本文說明如何將 Google 服務和 Identity-Aware Proxy (IAP) 網頁安全網頁應用程式新增至 Microsoft「我的應用程式」入口網站,以及如何為這些應用程式啟用自動登入功能。
本文假設您已設定 Microsoft Entra ID 的單一登入功能,將 Cloud Identity 或 Google Workspace 帳戶與 Microsoft Entra ID 聯合。
事前準備
請確認您已完成將 Cloud Identity 或 Google Workspace 帳戶與 Microsoft Entra ID 聯合的步驟。
從入口網站啟動單一登入
如要支援使用 Microsoft Entra ID 等外部身分識別提供者 (IdP) 進行驗證,Cloud Identity 和 Google Workspace 會採用服務供應商啟動的登入程序。使用這類登入方式時,驗證程序會從服務供應商開始,然後將您重新導向至 IdP,例如:
- 開啟網址或書籤,即可存取 Google 服務,例如 Google Cloud 控制台或 Looker Studio。Google 和其服務在此情境中扮演服務供應商的角色。
- 畫面上會顯示 Google 登入畫面,提示您輸入 Google 身分的電子郵件地址。
- 系統會將您重新導向至 Microsoft Entra ID,也就是 IdP。
- 登入 Microsoft Entra ID。
- Microsoft Entra ID 會將您重新導向至原本嘗試存取的 Google 服務。
服務供應商啟動登入程序的好處是,使用者可以開啟連結或使用書籤,直接存取 Google 服務。如果貴機構使用 Microsoft Entra ID,則可透過 Microsoft「我的應用程式」入口網站執行這項操作。如果使用者已將特定網站加入書籤,或記住特定網址,就不必透過入口網站開啟應用程式,這對進階使用者來說相當方便。對其他使用者而言,在入口網站中顯示相關應用程式的連結,仍有其價值。
不過,在 Microsoft「我的應用程式」入口網站中新增 https://lookerstudio.google.com 等連結時,服務供應商啟動的登入程序會出現缺點。即使使用者點按入口網站中的連結時,Microsoft Entra ID 工作階段有效,系統仍可能會顯示 Google 登入畫面,並提示使用者輸入電子郵件地址。Google 登入不知道現有的 Microsoft Entra ID 工作階段,因此會顯示看似多餘的登入提示。
設定 Microsoft 我的應用程式入口網站時,您可以使用特殊網址,避免額外的 Google 登入提示。這些網址會嵌入提示,說明使用者應使用哪個 Cloud Identity 或 Google Workspace 帳戶。這項額外資訊可讓系統在背景執行驗證,進而提升使用者體驗。
在 Microsoft「我的應用程式」入口網站中新增連結
下表列出常見的 Google 服務、Microsoft Entra ID 中的對應名稱,以及可用於導入單一登入的連結 (如上一節所述)。
| Google 服務 | 網址 | 標誌 |
|---|---|---|
| Google Cloud 控制台 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ |
 |
| Google 文件 | https://docs.google.com/a/DOMAIN |
 |
| Google 試算表 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/
|
 |
| Google 協作平台 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ |
 |
| Google 雲端硬碟 | https://drive.google.com/a/DOMAIN |
 |
| Gmail | https://mail.google.com/a/DOMAIN |
 |
| Google 網路論壇 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ |
 |
| Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/
|
 |
| Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ |
 |
| YouTube | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/
|
 |
如要將 Google 服務新增至 Microsoft My Apps 入口網站,請為每項服務建立新的企業應用程式:
- 在 Azure 入口網站中,依序前往「Microsoft Entra ID」 >「Enterprise applications」。
- 按一下 [New application] (新增應用程式)。
按一下「建立自己的應用程式」,然後輸入下列資訊:
- 應用程式名稱:輸入上表所示的 Google 服務名稱。
- 您想對應用程式執行哪些操作:選取「整合圖庫中未列出的任何其他應用程式 (非圖庫)」。
點選「建立」。
選取 [內容]。
將標誌變更為表格中連結的檔案。
按一下 [儲存]。
在左側選單中,選取「單一登入」。
選取「已連結」。
輸入表格中列出的網址,例如
http://docs.google.com/a/DOMAIN。將
DOMAIN替換為 Cloud Identity 或 Google Workspace 帳戶的主網域名稱,例如example.com。按一下 [儲存]。
請注意,您不必在應用程式中設定 SAML 式單一登入 (SSO)。所有單一登入作業仍由您先前建立的單一登入應用程式處理。
如要將應用程式指派給使用者,請按照下列步驟操作:
- 在左側選單中選取「房源」。
- 將「User assignment required」(需要使用者指派) 設定為「Yes」(是)。
- 按一下 [儲存]。
- 在左側選單中,依序點選「管理」>「使用者和群組」。
- 點選「Add user」。
- 選取「使用者」。
- 選取要佈建的使用者或群組。如果您選取群組,系統會佈建該群組中的所有成員。
- 按一下「選取」。
- 按一下「指派」。
連結可能需要幾分鐘才會顯示在「我的應用程式」入口網站中。
控管存取權
在 Microsoft Entra ID 中將使用者和群組指派給個別應用程式,可控管連結的顯示狀態,但無法控管服務存取權。如果使用者開啟正確的網址,即使服務未顯示在「我的應用程式」入口網站中,使用者仍可存取該服務。如要控管哪些使用者和群組可以存取服務,您也必須在 Google 管理控制台中開啟或關閉服務。
您可以透過群組簡化控管顯示設定和存取權的程序:
- 為每項 Google 服務在 Microsoft Entra ID 中建立安全性群組,例如
Looker Studio users和Google Drive users。 - 按照上一節所述,將群組指派給適當的 Microsoft Entra ID 企業應用程式。舉例來說,您可以將
Looker Studio users指派給 Looker Studio 應用程式,並將Google Drive users指派給 Google 雲端硬碟應用程式。 - 設定要佈建至 Cloud Identity 或 Google Workspace 帳戶的群組。
- 在管理控制台中,為每個群組開啟相應的服務。舉例來說,您可以為
Looker Studio users群組開啟 Looker Studio,並為Google Drive users群組開啟 Google 雲端硬碟。為其他人關閉這項服務。
現在只要在這些群組中新增及移除成員,就能同時控管存取權和顯示設定。
受 IAP 保護的網頁應用程式
如果您使用 IAP 保護網路應用程式,可以將這些應用程式的連結新增至 Microsoft My Apps 入口網站,並為這些應用程式啟用單一登入體驗。
在 Microsoft「我的應用程式」入口網站中新增連結
在 Microsoft My Apps 入口網站中新增連結的程序與Google 服務相同,但您必須使用受 IAP 保護的網頁應用程式網址。
與 Google 服務一樣,您可以在使用者透過入口網站連結至受 IAP 保護的網路應用程式後,防止他們看到 Google 登入畫面,但程序有所不同。您不必使用特殊網址,而是將 IAP 設為一律使用特定 Cloud Identity 或 Google Workspace 帳戶進行驗證:
在 Google Cloud 控制台中,啟動 Cloud Shell。
初始化環境變數:
PRIMARY_DOMAIN=primary-domain將
primary-domain替換為 Cloud Identity 或 Google Workspace 帳戶的主網域,例如example.com。建立臨時設定檔,指示 IAP 一律使用 Cloud Identity 或 Google Workspace 帳戶的主網域進行驗證:
cat << EOF > iap-settings.yaml accessSettings: oauthSettings: loginHint: "$PRIMARY_DOMAIN" EOF將設定套用至專案中的所有 IAP 網頁資源:
gcloud iap settings set iap-settings.yaml --resource-type=iap_web
移除臨時設定檔:
rm iap-settings.yaml
控管存取權
在 Microsoft Entra ID 中將使用者和群組指派給個別應用程式,可控管受 IAP 保護的網頁應用程式連結顯示權限,但無法控管應用程式存取權。如要控管存取權,您也必須自訂受 IAP 保護的網頁應用程式的 Identity and Access Management (IAM) 政策。
與 Google 服務一樣,您可以使用群組簡化控管顯示設定和存取權的程序:
- 為每個應用程式在 Microsoft Entra ID 中建立安全性群組,例如:
Payroll application users。 - 將群組指派給對應的 Microsoft Entra ID 企業應用程式。
- 設定要佈建至 Cloud Identity 或 Google Workspace 帳戶的群組。
- 更新受 IAP 保護的網頁應用程式的 IAM 政策,將「受 IAP 保護的網頁應用程式使用者」角色授予
Payroll application users群組,同時禁止其他使用者存取
只要在 Payroll application users 群組中新增及移除成員,即可一次控管存取權和瀏覽權限。
後續步驟
- 進一步瞭解如何與 Microsoft Entra ID 聯合 Google Cloud 。
- 請參閱規劃帳戶和機構的最佳做法,以及連結外部 IdP 的最佳做法 Google Cloud 。
- 進一步瞭解 Identity-Aware Proxy。
貢獻者
作者:Johannes Passing | 雲端解決方案架構師