Questo documento mostra come aggiungere servizi Google e applicazioni web protette da Identity-Aware Proxy (IAP) al portale Microsoft My Apps e come attivare l'accesso automatico per queste applicazioni.
Il documento presuppone che tu abbia federato il tuo account Cloud Identity o Google Workspace con Microsoft Entra ID mediante la configurazione di Microsoft Entra ID per il Single Sign-On.
Prima di iniziare
Assicurati di aver completato i passaggi per federare il tuo account Cloud Identity o Google Workspace con Microsoft Entra ID.
Avviare il Single Sign-On da un portale
Per supportare l'autenticazione con un provider di identità (IdP) esterno come Microsoft Entra ID, Cloud Identity e Google Workspace si basano sull'accesso avviato dal fornitore di servizi. Con questo tipo di accesso, l'autenticazione inizia dal fornitore di servizi, che poi ti reindirizza all'IdP. Ad esempio:
- Accedi a un servizio Google come la console o Looker Studio aprendo un URL o un segnalibro.Google Cloud Google e i suoi servizi assumono il ruolo di fornitore di servizi in questo scenario.
- Viene visualizzata la schermata di accesso a Google, che ti chiede di inserire l'indirizzo email della tua identità Google.
- Viene reindirizzato a Microsoft Entra ID, che funge da IdP.
- Accedi a Microsoft Entra ID.
- Microsoft Entra ID ti reindirizza al servizio Google a cui hai tentato di accedere in origine.
Un vantaggio dell'accesso avviato dal service provider è che gli utenti possono accedere direttamente ai servizi Google aprendo un link o utilizzando un preferito. Se la tua organizzazione utilizza Microsoft Entra ID, puoi utilizzare il portale Microsoft My Apps per questo scopo. Non essere costretti ad aprire le applicazioni tramite un portale è comodo per gli utenti esperti che aggiungono ai preferiti siti specifici o memorizzano determinati URL. Per gli altri utenti, può comunque essere utile esporre i link alle applicazioni pertinenti in un portale.
Tuttavia, l'aggiunta di un link come https://lookerstudio.google.com al portale Microsoft My Apps rivela una carenza del servizio di accesso avviato dal fornitore. Anche se un utente che fa clic sul link nel portale ha una sessione Microsoft Entra ID valida, potrebbe comunque visualizzare la schermata di accesso con Google e gli viene chiesto di inserire il proprio indirizzo email. Questa richiesta di accesso apparentemente ridondante è il risultato del fatto che Google Sign-In non è a conoscenza della sessione Microsoft Entra ID esistente.
Puoi evitare l'ulteriore richiesta di accesso con Google utilizzando URL speciali durante la configurazione del portale Microsoft My Apps. Questi URL incorporano un suggerimento sull'account Cloud Identity o Google Workspace che gli utenti devono utilizzare. Le informazioni aggiuntive consentono di eseguire l'autenticazione in modo silenzioso, migliorando l'esperienza utente.
Aggiungere link al portale Microsoft My Apps
La tabella seguente elenca i servizi Google comuni, il nome corrispondente in Microsoft Entra ID e il link che puoi utilizzare per implementare l'SSO come descritto nella sezione precedente.
| Servizio Google | URL | Logo |
|---|---|---|
| ConsoleGoogle Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ |
 |
| Documenti Google | https://docs.google.com/a/DOMAIN |
 |
| Fogli Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/
|
 |
| Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ |
 |
| Google Drive | https://drive.google.com/a/DOMAIN |
 |
| Gmail | https://mail.google.com/a/DOMAIN |
 |
| Google Gruppi | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ |
 |
| Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/
|
 |
| Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ |
 |
| YouTube | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/
|
 |
Per ogni servizio Google che vuoi aggiungere al portale Microsoft My Apps, crea una nuova applicazione aziendale:
- Nel portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
- Fai clic su Nuova applicazione.
Fai clic su Crea la tua applicazione e inserisci quanto segue:
- Qual è il nome della tua app: inserisci il nome del servizio Google come indicato nella tabella precedente.
- Che cosa vuoi fare con la tua applicazione: seleziona Integra qualsiasi altra applicazione che non trovi nella galleria (non galleria).
Fai clic su Crea.
Seleziona Proprietà.
Modifica il logo con il file collegato nella tabella.
Fai clic su Salva.
Nel menu a sinistra, seleziona Single Sign-On.
Seleziona Collegati.
Inserisci l'URL elencato nella tabella, ad esempio
http://docs.google.com/a/DOMAIN.Sostituisci
DOMAINcon il nome del dominio principale del tuo account Cloud Identity o Google Workspace, ad esempioexample.com.Fai clic su Salva.
Tieni presente che non devi configurare il servizio SSO basato su SAML nell'applicazione. Tutte le operazioni di Single Sign-On continuano a essere gestite da l'applicazione che hai creato in precedenza per il Single Sign-On.
Per assegnare l'applicazione agli utenti:
- Nel menu a sinistra, seleziona Proprietà.
- Imposta Assegnazione utenti obbligatoria su Sì.
- Fai clic su Salva.
- Nel menu a sinistra, fai clic su Gestisci > Utenti e gruppi.
- Fai clic su Aggiungi utente.
- Seleziona Utenti.
- Seleziona gli utenti o i gruppi di cui vuoi eseguire il provisioning. Se selezioni un gruppo, vengono sottoposti a provisioning tutti i membri del gruppo.
- Fai clic su Seleziona.
- Fai clic su Assegna.
Potrebbero essere necessari diversi minuti prima che un link venga visualizzato nel portale Le mie app.
Controllare l'accesso
L'assegnazione di utenti e gruppi a singole applicazioni in Microsoft Entra ID controlla la visibilità del link, ma non l'accesso a un servizio. Un servizio che non è visibile nel portale Le mie app di un utente potrebbe comunque essere accessibile se l'utente apre l'URL corretto. Per controllare a quali utenti e gruppi è consentito accedere a un servizio, devi anche attivare o disattivare il servizio nella Console di amministrazione.
Puoi semplificare il processo di controllo della visibilità e dell'accesso utilizzando i gruppi:
- Per ogni servizio Google, crea un gruppo di sicurezza in Microsoft Entra ID, ad esempio
Looker Studio userseGoogle Drive users. - Assegna i gruppi all'applicazione aziendale Microsoft Entra ID appropriata, come descritto nella sezione precedente. Ad esempio, assegna
Looker Studio usersall'applicazione Looker Studio eGoogle Drive usersall'applicazione Google Drive. - Configura i gruppi da eseguire il provisioning nel tuo account Cloud Identity o Google Workspace.
- Nella
Console di amministrazione,
attiva il servizio corrispondente per ogni gruppo.
Ad esempio, attiva Looker Studio per il gruppo
Looker Studio userse Google Drive per il gruppoGoogle Drive users. Disattiva il servizio per tutti gli altri.
Aggiungendo e rimuovendo membri da questi gruppi, ora puoi controllare sia l'accesso che la visibilità in un unico passaggio.
Applicazioni web protette da IAP
Se utilizzi IAP per proteggere le tue applicazioni web, puoi aggiungere link a queste applicazioni al portale Microsoft My Apps e attivare un'esperienza di Single Sign-On.
Aggiungere link al portale Microsoft My Apps
La procedura per aggiungere un link al portale Microsoft My Apps è la stessa dei servizi Google, ma devi utilizzare l'URL della tua applicazione web protetta da IAP.
Come per i servizi Google, puoi impedire agli utenti di visualizzare una schermata di accesso Google dopo aver seguito un link a un'applicazione web protetta da IAP nel portale, ma la procedura è diversa. Invece di utilizzare un URL speciale, configura IAP in modo che utilizzi sempre un account Cloud Identity o Google Workspace specifico per l'autenticazione:
Nella console Google Cloud , attiva Cloud Shell.
Inizializza una variabile di ambiente:
PRIMARY_DOMAIN=primary-domainSostituisci
primary-domaincon il dominio principale del tuo account Cloud Identity o Google Workspace, ad esempio,example.com.Crea un file di impostazioni temporaneo che indica a IAP di utilizzare sempre il dominio principale del tuo account Cloud Identity o Google Workspace per l'autenticazione:
cat << EOF > iap-settings.yaml accessSettings: oauthSettings: loginHint: "$PRIMARY_DOMAIN" EOFApplica l'impostazione a tutte le risorse web IAP nel progetto:
gcloud iap settings set iap-settings.yaml --resource-type=iap_web
Rimuovi il file delle impostazioni temporanee:
rm iap-settings.yaml
Controllare l'accesso
L'assegnazione di utenti e gruppi a singole applicazioni in Microsoft Entra ID controlla la visibilità del link alla tua applicazione web protetta da IAP, ma non controlla l'accesso all'applicazione. Per controllare l'accesso, devi anche personalizzare il criterio Identity and Access Management (IAM) dell'applicazione web protetta da IAP.
Come per i servizi Google, puoi semplificare il processo di controllo della visibilità e dell'accesso utilizzando i gruppi:
- Per ogni applicazione, crea un gruppo di sicurezza in Microsoft Entra ID, ad esempio
Payroll application users. - Assegna il gruppo all'applicazione aziendale Microsoft Entra ID corrispondente.
- Configura il gruppo di cui eseguire il provisioning nel tuo account Cloud Identity o Google Workspace.
- Aggiorna il criterio IAM dell'applicazione web protetta da IAP per concedere il ruolo Utente applicazione web con protezione IAP al gruppo
Payroll application users, impedendo l'accesso ad altri utenti.
Aggiungendo e rimuovendo membri dal gruppo Payroll application users, puoi
controllare l'accesso e la visibilità in un unico passaggio.
Passaggi successivi
- Scopri di più sulla federazione Google Cloud con Microsoft Entra ID.
- Scopri di più sulle best practice per la pianificazione di account e organizzazioni e sulle best practice per la federazione Google Cloud con un IdP esterno.
- Scopri di più su Identity-Aware Proxy.
Collaboratori
Autore: Johannes Passing | Cloud Solutions Architect