本文档介绍如何将 Google 服务和 Identity-Aware Proxy (IAP) 网络安全 Web 应用添加到 Microsoft My Apps 门户,以及如何为这些应用启用自动登录。
本文档假定您已通过配置 Microsoft Entra ID 进行单点登录,将您的 Cloud Identity 或 Google Workspace 账号与 Microsoft Entra ID 联合。
须知事项
确保您已完成将 Cloud Identity 或 Google Workspace 账号与 Microsoft Entra ID 联合的步骤。
从门户启动单点登录
为了支持通过外部身份提供商 (IdP)(如 Azure AD)进行身份验证,Cloud Identity 和 Google Workspace 依赖于服务提供商发起的登录。使用这种登录方式,将从服务提供商处开始身份验证,然后服务提供商再将您重定向到 IdP,例如:
- 您可以通过打开网址或书签来访问 Google 服务,例如 Google Cloud 控制台或 Looker Studio。在此场景中,Google 及其服务将充当服务提供商。
- 系统显示 Google 登录屏幕,提示您输入 Google 身份的电子邮件地址。
- 您将被重定向到充当 IdP 的 Microsoft Entra ID。
- 您登录 Microsoft Entra ID。
- Microsoft Entra ID 会将您重定向回您最初尝试访问的 Google 服务。
服务提供商启动的登录的一项优势是,用户可以打开链接或使用书签来直接访问 Google 服务。如果您的组织使用 Microsoft Entra ID,您可以使用 Microsoft My Apps 门户来实现此目的。对于为特定网站添加书签或可能记得住某些网址的高级用户来说,并非一定要通过门户打开应用这一点非常方便。对于其他用户,在门户中显示相关应用的链接仍然很有价值。
但是,向 Microsoft My Apps 门户添加 https://lookerstudio.google.com 之类的链接,揭示了服务提供商启动的登录过程的一个缺点。那就是尽管点击门户中的链接的用户具有有效的 Microsoft Entra ID 会话,但他们可能仍会看到 Google 登录屏幕提示其输入电子邮件地址。由于 Google 登录并未注意到现有的 Microsoft Entra ID 会话,因此登录提示看起来很多余。
配置 Microsoft My Apps 门户时,您可以使用特殊网址来避免出现额外的 Google 登录提示。这些网址会嵌入一个提示,指出用户应使用哪个 Cloud Identity 或 Google Workspace 账号。这一额外的信息可让身份验证机制静默执行,从而提升用户体验。
添加指向 Microsoft My Apps 门户的链接
下表列出了常见的 Google 服务、Microsoft Entra ID 中对应的名称,以及可用于实现 SSO 的链接(如上一部分所述)。
| Google 服务 | 网址 | 徽标 |
|---|---|---|
| Google Cloud 控制台 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
 |
| Google 文档 | https://docs.google.com/a/DOMAIN |
 |
| Google 表格 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
 |
| Google 协作平台 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
 |
| Google 云端硬盘 | https://drive.google.com/a/DOMAIN |
 |
| Gmail | https://mail.google.com/a/DOMAIN |
 |
| Google 群组 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
 |
| Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
 |
| Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
 |
对于您要添加到 Microsoft My Apps 门户的每项 Google 服务,请创建一个新的企业应用:
- 在 Azure 门户中,转到 Microsoft Entra ID > 企业应用。
- 点击新建应用。
点击创建自己的应用,然后输入以下内容:
- 应用名称是什么:输入上表中指定的 Google 服务的名称。
- 您希望如何处理应用:选择集成您在图库中找不到的任何其他应用(非图库)。
点击创建。
选择属性。
将徽标更改为表中链接的文件。
点击保存。
在左侧菜单中,选择单一登录。
选择已链接。
输入表中列出的网址,例如
http://docs.google.com/a/DOMAIN。将
DOMAIN替换为您的 Cloud Identity 或 Google Workspace 账号的主域名,例如example.com。点击保存。
请注意,您不必在应用中配置基于 SAML 的单点登录。所有单点登录操作均由您之前为其创建单点登录的应用进行处理。
如需将应用分配给用户,请执行以下操作:
- 在左侧菜单中,选择属性。
- 将需要使用用户分配设置为是。
- 点击保存。
- 在左侧菜单中,点击管理 > 用户和组。
- 点击添加用户。
- 选择用户。
- 选择您要预配的用户或组。如果您选择组,则系统会预配该组的所有成员。
- 点击选择。
- 点击分配。
可能需要几分钟才会在“我的应用”门户中显示链接。
控制访问权限
将用户和组分配给 Microsoft Entra ID 中的各个应用,可以控制链接的公开范围,但并不能控制对服务的访问权限。用户仍可访问未在其“我的应用”门户上公开的服务,前提是他们打开的网址正确。如需控制哪些用户和群组可以访问服务,您还必须在 Google 管理控制台中启用或停用服务。
您可以使用组来简化控制公开范围和访问权限的流程:
- 对于每项 Google 服务,请在 Microsoft Entra ID 中创建安全组,例如
Looker Studio users和Google Drive users。 - 将组分配给相应的 Microsoft Entra ID 企业应用,如上一部分所述。例如,将
Looker Studio users分配给 Looker 数据洞察应用,将Google Drive users分配给 Google 云端硬盘应用。 - 配置要预配到 Cloud Identity 或 Google Workspace 账号的群组。
- 在管理控制台中,为每个组启用相应的服务。例如,为
Looker Studio users组启用 Looker 数据洞察,为Google Drive users组启用 Google 云端硬盘。为其他所有人停用此服务。
现在,您只需一个步骤即可同时控制访问权限和公开范围,那就是在这些组中添加和移除成员。
受 IAP 保护的 Web 应用
如果您使用 IAP 保护 Web 应用,则可以将这些应用的链接添加到 Microsoft My Apps 门户,并为它们启用单点登录体验。
添加指向 Microsoft My Apps 门户的链接
向 Microsoft My Apps 门户添加链接的过程与添加 Google 服务的过程相同,但您必须使用受 IAP 保护的 Web 应用的网址。
与 Google 服务一样,您可以阻止用户在访问门户中受 IAP 保护的 Web 应用的链接后看到 Google 登录屏幕,但过程有所不同。您可以将 IAP 配置为始终使用特定 Cloud Identity 或 Google Workspace 账号进行身份验证,而不是使用特殊网址:
在 Google Cloud 控制台中,激活 Cloud Shell。
初始化环境变量:
PRIMARY_DOMAIN=primary-domain将
primary-domain替换为您的 Cloud Identity 或 Google Workspace 账号的主域名,例如example.com。创建临时设置文件,用于指示 IAP 始终使用您的 Cloud Identity 或 Google Workspace 账号的主域名进行身份验证:
cat << EOF > iap-settings.yaml accessSettings: oauthSettings: loginHint: "$PRIMARY_DOMAIN" EOF将设置应用于项目中的所有 IAP 网络资源:
gcloud iap settings set iap-settings.yaml --resource-type=iap_web
移除临时设置文件:
rm iap-settings.yaml
控制访问权限
通过将用户和组分配给 Microsoft Entra ID 中的各个应用,可以针对受 IAP 保护的 Web 应用控制其链接的公开范围,但不能控制对应用的访问权限。如需控制访问权限,您还必须自定义受 IAP 保护的 Web 应用的 Identity and Access Management (IAM) 政策。
与 Google 服务一样,您可以使用组来简化控制公开范围和访问权限的过程:
- 对于每个应用,请在 Microsoft Entra ID 中创建一个安全组,例如
Payroll application users。 - 将该组分配给相应的 Microsoft Entra ID 企业应用。
- 配置要预配到 Cloud Identity 或 Google Workspace 账号的群组。
- 更新受 IAP 保护的 Web 应用的 IAM 政策,向
Payroll application users群组授予 IAP-Secured Web App User 角色,同时禁止其他用户的访问权限
您只需一个步骤即可同时控制访问权限和公开范围,那就是在 Payroll application users 组中添加和移除成员。
后续步骤
- 详细了解如何将 Google Cloud 与 Microsoft Entra ID 联合。
- 阅读规划账号和组织的最佳做法,以及联合 Google Cloud 与外部 IdP 的最佳做法。
- 详细了解 Identity-Aware Proxy。