Integrazione del portale App personali di Microsoft

Last reviewed 2024-06-26 UTC

Questo documento illustra come aggiungere i servizi Google e le applicazioni web con protezione web Identity-Aware Proxy (IAP) al portale Le mie app di Microsoft e come attivare l'accesso automatico per queste applicazioni.

Il documento presuppone che tu abbia federato il tuo account Cloud Identity o Google Workspace con Microsoft Entra ID configurando Microsoft Entra ID per il Single Sign-On.

Prima di iniziare

Assicurati di aver completato i passaggi per federare il tuo account Cloud Identity o Google Workspace con Microsoft Entra ID.

Avviare il Single Sign-On da un portale

Per supportare l'autenticazione con un provider di identità (IdP) esterno come Azure AD, Cloud Identity e Google Workspace si basano sull'accesso avviato dal fornitore di servizi. Con questo tipo di accesso, l'autenticazione inizia dal fornitore di servizi, che poi ti reindirizza all'IdP, ad esempio:

  1. Accedi a un servizio Google come la console Google Cloud o Looker Studio aprendo un URL o un preferito. In questo scenario, Google e i suoi servizi assumono il ruolo di fornitore di servizi.
  2. Viene visualizzata la schermata di accesso a Google, in cui ti viene chiesto di inserire l'indirizzo email della tua identità Google.
  3. Verrà visualizzato Microsoft Entra ID, che funge da IdP.
  4. Accedi a Microsoft Entra ID.
  5. Microsoft Entra ID ti reindirizza al servizio Google a cui hai inizialmente provato ad accedere.

Un vantaggio dell'accesso avviato dal fornitore di servizi è che gli utenti possono accedere direttamente ai servizi Google aprendo un link o utilizzando un preferito. Se la tua organizzazione utilizza Microsoft Entra ID, puoi utilizzare il portale Microsoft My Apps per questo scopo. Non essere costretti ad aprire le applicazioni tramite un portale è utile per gli utenti esperti che aggiungono ai preferiti siti specifici o potrebbero memorizzare determinati URL. Per altri utenti, può comunque essere utile mostrare i link alle applicazioni pertinenti in un portale.

Tuttavia, l'aggiunta di un link come https://lookerstudio.google.com al portale Microsoft Le mie app rivela una carenza della procedura di accesso avviata dal fornitore di servizi. Anche se un utente che fa clic sul link nel portale ha una sessione Microsoft Entra ID valida, potrebbe comunque vedere la schermata di accesso con Google e gli viene chiesto di inserire il suo indirizzo email. Questa richiesta di conferma apparentemente superflua è dovuta al fatto che Accedi con Google non è a conoscenza della sessione Microsoft Entra ID esistente.

Puoi evitare la richiesta di conferma aggiuntiva di Google utilizzando URL speciali durante la configurazione del portale Microsoft My Apps. Questi URL contengono un suggerimento sull'account Cloud Identity o Google Workspace che gli utenti dovrebbero utilizzare. Le informazioni aggiuntive consentono di eseguire l'autenticazione in modalità silenziosa, in modo da migliorare l'esperienza utente.

La tabella seguente elenca i servizi Google comuni, il nome corrispondente in Microsoft Entra ID e il link che puoi utilizzare per implementare il servizio SSO come descritto nella sezione precedente.

Servizio Google URL Logo
Console Google Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Logo Google Cloud
Documenti Google https://docs.google.com/a/DOMAIN Logo di Documenti Google
Fogli Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Logo di Fogli Google
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Logo di Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logo di Google Drive
Gmail https://mail.google.com/a/DOMAIN Logo di Gmail
Google Gruppi https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Logo di Google Gruppi
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Logo di Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Logo di Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logo YouTube

Per ogni servizio Google che vuoi aggiungere al portale Le mie app di Microsoft, crea una nuova applicazione aziendale:

  1. Nel portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
  2. Fai clic su Nuova applicazione.

  3. Fai clic su Crea la tua applicazione e inserisci quanto segue:

    • Qual è il nome della tua app: inserisci il nome del servizio Google come indicato nella tabella precedente.
    • Che cosa vuoi fare con la tua applicazione: seleziona Integra qualsiasi altra applicazione che non trovi nella galleria (Non galleria).

  4. Fai clic su Crea.

  5. Seleziona Proprietà.

  6. Cambia il logo con il file collegato nella tabella.

  7. Fai clic su Salva.

  8. Nel menu a sinistra, seleziona Single sign-on (Accesso singolo).

  9. Seleziona Collegato.

  10. Inserisci l'URL elencato nella tabella, ad esempio http://docs.google.com/a/DOMAIN.

    Sostituisci DOMAIN con il nome di dominio principale del tuo account Cloud Identity o Google Workspace, ad esempio example.com.

  11. Fai clic su Salva.

Tieni presente che non devi configurare il servizio SSO basato su SAML nell'applicazione. Tutte le operazioni di Single Sign-On continuano a essere gestite dall'applicazione che hai creato in precedenza per il Single Sign-On.

Per assegnare l'applicazione agli utenti:

  1. Nel menu a sinistra, seleziona Proprietà.
  2. Imposta Assegnazione utente obbligatoria su .
  3. Fai clic su Salva.
  4. Nel menu a sinistra, fai clic su Gestisci > Utenti e gruppi.
  5. Fai clic su Aggiungi utente.
  6. Seleziona Utenti.
  7. Seleziona gli utenti o i gruppi di cui vuoi eseguire il provisioning. Se selezioni un gruppo, viene eseguito il provisioning di tutti i membri del gruppo.
  8. Fai clic su Seleziona.
  9. Fai clic su Assegna.

Potrebbero essere necessari diversi minuti prima che un link venga visualizzato nel portale Le mie app.

Controllare l'accesso

L'assegnazione di utenti e gruppi a singole applicazioni in Microsoft Entra ID controlla la visibilità del collegamento, ma non l'accesso a un servizio. Un servizio che non è visibile nel portale Le mie app di un utente potrebbe essere comunque accessibile se l' utente apre l'URL corretto. Per controllare quali utenti e gruppi possono accedere a un servizio, devi anche attivare o disattivare il servizio nella Console di amministrazione Google.

Puoi semplificare la procedura di controllo della visibilità e dell'accesso utilizzando i gruppi:

  1. Per ogni servizio Google, crea un gruppo di sicurezza in Microsoft Entra ID, ad esempio Looker Studio users e Google Drive users.
  2. Assegna i gruppi all'applicazione aziendale Microsoft Entra ID appropriata come illustrato nella sezione precedente. Ad esempio, assegna Looker Studio users all'applicazione Looker Studio e Google Drive users all'applicazione Google Drive.
  3. Configura i gruppi di cui eseguire il provisioning nel tuo account Cloud Identity o Google Workspace.
  4. Nella Console di amministrazione, attiva il rispettivo servizio per ogni gruppo. Ad esempio, attiva Looker Studio per il gruppo Looker Studio users e Google Drive per il gruppo Google Drive users. Disattiva il servizio per tutti gli altri utenti.

Aggiungendo e rimuovendo membri da questi gruppi, ora puoi controllare sia l'accesso sia la visibilità in un unico passaggio.

Applicazioni web protette da IAP

Se utilizzi IAP per proteggere le tue applicazioni web, puoi aggiungere link a queste applicazioni al portale Microsoft Le mie app e attivare un'esperienza di accesso singolo per queste applicazioni.

La procedura per aggiungere un link al portale Microsoft My Apps è la stessa utilizzata per i servizi Google, ma devi utilizzare l'URL della tua applicazione web protetta da IAP.

Come per i servizi Google, puoi impedire agli utenti di visualizzare una schermata di accesso a Google dopo aver seguito un link a un'applicazione web protetta da acquisti in-app nel portale, ma la procedura è diversa. Invece di utilizzare un URL speciale, configura l'IAP in modo da utilizzare sempre un account Cloud Identity o Google Workspace specifico per l'autenticazione:

  1. Nella console Google Cloud, attiva Cloud Shell.

    Attivare Cloud Shell

  2. Inizializza una variabile di ambiente:

    PRIMARY_DOMAIN=primary-domain

    Sostituisci primary-domain con il dominio principale del tuo account Cloud Identity o Google Workspace, ad esempio example.com.

  3. Crea un file di impostazioni temporaneo che indichi a IAP di utilizzare sempre il dominio principale del tuo account Cloud Identity o Google Workspace per l'autenticazione:

    cat << EOF > iap-settings.yaml
accessSettings:
  oauthSettings:
    loginHint: "$PRIMARY_DOMAIN"
EOF

  4. Applica l'impostazione a tutte le risorse web IAP del progetto:

    gcloud iap settings set iap-settings.yaml --resource-type=iap_web

  5. Rimuovi il file delle impostazioni temporanee:

    rm iap-settings.yaml

Controllare l'accesso

L'assegnazione di utenti e gruppi a singole applicazioni in Microsoft Entra ID controlla la visibilità del link alla tua applicazione web protetta da IAP, ma non controlla l'accesso all'applicazione. Per controllare l'accesso, devi anche personalizzare il criterio IAM (Identity and Access Management) dell'applicazione web protetta da IAP.

Come per i servizi Google, puoi semplificare la procedura di controllo della visibilità e dell'accesso utilizzando i gruppi:

  1. Per ogni applicazione, crea un gruppo di sicurezza in Microsoft Entra ID, ad esempioPayroll application users.
  2. Assegna il gruppo alla rispettiva applicazione aziendale Microsoft Entra ID.
  3. Configura il gruppo di cui eseguire il provisioning nel tuo account Cloud Identity o Google Workspace.
  4. Aggiorna il criterio IAM dell'applicazione web protetta da IAP per concedere il ruolo Utente applicazione web con protezione IAP al gruppo Payroll application users e negare l'accesso ad altri utenti

Aggiungendo e rimuovendo membri dal gruppo Payroll application users, puoi controllare sia l'accesso sia la visibilità in un unico passaggio.

Passaggi successivi