Provisioning degli utenti di Okta e Single Sign-On

Last reviewed 2024-01-03 UTC

Questo documento illustra come configurare il provisioning degli utenti e il Single Sign-On tra un Organizzazione Okta e il tuo account Cloud Identity o Google Workspace.

Il documento presuppone che tu usi già Okta della tua organizzazione e vuoi usare Okta per consentire agli utenti di eseguire l'autenticazione con Google Cloud.

Obiettivi

  • Configura Okta per eseguire automaticamente il provisioning degli utenti e, facoltativamente, dei gruppi in Cloud Identity o Google Workspace.
  • Configurare il Single Sign-On per consentire agli utenti di accedere a Google Cloud tramite un account utente Okta.

Costi

Se utilizzi versione gratuita di Cloud Identity, durante la configurazione della federazione con Okta non verranno utilizzati componenti fatturabili di Google Cloud.

Consulta la pagina dei prezzi di Okta per eventuali commissioni che potrebbero essere applicate all'utilizzo di Okta.

Prima di iniziare

  • Registrati a Cloud Identity se non hai ancora un account.
  • Se utilizzi versione gratuita di Cloud Identity e intendi eseguire il provisioning di più di 50 utenti, richiedi un aumento del numero totale di utenti della versione gratuita di Cloud Identity tramite contatto per l'assistenza.
  • Se sospetti che uno dei domini che prevedi di utilizzare per Cloud Identity possa essere stato utilizzato dai dipendenti per registrare account consumer, ti consigliamo di eseguire prima la migrazione di questi account utente. Per maggiori informazioni i dettagli, vedi Valutare gli account utente esistenti.

Preparazione dell'account Cloud Identity o Google Workspace

Crea un utente per Okta

Per consentire a Okta di accedere al tuo account Cloud Identity o Google Workspace, devi creare un utente per Okta nel tuo account Cloud Identity o Google Workspace.

L'utente Okta è destinato esclusivamente al provisioning automatico. Pertanto, è preferibile per mantenerlo separato dagli altri account utente inserendolo in un dell'unità organizzativa (UO). L'uso di un'UO separata consente inoltre di poter in seguito disabilita il single sign-on per l'utente Okta.

Per creare una nuova UO:

  1. Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore creato quando hai eseguito la registrazione a Cloud Identity o Google Workspace.
  2. Nel menu, vai a Directory > Unità organizzative.
  3. Fai clic su Crea unità organizzativa e fornisci un nome e una descrizione per l'UO:
    • Nome: Automation
    • Descrizione: Automation users
  4. Fai clic su Crea.

Crea un account utente per Okta e inseriscilo nell'unità organizzativa Automation:

  1. Nel menu, vai a Directory > Utenti e fai clic su Aggiungi nuovo utente a per creare un utente.

  2. Fornisci un nome e un indirizzo email appropriati, ad esempio:

    • Nome: Okta
    • Cognome: Provisioning

    • Indirizzo email principale: okta-provisioning

      Mantieni il dominio principale per l'indirizzo email.

  3. Fai clic su Gestisci la password, l'unità organizzativa e la foto del profilo dell'utente e configurare le seguenti impostazioni:

    • Unità organizzativa: seleziona l'UO Automation che hai creato. in precedenza.
    • Password: seleziona Crea password e inserisci una password.
    • Richiedi di cambiare la password all'accesso successivo: Disattivata.

  4. Fai clic su Aggiungi nuovo utente.

  5. Fai clic su Fine.

Assegnare i privilegi a Okta

Per consentire a Okta di creare, elencare e sospendere utenti e gruppi nel tuo un account Cloud Identity o Google Workspace, devi imposta l'utente okta-provisioning come super amministratore:

  1. Individua l'utente appena creato nell'elenco e fai clic sul suo nome. per aprire la pagina del proprio account.
  2. In Ruoli e privilegi di amministratore, fai clic su Assegna ruoli.
  3. Attiva il ruolo di super amministratore.
  4. Fai clic su Salva.

Configurare il provisioning Okta

Ora puoi collegare Okta al tuo account Cloud Identity o Google Workspace configurando l'applicazione Google Workspace dal catalogo di Okta.

L'applicazione Google Workspace può gestire sia il provisioning degli utenti sia il Single Sign-On. Usa questa applicazione anche se usi Cloud Identity e prevedi di configurare solo il servizio Single Sign-On per Google Cloud.

Crea un'applicazione

Per configurare l'applicazione Google Workspace:

  1. Apri la dashboard di amministrazione Okta e accedi come utente con il super amministratore privilegiati.
  2. Nel menu, vai ad Applicazioni > Applicazioni.
  3. Fai clic su Sfoglia il catalogo di app.
  4. Cerca Google Workspace e seleziona l'applicazione Google Workspace.
  5. Fai clic su Aggiungi integrazione.

  6. Nella pagina Impostazioni generali, configura quanto segue:

    • Etichetta applicazione: Google Cloud
    • Il dominio aziendale Google Apps: il nome del dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace.

    • Mostra i seguenti link:

      • Imposta Account su attivato.
      • Imposta gli altri link su attivati se vuoi utilizzando Google Workspace, altrimenti imposta gli altri link su disattivati.

    • Visibilità dell'applicazione: impostata su Attivata se utilizzi Google Workspace, Disattivata in caso contrario

    • Invio automatico del plug-in del browser: impostato su Disattivato

  7. Fai clic su Avanti.

  8. Nella pagina Opzioni di accesso, configura quanto segue:

    • Metodi di accesso: seleziona SAML 2.0
    • Default Relay State (Stato di inoltro predefinito): lascia vuoto il campo.
    • Impostazioni di accesso avanzate > RPID: lascia vuoto

  9. Decidi come inserire l'indirizzo email principale per gli utenti in Cloud Identity o Google Workspace. L'indirizzo email principale di un utente deve utilizzare uno dei seguenti il dominio principale del tuo account Cloud Identity o Google Workspace o uno dei suoi domini secondari.

    Nome utente Okta

    Per utilizzare il nome utente Okta come indirizzo email principale, usa le seguenti impostazioni:

    • Formato del nome utente dell'applicazione: nome utente Okta
    • Aggiorna il nome utente dell'applicazione in: Crea e aggiorna.

    Email

    Per utilizzare il nome utente di Okta dell'utente come indirizzo email principale, utilizza le seguenti impostazioni:

    • Formato del nome utente dell'applicazione: Email
    • Aggiorna il nome utente dell'applicazione in: Crea e aggiorna.

  10. Fai clic su Fine.

Configurare il provisioning degli utenti

In questa sezione configurerai Okta in modo che esegua automaticamente il provisioning di utenti e gruppi in Google Cloud.

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la Scheda Provisioning.

  2. Fai clic su Configura integrazione API e configura quanto segue:

    • Attiva integrazione API: imposta su abilitata
    • Importa gruppi: impostato su Disattivato, a meno che non esistano gruppi in Cloud Identity o Google Workspace che vuoi importare in Okta

  3. Fai clic su Autentica con Google Workspace.

  4. Accedi utilizzando okta-provisioning@DOMAIN all'utente che hai creato in precedenza, dove DOMAIN è il dominio principale di Cloud Identity o Google Workspace .

  5. Leggi i Termini di servizio e le Norme sulla privacy di Google. Se accetti i termini, fai clic su Ho capito.

  6. Conferma l'accesso all'API Cloud Identity facendo clic su Consenti.

  7. Fai clic su Salva.

Okta è connesso a Cloud Identity o Google Workspace ma il provisioning è ancora disabilitato. Per attivare il provisioning:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Provisioning.

  2. Fai clic su Modifica e configura quanto segue:

    • Crea utenti: impostato su Attivato
    • Aggiorna gli attributi utente: impostato su abilitato
    • Disattiva gli utenti: impostato su Attivato
    • Sincronizza password: impostato su Disattivata

  3. Se vuoi, fai clic su Vai all'editor del profilo per personalizzare le mappature degli attributi.

    Se utilizzi mappature personalizzate, devi mappare userName, nameGivenName e nameFamilyName. Tutte le altre mappature degli attributi sono facoltative.

  4. Fai clic su Salva.

Configura assegnazione utente

In questa sezione, configura gli utenti di Okta di cui eseguire il provisioning in Cloud Identity o Google Workspace:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Compiti.
  2. Fai clic su Assegna > Assegna a persone oppure Assegna > Assegna a gruppi.
  3. Seleziona un utente o un gruppo e fai clic su Assegna.
  4. Nella finestra di dialogo del compito visualizzata, mantieni le impostazioni predefinite e fai clic su Salva e torna indietro.
  5. Fai clic su Fine.

Ripeti i passaggi in questa sezione per ciascun utente o gruppo di cui vuoi eseguire il provisioning. Per eseguire il provisioning di tutti gli utenti in Cloud Identity o Google Workspace, assegna il gruppo Tutti.

Configura assegnazione gruppo

Facoltativamente, puoi consentire a Okta di eseguire il provisioning dei gruppi in Cloud Identity o Google Workspace. Anziché selezionare i gruppi singolarmente, è meglio configurare Okta per il provisioning dei gruppi in base a una convenzione di denominazione.

Ad esempio, per consentire a Okta di eseguire il provisioning di tutti i gruppi che iniziano con google-cloud, procedi nel seguente modo:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la Scheda Esegui il push dei gruppi.
  2. Fai clic su Esegui il push dei gruppi > Trova gruppi per ruolo.

  3. Nella pagina Esegui il push dei gruppi per regola, configura la seguente regola:

    • Nome regola: il nome del ruolo, ad esempio Google Cloud.
    • Nome del gruppo: inizia con google-cloud

  4. Fai clic su Crea regola.

Risoluzione dei problemi

Per risolvere i problemi di provisioning degli utenti o dei gruppi, fai clic su Visualizza log nella pagina delle impostazioni dell'applicazione Google Cloud.

Per consentire a Okta di riprovare un tentativo non riuscito di eseguire il provisioning degli utenti:

  1. Vai a Dashboard > Attività.
  2. Trova l'attività non riuscita e apri i dettagli.
  3. Nella pagina dei dettagli, fai clic su Riprova selezione.

Configurazione di Okta per il Single Sign-On

Se hai seguito i passaggi per configurare il provisioning di Okta, ora viene eseguito automaticamente il provisioning di tutti gli utenti Okta pertinenti in Cloud Identity o Google Workspace. Per consentire a questi utenti Per accedere, configura il Single Sign-On:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Accesso.
  2. Fai clic su SAML 2.0 > Altri dettagli.
  3. Fai clic su Scarica per scaricare il certificato di firma.
  4. Prendi nota dell'URL di accesso e dell'URL di uscita, ti serviranno in uno dei passaggi successivi.

Dopo aver preparato Okta per il Single Sign-On, puoi attivare il servizio accedi al tuo account Cloud Identity o Google Workspace:

  1. Apri la Console di amministrazione e accedi utilizzando un utente super amministratore.
  2. Nel menu, fai clic su Mostra di più e vai a Sicurezza > Autenticazione > SSO con IdP di terze parti.

  3. Fai clic su Aggiungi profilo SSO.

  4. Imposta Configura SSO con provider di identità di terze parti su Attivato.

  5. Inserisci le seguenti impostazioni:

    1. URL pagina di accesso: inserisci l'URL di accesso che hai copiato dalla pagina delle impostazioni di Okta.
    2. URL della pagina di uscita: inserisci l'URL di uscita che hai copiato dalla pagina delle impostazioni di Okta.
    3. URL per la modifica della password: https://ORGANIZATION.okta.com/enduser/settings dove ORGANIZATION è il nome della tua organizzazione Okta.

  6. Nella sezione Certificato di verifica, fai clic su Carica certificato, quindi scegli l'opzione di firma del token scaricato in precedenza.

  7. Fai clic su Salva.

Aggiorna le impostazioni SSO per l'UO Automation a disabilita single sign-on:

  1. In Gestisci le assegnazioni dei profili SSO, fai clic su Inizia.
  2. Espandi Unità organizzative e seleziona l'UO Automation.
  3. Modifica l'assegnazione del profilo SSO da Profilo SSO di terze parti dell'organizzazione a Nessuna.
  4. Fai clic su Sostituisci.

Aggiungi la console Google Cloud e altri servizi Google alla dashboard dell'app

Per aggiungere la console Google Cloud e, facoltativamente, altri servizi Google all'account Okta dashboard dell'app, procedi nel seguente modo:

  1. Nella dashboard di amministrazione di Okta, seleziona Applicazioni > Applicazioni.
  2. Fai clic su Sfoglia catalogo app.
  3. Cerca Bookmark app e seleziona l'applicazione App Segnalibri.
  4. Fai clic su Aggiungi integrazione.

  5. Nella pagina Impostazioni generali, configura quanto segue:

    • Etichetta applicazione: Google Cloud console
    • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, sostituzione di PRIMARY_DOMAIN con il dominio principale nome utilizzato da Cloud Identity o Google Workspace .

  6. Fai clic su Fine.

  7. Cambia il logo dell'applicazione con il logo Google Cloud.

  8. Apri la scheda Accesso.

  9. Fai clic su Autenticazione utente > Modifica e configura quanto segue:

    • Criteri di autenticazione: impostato su Dashboard Okta

  10. Fai clic su Salva.

  11. Apri la scheda Assegnazione e assegna uno o più utenti. Utenti assegnati vedere il link alla console Google Cloud nella dashboard utente.

Se vuoi, ripeti i passaggi precedenti per gli eventuali altri servizi Google che vuoi includere nelle dashboard degli utenti. La tabella seguente contiene gli URL e i loghi dei servizi Google di uso comune:

Servizio Google URL Logo
Console Google Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Logo Google Cloud
Documenti Google https://docs.google.com/a/DOMAIN Logo di Documenti Google
Fogli Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Logo di Fogli Google
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Logo di Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logo di Google Drive
Gmail https://mail.google.com/a/DOMAIN Logo di Gmail
Google Gruppi https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Logo di Google Gruppi
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Logo di Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Logo di Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logo YouTube

Testare il Single Sign-On

Dopo aver completato la configurazione Single Sign-On sia in Okta Cloud Identity o Google Workspace, puoi accedere a Google Cloud in due modi:

Per verificare che la seconda opzione funzioni come previsto, esegui questo test:

  1. Scegli un utente Okta di cui è stato eseguito il provisioning in Cloud Identity o Google Workspace e a cui non sono stati assegnati i privilegi di super amministratore. Gli utenti con privilegi di super amministratore sono sempre devono accedere utilizzando le credenziali Google e pertanto non sono adatti a il test Single Sign-On.
  2. Apri una nuova finestra del browser e vai all'indirizzo https://console.cloud.google.com/.
  3. Nella pagina Accedi con Google visualizzata, inserisci l'indirizzo email del e fai clic su Avanti.

  4. Verrà visualizzata un'altra richiesta di accesso. Inserisci il tuo indirizzo email dell'utente e segui i passaggi per l'autenticazione.

    Dopo l'autenticazione, Okta dovrebbe reindirizzarti nuovamente a Accedi con Google. Perché è la prima volta che accedi che utilizza questo utente, ti viene chiesto di accettare i Termini di servizio di Google e norme sulla privacy.

  5. Se accetti i termini, fai clic su Ho capito.

    Ti reindirizziamo alla console Google Cloud, dove ti viene chiesto di confermare le preferenze e accettare i Termini di servizio di Google Cloud.

  6. Se accetti i termini, scegli e fai clic su Accetta e continua.

  7. Fai clic sull'icona dell'avatar in alto a sinistra nella pagina, poi su Uscire.

    Viene visualizzata una pagina di Okta in cui ti viene confermato che sei stato disconnesso correttamente.

Tieni presente che gli utenti con privilegi di super amministratore sono esenti dalla Single Sign-On, quindi puoi continuare a utilizzare la Console di amministrazione per verificare modifica le impostazioni.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Passaggi successivi