Dokumen ini menunjukkan cara menyiapkan penyediaan pengguna dan single sign-on antara organisasi Okta dan akun Cloud Identity atau Google Workspace Anda.
Pada dokumen ini, Anda diasumsikan sudah menggunakan Okta di organisasi Anda dan ingin menggunakan Okta agar pengguna dapat melakukan autentikasi dengan Google Cloud.
Tujuan
- Mengonfigurasi Okta untuk menyediakan pengguna dan, secara opsional, grup ke Cloud Identity atau Google Workspace secara otomatis.
- Mengonfigurasi Single Sign-On agar pengguna dapat login ke Google Cloud menggunakan akun pengguna Okta.
Biaya
Jika Anda menggunakan Cloud Identity edisi gratis, penyiapan penggabungan dengan Okta tidak akan menggunakan komponen Google Cloud yang dapat ditagih.
Lihat halaman harga Okta untuk mengetahui biaya yang mungkin berlaku pada penggunaan Okta.
Sebelum memulai
- Daftar ke Cloud Identity jika Anda belum memiliki akun.
- Jika Anda menggunakan Cloud Identity edisi gratis dan bermaksud untuk menyediakan lebih dari 50 pengguna, minta penambahan jumlah total pengguna Cloud Identity gratis melalui kontak dukungan Anda.
- Jika Anda mencurigai bahwa salah satu domain yang akan Anda gunakan untuk Cloud Identity mungkin telah digunakan oleh karyawan untuk mendaftarkan akun konsumen, pertimbangkan untuk memigrasikan akun pengguna ini terlebih dahulu. Untuk mengetahui detail selengkapnya, lihat Menilai akun pengguna yang ada.
Menyiapkan akun Cloud Identity atau Google Workspace
Membuat pengguna untuk Okta
Agar Okta dapat mengakses akun Cloud Identity atau Google Workspace Anda, Anda harus membuat pengguna untuk Okta di akun Cloud Identity atau Google Workspace.
Pengguna Okta hanya dimaksudkan untuk penyediaan otomatis. Oleh karena itu, sebaiknya pisahkan dari akun pengguna lain dengan menempatkannya pada unit organisasi (OU) yang terpisah. Menggunakan OU terpisah juga memastikan bahwa Anda nantinya dapat menonaktifkan single sign-on untuk pengguna Okta.
Untuk membuat OU baru, lakukan tindakan berikut:
- Buka Konsol Admin dan login menggunakan pengguna admin super yang dibuat saat Anda mendaftar ke Cloud Identity atau Google Workspace.
- Di menu, buka Directory > Organizational units.
- Klik Create organizational unit, lalu berikan nama dan deskripsi untuk OU:
- Nama:
Automation
- Deskripsi:
Automation users
- Nama:
- Klik Create.
Buat akun pengguna untuk Okta dan tempatkan di Automation
OU:
- Di menu, buka Direktori > Pengguna dan klik Tambahkan pengguna baru untuk membuat pengguna.
Berikan nama dan alamat email yang sesuai seperti berikut:
- Nama Depan:
Okta
- Nama Belakang:
Provisioning
Email utama:
okta-provisioning
Tetap gunakan domain primer untuk alamat email.
- Nama Depan:
Klik Kelola sandi, unit organisasi, dan foto profil pengguna dan konfigurasikan setelan berikut:
- Unit organisasi: Pilih OU
Automation
yang Anda buat sebelumnya. - Sandi: Pilih Buat sandi dan masukkan sandi.
- Minta perubahan sandi saat login berikutnya: Dinonaktifkan.
- Unit organisasi: Pilih OU
Klik Tambahkan pengguna baru.
Klik Done.
Menetapkan hak istimewa ke Okta
Agar Okta dapat membuat, mencantumkan, dan menangguhkan pengguna serta grup di
akun Cloud Identity atau Google Workspace, Anda harus
menjadikan pengguna okta-provisioning
sebagai admin super:
- Cari pengguna yang baru dibuat dalam daftar, lalu klik nama pengguna tersebut untuk membuka halaman akunnya.
- Pada bagian Peran dan hak istimewa admin, klik Tetapkan peran.
- Aktifkan peran admin super.
- Klik Simpan.
Mengonfigurasi penyediaan Okta
Sekarang Anda siap untuk menghubungkan Okta ke akun Cloud Identity atau Google Workspace dengan menyiapkan aplikasi Google Workspace dari katalog Okta.
Aplikasi Google Workspace dapat menangani penyediaan pengguna dan single sign-on. Gunakan aplikasi ini meskipun Anda menggunakan Cloud Identity dan hanya berencana menyiapkan single sign-on untuk Google Cloud.
Membuat aplikasi
Untuk menyiapkan aplikasi Google Workspace, lakukan langkah-langkah berikut:
- Buka dasbor admin Okta dan login sebagai pengguna dengan hak istimewa Administrator Super.
- Di menu, buka Applications > Applications.
- Klik Jelajahi katalog aplikasi.
- Telusuri
Google Workspace
, lalu pilih aplikasi Google Workspace. - Klik Tambahkan integrasi.
Di halaman Setelan umum, konfigurasikan hal berikut:
- Label aplikasi:
Google Cloud
- Domain perusahaan Google Apps Anda: nama domain primer yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.
Menampilkan link berikut:
- Setel Account ke enabled.
- Tetapkan link lain ke diaktifkan jika Anda menggunakan Google Workspace, tetapkan link lain ke dinonaktifkan jika tidak.
Visibilitas Aplikasi: tetapkan ke diaktifkan jika Anda menggunakan Google Workspace, dinonaktifkan jika tidak
Pengiriman otomatis plugin browser: tetapkan ke dinonaktifkan
- Label aplikasi:
Klik Berikutnya.
Di halaman Opsi login, konfigurasikan hal berikut:
- Sign on methods: pilih SAML 2.0
- Default Relay State: kosongkan
- Setelan Login Lanjutan > RPID: biarkan kosong
Tentukan cara Anda mengisi alamat email utama untuk pengguna di Cloud Identity atau Google Workspace. Alamat email utama pengguna harus menggunakan domain utama akun Cloud Identity atau Google Workspace Anda atau salah satu domain sekundernya.
Nama pengguna Okta
Untuk menggunakan nama pengguna Okta pengguna sebagai alamat email utama, gunakan setelan berikut:
- Format nama pengguna aplikasi: Nama pengguna Okta
- Perbarui nama pengguna aplikasi di: Buat dan perbarui.
Email
Untuk menggunakan nama pengguna Okta pengguna sebagai alamat email utama, gunakan setelan berikut:
- Format nama pengguna aplikasi: Email
- Perbarui nama pengguna aplikasi di: Buat dan perbarui.
Klik Done.
Mengonfigurasi penyediaan pengguna
Di bagian ini, Anda akan mengonfigurasi Okta untuk menyediakan pengguna dan grup secara otomatis ke Google Cloud.
- Di halaman setelan untuk aplikasi Google Cloud, buka tab Provisioning.
Klik Configure API Integration dan konfigurasikan hal berikut:
- Aktifkan integrasi API: tetapkan ke diaktifkan
- Impor Grup: tetapkan ke dinonaktifkan kecuali jika Anda memiliki grup yang ada di Cloud Identity atau Google Workspace yang ingin diimpor ke Okta
Klik Authenticate with Google Workspace.
Login menggunakan pengguna
okta-provisioning@DOMAIN
yang Anda buat sebelumnya, denganDOMAIN
sebagai domain primer akun Cloud Identity atau Google Workspace Anda.Tinjau Persyaratan Layanan dan kebijakan privasi Google. Jika Anda menyetujui persyaratan, klik Saya mengerti.
Konfirmasi akses ke Cloud Identity API dengan mengklik Allow.
Klik Simpan.
Okta terhubung ke akun Cloud Identity atau Google Workspace Anda, tetapi penyediaan masih dinonaktifkan. Untuk mengaktifkan penyediaan, lakukan hal berikut:
- Di halaman setelan untuk aplikasi Google Cloud, buka tab Provisioning.
Klik Edit dan konfigurasikan hal berikut:
- Create users: tetapkan ke enabled
- Update user attributes: tetapkan ke enabled
- Nonaktifkan pengguna: tetapkan ke diaktifkan
- Sinkronkan sandi: tetapkan ke dinonaktifkan
Atau, klik Buka editor profil untuk menyesuaikan pemetaan atribut.
Jika menggunakan pemetaan kustom, Anda harus memetakan
userName
,nameGivenName
, dannameFamilyName
. Semua pemetaan atribut lainnya bersifat opsional.Klik Simpan.
Mengonfigurasi penetapan pengguna
Di bagian ini, Anda mengonfigurasi pengguna Okta mana yang akan disediakan ke Cloud Identity atau Google Workspace:
- Di halaman setelan untuk aplikasi Google Cloud, buka tab Assignments.
- Klik Tetapkan > Tetapkan kepada orang atau Tetapkan > Tetapkan kepada grup.
- Pilih pengguna atau grup, lalu klik Tetapkan.
- Pada dialog tugas yang muncul, tetap gunakan setelan default, lalu klik Simpan dan kembali.
- Klik Done.
Ulangi langkah-langkah di bagian ini untuk setiap pengguna atau grup yang ingin Anda sediakan. Untuk menyediakan semua pengguna ke Cloud Identity atau Google Workspace, tetapkan grup Semua orang.
Mengonfigurasi penetapan grup
Secara opsional, Anda dapat mengizinkan Okta menyediakan grup ke Cloud Identity atau Google Workspace. Daripada memilih grup satu per satu, sebaiknya konfigurasikan Okta untuk menyediakan grup berdasarkan konvensi penamaan.
Misalnya, agar Okta menyediakan semua grup yang diawali dengan google-cloud
,
lakukan hal berikut:
- Di halaman setelan untuk aplikasi Google Cloud, buka tab Push groups.
- Klik Push groups > Find groups by role.
Di halaman Push groups by rule, konfigurasikan aturan berikut:
- Nama aturan: nama untuk peran, misalnya
Google Cloud
. - Nama grup: dimulai dengan
google-cloud
- Nama aturan: nama untuk peran, misalnya
Klik Buat aturan.
Pemecahan masalah
Untuk memecahkan masalah penyediaan pengguna atau grup, klik Lihat log di halaman setelan untuk aplikasi Google Cloud.
Agar Okta dapat mencoba kembali upaya penyediaan pengguna yang gagal, lakukan hal berikut:
- Buka Dasbor > Tugas.
- Temukan tugas yang gagal dan buka detailnya.
- Di halaman detail, klik Coba lagi yang dipilih.
Mengonfigurasi Okta untuk single sign-on
Jika Anda telah mengikuti langkah-langkah untuk mengonfigurasi penyediaan Okta, semua pengguna Okta yang relevan kini secara otomatis disediakan ke Cloud Identity atau Google Workspace. Agar pengguna ini dapat login, konfigurasikan single sign-on:
- Di halaman setelan untuk aplikasi Google Cloud, buka tab Login.
- Klik SAML 2.0 > Detail selengkapnya.
- Klik Download untuk mendownload sertifikat penandatanganan.
- Perhatikan URL Login dan URL Logout, Anda memerlukan URL ini di salah satu langkah berikut.
Setelah menyiapkan Okta untuk single sign-on, Anda dapat mengaktifkan single sign-on di akun Cloud Identity atau Google Workspace:
- Buka Konsol Admin dan login menggunakan pengguna admin super.
- Pada menu, klik Tampilkan lainnya lalu buka Keamanan > Autentikasi > SSO dengan IdP pihak ketiga.
Klik Tambahkan profil SSO.
Setel Siapkan SSO dengan Penyedia Identitas pihak ketiga ke aktif.
Masukkan setelan berikut:
- Sign-in page URL: masukkan Sign-on URL yang Anda salin dari halaman setelan Okta.
- URL halaman logout: masukkan URL Logout yang Anda salin dari halaman setelan Okta.
- URL Ubah sandi:
https://ORGANIZATION.okta.com/enduser/settings
denganORGANIZATION
adalah nama organisasi Okta Anda.
Di bagian Verifikasi sertifikat, klikUpload sertifikat, lalu pilih sertifikat penandatanganan token yang telah Anda download sebelumnya.
Klik Save.
Perbarui setelan SSO untuk OUAutomation
untuk
menonaktifkan single sign-on:
- Di bagian Manage SSO profile assignments, klik Get started.
- Luaskan Unit Organisasi dan pilih
Automation
OU. - Ubah penetapan profil SSO dari Organization's third-party SSO profile menjadi None.
- Klik Ganti.
Menambahkan konsol Google Cloud dan layanan Google lainnya ke dasbor aplikasi
Untuk menambahkan konsol Google Cloud dan, secara opsional, layanan Google lainnya ke dasbor aplikasi Okta pengguna, lakukan hal berikut:
- Di dasbor admin Okta, pilih Applications > Applications.
- Klik Jelajahi katalog aplikasi.
- Telusuri
Bookmark app
dan pilih aplikasi Bookmark app. - Klik Tambahkan integrasi.
Di halaman Setelan umum, konfigurasikan hal berikut:
- Label aplikasi:
Google Cloud console
- URL:
https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
, menggantiPRIMARY_DOMAIN
dengan nama domain primer yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.
- Label aplikasi:
Klik Done.
Ubah logo aplikasi menjadi logo Google Cloud.
Buka tab Login.
Klik Autentikasi pengguna > Edit dan konfigurasikan hal berikut:
- Kebijakan autentikasi: tetapkan ke Dasbor Okta
Klik Simpan.
Buka tab Penetapan dan tetapkan satu atau beberapa pengguna. Pengguna yang ditetapkan akan melihat link konsol Google Cloud di dasbor pengguna mereka.
Jika ingin, ulangi langkah-langkah di atas untuk layanan Google tambahan yang ingin Anda sertakan di dasbor pengguna. Tabel di bawah berisi URL dan logo untuk layanan Google yang umum digunakan:
Google service | URL | Logo |
---|---|---|
Konsol Google Cloud | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Google Dokumen | https://docs.google.com/a/DOMAIN |
|
Google Spreadsheet | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Google Grup | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
|
YouTube | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/
|
Menguji Single Sign-On
Setelah menyelesaikan konfigurasi single sign-on di Okta dan Cloud Identity atau Google Workspace, Anda dapat mengakses Google Cloud dengan dua cara:
- Melalui daftar di dasbor pengguna Okta Anda.
- Secara langsung dengan membuka https://console.cloud.google.com/.
Untuk memeriksa apakah opsi kedua berfungsi sebagaimana mestinya, jalankan pengujian berikut:
- Pilih pengguna Okta yang telah disediakan untuk Cloud Identity atau Google Workspace dan yang tidak memiliki hak istimewa admin super. Pengguna dengan hak istimewa admin super selalu harus login menggunakan kredensial Google, sehingga tidak cocok untuk menguji single sign-on.
- Buka jendela browser baru, lalu buka https://console.cloud.google.com/.
- Di halaman Login dengan Google yang muncul, masukkan alamat email pengguna dan klik Next.
Anda akan dialihkan ke Okta dan akan melihat perintah login lainnya. Masukkan alamat email pengguna Anda dan ikuti langkah-langkah untuk melakukan autentikasi.
Setelah autentikasi berhasil, Okta akan mengalihkan Anda kembali ke Login dengan Google. Karena ini pertama kalinya Anda login menggunakan pengguna ini, Anda diminta untuk menyetujui Persyaratan Layanan Google dan kebijakan privasi Google.
Jika Anda menyetujui persyaratannya, klik Saya mengerti.
Anda dialihkan ke konsol Google Cloud, yang meminta Anda untuk mengonfirmasi preferensi dan menyetujui Persyaratan Layanan Google Cloud.
Jika Anda menyetujui persyaratannya, pilih Yes dan klik Agree and continue.
Klik ikon avatar di kiri atas halaman, lalu klik Sign out.
Anda akan dialihkan ke halaman Okta yang mengonfirmasi bahwa Anda berhasil logout.
Perlu diingat bahwa pengguna dengan hak istimewa admin super dikecualikan dari single sign-on, sehingga Anda masih dapat menggunakan Konsol Admin untuk memverifikasi atau mengubah setelan.
Pembersihan
Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.