Dokumen ini menunjukkan cara menambahkan layanan Google dan aplikasi web yang diamankan web Identity-Aware Proxy (IAP) ke portal Microsoft My Apps dan cara mengaktifkan login otomatis untuk aplikasi ini.
Dokumen ini mengasumsikan bahwa Anda telah menggabungkan akun Cloud Identity atau Google Workspace dengan Microsoft Entra ID dengan mengonfigurasi Microsoft Entra ID untuk single sign-on.
Sebelum memulai
Pastikan Anda telah menyelesaikan langkah-langkah untuk menggabungkan akun Cloud Identity atau Google Workspace dengan Microsoft Entra ID.
Memulai single sign-on dari portal
Untuk mendukung autentikasi dengan penyedia identitas (IdP) eksternal seperti Azure AD, Cloud Identity dan Google Workspace mengandalkan login yang dimulai oleh penyedia layanan. Dengan jenis login ini, autentikasi akan dimulai di penyedia layanan, yang kemudian mengalihkan Anda ke IdP—misalnya:
- Anda mengakses layanan Google seperti Konsol Google Cloud atau Looker Studio dengan membuka URL atau bookmark. Google dan layanannya berperan sebagai penyedia layanan dalam skenario ini.
- Layar Login dengan Google akan muncul, yang meminta Anda untuk memasukkan alamat email identitas Google Anda.
- Anda akan dialihkan ke Microsoft Entra ID, yang berfungsi sebagai IdP.
- Anda login ke Microsoft Entra ID.
- Microsoft Entra ID akan mengalihkan Anda kembali ke layanan Google yang awalnya Anda coba akses.
Manfaat login yang dimulai penyedia layanan adalah pengguna dapat langsung mengakses layanan Google dengan membuka link atau menggunakan bookmark. Jika organisasi Anda menggunakan Microsoft Entra ID, Anda dapat menggunakan portal Microsoft My Apps untuk tujuan ini. Pengguna super akan merasa nyaman jika tidak dipaksa untuk membuka aplikasi melalui portal yang membuat bookmark situs tertentu atau mungkin mengingat URL tertentu. Bagi pengguna lain, menampilkan link ke aplikasi yang relevan di portal masih bisa menjadi hal yang berguna.
Namun, menambahkan link seperti https://lookerstudio.google.com ke portal Microsoft My Apps akan menunjukkan kekurangan proses login yang dimulai oleh penyedia layanan. Meskipun pengguna yang mengklik link di portal memiliki sesi Microsoft Entra ID yang valid, mereka mungkin masih melihat layar Login dengan Google dan diminta untuk memasukkan alamat email mereka. Permintaan login yang tampak berlebihan ini adalah akibat dari Login dengan Google yang tidak mengetahui sesi Microsoft Entra ID yang ada.
Anda dapat menghindari dialog Login dengan Google tambahan menggunakan URL khusus saat mengonfigurasi portal Microsoft My Apps. URL ini menyematkan petunjuk tentang akun Cloud Identity atau Google Workspace mana yang diharapkan untuk digunakan. Informasi tambahan memungkinkan autentikasi dilakukan secara senyap, sehingga meningkatkan pengalaman pengguna.
Menambahkan link ke portal Microsoft My Apps
Tabel berikut mencantumkan layanan Google umum, nama yang sesuai di Microsoft Entra ID, dan link yang dapat Anda gunakan untuk mengimplementasikan SSO seperti yang diuraikan di bagian sebelumnya.
Layanan Google | URL | Logo |
---|---|---|
Konsol Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Google Dokumen | https://docs.google.com/a/DOMAIN |
|
Google Spreadsheet | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Google Grup | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
|
YouTube | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/
|
Untuk setiap layanan Google yang ingin Anda tambahkan ke portal Microsoft My Apps, buat aplikasi perusahaan baru:
- Di portal Azure, buka Microsoft Entra ID > Enterprise applications.
- Klik New application.
Klik Create your own application dan masukkan informasi berikut:
- What's the name of your app: Masukkan nama layanan Google seperti yang ditunjukkan dalam tabel sebelumnya.
- What are you looking to do with your application: Pilih Integrate any other application you don't find in the gallery (Non-gallery).
Klik Buat.
Pilih Properties.
Ubah logo ke file yang ditautkan dalam tabel.
Klik Simpan.
Di menu sebelah kiri, pilih Single sign-on.
Pilih Linked.
Masukkan URL yang tercantum dalam tabel—misalnya,
http://docs.google.com/a/DOMAIN
.Ganti
DOMAIN
dengan nama domain primer akun Cloud Identity atau Google Workspace Anda, sepertiexample.com
.Klik Simpan.
Perhatikan bahwa Anda tidak perlu mengonfigurasi SSO berbasis SAML di aplikasi. Semua operasi single sign-on terus ditangani oleh aplikasi yang sebelumnya Anda buat untuk single sign-on.
Untuk menetapkan aplikasi kepada pengguna, lakukan hal berikut:
- Di menu sebelah kiri, pilih Properties.
- Tetapkan User assignment required ke Yes.
- Klik Simpan.
- Di menu sebelah kiri, klik Manage > Users and groups.
- Klik Tambahkan pengguna.
- Pilih Pengguna.
- Pilih pengguna atau grup yang ingin Anda sediakan. Jika Anda memilih grup, semua anggota grup akan disediakan.
- Klik Select.
- Klik Tetapkan.
Mungkin perlu waktu beberapa menit agar link muncul di portal My Apps.
Mengontrol akses
Menetapkan pengguna dan grup ke aplikasi individual di Microsoft Entra ID akan mengontrol visibilitas link, tetapi tidak mengontrol akses ke layanan. Layanan yang tidak terlihat di portal My Apps milik pengguna mungkin masih dapat diakses jika pengguna membuka URL yang tepat. Untuk mengontrol pengguna dan grup yang diizinkan mengakses layanan, Anda juga harus mengaktifkan atau menonaktifkan layanan di Google Konsol Admin.
Anda dapat menyederhanakan proses kontrol visibilitas dan akses menggunakan grup:
- Untuk setiap layanan Google, buat grup keamanan di Microsoft Entra ID—misalnya,
Looker Studio users
danGoogle Drive users
. - Tetapkan grup ke aplikasi perusahaan Microsoft Entra ID yang sesuai, seperti
yang dijelaskan di bagian sebelumnya. Misalnya, tetapkan
Looker Studio users
ke aplikasi Looker Studio danGoogle Drive users
ke aplikasi Google Drive. - Konfigurasikan grup yang akan disediakan ke akun Cloud Identity atau Google Workspace Anda.
- Di
Konsol Admin,
aktifkan layanan masing-masing untuk setiap grup.
Misalnya, aktifkan Looker Studio untuk grup
Looker Studio users
dan Google Drive untuk grupGoogle Drive users
. Nonaktifkan layanan untuk semua orang.
Dengan menambahkan dan menghapus anggota ke grup ini, Anda kini mengontrol akses dan visibilitas dalam satu langkah.
Aplikasi web yang dilindungi IAP
Jika menggunakan IAP untuk melindungi aplikasi web, Anda dapat menambahkan link ke aplikasi ini ke portal Microsoft My Apps dan mengaktifkan single sign-on untuk aplikasi tersebut.
Menambahkan link ke portal Microsoft My Apps
Proses penambahan link ke portal Microsoft My Apps sama dengan proses untuk layanan Google, tetapi Anda harus menggunakan URL aplikasi web yang dilindungi IAP.
Seperti yang dapat dilakukan dengan layanan Google, Anda dapat mencegah pengguna melihat layar login Google setelah mengikuti link ke aplikasi web yang dilindungi IAP di portal, tetapi prosesnya berbeda. Daripada menggunakan URL khusus, Anda dapat mengonfigurasi IAP agar selalu menggunakan akun Cloud Identity atau Google Workspace tertentu untuk autentikasi:
Di konsol Google Cloud, aktifkan Cloud Shell.
Lakukan inisialisasi variabel lingkungan:
PRIMARY_DOMAIN=primary-domain
Ganti
primary-domain
dengan domain primer akun Cloud Identity atau Google Workspace Anda—misalnya,example.com
.Buat file setelan sementara yang menginstruksikan IAP untuk selalu menggunakan domain primer akun Cloud Identity atau Google Workspace Anda untuk autentikasi:
cat << EOF > iap-settings.yaml accessSettings: oauthSettings: loginHint: "$PRIMARY_DOMAIN" EOF
Terapkan setelan ini ke semua resource web IAP dalam project:
gcloud iap settings set iap-settings.yaml --resource-type=iap_web
Hapus file setelan sementara:
rm iap-settings.yaml
Mengontrol akses
Menetapkan pengguna dan grup ke aplikasi individual di Microsoft Entra ID akan mengontrol visibilitas link ke aplikasi web yang dilindungi IAP, tetapi tidak mengontrol akses ke aplikasi tersebut. Untuk mengontrol akses, Anda juga harus menyesuaikan kebijakan Identity and Access Management (IAM) dari aplikasi web yang dilindungi IAP.
Seperti pada layanan Google, Anda dapat menyederhanakan proses kontrol visibilitas dan akses menggunakan grup:
- Untuk setiap aplikasi, buat grup keamanan di Microsoft Entra ID—misalnya,
Payroll application users
. - Tetapkan grup ke masing-masing aplikasi perusahaan Microsoft Entra ID.
- Konfigurasikan grup yang akan disediakan ke akun Cloud Identity atau Google Workspace Anda.
- Perbarui kebijakan IAM
aplikasi web yang dilindungi IAP untuk memberikan
peran IAP-Secure Web App User ke grup
Payroll application users
sekaligus melarang akses untuk pengguna lain
Dengan menambahkan dan menghapus anggota ke grup Payroll application users
, Anda
mengontrol akses dan visibilitas dalam satu langkah.
Langkah berikutnya
- Pelajari lebih lanjut tentang menggabungkan Google Cloud dengan Microsoft Entra ID.
- Baca tentang praktik terbaik untuk merencanakan akun dan organisasi serta praktik terbaik untuk menggabungkan Google Cloud dengan IdP eksternal.
- Baca Identity-Aware Proxy lebih lanjut.