Refresh_date: 2023-03-01
Neste documento, mostramos como adicionar Serviços do Google e aplicativos da Web protegidos pelo Identity-Aware Proxy (IAP) ao portal do Meus Aplicativos da Microsoft e como ativar o logon automático para esses aplicativos.
O documento pressupõe que você fechou sua conta do Cloud Identity ou do Google Workspace com o ID do Microsoft Entra configurando o ID do Microsoft Entra para o logon único.
Antes de começar
Verifique se você concluiu as etapas para federar sua conta do Cloud Identity ou do Google Workspace com o ID do Microsoft Entra.
Como iniciar o logon único em um portal
Para aceitar a autenticação com um provedor de identidade (IdP) externo, como o Azure AD, o Cloud Identity e o Google Workspace dependem do logon iniciado pelo provedor de serviços. Com esse tipo de logon, a autenticação começa no provedor de serviços, que, em seguida, redireciona você para o IdP, por exemplo:
- Para acessar um serviço do Google, como o Console do Google Cloud ou o Looker Studio, abra um URL ou favorito. O Google e seus serviços desempenham o papel como provedor de serviços nesse cenário.
- A tela de Login do Google é exibida, solicitando que você insira o endereço de e-mail da sua identidade do Google.
- Você será redirecionado para o ID do Microsoft Entra, que serve como o IdP.
- Você faz login no ID do Microsoft Entra.
- O ID do Microsoft Entra redireciona você de volta ao serviço do Google que você tentou acessar originalmente.
Uma vantagem do logon iniciado pelo provedor de serviços é que os usuários podem acessar diretamente os serviços do Google abrindo um link ou usando um favorito. Se sua organização usa o ID do Microsoft Entra, é possível usar o portal Meus Aplicativos da Microsoft para essa finalidade. Não ser forçado a abrir aplicativos por meio de um portal é conveniente para usuários avançados que adicionam sites específicos aos favoritos ou conseguem memorizar alguns URLs. Para outros usuários, ainda pode ser importante mostrar os links para aplicativos relevantes em um portal.
No entanto, adicionar um link como https://lookerstudio.google.com ao portal Meus Aplicativos da Microsoft revela a falha do processo de logon iniciado pelo provedor de serviços. Embora um usuário que venha a clicar no link no portal consiga iniciar uma sessão válida do ID do Microsoft Entra, talvez ainda seja exibida a tela de Login do Google, onde será solicitado que insira seu endereço de e-mail. Essa solicitação de login aparentemente redundante se deve ao fato de o Login do Google não ter conhecimento da sessão existente de ID do Microsoft Entra.
É possível evitar essa solicitação de login do Google adicional usando URLs especiais ao configurar o portal Meus Aplicativos da Microsoft. Esses URLs incorporam uma dica sobre quais usuários de conta do Cloud Identity ou do Google Workspace devem ser usados. As informações extras permitem que a autenticação seja executada silenciosamente, resultando em uma experiência do usuário aprimorada.
Como adicionar links ao portal Meus Aplicativos da Microsoft
A tabela a seguir lista serviços comuns do Google, o nome correspondente no do Microsoft Entra e o link que pode ser usado para implementar o SSO, conforme descrito na seção anterior.
Serviço do Google | URL | Logotipo |
---|---|---|
Console do Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Documentos Google | https://docs.google.com/a/DOMAIN |
|
Planilhas Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Grupos do Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
Crie um novo aplicativo empresarial para cada serviço do Google que você quer adicionar ao portal Meus Aplicativos da Microsoft:
- No portal do Azure, acesse ID do Microsoft Entra > Aplicativos empresariais.
- Clique em Novo aplicativo.
Clique em Criar seu próprio aplicativo e insira o seguinte:
- Qual é o nome do seu app: insira o nome do serviço do Google, conforme indicado na tabela anterior.
- O que você quer fazer com o aplicativo: selecione Integrar outros apps que você não encontra na galeria (não galeria).
Clique em Criar.
Selecione Propriedades.
Altere o logotipo para o arquivo vinculado na tabela.
Clique em Salvar.
No menu à esquerda, selecione Logon único.
Selecione Vinculado.
Insira o URL listado na tabela, por exemplo,
http://docs.google.com/a/DOMAIN
.Substitua
DOMAIN
pelo nome do domínio principal da sua conta do Cloud Identity ou do Google Workspace, comoexample.com
.Clique em Salvar.
Não é necessário configurar o SSO baseado em SAML no aplicativo. Todas as operações de logon único continuam sendo gerenciadas pelo aplicativo que você criou anteriormente para o logon único.
Para atribuir o aplicativo aos usuários, faça o seguinte:
- No menu à esquerda, selecione Propriedades.
- Defina Atribuição de usuário necessária como Sim.
- Clique em Salvar.
- No menu à esquerda, clique em Gerenciar > Usuários e grupos.
- Clique em Adicionar usuário.
- Selecione os Usuários.
- Selecione os usuários ou grupos que você quer provisionar. Se você selecionar um grupo, todos os membros dele serão provisionados.
- Clique em Selecionar.
- Clique em Atribuir.
Pode levar alguns minutos para que um link apareça no portal My Apps.
Como controlar o acesso
A atribuição de usuários e grupos a aplicativos individuais no ID do Microsoft Entra controla a visibilidade do link, mas não o acesso a um serviço. Se o usuário abrir o URL correto, um serviço que não esteja visível no portal My Apps de um usuário ainda pode estar acessível. Para controlar quais usuários e grupos têm permissão para acessar um serviço, você também precisa ativar ou desativar o serviço no Google Admin Console.
É possível simplificar o processo de controle de visibilidade e acesso usando grupos:
- Para cada serviço do Google, crie um grupo de segurança no ID do Microsoft Entra, por
exemplo,
Looker Studio users
eGoogle Drive users
. - Atribua os grupos ao aplicativo empresarial apropriado do ID do Microsoft Entra, conforme descrito na seção anterior. Por exemplo, atribua
Looker Studio users
ao aplicativo Looker Studio eGoogle Drive users
ao aplicativo Google Drive. - Configure os grupos a serem provisionados na sua conta do Cloud Identity ou do Google Workspace.
- No Admin Console, ative o respectivo serviço para cada grupo.
Por exemplo, ative o Looker Studio para o grupo
Looker Studio users
e o Google Drive para o grupoGoogle Drive users
. Desative o serviço para os demais.
Ao adicionar e remover membros desses grupos, você passa a controlar o acesso e a visibilidade em uma única etapa.
Aplicativos da Web protegidos pelo IAP
Se você estiver usando o Identity-Aware Proxy (IAP) para proteger seus aplicativos da Web, poderá adicionar links para esses aplicativos no portal Meus Aplicativos da Microsoft e ativar uma experiência de logon único para eles.
Como adicionar links ao portal Meus Aplicativos da Microsoft
O processo para adicionar um link ao portal Meus Aplicativos da Microsoft é o mesmo para os serviços do Google, mas é necessário usar o URL do aplicativo da Web protegido pelo IAP.
Assim como nos serviços do Google, é possível impedir que os usuários vejam uma tela de login do Google após seguir um link para um aplicativo da Web protegido pelo IAP no portal, mas o processo é diferente. Em vez de usar um URL especial, você configura o IAP para sempre usar uma conta específica do Cloud Identity ou do Google Workspace para autenticação:
No Console do Google Cloud, ative o Cloud Shell.
Inicialize uma variável de ambiente:
PRIMARY_DOMAIN=primary-domain
Substitua
primary-domain
pelo domínio principal da sua conta do Cloud Identity ou do Google Workspace, por exemplo,example.com
.Crie um arquivo de configurações temporárias que instrui o IAP a sempre usar o domínio principal da sua conta do Cloud Identity ou do Google Workspace para autenticação:
cat << EOF > iap-settings.yaml accessSettings: oauthSettings: loginHint: "$PRIMARY_DOMAIN" EOF
Aplique a configuração a todos os recursos da Web do IAP no projeto:
gcloud iap settings set iap-settings.yaml --resource-type=iap_web
Remova o arquivo de configurações temporárias:
rm iap-settings.yaml
Como controlar o acesso
A atribuição de usuários e grupos a aplicativos individuais no ID do Microsoft Entra controla a visibilidade do link para seu aplicativo da Web protegido pelo IAP, mas não controla o acesso ao aplicativo. Para controlar o acesso, você também precisa personalizar a política de IAM do aplicativo da Web protegido pelo IAP.
Assim como nos serviços do Google, é possível simplificar o processo de controle de visibilidade e acesso usando grupos:
- Para cada aplicativo, crie um grupo de segurança no ID do Microsoft Entra, por exemplo,
Payroll application users
. - Atribua o grupo ao respectivo aplicativo empresarial do ID do Microsoft Entra.
- Configure o grupo a ser provisionado na conta do Cloud Identity ou do Google Workspace.
- Atualize a política de IAM do aplicativo da Web protegido pelo IAP para conceder o papel Usuário do aplicativo da Web protegido pelo IAP ao grupo
Payroll application users
e não permitir acesso para outros usuários.
Ao adicionar e remover membros do grupo Payroll application users
, você controla o acesso e a visibilidade em uma única etapa.
A seguir
- Saiba mais sobre como federar o Google Cloud com o ID do Microsoft Entra.
- Leia sobre as práticas recomendadas para o planejamento de contas e organizações e as práticas recomendadas para federar o Google Cloud com um provedor de idP externo.
- Leia mais sobre o Identity-Aware Proxy.