguns exemplos de URLs de serviço específicos do domínio:

Serviço do Google	URL	Logotipo
Console do Google Cloud	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com`
Documentos Google	`https://docs.google.com/a/DOMAIN`
Planilhas Google	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com`
Google Sites	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com`
Google Drive	`https://drive.google.com/a/DOMAIN`
Gmail	`https://mail.google.com/a/DOMAIN`
Grupos do Google	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com`
Google Keep	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com`
Looker Studio	`https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com`

Para configurar URLs de serviço específicos do domínio para que redirecionem para o Entra ID, faça isto:

No Admin Console, na página SSO com IdPs de terceiros, clique em URLs de serviço específicos do domínio > Editar.

Acessar URLs de serviço específicos do domínio
Defina Redirecionar automaticamente os usuários para o IdP de terceiros no seguinte perfil de SSO como ativado.
Defina o Perfil de SSO como Entra ID.
Clique em Salvar.

Opcional: configurar desafios de login

O Login do Google pode solicitar outras verificações aos usuários quando eles fizerem login em dispositivos desconhecidos ou quando a tentativa de login parecer suspeita por outros motivos. Esses desafios de login ajudam a melhorar a segurança, e recomendamos que você os mantenha ativados.

Se você achar que os desafios de login causam muito atrito, desative os desafios de login da seguinte maneira:

No Admin Console, acesse Segurança > Autenticação > Desafios de login.
No painel esquerdo, selecione uma unidade organizacional para desativar os desafios de login. Para desativar os desafios de login para todos os usuários, selecione a unidade organizacional raiz.
Em Configurações para usuários que fazem login usando outros perfis de SSO, selecione Não solicitar verificações adicionais do Google aos usuários.
Clique em Salvar.

Testar Logon único

Agora que você concluiu a configuração do Logon único no Microsoft Entra ID e no Cloud Identity ou no Google Workspace, é possível acessar o Google Cloud de duas maneiras:

Por meio da lista de aplicativos no portal do Microsoft Office.
Diretamente em https://console.cloud.google.com/.

Para verificar se a segunda opção funciona conforme o esperado, execute o seguinte teste:

Escolha um usuário do Microsoft Entra ID provisionado para o Cloud Identity ou o Google Workspace e que não tem privilégios de superadministrador atribuídos. Os usuários com esse privilégio sempre precisam fazer login usando as credenciais do Google e, portanto, não são adequados para testar o logon único.
Abra uma nova janela do navegador e acesse https://console.cloud.google.com/.
Na página de login do Google exibida, insira o endereço de e-mail do usuário e clique em Avançar. Se você usar substituição de domínio, esse endereço precisará ser o endereço de e-mail com a substituição aplicada.
Você será redirecionado para o Microsoft Entra ID e verá outro prompt de login. Insira o endereço de e-mail do usuário (sem substituição de domínio) e clique em Avançar.
Depois de inserir a senha, será preciso escolher permanecer conectado ou não. Por enquanto, selecione Não.

Após a autenticação, o Microsoft Entra ID redireciona você de volta para o Login do Google. Como esta é a primeira vez que você faz login usando esse usuário, será preciso aceitar a Política de Privacidade e os Termos de Serviço do Google.
Se você concordar com os termos, clique em Entendi.

Você será redirecionado para o console do Google Cloud, que solicitará a confirmação das preferências e aprovação dos Termos de Serviço do Google Cloud.
Se você concordar com os termos, escolha Sim e clique em Concordar e continuar.
Clique no avatar no canto superior esquerdo da página e em Sair.

Você será redirecionado para uma página do Microsoft Entra ID confirmando que foi desconectado com sucesso.

Lembre-se de que os usuários com privilégios de superadministrador não usam o Logon único. Assim, você ainda pode usar o Admin Console para verificar ou alterar as configurações.

Alternar um certificado de Logon único

O certificado de assinatura do token do Microsoft Entra ID é válido por apenas alguns meses, e você precisa substituir o certificado antes que ele expire.

Para fazer a rotação de um certificado de assinatura, adicione outro certificado ao aplicativo do Microsoft Entra ID:

No portal do Azure, acesse Microsoft Entra ID > Aplicativos Enterprise e abra o aplicativo que você criou para logon único.
No menu à esquerda, clique em Gerenciar > Logon único.
No card Certificado de assinatura SAML, clique em Editar.

Você verá uma lista de um ou mais certificados. Um certificado está marcado como Ativo.
Clique em Novo certificado.
Mantenha as configurações de assinatura padrão e clique em Salvar.

O certificado é adicionado à lista de certificados e está marcado como Inativo.
Selecione o novo certificado e clique em > Download do certificado Base64.

Mantenha a janela do navegador aberta e não feche a caixa de diálogo.

Para usar o novo certificado, faça o seguinte:

Abra uma nova guia ou janela no navegador.
Abra o Admin Console e acesse SSO com IdP de terceiros.

Acessar SSO com o IdP de terceiros
Abra o perfil SAML do Entra ID.
Clique em Detalhes do IdP.
Clique em Fazer upload de outro certificado e selecione o novo certificado que você salvou anteriormente.
Clique em Salvar.
Volte para o portal do Microsoft Entra ID e para a caixa de diálogo Certificado de assinatura SAML.
Selecione o novo certificado e clique em > Ativar certificado.
Clique em Yes para ativar.

Agora o Microsoft Entra ID usa o novo certificado de assinatura.
Teste se o SSO ainda funciona conforme esperado. Para mais informações, consulte Testar o Logon único.

Para remover o certificado antigo, faça isto:

Volte ao Admin Console e ao perfil SAML do Entra ID.
Clique em Detalhes do IdP.
Em Certificado de verificação, compare as datas de validade dos certificados para encontrar o certificado antigo e clique em .
Clique em Salvar.

Limpar

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados no tutorial, exclua o projeto que os contém ou mantenha o projeto e exclua os recursos individuais.

Para desativar o logon único na conta do Cloud Identity ou do Google Workspace, siga estas etapas:

No Admin Console e acesse Gerenciar atribuições do perfil de SSO.

Acessar "Gerenciar atribuições de perfil de SSO"
Para cada atribuição de perfil, faça o seguinte:
1. Abra o perfil.
2. Se o botão Herdar aparecer, clique em Herdar. Se o botão Herdar não aparecer, selecione Nenhum e clique em Salvar.
Volte para a página SSO com IdPs de terceiros e abra o perfil SAML do Microsoft Entra ID.
Clique em Excluir.

É possível remover as configurações de Logon único e provisionamento no Microsoft Entra ID da seguinte maneira:

No portal do Azure, acesse Microsoft Entra ID > Aplicativos Enterprise.
Na lista de aplicativos, selecione Google Cloud.
No menu à esquerda, clique em Gerenciar > Logon único.
Clique em Excluir.
Confirme a exclusão clicando em Sim.

A seguir

Saiba como federar o Google Cloud com o Microsoft Entra ID.
Leia sobre as práticas recomendadas para o planejamento de contas e organizações e as práticas recomendadas para federar o Google Cloud com um provedor de identidade externo.
Conheça nossas práticas recomendadas para gerenciar contas de superadministrador.