Aprovisionamento de utilizadores e Início de sessão único do Okta

Preparar a sua conta do Cloud ID ou Google Workspace

Crie um utilizador para o Okta

Para permitir que o Okta aceda à sua conta do Cloud ID ou Google Workspace, tem de criar um utilizador para o Okta na sua conta do Cloud ID ou Google Workspace.

O utilizador do Okta destina-se apenas ao aprovisionamento automático. Por isso, é melhor mantê-la separada de outras contas de utilizador, colocando-a numa unidade organizacional (UO) separada. A utilização de uma UO separada também garante que pode, posteriormente, desativar o Início de sessão único para o utilizador do Okta.

1. Criar uma nova UO:

   1. Abra a consola do administrador e inicie sessão com o utilizador superadministrador criado quando se inscreveu no Cloud ID ou no Google Workspace.
   2. No menu, aceda a Diretório > Unidades organizacionais.
   3. Clique em Criar unidade organizacional e indique um nome e uma descrição para a UO:
      • Nome: Automation
      • Descrição: Automation users
   4. Clique em Criar.

2. Crie uma conta de utilizador para o Okta e coloque-a na UO Automation. Para instruções detalhadas, consulte os artigos Adicione uma conta para um novo utilizador ou Adicione uma conta para vários utilizadores (beta).

   1. Quando criar a conta, indique um nome e um endereço de email adequados, como os seguintes:

      • Nome próprio: Okta
      • Apelido: Provisioning
      • Email principal: okta-provisioning

      Manter o domínio principal para o endereço de email.

   2. Para a conta de utilizador, defina a Unidade organizacional para a Automation UO que criou anteriormente. Para ver detalhes, consulte o artigo Mova utilizadores para uma unidade organizacional.

   3. Configure uma palavra-passe:

      • Se a opção de palavra-passe estiver disponível na página, certifique-se de que a opção Gerar automaticamente uma nova palavra-passe não está selecionada e, em seguida, introduza uma palavra-passe. Certifique-se de que a opção Pedir uma alteração de palavra-passe no próximo início de sessão não está selecionada.
      • Se a opção de palavra-passe não estiver disponível na página, guarde a nova conta de utilizador e, em seguida, reponha a palavra-passe do utilizador.

Atribua privilégios ao Okta

Para permitir que o Okta crie, liste e suspenda utilizadores e grupos na sua conta do Cloud Identity ou Google Workspace, tem de tornar o utilizador okta-provisioning um superadministrador:

1. Localize o utilizador recém-criado na lista e clique no nome do utilizador para abrir a página da respetiva conta.
2. Em Funções e privilégios de administrador, clique em Atribuir funções.
3. Ative a função de superadministrador.
4. Clique em Guardar.

Configurar o aprovisionamento da Okta

Agora, está tudo pronto para associar o Okta à sua conta do Cloud ID ou Google Workspace configurando a aplicação Google Workspace a partir do catálogo do Okta.

A aplicação Google Workspace pode processar o aprovisionamento de utilizadores e o início de sessão único. Use esta aplicação mesmo que esteja a usar o Cloud Identity e planeie configurar apenas o Início de sessão único para o Google Cloud.

Crie uma aplicação

Para configurar a aplicação Google Workspace, faça o seguinte:

1. Abra o painel de controlo de administração do Okta e inicie sessão como um utilizador com privilégios de superadministrador.
2. No menu, aceda a Aplicações > Aplicações.
3. Clique em Procurar catálogo de apps.
4. Pesquise Google Workspace e selecione a aplicação Google Workspace.
5. Clique em Adicionar integração.

6. Na página Definições gerais, configure o seguinte:

   • Etiqueta da aplicação: Google Cloud
   • O domínio da sua empresa do Google Apps: o nome do domínio principal usado pela sua conta do Cloud ID ou do Google Workspace.

   • Apresente os seguintes links:

     • Defina Account como enabled.
     • Defina outros links como ativados se estiver a usar o Google Workspace. Caso contrário, defina outros links como desativados.

   • Visibilidade da aplicação: definida como ativada se estiver a usar o Google Workspace e desativada caso contrário

   • Envio automático do plugin do navegador: definido como desativado

7. Clicar em Seguinte.

8. Na página Opções de início de sessão, configure o seguinte:

   • Métodos de início de sessão: selecione SAML 2.0
   • Estado de retransmissão predefinido: deixe em branco
   • Definições de início de sessão avançadas > RPID: deixe em branco

9. Decida como quer preencher o endereço de email principal dos utilizadores no Cloud Identity ou Google Workspace. O endereço de email principal de um utilizador tem de usar o domínio principal da sua conta do Cloud ID ou Google Workspace ou um dos respetivos domínios secundários.

   Nome de utilizador da Okta

   Para usar o nome de utilizador do Okta como endereço de email principal, use as seguintes definições:

   • Formato do nome de utilizador da aplicação: nome de utilizador do Okta
   • Atualize o nome de utilizador da aplicação em: criar e atualizar.

   Email

   Para usar o nome de utilizador do Okta como endereço de email principal, use as seguintes definições:

   • Formato do nome de utilizador da aplicação: email
   • Atualize o nome de utilizador da aplicação em: criar e atualizar.

10. Clique em Concluído.

Configure o aprovisionamento de utilizadores

Nesta secção, configura o Okta para aprovisionar automaticamente utilizadores e grupos para o Google Cloud.

1. Na página de definições da aplicação Google Cloud, abra o separador Aprovisionamento.

2. Clique em Configurar integração da API e configure o seguinte:

   • Ativar integração da API: definido como ativado
   • Importar grupos: definido como desativado, a menos que tenha grupos existentes no Cloud ID ou no Google Workspace que queira importar para o Okta

3. Clique em Autenticar com o Google Workspace.

4. Inicie sessão com o okta-provisioning@DOMAIN utilizador que criou anteriormente, em que DOMAIN é o domínio principal da sua conta do Cloud ID ou Google Workspace.

5. Reveja os Termos de Utilização e a Política de Privacidade da Google. Se aceitar os termos, clique em Compreendo.

6. Confirme o acesso à API Cloud Identity clicando em Permitir.

7. Clique em Guardar.

O Okta está associado à sua conta do Cloud ID ou Google Workspace, mas o aprovisionamento continua desativado. Para ativar o aprovisionamento, faça o seguinte:

1. Na página de definições da aplicação Google Cloud, abra o separador Aprovisionamento.

2. Clique em Editar e configure o seguinte:

   • Criar utilizadores: definido como ativado
   • Atualizar atributos do utilizador: definido como ativado
   • Desative utilizadores: definido como ativado
   • Sincronizar palavra-passe: definido como desativado

3. Opcionalmente, clique em Aceder ao editor de perfis para personalizar os mapeamentos de atributos.

   Se usar mapeamentos personalizados, tem de mapear userName, nameGivenName e nameFamilyName. Todas as outras associações de atributos são opcionais.

4. Clique em Guardar.

Configure a atribuição de utilizadores

Nesta secção, configura os utilizadores do Okta a aprovisionar no Cloud ID ou no Google Workspace:

1. Na página de definições da aplicação Google Cloud, abra o separador Atribuições.
2. Clique em Atribuir > Atribuir a pessoas ou Atribuir > Atribuir a grupos.
3. Selecione um utilizador ou um grupo e clique em Atribuir.
4. Na caixa de diálogo de atribuição apresentada, mantenha as predefinições e clique em Guardar e voltar.
5. Clique em Concluído.

Repita os passos desta secção para cada utilizador ou grupo que quer aprovisionar. Para aprovisionar todos os utilizadores no Cloud ID ou no Google Workspace, atribua o grupo Todos.

Configure a atribuição de grupos

Opcionalmente, pode permitir que o Okta aprovisione grupos no Cloud ID ou no Google Workspace. Em vez de selecionar grupos individualmente, é melhor configurar o Okta para aprovisionar grupos com base numa convenção de nomenclatura.

Por exemplo, para permitir que o Okta aprovisione todos os grupos que começam por google-cloud, faça o seguinte:

1. Na página de definições da aplicação Google Cloud, abra o separador Enviar grupos.
2. Clique em Enviar grupos > Encontrar grupos por função.

3. Na página Enviar grupos por regra, configure a seguinte regra:

   • Nome da regra: nome da regra, por exemplo, Google Cloud.
   • Nome do grupo: começa com google-cloud

4. Clique em Criar regra.

Resolução de problemas

Para resolver problemas de aprovisionamento de utilizadores ou grupos, clique em Ver registos na página de definições da aplicação Google Cloud.

Para permitir que o Okta tente novamente uma tentativa falhada de aprovisionamento de utilizadores, faça o seguinte:

1. Aceda a Painel de controlo > Tarefas.
2. Encontre a tarefa com falha e abra os detalhes.
3. Na página de detalhes, clique em Voltar a tentar selecionados.

Configurar o Okta para o Início de sessão único

Se seguiu os passos para configurar o aprovisionamento do Okta, todos os utilizadores relevantes do Okta estão agora a ser aprovisionados automaticamente no Cloud Identity ou no Google Workspace. Para permitir que estes utilizadores iniciem sessão, configure o Início de sessão único:

1. Na página de definições da aplicação Google Cloud, abra o separador Iniciar sessão.
2. Clique em SAML 2.0 > Mais detalhes.
3. Clique em Transferir para transferir o certificado de assinatura.
4. Tome nota dos valores de URL de início de sessão, URL de saída e Emissor. Vai precisar destes valores num dos passos seguintes.

Crie um perfil SAML

Crie um perfil SAML na sua conta do Cloud ID ou Google Workspace:

1. Regresse à consola do administrador e aceda a SSO com IdP de terceiros.

   Aceda a SSO com IdP de terceiros

2. Clique em Perfis de SSO de terceiros > Adicionar perfil de SAML.

3. Na página Perfil de SSO de SAML, introduza as seguintes definições:

   • Nome: Okta
   • ID da entidade do IDP: introduza o Emissor do painel de controlo de administração do Okta.
   • URL da página de início de sessão: introduza o URL de início de sessão no painel de controlo de administração do Okta.
   • URL da página de fim de sessão: introduza o URL de fim de sessão do painel de controlo de administração do Okta.
   • URL de alteração da palavra-passe:: https://ORGANIZATION.okta.com/enduser/settings onde ORGANIZATION é o nome da sua organização do Okta.

4. Em Certificado de validação, clique em Carregar certificado e, de seguida, escolha o certificado de assinatura de tokens que transferiu anteriormente.

5. Clique em Guardar.

   A página Perfil de SSO de SAML apresentada contém um ID da entidade no formato https://accounts.google.com/samlrp/RPID, em que RPID é um ID exclusivo.

   Anote o valor RPID. Precisa dele no passo seguinte.

Atribua o perfil SAML

Selecione os utilizadores aos quais o novo perfil SAML deve ser aplicado:

1. Na consola do administrador, na página SSO com IdPs de terceiros, clique em Gerir atribuições de perfis de SSO > Gerir.

   Aceda a Gerir atribuições de perfis de SSO

2. No painel do lado esquerdo, selecione o grupo ou a unidade organizacional para os quais quer aplicar o perfil de SSO. Para aplicar o perfil a todos os utilizadores, selecione a unidade organizacional de raiz.

3. No painel do lado direito, no menu, selecione o Okta - SAML perfil de SSO que criou anteriormente.

4. Clique em Guardar.

Para atribuir o perfil SAML a outro grupo ou unidade organizacional, repita os passos acima.

Atualize as definições de SSO para a UO Automation de modo a desativar o Início de sessão único:

1. No painel esquerdo, selecione a Automation UO.
2. Altere a atribuição do perfil de SSO para Nenhum.
3. Clique em Substituir.

Conclua a configuração do SSO na Okta

Volte ao Okta e conclua a configuração do SSO:

1. No painel de controlo de administração do Okta, na página de definições da aplicação Google Cloud, abra o separador Iniciar sessão.

2. Clique em Editar e atualize as seguintes definições:

   • Definições de início de sessão avançadas > RPID: introduza o RPID que copiou da consola do administrador.

3. Clique em Guardar.

Opcional: configure desafios de início de sessão

O início de sessão na Google pode pedir aos utilizadores uma validação adicional quando iniciam sessão a partir de dispositivos desconhecidos ou quando a respetiva tentativa de início de sessão parece suspeita por outros motivos. Estes desafios de início de sessão ajudam a melhorar a segurança e recomendamos que os deixe ativados.

Se considerar que os desafios de início de sessão causam demasiados inconvenientes, pode desativá-los da seguinte forma:

1. Na consola do administrador, aceda a Segurança > Autenticação > Desafios de início de sessão.
2. No painel do lado esquerdo, selecione uma unidade organizacional para a qual quer desativar os desafios de início de sessão. Para desativar os desafios de início de sessão para todos os utilizadores, selecione a unidade organizacional de raiz.
3. Em Definições para utilizadores que iniciam sessão com outros perfis de SSO, selecione Não pedir validações adicionais da Google aos utilizadores.
4. Clique em Guardar.

Adicione a Google Cloud consola e outros serviços Google ao painel de controlo da app

Para adicionar a Google Cloud consola e, opcionalmente, outros serviços Google ao painel de controlo de apps do Okta dos seus utilizadores, faça o seguinte:

1. No painel de controlo de administração do Okta, selecione Applications > Applications.
2. Clique em Procurar catálogo de apps.
3. Pesquise Bookmark app e selecione a aplicação App Marcador.
4. Clique em Adicionar integração.

5. Na página Definições gerais, configure o seguinte:

   • Etiqueta da aplicação: Google Cloud console
   • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, substituindo PRIMARY_DOMAIN pelo nome do domínio principal usado pela sua conta do Cloud Identity ou Google Workspace.

6. Clique em Concluído.

7. Altere o logótipo da aplicação para o Google Cloud logótipo.

8. Abra o separador Início de sessão.

9. Clique em Autenticação do utilizador > Editar e configure o seguinte:

   • Política de autenticação: definida como painel de controlo do Okta

10. Clique em Guardar.

11. Abra o separador Atribuição e atribua um ou mais utilizadores. Os utilizadores atribuídos veem o Google Cloud link da consola no respetivo painel de controlo do utilizador.

Opcionalmente, repita os passos acima para quaisquer serviços Google adicionais que queira incluir nos painéis de controlo do utilizador. A tabela abaixo contém os URLs e os logótipos dos serviços Google usados com frequência:

Serviço Google	URL	Logótipo
Google Cloud consola	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
Google Docs	https://docs.google.com/a/DOMAIN
Google Sheets	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Grupos do Google	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/
YouTube	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/

Teste o início de sessão único

Depois de concluir a configuração do início de sessão único no Okta e no Cloud ID ou Google Workspace, pode aceder ao Google Cloud de duas formas:

• Através da lista no painel de controlo do utilizador do Okta.
• Diretamente através da abertura da app https://console.cloud.google.com/.

Para verificar se a segunda opção funciona conforme esperado, execute o seguinte teste:

1. Escolha um utilizador do Okta aprovisionado para o Cloud ID ou o Google Workspace e que não tenha privilégios de superadministrador atribuídos. Os utilizadores com privilégios de superadministrador têm sempre de iniciar sessão com credenciais Google e, por isso, não são adequados para testar o início de sessão único.
2. Abra uma nova janela do navegador e aceda a https://console.cloud.google.com/.
3. Na página de início de sessão do Google apresentada, introduza o endereço de email do utilizador e clique em Seguinte.

4. É feito o redirecionamento para o Okta e é apresentada outra mensagem de início de sessão. Introduza o endereço de email do utilizador e siga os passos para autenticar.

   Após a autenticação bem-sucedida, o Okta deve redirecionar a página para o início de sessão da Google. Como é a primeira vez que inicia sessão com este utilizador, é-lhe pedido que aceite os Termos de Utilização e a política de privacidade da Google.

5. Se aceitar os termos, clique em Compreendo.

   É redirecionado para a Google Cloud consola, que lhe pede para confirmar as preferências e aceitar os Termos de Utilização do Google Cloud.

6. Se aceitar os termos, escolha Sim e clique em Concordar e continuar.

7. Clique no ícone de avatar na parte superior esquerda da página e, de seguida, clique em Terminar sessão.

   É redirecionado para uma página do Okta a confirmar que terminou sessão com êxito.

Tenha em atenção que os utilizadores com privilégios de superadministrador estão isentos do início de sessão único, pelo que pode continuar a usar a consola do administrador para validar ou alterar definições.