Este documento mostra como adicionar serviços Google e aplicações Web protegidas pela Web do Identity-Aware Proxy (IAP) ao portal As minhas apps da Microsoft e como ativar o início de sessão automático para estas aplicações.
O documento pressupõe que federou a sua conta do Cloud ID ou do Google Workspace com o Microsoft Entra ID ao configurar o Microsoft Entra ID para início de sessão único.
Antes de começar
Certifique-se de que concluiu os passos para federar a sua conta do Cloud ID ou do Google Workspace com o Microsoft Entra ID.
Inicie o Início de sessão único a partir de um portal
Para suportar a autenticação com um fornecedor de identidade (IdP) externo, como o Microsoft Entra ID, o Cloud ID e o Google Workspace dependem do início de sessão iniciado pelo fornecedor de serviços. Com este tipo de início de sessão, a autenticação começa no fornecedor de serviços, que, em seguida, redireciona para o IdP, por exemplo:
- Aceder a um serviço Google, como a Google Cloud consola ou o Looker Studio abrindo um URL ou um marcador. A Google e os respetivos serviços assumem o papel de fornecedor de serviços neste cenário.
- É apresentado o ecrã de início de sessão do Google, que lhe pede para introduzir o endereço de email da sua identidade Google.
- É feito o redirecionamento para o Microsoft Entra ID, que funciona como IdP.
- Inicia sessão no Microsoft Entra ID.
- O Microsoft Entra ID redireciona-o de volta para o serviço Google ao qual tentou aceder originalmente.
Uma vantagem do início de sessão iniciado pelo fornecedor de serviços é que os utilizadores podem aceder diretamente aos serviços Google abrindo um link ou usando um marcador. Se a sua organização usar o Microsoft Entra ID, pode usar o portal As minhas apps da Microsoft para este fim. Não ser forçado a abrir aplicações através de um portal é conveniente para utilizadores avançados que adicionam sites específicos aos favoritos ou podem memorizar determinados URLs. Para outros utilizadores, ainda pode ser útil expor os links para aplicações relevantes num portal.
No entanto, adicionar um link como https://lookerstudio.google.com ao portal Microsoft My Apps revela uma falha no processo de início de sessão iniciado pelo fornecedor de serviços. Embora um utilizador que clique no link no portal tenha uma sessão válida do Microsoft Entra ID, pode continuar a ver o ecrã de início de sessão do Google e ser-lhe pedido que introduza o respetivo endereço de email. Este pedido de início de sessão aparentemente redundante é o resultado de o Início de sessão Google não ter conhecimento da sessão existente do Microsoft Entra ID.
Pode evitar o pedido de início de sessão da Google adicional usando URLs especiais quando configurar o portal Microsoft My Apps. Estes URLs incorporam uma sugestão sobre a conta do Cloud ID ou do Google Workspace que os utilizadores devem usar. As informações adicionais permitem que a autenticação seja realizada de forma silenciosa, o que resulta numa experiência do utilizador melhorada.
Adicione links ao portal Microsoft My Apps
A tabela seguinte apresenta os serviços Google comuns, o nome correspondente no Microsoft Entra ID e o link que pode usar para implementar o SSO, conforme descrito na secção anterior.
| Serviço Google | URL | Logótipo |
|---|---|---|
| Google Cloud consola | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ |
 |
| Google Docs | https://docs.google.com/a/DOMAIN |
 |
| Google Sheets | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/
|
 |
| Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ |
 |
| Google Drive | https://drive.google.com/a/DOMAIN |
 |
| Gmail | https://mail.google.com/a/DOMAIN |
 |
| Grupos do Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ |
 |
| Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/
|
 |
| Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ |
 |
| YouTube | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/
|
 |
Para cada serviço Google que quer adicionar ao portal Microsoft My Apps, crie uma nova aplicação empresarial:
- No portal do Azure, aceda a Microsoft Entra ID > Aplicações empresariais.
- Clique em Nova aplicação.
Clique em Criar a sua própria aplicação e introduza o seguinte:
- Qual é o nome da sua app: introduza o nome do serviço Google, conforme indicado na tabela anterior.
- O que quer fazer com a sua aplicação: selecione Integrar qualquer outra aplicação que não encontre na galeria (não pertencente à galeria).
Clique em Criar.
Selecione Propriedades.
Altere o logótipo para o ficheiro com link na tabela.
Clique em Guardar.
No menu do lado esquerdo, selecione Início de sessão único.
Selecione Associado.
Introduza o URL indicado na tabela, por exemplo,
http://docs.google.com/a/DOMAIN.Substitua
DOMAINpelo nome do domínio principal da sua conta do Cloud Identity ou do Google Workspace, comoexample.com.Clique em Guardar.
Tenha em atenção que não tem de configurar o SSO baseado em SAML na aplicação. Todas as operações de início de sessão único continuam a ser processadas pela aplicação que criou anteriormente para o início de sessão único.
Para atribuir a aplicação aos utilizadores, faça o seguinte:
- No menu do lado esquerdo, selecione Propriedades.
- Defina a opção Atribuição de utilizadores necessária como Sim.
- Clique em Guardar.
- No menu do lado esquerdo, clique em Gerir > Utilizadores e grupos.
- Clique em Adicionar utilizador.
- Selecione Utilizadores.
- Selecione os utilizadores ou os grupos que quer aprovisionar. Se selecionar um grupo, todos os membros do grupo são aprovisionados.
- Clique em Selecionar.
- Clique em Atribuir.
Pode demorar vários minutos até que um link seja apresentado no portal As minhas apps.
Controle o acesso
A atribuição de utilizadores e grupos a aplicações individuais no Microsoft Entra ID controla a visibilidade do link, mas não controla o acesso a um serviço. Um serviço que não está visível no portal As minhas apps de um utilizador pode continuar a estar acessível se o utilizador abrir o URL correto. Para controlar que utilizadores e grupos têm autorização para aceder a um serviço, também tem de ativar ou desativar o serviço na consola do administrador Google.
Pode simplificar o processo de controlo da visibilidade e do acesso através de grupos:
- Para cada serviço Google, crie um grupo de segurança no Microsoft Entra ID. Por exemplo,
Looker Studio userseGoogle Drive users. - Atribua os grupos à aplicação empresarial do Microsoft Entra ID adequada, conforme
descrito na secção anterior. Por exemplo, atribua
Looker Studio usersà aplicação Looker Studio eGoogle Drive usersà aplicação Google Drive. - Configure os grupos a serem aprovisionados na sua conta do Cloud ID ou Google Workspace.
- Na
consola do administrador,
ative o serviço respetivo para cada grupo.
Por exemplo, ative o Looker Studio para o grupo
Looker Studio userse o Google Drive para o grupoGoogle Drive users. Desativar o serviço para todas as outras pessoas.
Ao adicionar e remover membros destes grupos, controla agora o acesso e a visibilidade num único passo.
Apps Web protegidas por IAP
Se estiver a usar o IAP para proteger as suas aplicações Web, pode adicionar links para estas aplicações ao portal Microsoft As minhas apps e ativar uma experiência de início de sessão único para as mesmas.
Adicione links ao portal Microsoft My Apps
O processo de adição de um link ao portal Microsoft My Apps é o mesmo que para os serviços Google, mas tem de usar o URL da sua aplicação Web protegida pela IAP.
Tal como acontece com os serviços Google, pode impedir que os utilizadores vejam um ecrã de início de sessão do Google depois de seguirem um link para uma aplicação Web protegida por IAP no portal, mas o processo é diferente. Em vez de usar um URL especial, configure o IAP para usar sempre uma conta específica do Cloud ID ou do Google Workspace para autenticação:
Na Google Cloud consola, ative o Cloud Shell.
Inicialize uma variável de ambiente:
PRIMARY_DOMAIN=primary-domainSubstitua
primary-domainpelo domínio principal da sua conta do Cloud ID ou Google Workspace, por exemplo,example.com.Crie um ficheiro de definições temporário que instrua o IAP a usar sempre o domínio principal da sua conta do Cloud ID ou do Google Workspace para autenticação:
cat << EOF > iap-settings.yaml accessSettings: oauthSettings: loginHint: "$PRIMARY_DOMAIN" EOFAplique a definição a todos os recursos Web de IAP no projeto:
gcloud iap settings set iap-settings.yaml --resource-type=iap_web
Remova o ficheiro de definições temporárias:
rm iap-settings.yaml
Controle o acesso
A atribuição de utilizadores e grupos a aplicações individuais no Microsoft Entra ID controla a visibilidade do link para a sua aplicação Web protegida pelo IAP, mas não controla o acesso à aplicação. Para controlar o acesso, também tem de personalizar a política de gestão de identidade e de acesso (IAM) da aplicação Web protegida pelo IAP.
Tal como acontece com os serviços Google, pode simplificar o processo de controlo da visibilidade e do acesso através da utilização de grupos:
- Para cada aplicação, crie um grupo de segurança no Microsoft Entra ID, por exemplo,
Payroll application users. - Atribua o grupo à respetiva aplicação empresarial do Microsoft Entra ID.
- Configure o grupo para ser aprovisionado na sua conta do Cloud ID ou Google Workspace.
- Atualize a política de IAM
da aplicação Web protegida pelo IAP para conceder a função de
Utilizador da app Web protegida pelo IAP ao grupo
Payroll application users, ao mesmo tempo que impede o acesso de outros utilizadores
Ao adicionar e remover membros do grupo Payroll application users, controla o acesso e a visibilidade num único passo.
O que se segue?
- Saiba mais sobre a federação Google Cloud com o Microsoft Entra ID.
- Leia acerca das práticas recomendadas para planear contas e organizações e das práticas recomendadas para federar Google Cloud com um IdP externo.
- Leia mais acerca do Identity-Aware Proxy.
Colaboradores
Autor: Johannes Passing | Arquiteto de soluções na nuvem