Questo documento illustra come configurare il provisioning degli utenti e il Single Sign-On tra un Organizzazione Okta e il tuo account Cloud Identity o Google Workspace.
Il documento presuppone che tu usi già Okta della tua organizzazione e vuoi usare Okta per consentire agli utenti di eseguire l'autenticazione con Google Cloud.
Obiettivi
- Configura Okta per eseguire automaticamente il provisioning degli utenti e, facoltativamente, dei gruppi in Cloud Identity o Google Workspace.
- Configurare il Single Sign-On per consentire agli utenti di accedere a Google Cloud tramite un account utente Okta.
Costi
Se utilizzi versione gratuita di Cloud Identity, durante la configurazione della federazione con Okta non verranno utilizzati componenti fatturabili di Google Cloud.
Consulta la pagina dei prezzi di Okta per eventuali commissioni che potrebbero essere applicate all'utilizzo di Okta.
Prima di iniziare
- Registrati a Cloud Identity se non hai ancora un account.
- Se utilizzi versione gratuita di Cloud Identity e intendi eseguire il provisioning di più di 50 utenti, richiedi un aumento del numero totale di utenti della versione gratuita di Cloud Identity tramite contatto per l'assistenza.
- Se sospetti che uno dei domini che prevedi di utilizzare per Cloud Identity possa essere stato utilizzato dai dipendenti per registrare account consumer, ti consigliamo di eseguire prima la migrazione di questi account utente. Per maggiori informazioni i dettagli, vedi Valutare gli account utente esistenti.
Preparazione dell'account Cloud Identity o Google Workspace
Crea un utente per Okta
Per consentire a Okta di accedere al tuo account Cloud Identity o Google Workspace, devi creare un utente per Okta nel tuo account Cloud Identity o Google Workspace.
L'utente Okta è destinato esclusivamente al provisioning automatico. Pertanto, è preferibile per mantenerlo separato dagli altri account utente inserendolo in un dell'unità organizzativa (UO). L'uso di un'UO separata consente inoltre di poter in seguito disabilita il single sign-on per l'utente Okta.
Per creare una nuova UO:
- Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore creato quando hai eseguito la registrazione a Cloud Identity o Google Workspace.
- Nel menu, vai a Directory > Unità organizzative.
- Fai clic su Crea unità organizzativa e fornisci un nome e una descrizione per l'UO:
- Nome:
Automation
- Descrizione:
Automation users
- Nome:
- Fai clic su Crea.
Crea un account utente per Okta e inseriscilo nell'unità organizzativa Automation
:
- Nel menu, vai a Directory > Utenti e fai clic su Aggiungi nuovo utente a per creare un utente.
Fornisci un nome e un indirizzo email appropriati, ad esempio:
- Nome:
Okta
- Cognome:
Provisioning
Indirizzo email principale:
okta-provisioning
Mantieni il dominio principale per l'indirizzo email.
- Nome:
Fai clic su Gestisci la password, l'unità organizzativa e la foto del profilo dell'utente e configurare le seguenti impostazioni:
- Unità organizzativa: seleziona l'UO
Automation
che hai creato. in precedenza. - Password: seleziona Crea password e inserisci una password.
- Richiedi di cambiare la password all'accesso successivo: Disattivata.
- Unità organizzativa: seleziona l'UO
Fai clic su Aggiungi nuovo utente.
Fai clic su Fine.
Assegnare i privilegi a Okta
Per consentire a Okta di creare, elencare e sospendere utenti e gruppi nel tuo
un account Cloud Identity o Google Workspace, devi
imposta l'utente okta-provisioning
come super amministratore:
- Individua l'utente appena creato nell'elenco e fai clic sul suo nome. per aprire la pagina del proprio account.
- In Ruoli e privilegi di amministratore, fai clic su Assegna ruoli.
- Attiva il ruolo di super amministratore.
- Fai clic su Salva.
Configurare il provisioning Okta
Ora puoi collegare Okta al tuo account Cloud Identity o Google Workspace configurando l'applicazione Google Workspace dal catalogo di Okta.
L'applicazione Google Workspace può gestire sia il provisioning degli utenti sia il Single Sign-On. Usa questa applicazione anche se usi Cloud Identity e prevedi di configurare solo il servizio Single Sign-On per Google Cloud.
Crea un'applicazione
Per configurare l'applicazione Google Workspace:
- Apri la dashboard di amministrazione Okta e accedi come utente con il super amministratore privilegiati.
- Nel menu, vai ad Applicazioni > Applicazioni.
- Fai clic su Sfoglia il catalogo di app.
- Cerca
Google Workspace
e seleziona l'applicazione Google Workspace. - Fai clic su Aggiungi integrazione.
Nella pagina Impostazioni generali, configura quanto segue:
- Etichetta applicazione:
Google Cloud
- Il dominio aziendale Google Apps: il nome del dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace.
Mostra i seguenti link:
- Imposta Account su attivato.
- Imposta gli altri link su attivati se vuoi utilizzando Google Workspace, altrimenti imposta gli altri link su disattivati.
Visibilità dell'applicazione: impostata su Attivata se utilizzi Google Workspace, Disattivata in caso contrario
Invio automatico del plug-in del browser: impostato su Disattivato
- Etichetta applicazione:
Fai clic su Avanti.
Nella pagina Opzioni di accesso, configura quanto segue:
- Metodi di accesso: seleziona SAML 2.0
- Default Relay State (Stato di inoltro predefinito): lascia vuoto il campo.
- Impostazioni di accesso avanzate > RPID: lascia vuoto
Decidi come inserire l'indirizzo email principale per gli utenti in Cloud Identity o Google Workspace. L'indirizzo email principale di un utente deve utilizzare uno dei seguenti il dominio principale del tuo account Cloud Identity o Google Workspace o uno dei suoi domini secondari.
Nome utente Okta
Per utilizzare il nome utente Okta come indirizzo email principale, usa le seguenti impostazioni:
- Formato del nome utente dell'applicazione: nome utente Okta
- Aggiorna il nome utente dell'applicazione in: Crea e aggiorna.
Email
Per utilizzare il nome utente di Okta dell'utente come indirizzo email principale, utilizza le seguenti impostazioni:
- Formato del nome utente dell'applicazione: Email
- Aggiorna il nome utente dell'applicazione in: Crea e aggiorna.
Fai clic su Fine.
Configurare il provisioning degli utenti
In questa sezione configurerai Okta in modo che esegua automaticamente il provisioning di utenti e gruppi in Google Cloud.
- Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la Scheda Provisioning.
Fai clic su Configura integrazione API e configura quanto segue:
- Attiva integrazione API: imposta su abilitata
- Importa gruppi: impostato su Disattivato, a meno che non esistano gruppi in Cloud Identity o Google Workspace che vuoi importare in Okta
Fai clic su Autentica con Google Workspace.
Accedi utilizzando
okta-provisioning@DOMAIN
all'utente che hai creato in precedenza, doveDOMAIN
è il dominio principale di Cloud Identity o Google Workspace .Leggi i Termini di servizio e le Norme sulla privacy di Google. Se accetti i termini, fai clic su Ho capito.
Conferma l'accesso all'API Cloud Identity facendo clic su Consenti.
Fai clic su Salva.
Okta è connesso a Cloud Identity o Google Workspace ma il provisioning è ancora disabilitato. Per attivare il provisioning:
- Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Provisioning.
Fai clic su Modifica e configura quanto segue:
- Crea utenti: impostato su Attivato
- Aggiorna gli attributi utente: impostato su abilitato
- Disattiva gli utenti: impostato su Attivato
- Sincronizza password: impostato su Disattivata
Se vuoi, fai clic su Vai all'editor del profilo per personalizzare le mappature degli attributi.
Se utilizzi mappature personalizzate, devi mappare
userName
,nameGivenName
enameFamilyName
. Tutte le altre mappature degli attributi sono facoltative.Fai clic su Salva.
Configura assegnazione utente
In questa sezione, configura gli utenti di Okta di cui eseguire il provisioning in Cloud Identity o Google Workspace:
- Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Compiti.
- Fai clic su Assegna > Assegna a persone oppure Assegna > Assegna a gruppi.
- Seleziona un utente o un gruppo e fai clic su Assegna.
- Nella finestra di dialogo del compito visualizzata, mantieni le impostazioni predefinite e fai clic su Salva e torna indietro.
- Fai clic su Fine.
Ripeti i passaggi in questa sezione per ciascun utente o gruppo di cui vuoi eseguire il provisioning. Per eseguire il provisioning di tutti gli utenti in Cloud Identity o Google Workspace, assegna il gruppo Tutti.
Configura assegnazione gruppo
Facoltativamente, puoi consentire a Okta di eseguire il provisioning dei gruppi in Cloud Identity o Google Workspace. Anziché selezionare i gruppi singolarmente, è meglio configurare Okta per il provisioning dei gruppi in base a una convenzione di denominazione.
Ad esempio, per consentire a Okta di eseguire il provisioning di tutti i gruppi che iniziano con google-cloud
,
procedi nel seguente modo:
- Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la Scheda Esegui il push dei gruppi.
- Fai clic su Esegui il push dei gruppi > Trova gruppi per ruolo.
Nella pagina Esegui il push dei gruppi per regola, configura la seguente regola:
- Nome regola: il nome del ruolo, ad esempio
Google Cloud
. - Nome del gruppo: inizia con
google-cloud
- Nome regola: il nome del ruolo, ad esempio
Fai clic su Crea regola.
Risoluzione dei problemi
Per risolvere i problemi di provisioning degli utenti o dei gruppi, fai clic su Visualizza log nella pagina delle impostazioni dell'applicazione Google Cloud.
Per consentire a Okta di riprovare un tentativo non riuscito di eseguire il provisioning degli utenti:
- Vai a Dashboard > Attività.
- Trova l'attività non riuscita e apri i dettagli.
- Nella pagina dei dettagli, fai clic su Riprova selezione.
Configurazione di Okta per il Single Sign-On
Se hai seguito i passaggi per configurare il provisioning di Okta, ora viene eseguito automaticamente il provisioning di tutti gli utenti Okta pertinenti in Cloud Identity o Google Workspace. Per consentire a questi utenti Per accedere, configura il Single Sign-On:
- Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Accesso.
- Fai clic su SAML 2.0 > Altri dettagli.
- Fai clic su Scarica per scaricare il certificato di firma.
- Prendi nota dell'URL di accesso e dell'URL di uscita, ti serviranno in uno dei passaggi successivi.
Dopo aver preparato Okta per il Single Sign-On, puoi attivare il servizio accedi al tuo account Cloud Identity o Google Workspace:
- Apri la Console di amministrazione e accedi utilizzando un utente super amministratore.
- Nel menu, fai clic su Mostra di più e vai a Sicurezza > Autenticazione > SSO con IdP di terze parti.
Fai clic su Aggiungi profilo SSO.
Imposta Configura SSO con provider di identità di terze parti su Attivato.
Inserisci le seguenti impostazioni:
- URL pagina di accesso: inserisci l'URL di accesso che hai copiato dalla pagina delle impostazioni di Okta.
- URL della pagina di uscita: inserisci l'URL di uscita che hai copiato dalla pagina delle impostazioni di Okta.
- URL per la modifica della password:
https://ORGANIZATION.okta.com/enduser/settings
doveORGANIZATION
è il nome della tua organizzazione Okta.
Nella sezione Certificato di verifica, fai clic su Carica certificato, quindi scegli l'opzione di firma del token scaricato in precedenza.
Fai clic su Salva.
Aggiorna le impostazioni SSO per l'UO Automation
a
disabilita single sign-on:
- In Gestisci le assegnazioni dei profili SSO, fai clic su Inizia.
- Espandi Unità organizzative e seleziona l'UO
Automation
. - Modifica l'assegnazione del profilo SSO da Profilo SSO di terze parti dell'organizzazione a Nessuna.
- Fai clic su Sostituisci.
Aggiungi la console Google Cloud e altri servizi Google alla dashboard dell'app
Per aggiungere la console Google Cloud e, facoltativamente, altri servizi Google all'account Okta dashboard dell'app, procedi nel seguente modo:
- Nella dashboard di amministrazione di Okta, seleziona Applicazioni > Applicazioni.
- Fai clic su Sfoglia catalogo app.
- Cerca
Bookmark app
e seleziona l'applicazione App Segnalibri. - Fai clic su Aggiungi integrazione.
Nella pagina Impostazioni generali, configura quanto segue:
- Etichetta applicazione:
Google Cloud console
- URL:
https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
, sostituzione diPRIMARY_DOMAIN
con il dominio principale nome utilizzato da Cloud Identity o Google Workspace .
- Etichetta applicazione:
Fai clic su Fine.
Cambia il logo dell'applicazione con il logo Google Cloud.
Apri la scheda Accesso.
Fai clic su Autenticazione utente > Modifica e configura quanto segue:
- Criteri di autenticazione: impostato su Dashboard Okta
Fai clic su Salva.
Apri la scheda Assegnazione e assegna uno o più utenti. Utenti assegnati vedere il link alla console Google Cloud nella dashboard utente.
Se vuoi, ripeti i passaggi precedenti per gli eventuali altri servizi Google che vuoi includere nelle dashboard degli utenti. La tabella seguente contiene gli URL e i loghi dei servizi Google di uso comune:
Servizio Google | URL | Logo |
---|---|---|
Console Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Documenti Google | https://docs.google.com/a/DOMAIN |
|
Fogli Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Google Gruppi | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
|
YouTube | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/
|
Testare il Single Sign-On
Dopo aver completato la configurazione Single Sign-On sia in Okta Cloud Identity o Google Workspace, puoi accedere a Google Cloud in due modi:
- Nell'elenco della dashboard dell'utente di Okta.
- Direttamente aprendo https://console.cloud.google.com/.
Per verificare che la seconda opzione funzioni come previsto, esegui questo test:
- Scegli un utente Okta di cui è stato eseguito il provisioning in Cloud Identity o Google Workspace e a cui non sono stati assegnati i privilegi di super amministratore. Gli utenti con privilegi di super amministratore sono sempre devono accedere utilizzando le credenziali Google e pertanto non sono adatti a il test Single Sign-On.
- Apri una nuova finestra del browser e vai all'indirizzo https://console.cloud.google.com/.
- Nella pagina Accedi con Google visualizzata, inserisci l'indirizzo email del e fai clic su Avanti.
Verrà visualizzata un'altra richiesta di accesso. Inserisci il tuo indirizzo email dell'utente e segui i passaggi per l'autenticazione.
Dopo l'autenticazione, Okta dovrebbe reindirizzarti nuovamente a Accedi con Google. Perché è la prima volta che accedi che utilizza questo utente, ti viene chiesto di accettare i Termini di servizio di Google e norme sulla privacy.
Se accetti i termini, fai clic su Ho capito.
Ti reindirizziamo alla console Google Cloud, dove ti viene chiesto di confermare le preferenze e accettare i Termini di servizio di Google Cloud.
Se accetti i termini, scegli Sì e fai clic su Accetta e continua.
Fai clic sull'icona dell'avatar in alto a sinistra nella pagina, poi su Uscire.
Viene visualizzata una pagina di Okta in cui ti viene confermato che sei stato disconnesso correttamente.
Tieni presente che gli utenti con privilegi di super amministratore sono esenti dalla Single Sign-On, quindi puoi continuare a utilizzare la Console di amministrazione per verificare modifica le impostazioni.
Esegui la pulizia
Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.