Data di aggiornamento: 01-03-2023
Questo documento mostra come aggiungere servizi Google e applicazioni web protette da Identity-Aware Proxy (IAP) al portale Le mie app di Microsoft e come attivare l'accesso automatico per queste applicazioni.
Il documento presuppone che tu abbia federato il tuo account Cloud Identity o Google Workspace con Microsoft Entra ID configurando Microsoft Entra ID per il Single Sign-On.
Prima di iniziare
Assicurati di aver completato i passaggi per eseguire la federazione del tuo account Cloud Identity o Google Workspace con Microsoft Entra ID.
Avvio del Single Sign-On da un portale
Per supportare l'autenticazione con un provider di identità esterno (IdP) come Azure AD, Cloud Identity e Google Workspace si basano sull'accesso avviato dal provider di servizi. Con questo tipo di accesso, l'autenticazione inizia presso il fornitore di servizi, che ti reindirizza all'IdP, ad esempio:
- Per accedere a un servizio Google come la console Google Cloud o Looker Studio, apri un URL o un preferito. In questo scenario, Google e i suoi servizi assumono il ruolo di fornitore di servizi.
- Viene visualizzata la schermata Accedi con Google, in cui ti viene chiesto di inserire l'indirizzo email della tua identità Google.
- Verrà eseguito il reindirizzamento a Microsoft Entra ID, che funge da IdP.
- Accedi a Microsoft Entra ID.
- Microsoft Entra ID ti reindirizza al servizio Google a cui hai tentato in origine di accedere.
Un vantaggio dell'accesso avviato dal fornitore di servizi è che gli utenti possono accedere direttamente ai servizi Google aprendo un link o utilizzando un preferito. Se la tua organizzazione utilizza Microsoft Entra ID, puoi utilizzare il portale Microsoft Le mie app a questo scopo. Non essere costretti ad aprire le applicazioni tramite un portale è conveniente per gli utenti esperti che aggiungono i preferiti a siti specifici o che potrebbero memorizzare determinati URL. Per altri utenti, può comunque essere utile mostrare i link alle applicazioni pertinenti in un portale.
Tuttavia, l'aggiunta di un link come https://lookerstudio.google.com al portale Le mie app Microsoft rivela un'insufficienza nel processo di accesso avviato dal provider di servizi. Anche se un utente che fa clic sul link nel portale ha una sessione Microsoft Entra ID valida, potrebbe comunque visualizzare la schermata Accedi con Google e gli viene chiesto di inserire il proprio indirizzo email. Questa richiesta di accesso apparentemente ridondante è il risultato del fatto che Accedi con Google non è venuto a conoscenza della sessione Microsoft Entra ID esistente.
Puoi evitare di chiedere l'opzione Accedi con Google utilizzando URL speciali quando configuri il portale Le mie app Microsoft. Questi URL incorporano un suggerimento che indica quale account Cloud Identity o Google Workspace è previsto per gli utenti. Le informazioni aggiuntive consentono l'esecuzione automatica dell'autenticazione, con un conseguente miglioramento dell'esperienza utente.
Aggiunta di link al portale Le mie app Microsoft
Nella tabella seguente sono elencati i servizi Google comuni, il nome corrispondente in Microsoft Entra ID e il link che puoi utilizzare per implementare l'accesso SSO come descritto nella sezione precedente.
Servizio Google | URL | Logo |
---|---|---|
Console Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Documenti Google | https://docs.google.com/a/DOMAIN |
|
Fogli Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Google Gruppi | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
Per ogni servizio Google che vuoi aggiungere al portale Le mie app Microsoft, crea una nuova applicazione aziendale:
- Nel portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
- Fai clic su Nuova applicazione.
Fai clic su Create your own application (Crea la tua applicazione) e inserisci quanto segue:
- Qual è il nome della tua app: inserisci il nome del servizio Google come indicato nella tabella precedente.
- Che cosa vuoi fare con la tua applicazione: seleziona Integra qualsiasi altra applicazione che non trovi nella galleria (non galleria).
Fai clic su Crea.
Seleziona Proprietà.
Sostituisci il logo con il file collegato nella tabella.
Fai clic su Salva.
Nel menu a sinistra, seleziona Single Sign-On.
Seleziona Collegato.
Inserisci l'URL elencato nella tabella, ad esempio
http://docs.google.com/a/DOMAIN
.Sostituisci
DOMAIN
con il nome di dominio principale del tuo account Cloud Identity o Google Workspace, ad esempioexample.com
.Fai clic su Salva.
Tieni presente che nell'applicazione non è necessario configurare il servizio SSO basato su SAML. Tutte le operazioni Single Sign-On continuano a essere gestite dall'applicazione creata in precedenza per Single Sign-On.
Per assegnare l'applicazione agli utenti:
- Nel menu a sinistra, seleziona Proprietà.
- Imposta Assegnazione utente obbligatoria su Sì.
- Fai clic su Salva.
- Nel menu a sinistra, fai clic su Gestisci > Utenti e gruppi.
- Fai clic su Aggiungi utente.
- Seleziona Utenti.
- Seleziona gli utenti o i gruppi di cui vuoi eseguire il provisioning. Se selezioni un gruppo, viene eseguito il provisioning di tutti i membri del gruppo.
- Fai clic su Seleziona.
- Fai clic su Assegna.
Potrebbero essere necessari alcuni minuti prima che un link venga visualizzato nel portale Le mie app.
Controllo dell'accesso
L'assegnazione di utenti e gruppi a singole applicazioni in Microsoft Entra ID controlla la visibilità del collegamento, ma non controlla l'accesso a un servizio. Un servizio non visibile nel portale Le mie app di un utente potrebbe essere ancora accessibile se l'utente apre l'URL corretto. Per controllare a quali utenti e gruppi è consentito accedere a un servizio, devi anche attivare o disattivare il servizio nella Console di amministrazione Google.
Puoi semplificare il processo di controllo della visibilità e dell'accesso utilizzando i gruppi:
- Per ogni servizio Google, crea un gruppo di sicurezza in Microsoft Entra ID, ad esempio
Looker Studio users
eGoogle Drive users
. - Assegna i gruppi all'applicazione aziendale Microsoft Entra ID appropriata come descritto nella sezione precedente. Ad esempio, assegna
Looker Studio users
all'applicazione Looker Studio eGoogle Drive users
all'applicazione Google Drive. - Configura i gruppi di cui eseguire il provisioning nel tuo account Cloud Identity o Google Workspace.
- Nella Console di amministrazione, attiva il servizio corrispondente per ciascun gruppo.
Ad esempio, attiva Looker Studio per il gruppo
Looker Studio users
e Google Drive per il gruppoGoogle Drive users
. Disattiva il servizio per tutti gli altri.
Aggiungendo e rimuovendo i membri a questi gruppi, ora puoi controllare sia l'accesso che la visibilità in un unico passaggio.
Applicazioni web protette da IAP
Se utilizzi Identity-Aware Proxy (IAP) per proteggere le tue applicazioni web, puoi aggiungere link a queste applicazioni al portale Le mie app Microsoft e abilitare le funzionalità Single Sign-On.
Aggiunta di link al portale Le mie app Microsoft
La procedura per aggiungere un link al portale Le mie app Microsoft è la stessa dei servizi Google, ma devi utilizzare l'URL della tua applicazione web protetta da IAP.
Come puoi fare con i servizi Google, puoi impedire agli utenti di visualizzare una schermata di accesso con Google dopo aver seguito un link a un'applicazione web protetta da IAP nel portale, ma la procedura è diversa. Anziché utilizzare un URL speciale, configura IAP in modo che utilizzi sempre un account Cloud Identity o Google Workspace specifico per l'autenticazione:
Nella console Google Cloud, attiva Cloud Shell.
Inizializza una variabile di ambiente:
PRIMARY_DOMAIN=primary-domain
Sostituisci
primary-domain
con il dominio principale del tuo account Cloud Identity o Google Workspace, ad esempioexample.com
.Crea un file di impostazioni temporaneo che indichi a IAP di utilizzare sempre il dominio principale del tuo account Cloud Identity o Google Workspace per l'autenticazione:
cat << EOF > iap-settings.yaml accessSettings: oauthSettings: loginHint: "$PRIMARY_DOMAIN" EOF
Applica l'impostazione a tutte le risorse web IAP nel progetto:
gcloud iap settings set iap-settings.yaml --resource-type=iap_web
Rimuovi il file di impostazioni temporaneo:
rm iap-settings.yaml
Controllo dell'accesso
L'assegnazione di utenti e gruppi a singole applicazioni in Microsoft Entra ID controlla la visibilità del collegamento alla tua applicazione web protetta da IAP, ma non controlla l'accesso all'applicazione. Per controllare l'accesso, devi anche personalizzare il criterio IAM dell'applicazione web protetta da IAP.
Come per i servizi Google, puoi semplificare il processo di controllo della visibilità e dell'accesso utilizzando i gruppi:
- Per ogni applicazione, crea un gruppo di sicurezza in Microsoft Entra ID, ad esempio
Payroll application users
. - Assegna il gruppo alla rispettiva applicazione aziendale Microsoft Entra ID.
- Configura il gruppo di cui eseguire il provisioning nel tuo account Cloud Identity o Google Workspace.
- Aggiorna il criterio IAM dell'applicazione web con protezione IAP per concedere il ruolo Utente applicazione web con protezione IAP al gruppo
Payroll application users
, impedendo l'accesso ad altri utenti
Se aggiungi e rimuovi membri al gruppo Payroll application users
, puoi
controllare sia l'accesso che la visibilità in un unico passaggio.
Passaggi successivi
- Scopri di più su come federe Google Cloud con Microsoft Entra ID.
- Leggi le best practice per la pianificazione di account e organizzazioni e le best practice per la federazione di Google Cloud con un provider di identità esterno.
- Scopri di più su Identity-Aware Proxy.