Neste documento, mostramos como configurar o provisionamento de usuários e o logon único entre uma organização Okta e sua conta do Cloud Identity ou do Google Workspace.
O documento considera que você já usa o Okta na sua organização e quer usá-lo para permitir que os usuários se autentiquem com o Google Cloud.
Objetivos
- Configurar o Okta para provisionar usuários de maneira automática e, opcionalmente, grupos no Cloud Identity ou no Google Workspace.
- Configurar o logon único para permitir que os usuários façam login no Google Cloud usando uma conta de usuário do Okta.
Custos
Se você estiver usando a edição gratuita do Cloud Identity, a configuração da federação com o Okta não usará componentes faturáveis do Google Cloud.
Verifique a página de preços do Okta para ver as taxas que podem ser aplicadas ao usá-lo.
Antes de começar
- Inscreva-se no Cloud Identity se você ainda não tiver uma conta.
- Se você estiver usando a edição gratuita do Cloud Identity e quiser provisionar mais de 50 usuários, solicite um aumento do número total de usuários gratuitos do Cloud Identity usando o contato de suporte.
- Se você suspeitar que algum dos domínios que planeja usar no Cloud Identity possa ter sido usado pelos funcionários para registrar contas pessoais, primeiro migre essas contas de usuário. Para mais detalhes, consulte Como avaliar contas de usuário atuais.
Como preparar sua conta do Cloud Identity ou do Google Workspace
Criar um usuário do Okta
Para permitir que o Okta acesse sua conta do Cloud Identity ou do Google Workspace, é preciso criar um usuário do Okta na sua conta do Cloud Identity ou do Google Workspace.
O usuário do Okta é destinado apenas ao provisionamento automatizado. Portanto, é melhor mantê-la separada de outras contas de usuário, colocando-a em uma unidade organizacional (UO) separada. Usar uma UO separada também garante que você possa desativar o logon único mais tarde para o usuário do Okta.
Para criar um novo projeto, faça o seguinte:
- Abra o Admin Console e faça login usando o usuário superadministrador criado quando você se inscreveu no Cloud Identity ou no Google Workspace.
- No menu, acesse Diretório > Unidades organizacionais.
- Clique em Criar unidade organizacional e forneça um nome e uma descrição para a unidade organizacional:
- Name:
Automation
- Descrição:
Automation users
- Name:
- Clique em Criar.
Crie uma conta de usuário do Okta e coloque-a na UO Automation
:
- No menu, navegue até Diretório > Usuários e clique em Adicionar novo usuário para criar um usuário.
Forneça um nome e um endereço de e-mail apropriados, como os seguintes:
- Nome:
Okta
- Sobrenome:
Provisioning
E-mail principal:
okta-provisioning
Mantenha o domínio principal do endereço de e-mail.
- Nome:
Clique em Gerenciar a senha, a unidade organizacional e a foto do perfil do usuário e defina as seguintes configurações:
- Unidade organizacional: selecione a UO
Automation
que você criou anteriormente. - Senha: Selecione Criar senha e insira uma senha.
- Solicitar uma alteração de senha no próximo login: Desabilitado
- Unidade organizacional: selecione a UO
Clique em Adicionar novo usuário.
Clique em Concluído.
Atribuir privilégios ao Okta
Para permitir que o Okta crie, liste e suspenda usuários e grupos na sua conta do Cloud Identity ou do Google Workspace, torne o usuário okta-provisioning
um superadministrador:
- Localize o usuário recém-criado na lista e clique no nome dele para abrir a página da conta.
- Em Papéis e privilégios do administrador, clique em Atribuir papéis.
- Ative o papel de superadministrador.
- Clique em Salvar.
Como configurar o provisionamento do Okta
Agora está tudo pronto para conectar o Okta à sua conta do Cloud Identity ou do Google Workspace. Basta configurar o aplicativo do Google Workspace pelo catálogo da Okta.
O aplicativo do Google Workspace pode lidar com o provisionamento de usuários e com o logon único. Use esse aplicativo mesmo que você esteja usando o Cloud Identity e planejando apenas configurar o logon único no Google Cloud.
Criar um aplicativo
Para configurar o aplicativo do Google Workspace, faça isto:
- Abra o painel de administração do Okta e faça login como usuário com privilégios de superadministrador.
- No menu, acesse Aplicativos > Aplicativos.
- Clique em Procurar no catálogo de aplicativos.
- Pesquise
Google Workspace
e selecione o aplicativo do Google Workspace. - Clique em Adicionar integração.
Na página Configurações gerais, defina as seguintes configurações:
- Rótulo do aplicativo:
Google Cloud
- Domínio da sua empresa no Google Apps: o nome de domínio principal usado pela sua conta do Cloud Identity ou do Google Workspace.
Exiba os links a seguir:
- Defina Conta como ativada.
- Defina outros links como ativados se estiver usando o Google Workspace. Caso contrário, defina outros como desativados.
Visibilidade do aplicativo: defina como ativada se você estiver usando o Google Workspace. Caso contrário, desativada.
Envio automático de plug-in do navegador: defina como desativado
- Rótulo do aplicativo:
Clique em Próxima.
Na página Opções de login, defina as seguintes configurações:
- Métodos de login: selecione SAML 2.0.
- Estado de redirecionamento padrão: mantenha em branco
- Configurações avançadas de login > RPID: mantenha em branco
Decida como você quer preencher o endereço de e-mail principal dos usuários no Cloud Identity ou no Google Workspace. O endereço de e-mail principal de um usuário precisa usar o domínio principal da sua conta do Cloud Identity ou do Google Workspace ou um dos domínios secundários.
Nome de usuário do Okta
Para usar o nome de usuário do Okta como endereço de e-mail principal, use as seguintes configurações:
- Formato de nome de usuário do aplicativo: nome de usuário do Okta
- Atualizar nome de usuário do aplicativo em: Criar e atualizar.
E-mail
Para usar o nome de usuário do Okta como endereço de e-mail principal, use as seguintes configurações:
- Formato de nome de usuário do aplicativo: e-mail
- Atualizar nome de usuário do aplicativo em: Criar e atualizar.
Clique em Concluído.
Configurar provisionamento de usuários
Nesta seção, você configura o Okta para provisionar automaticamente usuários e grupos ao Google Cloud.
- Na página de configurações do aplicativo do Google Cloud, abra a guia Provisionamento.
Clique em Configurar integração da API e defina as seguintes configurações:
- Ativar integração da API: defina como ativado
- Importar grupos: defina como desativado, a menos que você já tenha grupos no Cloud Identity ou no Google Workspace que queira importar para o Okta
Clique em Autenticar com o Google Workspace.
Faça login usando o usuário
okta-provisioning@DOMAIN
que você criou anteriormente, em queDOMAIN
é o domínio principal da sua conta do Cloud Identity ou do Google Workspace.Leia a Política de Privacidade e os Termos de Serviço do Google. Se você concordar com os termos, clique em Entendi.
Confirme o acesso à API Cloud Identity clicando em Permitir.
Clique em Save.
O Okta está conectado à sua conta do Cloud Identity ou do Google Workspace, mas o provisionamento ainda está desativado. Para ativar o provisionamento, faça isto:
- Na página de configurações do aplicativo do Google Cloud, abra a guia Provisionamento.
Clique em Editar e defina as seguintes configurações:
- Criar usuários: defina como ativado
- Atualizar atributos do usuário: defina como ativado
- Desativar usuários: defina como ativado
- Sincronizar senha: defina como desativado
Se quiser, clique em Acessar o editor de perfil para personalizar os mapeamentos de atributos.
Se você usar os mapeamentos personalizados, será necessário mapear
userName
,nameGivenName
enameFamilyName
. Todos os outros mapeamentos de atributos são opcionais.Clique em Save.
Configurar atribuição de usuário
Nesta seção, você configura quais usuários do Okta serão provisionados ao Cloud Identity ou ao Google Workspace:
- Na página de configurações do aplicativo do Google Cloud, abra a guia Atribuições.
- Clique em Atribuir > Atribuir a pessoas ou Atribuir > Atribuir a grupos.
- Selecione um usuário ou grupo e clique em Atribuir.
- Na caixa de diálogo da atribuição exibida, mantenha as configurações padrão e clique em Salvar e voltar.
- Clique em Concluído.
Repita as etapas desta seção para cada usuário ou grupo que você quer provisionar. Para provisionar todos os usuários ao Cloud Identity ou ao Google Workspace, atribua o grupo Todos.
Configurar atribuição de grupo
Se quiser, permita que o Okta provisione grupos ao Cloud Identity ou ao Google Workspace. Em vez de selecionar os grupos individualmente, é recomendável configurar o Okta para que provisione grupos com base em uma convenção de nomes.
Por exemplo, para permitir que o Okta provisione todos os grupos que começam com google-cloud
, faça isto:
- Na página de configurações do aplicativo do Google Cloud, abra a guia Enviar grupos.
- Clique em Enviar grupos > Encontrar grupos por papel.
Na página Enviar grupos por regra, configure a seguinte regra:
- Nome da regra: nome do papel, por exemplo,
Google Cloud
. - Nome do grupo: começa com
google-cloud
- Nome da regra: nome do papel, por exemplo,
Clique em Criar regra.
Solução de problemas
Para resolver problemas de provisionamento de usuários ou grupos, clique em Ver registros na página de configurações do aplicativo do Google Cloud.
Para permitir que o Okta repita uma tentativa malsucedida de provisionar usuários, faça isto:
- Acesse Painel > Tarefas.
- Encontre a tarefa que falhou e abra os detalhes.
- Na página de detalhes, clique em Repetir seleção.
Como configurar o Okta para logon único
Se você seguiu as etapas para configurar o provisionamento do Okta, todos os usuários relevantes do Okta serão agora provisionados automaticamente ao Cloud Identity ou ao Google Workspace. Para permitir que esses usuários façam login, configure o logon único:
- Na página de configurações do aplicativo do Google Cloud, abra a guia Fazer login.
- Clique em SAML 2.0 > Mais detalhes.
- Clique em Fazer o download do certificado de assinatura.
- Anote o URL de login e o URL de logout. Esses URLs serão necessários em uma das etapas a seguir.
Depois de preparar o Okta para logon único, será possível ativar o logon único na sua conta do Cloud Identity ou do Google Workspace:
- Abra o Admin Console e faça login usando um usuário superadministrador.
- No menu, clique em Mostrar mais e acesse Segurança > Autenticação > SSO com IdP de terceiros.
Clique em ADICIONAR PERFIL DE SSO.
Defina Configurar SSO com provedor de identidade de terceiros como ativado.
Insira as seguintes configurações:
- URL da página de login: insira o URL de login que você copiou da página de configurações do Okta.
- URL da página de logout: insira o URL de logout que você copiou da página de configurações do Okta.
- URL para alteração de senha:
https://ORGANIZATION.okta.com/enduser/settings
, em queORGANIZATION
é o nome da sua organização no Okta.
Em Certificado de verificação, clique em Fazer upload do certificado e escolha o certificado de assinatura de token salvo anteriormente.
Clique em Save.
Atualize as configurações do SSO da unidade organizacional Automation
para desativar o Logon único:
- Em Gerenciar atribuições do perfil de SSO, clique em Primeiros passos.
- Expanda Unidades organizacionais e selecione a unidade organizacional
Automation
. - Altere a atribuição do perfil de SSO do perfil de SSO de terceiros da organização para Nenhum.
- Clique em Substituir.
Adicionar o console do Google Cloud e outros serviços do Google ao painel de aplicativos
Para adicionar o console do Google Cloud e, opcionalmente, outros serviços do Google ao painel de aplicativos do Okta dos seus usuários, faça isto:
- No painel de administração do Okta, selecione Aplicativos > Aplicativos.
- Clique em Procurar no catálogo de aplicativos.
- Pesquise
Bookmark app
e selecione o aplicativo App de favoritos. - Clique em Adicionar integração.
Na página Configurações gerais, defina as seguintes configurações:
- Rótulo do aplicativo:
Google Cloud console
- URL:
https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
, substituindoPRIMARY_DOMAIN
pelo nome de domínio principal usado pela sua conta do Cloud Identity ou do Google Workspace.
- Rótulo do aplicativo:
Clique em Concluído.
Mude o logotipo do aplicativo para o logotipo do Google Cloud.
Abra a guia Fazer login.
Clique em Autenticação do usuário > Editar e defina as seguintes configurações:
- Política de autenticação: defina como Painel do Okta
Clique em Save.
Abra a guia Atribuição e atribua um ou mais usuários. Os usuários atribuídos vêm o link do console do Google Cloud no painel do usuário.
Se quiser, repita as etapas acima para todos os serviços adicionais do Google que você quiser incluir nos painéis dos usuários. A tabela abaixo contém os URLs e logotipos dos Serviços do Google usados com frequência:
Serviço do Google | URL | Logotipo |
---|---|---|
Console do Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Documentos Google | https://docs.google.com/a/DOMAIN |
|
Planilhas Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Grupos do Google | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
Testar Logon único
Depois de concluir a configuração do logon único no Okta e no Cloud Identity ou no Google Workspace, será possível acessar o Google Cloud de duas maneiras:
- Pela lista no painel do usuário do Okta.
- Diretamente em https://console.cloud.google.com/.
Para verificar se a segunda opção funciona conforme o esperado, execute o seguinte teste:
- Escolha um usuário do Okta que tenha sido provisionado ao Cloud Identity ou ao Google Workspace e que não tenha privilégios de superadministrador. Os usuários com esse privilégio sempre precisam fazer login usando as credenciais do Google e, portanto, não são adequados para testar o logon único.
- Abra uma nova janela do navegador e acesse https://console.cloud.google.com/.
- Na página de login do Google exibida, insira o endereço de e-mail do usuário e clique em Avançar.
Você será redirecionado para o Okta e verá outra solicitação de login. Insira o endereço de e-mail do usuário e siga as etapas para fazer a autenticação.
Após a autenticação, o Okta redirecionará você de volta para o Login do Google. Como esta é a primeira vez que você faz login usando esse usuário, será preciso aceitar a Política de Privacidade e os Termos de Serviço do Google.
Se você concordar com os termos, clique em Entendi.
Você será redirecionado para o console do Google Cloud, que solicitará a confirmação das preferências e aprovação dos Termos de Serviço do Google Cloud.
Se você concordar com os termos, escolha Sim e clique em Concordar e continuar.
Clique no avatar no canto superior esquerdo da página e em Sair.
Você será redirecionado para uma página do Okta confirmando que você saiu com sucesso.
Lembre-se de que os usuários com privilégios de superadministrador não usam o Logon único. Assim, você ainda pode usar o Admin Console para verificar ou alterar as configurações.
Limpeza
Para evitar cobranças na sua conta do Google Cloud pelos recursos usados no tutorial, exclua o projeto que os contém ou mantenha o projeto e exclua os recursos individuais.