Como federar o Google Cloud com o Azure Active Directory: como configurar o provisionamento e o logon único

Neste artigo, mostramos como configurar o provisionamento de usuários e o logon único entre um locatário do Microsoft Azure AD e sua conta do Cloud Identity ou do G Suite.

Neste artigo, presumimos que você já usa o Microsoft Office 365 ou o Azure AD na sua organização e quer usar o Azure AD para permitir que os usuários se autentiquem no Google Cloud. O Azure AD pode estar conectado a um Active Directory local e usar a federação do AD FS, a autenticação de passagem ou a sincronização de hash de senha.

Objetivos

  • Configurar o Azure AD para provisionar usuários automaticamente e, opcionalmente, grupos no Cloud Identity ou no G Suite.
  • Configurar o logon único para permitir que os usuários façam login no Google Cloud usando uma conta de usuário do Azure AD ou um usuário que foi provisionado do Active Directory para o Azure AD.

Custos

Se você estiver usando a edição gratuita do Cloud Identity, a configuração da federação com o Azure AD não usará componentes faturáveis do Google Cloud.

Para saber quais taxas podem ser aplicadas ao uso do Azure AD, verifique a página de preços do Azure AD.

Antes de começar

  • Entenda as diferenças entre conectar o Google Cloud ao Azure AD e conectar diretamente o Google Cloud ao Active Directory.
  • Decida como quer mapear identidades, grupos e domínios. Responda, especificamente, às seguintes perguntas:
    • Você planeja usar endereços de e-mail ou Nomes principais de usuários (UPNs, na sigla em inglês) como identificadores comuns para usuário?
    • Você planeja provisionar grupos? Em caso afirmativo, mapeará os grupos por endereço de e-mail ou por nome?
    • Você planeja provisionar todos os usuários para o Google Cloud ou apenas um subconjunto selecionado de usuários?
  • Antes de conectar seu locatário do Azure AD de produção ao Google Cloud, use um locatário de teste do Azure AD para configurar e testar o aprovisionamento de usuários.
  • Inscreva-se no Cloud Identity se você ainda não tiver uma conta.
  • Se você estiver usando a edição gratuita do Cloud Identity e quiser provisionar mais de 50 usuários, solicite um aumento do número total de usuários gratuitos do Cloud Identity por meio do contato de suporte.
  • Se você suspeitar que algum dos domínios que planeja usar no Cloud Identity possa ter sido usado pelos funcionários para registrar contas pessoais, primeiro migre essas contas de usuário. Para mais detalhes, consulte Como avaliar contas de usuário atuais.

Como preparar sua conta do Cloud Identity ou do G Suite

Criar um usuário para o Azure AD

Para permitir que o Azure AD interaja com a API do Cloud Identity e do G Suite, o Azure AD precisa de uma conta de usuário. Quando você se inscreveu no Cloud Identity ou no G Suite, criou um superusuário. Mesmo que você possa usar esse usuário para o Azure AD, é preferível criar um usuário separado para ser usado exclusivamente pelo Azure AD.

  1. Abra o Admin Console e faça login usando o usuário superadministrador criado quando você se inscreveu no Cloud Identity ou no G Suite.
  2. No menu, navegue até Diretório > Usuários e clique em Adicionar novo usuário para criar um usuário.
  3. Forneça nome e endereço de e-mail apropriados, como:
    1. Nome: Azure AD
    2. Sobrenome: Provisioning
    3. E-mail principal: azuread-provisioning
    4. Mantenha o domínio principal do endereço de e-mail.
  4. Defina Gerar automaticamente uma nova senha como Desativado e insira uma senha.
  5. Defina Solicitar alteração de senha no próximo login como Desativado.
  6. Clique em Adicionar novo usuário.
  7. Clique em Concluído.

Para permitir que o Azure AD crie, liste e exclua usuários e grupos, você precisa conceder outros privilégios ao usuário. Além disso, é recomendável isentar o logon único do usuário. Caso contrário, se você tiver problemas com esse serviço, talvez não seja possível autorizar novamente o Azure AD. Para fazer as duas coisas, torne o usuário um superadministrador:

  1. Localize o usuário recém-criado na lista e abra-o.
  2. Em Papéis e privilégios do administrador, clique em Atribuir papéis.
  3. Ative o papel de superadministrador.
  4. Clique em Salvar.

Registrar domínios

No Cloud Identity e no G Suite, os usuários e grupos são identificados por endereço de e-mail. Os domínios usados por esses endereços de e-mail precisam ser registrados e verificados antes.

Prepare uma lista de domínios DNS que você precisa registrar:

  • Se você planeja mapear usuários por UPN, inclua todos os domínios usados por UPNs. Em caso de dúvida, inclua todos os domínios personalizados do locatário do Azure AD.
  • Se você pretende mapear usuários por endereço de e-mail, inclua todos os domínios usados nos endereços de e-mail. A lista de domínios pode ser diferente da lista de domínios personalizados do locatário do Azure AD.

Se você planeja provisionar grupos, altere a lista de domínios DNS:

  • Se você pretende mapear grupos por endereço de e-mail, inclua todos os domínios usados nos endereços de e-mail do grupo. Em caso de dúvida, inclua todos os domínios personalizados do locatário do Azure AD.
  • Se você planeja mapear grupos por nome, inclua um subdomínio dedicado como groups.[PRIMARY-DOMAIN], em que [PRIMARY-DOMAIN] é o nome de domínio principal da sua conta do Cloud Identity ou do G Suite.

Agora que você identificou a lista de domínios DNS, é possível registrar os domínios ausentes. Faça o seguinte para cada domínio da lista que ainda não tenha sido registrado:

  1. No Admin Console, navegue até Conta > Domínios.
  2. Clique em Adicionar/remover domínios.
  3. Clique em Adicionar um domínio ou um alias de domínio.
  4. Na caixa de diálogo, selecione Adicionar outro domínio.
  5. Na caixa de texto abaixo, insira o nome do domínio.
  6. Clique em Continuar e verificar propriedade de domínio.

    O domínio será imediatamente utilizável se ele for um subdomínio de outro domínio já verificado. Caso contrário, você precisará confirmá-lo.

  7. Clique em Selecionar seu registrador ou provedor de domínio para selecionar o registrador ou provedor do respectivo domínio DNS.

  8. Agora você verá um conjunto de instruções específicas ao registrador ou provedor selecionado. Siga estas instruções para verificar a propriedade.

Como configurar o provisionamento do Azure AD

Criar um aplicativo empresarial

Agora você está pronto para conectar o Azure AD à sua conta do Cloud Identity ou do G Suite configurando o aplicativo de galeria Google Cloud/G Suite Connector by Microsoft no Microsoft Azure Marketplace.

O aplicativo de galeria pode ser configurado para processar o provisionamento de usuários e o Logon único. No entanto, se usar uma instância do aplicativo para ambas as finalidades, você corre o risco de encontrar uma limitação do Azure AD. Para evitar esse problema, use duas instâncias do aplicativo de galeria.

Primeiro, crie uma instância do aplicativo de galeria para processar o provisionamento de usuários:

  1. Abra o portal do Azure e faça login como usuário com privilégios de administrador global.
  2. Selecione Azure Active Directory > Aplicativos empresariais.
  3. Clique em Novo aplicativo.
  4. Pesquise Google Cloud e clique no item Google Cloud/G Suite Connector by Microsoft na lista de resultados.
  5. Defina o nome do aplicativo como Google Cloud (Provisioning).
  6. Clique em Adicionar.
  7. A adição do aplicativo pode levar alguns segundos. Em seguida, você será redirecionado para uma página chamada Google Cloud (Provisionamento) - Visão geral.
  8. No menu à esquerda, clique em Gerenciar > Propriedades:
    1. Defina Habilitado para usuários fazerem login como Não.
    2. Defina Atribuição de usuário necessária como Não.
    3. Defina Visível aos usuários como Não.
    4. Clique em Salvar.
  9. No menu à esquerda, clique em Gerenciar > Provisionamento:
    1. Altere o Modo de provisionamento para Automático.
    2. Clique em Credenciais de Administrador > Autorizar.
    3. Faça login usando o usuário azuread-provisioning@[DOMAIN] que você criou anteriormente, em que [DOMAIN] é o domínio principal da sua conta do Cloud Identity ou do G Suite.
    4. Como esta é a primeira vez que você faz login usando esse usuário, precisará aceitar a Política de Privacidade e os Termos de Serviço do Google.
    5. Se você concordar, clique em Aceitar.
    6. Confirme o acesso à API Cloud Identity clicando em Permitir.
    7. Clique em Testar conexão para verificar se o Azure AD se autentica ao Cloud Identity ou G Suite corretamente.
    8. Clique em Salvar.

Configurar provisionamento de usuários

A maneira correta de configurar o provisionamento de usuários depende se você pretende mapeá-los por endereço de e-mail ou por UPN.

Mapear por UPN

  1. Em Mapeamentos, clique em Provisionar usuários do Azure Active Directory.
  2. Em Mapeamento de atributos, selecione a linha surname e defina Valor padrão se for nulo como _.
  3. Selecione a linha givenName e defina Valor padrão se for nulo como _.
  4. Clique em OK.
  5. Clique em Salvar.
  6. Clique em Sim na caixa de diálogo que avisa que salvar as alterações resultará em uma nova sincronização de usuários e grupos.
  7. Clique no X para fechar a caixa de diálogo Mapeamento de atributos.

Mapear por endereço de e-mail

  1. Em Mapeamentos, clique em Provisionar usuários do Azure Active Directory.
  2. Em Mapeamento de atributos, selecione a linha userPrincipalName e defina Atributo de origem como mail.
  3. Selecione a linha surname e defina Valor padrão se for nulo como _.
  4. Selecione a linha givenName e defina Valor padrão se for nulo como _.
  5. Clique em OK.
  6. Clique em Salvar.
  7. Clique em Sim na caixa de diálogo que avisa que salvar as alterações resultará em uma nova sincronização de usuários e grupos.
  8. Clique no X para fechar a caixa de diálogo Mapeamento de atributos.

Configurar provisionamento de grupos

A maneira correta de configurar o provisionamento de grupos também depende se você pretende mapeá-los por endereço de e-mail ou UPN.

Nenhum mapeamento de grupo

  1. Em Mapeamentos, clique em Provisionar grupos do Azure Active Directory.
  2. Defina Ativado como Não.
  3. Clique em Salvar.
  4. Clique em Sim na caixa de diálogo que avisa que salvar as alterações resultará em uma nova sincronização de usuários e grupos.
  5. Clique no X para fechar a caixa de diálogo Mapeamento de atributos.

Mapear por endereço de e-mail

  • Ao mapear grupos por endereço de e-mail, mantenha as configurações padrão.

Mapear por nome

  1. Na seção Mapeamentos, clique em Provisionar grupos do Azure Active Directory.
  2. Na seção Mapeamentos de atributos, clique em mail para abrir a caixa de diálogo Editar atributo.
  3. Defina as configurações a seguir:
    1. Tipo de mapeamento: expressão.
    2. Expressão: Join("@", NormalizeDiacritics(StripSpaces([displayName])), "[GROUPS-DOMAIN]"). Substitua [GROUPS-DOMAIN] pelo domínio que todos os endereços de e-mail do grupo devem usar, por exemplo, groups.example.com.
    3. Atributo de destino: e-mail.
  4. Clique em OK.
  5. Clique em Salvar.
  6. Clique em Sim na caixa de diálogo que avisa que salvar as alterações resultará em uma nova sincronização de usuários e grupos.
  7. Clique no X para fechar a caixa de diálogo Mapeamento de atributos.

Configurar atribuição de usuário

Se você sabe que apenas um determinado subconjunto de usuários precisa acessar o Google Cloud, é possível restringir o conjunto de usuários que será provisionado atribuindo o aplicativo empresarial a usuários específicos ou a grupos de usuários.

Se você quiser que todos os usuários sejam provisionados, pule as etapas a seguir.

  1. No menu à esquerda, clique em Gerenciar > Usuários e grupos.
  2. Clique em Adicionar usuário.
  3. Selecione os Usuários.
  4. Selecione os usuários ou grupos que você quer provisionar. Se você selecionar um grupo, todos os membros dele serão provisionados automaticamente.
  5. Clique em Selecionar.
  6. Clique em Atribuir.

Ativar provisionamento automático

A próxima etapa é configurar o Azure AD para provisionar usuários automaticamente no Cloud Identity ou no G Suite:

  1. No menu à esquerda, clique em Gerenciar > Provisionamento.
  2. Selecione Editar provisionamento.
  3. Em Configurações, defina Status de provisionamento como Ativado.
  4. Defina o Escopo como uma das seguintes opções:

    1. Sincronizar somente usuários e grupos atribuídos, se você tiver configurado a atribuição de usuários.
    2. Caso contrário, Sincronizar todos os usuários e grupos.

    Se a caixa de definição do escopo não for exibida, clique em Salvar e atualize a página.

  5. Clique em Salvar.

O Azure AD realiza uma sincronização inicial. Dependendo do número de usuários e grupos no diretório, esse processo pode levar vários minutos ou horas. É possível atualizar a página do navegador para ver o status da sincronização na parte inferior da página ou selecionar Registros de auditoria no menu para ver mais detalhes.

Solução de problemas

Se a sincronização não começar dentro de cinco minutos, você pode forçar a inicialização da seguinte forma:

  1. Defina o Status de provisionamento como Desativado.
  2. Clique em Salvar.
  3. Defina o Status de provisionamento como Ativado.
  4. Clique em Salvar.
  5. Marque Limpar o estado atual e reiniciar a sincronização.
  6. Clique em Salvar.
  7. Confirme a reinicialização da sincronização clicando em Sim.

Se mesmo assim a sincronização não começar, clique em Testar conexão para verificar se suas credenciais foram salvas com sucesso.

Como configurar o Logon único no Azure AD

Mesmo que todos os usuários relevantes do Azure AD agora sejam provisionados automaticamente no Cloud Identity ou no G Suite, ainda não é possível usar esses usuários para fazer login. Para permitir que os usuários façam login, antes é preciso configurar o Logon único.

Criar um aplicativo empresarial

Crie um segundo aplicativo empresarial para processar o Logon único:

  1. No portal do Azure, navegue até Azure Active Directory > Aplicativos empresariais.
  2. Clique em Novo aplicativo.
  3. Pesquise Google Cloud e clique em Google Cloud/G Suite Connector by Microsoft na lista de resultados.
  4. Defina o nome do aplicativo como Google Cloud.
  5. Clique em Adicionar.

    A adição do aplicativo pode levar alguns segundos. Você será redirecionado para uma página chamada Google Cloud - Visão geral.

  6. No menu à esquerda, clique em Gerenciar > Propriedades.

  7. Defina Habilitar para os usuários entrarem como Sim.

  8. Defina Atribuição de usuário necessária como Sim, exceto se quiser permitir que todos os usuários usem o Logon único.

  9. Clique em Salvar.

Configurar atribuição de usuário

Se você já sabe que apenas um determinado subconjunto de usuários precisa acessar o Google Cloud, é possível restringir o conjunto de usuários que pode fazer login atribuindo o aplicativo empresarial para usuários específicos ou grupos de usuários.

Se você já tiver definido a Atribuição de usuário necessária como Não, pule as etapas a seguir.

  1. No menu à esquerda, clique em Gerenciar > Usuários e grupos.
  2. Clique em Adicionar usuário.
  3. Selecione Usuários e grupos/Nenhum selecionado.
  4. Selecione os usuários ou grupos para os quais você quer o Logon único.
  5. Clique em Selecionar.
  6. Clique em Atribuir.

Configurar as definições de SAML

Para permitir que o Cloud Identity use o Azure AD para autenticação, você precisará ajustar algumas configurações:

  1. No menu à esquerda, clique em Gerenciar > Logon único.
  2. Na tela de votação, clique no cartão SAML.
  3. No cartão Configuração básica de SAML, clique no ícone .
  4. Na caixa de diálogo Configuração básica de SAML, insira as seguintes configurações:
    1. Identificador (ID da entidade): google.com
    2. URL de resposta: https://www.google.com/
    3. URL de logon: https://www.google.com/a/[PRIMARY-DOMAIN]/ServiceLogin?continue=https://console.cloud.google.com/, substituindo [PRIMARY-DOMAIN] pelo nome de domínio principal usado pela sua conta do Cloud Identity ou do G Suite.
  5. Clique em Salvar e dispense a caixa de diálogo clicando em X.
  6. No cartão Certificado de autenticação SAML, localize a entrada Certificado (Bruto) e clique em Fazer o download para salvar o certificado no computador local.
  7. No cartão Configurar o Google Cloud, procure por URL de login e URL de saída. Você precisará deles em breve.

Os passos restantes serão diferentes dependendo do tipo do mapeamento de usuários (por endereço de e-mail ou por UPN).

Mapear por UPN

  1. No cartão Atributos e reivindicações do usuário, clique no ícone .
  2. Exclua todas as reivindicações listadas em Reivindicações adicionais. Para excluir registros, clique no botão e selecione Excluir.
  3. Agora a lista de atributos e declarações deve ter a seguinte aparência:

    Caixa de diálogo Atributos e declarações do usuário

  4. Para dispensar a caixa de diálogo, clique no X.

Mapear por endereço de e-mail

  1. No cartão Atributos e reivindicações do usuário, clique no ícone .
  2. Selecione a linha Identificador de usuário único (ID do nome)
  3. Altere o Atributo de origem para user.mail.
  4. Clique em Salvar.
  5. Exclua todas as reivindicações listadas em Reivindicações adicionais. Para excluir todos os registros, clique em e, em seguida, em Excluir.

    Caixa de diálogo Atributos e declarações do usuário

  6. Feche a caixa de diálogo clicando em .

Como configurar o Cloud Identity ou o G Suite para o Logon único

Agora que você preparou o Azure AD para o Logon único, é possível ativar o Logon único na sua conta do Cloud Identity ou do G Suite:

  1. Abra o Admin Console e faça login usando um usuário superadministrador.
  2. No menu, navegue até Segurança > Configurações.
  3. Clique em Configurar logon único (SSO) com um IdP de terceiros.
  4. Em Certificado de verificação, clique em Escolher arquivo e, em seguida, selecione o certificado de autenticação de tokens salvo anteriormente.
  5. Clique em Fazer upload.
  6. Clique em Salvar.
  7. Certifique-se de que Configurar logon único de provedor de identidade de terceiros esteja ativado.
  8. Insira as configurações a seguir:
    1. URL da página de login: digite o URL de login do cartão Configurar o Google Cloud no Portal do Azure.
    2. URL da página de saída: digite o URL de saída do cartão Configurar o Google Cloud no Portal do Azure.
    3. URL para alteração de senha: https://account.activedirectory.windowsazure.com/changepassword.aspx
  9. Clique em Salvar.
  10. Na próxima página, confirme se você quer ativar o Logon único e clique em Entendo e concordo.
  11. Saia do Admin Console clicando no avatar no canto superior direito. Em seguida, clique em Sair.

Como testar o logon único

Agora que você concluiu a configuração do Logon único no Azure AD e no Cloud Identity ou no G Suite, é possível acessar o Google Cloud de duas maneiras:

Para verificar se a segunda opção funciona conforme o esperado, execute o seguinte teste:

  1. Escolha um usuário do Azure AD que tenha sido provisionado para o Cloud Identity ou o G Suite e que não tenha privilégios de superadministrador. Os usuários com esse privilégio sempre precisam fazer login usando as credenciais do Google e, portanto, não são adequadas para testar o logon único.
  2. Abra uma nova janela do navegador e acesse https://console.cloud.google.com/.
  3. Na página de login do Google exibida, insira o endereço de e-mail do usuário e clique em Avançar. Se você usar substituição de domínio, esse endereço precisará ser o endereço de e-mail com a substituição aplicada.

    Caixa de diálogo de login do Google

  4. Você será redirecionado para o Azure AD e verá outra solicitação de login. Insira o endereço de e-mail do usuário (sem substituição de domínio) e clique em Avançar.

    Caixa de diálogo de login do Azure AD

  5. Depois de inserir a senha, será preciso escolher permanecer conectado ou não. Por enquanto, selecione Não.

    Após a autenticação, o Azure AD redirecionará você para o Login do Google. Como esta é a primeira vez que você faz login usando esse usuário, será preciso aceitar a Política de Privacidade e os Termos de Serviço do Google.

  6. Se você concordar, clique em Aceitar.

    Você será redirecionado para o Console do Cloud, que solicitará a confirmação das preferências e aprovação dos Termos de Serviço do Google Cloud.

  7. Se você concordar com os termos, selecione Sim e clique em Concordar e continuar.

  8. Clique no avatar no canto superior esquerdo da página e em Sair.

    Você será redirecionado para uma página do Azure AD confirmando que foi desconectado com sucesso.

Lembre-se de que os usuários com privilégios de superadministrador não usam o Logon único. Assim, você ainda pode usar o Admin Console para verificar ou alterar as configurações.

Como fazer a limpeza

Para evitar cobranças dos recursos usados neste tutorial na conta do Google Cloud Platform:

Para desativar o Logon único na sua conta do Cloud Identity ou do G Suite, siga estas etapas:

  • Abra o Admin Console e faça login usando o usuário superadministrador criado ao se inscrever no Cloud Identity ou no G Suite.
  • No menu, navegue até Segurança > Configurações.
  • Clique em Configurar logon único (SSO) com um IdP de terceiros.
  • Certifique-se de que Configurar Logon único de provedor de identidade de terceiros esteja desativado.

É possível remover as configurações de logon único e de provisionamento no Azure AD da seguinte maneira:

  • No portal do Azure, navegue até Azure AD > Aplicativos empresariais.
  • Na lista de aplicativos, selecione Google Cloud.
  • No menu à esquerda, clique em Gerenciar > Logon único.
  • Clique em Excluir.
  • Confirme a exclusão clicando em Sim.

A seguir