Självstudie: Microsoft Entra SSO-integrering med Google Cloud/G Suite Anslut eller av Microsoft

I den här självstudien får du lära dig hur du integrerar Google Cloud/G Suite Anslut eller av Microsoft med Microsoft Entra-ID. När du integrerar Google Cloud/G Suite Anslut eller från Microsoft med Microsoft Entra-ID kan du:

• Kontroll i Microsoft Entra-ID som har åtkomst till Google Cloud/G Suite Anslut eller av Microsoft.
• Gör så att dina användare automatiskt loggas in på Google Cloud/G Suite Anslut eller av Microsoft med sina Microsoft Entra-konton.
• Hantera dina konton på en central plats.

Förutsättningar

För att komma igång behöver du följande:

• En Microsoft Entra-prenumeration.
• Google Cloud/G Suite-Anslut eller av Microsoft-prenumeration med enkel inloggning (SSO).
• En Google Apps-prenumeration eller Google Cloud Platform-prenumeration.

Du bör följa de här rekommendationerna när du testar stegen i självstudien:

• Använd inte din produktionsmiljö om det inte behövs.
• Om du inte har en prenumeration kan du få ett kostnadsfritt konto.

Vanliga frågor och svar

1. F: Stöder den här integreringen Google Cloud Platform SSO-integrering med Microsoft Entra-ID?

   S: Ja. Google Cloud Platform och Google Apps delar samma autentiseringsplattform. Så om du vill göra GCP-integreringen måste du konfigurera enkel inloggning med Google Apps.

2. F: Är Chromebooks och andra Chrome-enheter kompatibla med enkel inloggning med Microsoft Entra?

   S: Ja, användarna kan logga in på sina Chromebook-enheter med sina Microsoft Entra-autentiseringsuppgifter. Se den här Google Cloud/G Suite-Anslut eller av Microsofts supportartikel för information om varför användare kan uppmanas att ange autentiseringsuppgifter två gånger.

3. F: Om jag aktiverar enkel inloggning kan användarna använda sina Microsoft Entra-autentiseringsuppgifter för att logga in på alla Google-produkter, till exempel Google Classroom, GMail, Google Drive, YouTube och så vidare?

   S: Ja, beroende på vilken Google Cloud/G Suite-Anslut eller av Microsoft väljer du att aktivera eller inaktivera för din organisation.

4. F: Kan jag aktivera enkel inloggning för endast en delmängd av min Google Cloud/G Suite-Anslut eller av Microsoft-användare?

   S: Ja, SSO-profilerna kan väljas per användare, organisationsenhet eller grupp på Google-arbetsytan.

   

   Välj profilen för enkel inloggning som "ingen" för gruppen Google Workspace. Detta förhindrar att medlemmar i den här gruppen (Google Workspace) omdirigeras till Microsoft Entra-ID för inloggning.

5. F: Om en användare är inloggad via Windows autentiseras de automatiskt till Google Cloud/G Suite Anslut eller av Microsoft utan att uppmanas att ange ett lösenord?

   S: Det finns två alternativ för att aktivera det här scenariot. Först kan användare logga in på Windows 10-enheter via Microsoft Entra-anslutning. Alternativt kan användare logga in på Windows-enheter som är domänanslutna till en lokal Active Directory som har aktiverats för enkel inloggning till Microsoft Entra-ID via en distribution av Active Directory Federation Services (AD FS) (AD FS). Båda alternativen kräver att du utför stegen i följande självstudie för att aktivera enkel inloggning mellan Microsoft Entra ID och Google Cloud/G Suite Anslut eller av Microsoft.

6. F: Vad ska jag göra när jag får felmeddelandet "ogiltigt e-postmeddelande"?

   S: För den här konfigurationen krävs e-postattributet för att användarna ska kunna logga in. Det här attributet kan inte anges manuellt.

   E-postadressattribut fylls i automatiskt för alla användare med en giltig Exchange-licens. Om användaren inte är e-postaktiverad, får hen det här felet allteftersom programmet behöver få det här attributet för att ge åtkomst.

   Du kan gå till portal.office.com med ett administratörskonto och sedan klicka i administrationscentret, fakturering, prenumerationer, välja din Microsoft 365-prenumeration och sedan klicka på tilldela till användare, välja de användare som du vill kontrollera deras prenumeration och klicka på redigera licenser i den högra rutan.

   När Microsoft 365-licensen har tilldelats kan det ta några minuter att tillämpa den. Efter det kommer attributet user.mail att fyllas i automatiskt och problemet ska vara löst.

Beskrivning av scenario

I den här självstudien konfigurerar och testar du Microsoft Entra SSO i en testmiljö.

• Google Cloud/G Suite Anslut eller från Microsoft stöder SP-initierad enkel inloggning.

• Google Cloud/G Suite Anslut eller från Microsoft har stöd för automatisk användaretablering.

Lägga till Google Cloud/G Suite Anslut eller från Microsoft från galleriet

För att konfigurera integreringen av Google Cloud/G Suite Anslut eller av Microsoft i Microsoft Entra-ID måste du lägga till Google Cloud/G Suite Anslut eller från Microsoft från galleriet till din lista över hanterade SaaS-appar.

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
2. Bläddra till Identity>Applications Enterprise-program>>Nytt program.
3. I avsnittet Lägg till från galleriet skriver du Google Cloud/G Suite Anslut eller av Microsoft i sökrutan.
4. Välj Google Cloud/G Suite Anslut eller från Microsoft från resultatpanelen och lägg sedan till appen. Vänta några sekunder medan appen läggs till i din klientorganisation.

Du kan också använda guiden Konfiguration av företagsappar. I den här guiden kan du lägga till ett program i din klientorganisation, lägga till användare/grupper i appen, tilldela roller samt gå igenom SSO-konfigurationen. Läs mer om Microsoft 365-guider.

Konfigurera och testa enkel inloggning med Microsoft Entra för Google Cloud/G Suite Anslut eller av Microsoft

Konfigurera och testa Microsoft Entra SSO med Google Cloud/G Suite Anslut eller av Microsoft med hjälp av en testanvändare med namnet B.Simon. För att enkel inloggning ska fungera måste du upprätta en länkrelation mellan en Microsoft Entra-användare och den relaterade användaren i Google Cloud/G Suite Anslut eller av Microsoft.

Utför följande steg för att konfigurera och testa Microsoft Entra SSO med Google Cloud/G Suite Anslut eller från Microsoft:

1. Konfigurera Microsoft Entra SSO – så att användarna kan använda den här funktionen.
   1. Skapa en Microsoft Entra-testanvändare – för att testa enkel inloggning med Microsoft Entra med B.Simon.
   2. Tilldela Microsoft Entra-testanvändaren – för att göra det möjligt för B.Simon att använda enkel inloggning med Microsoft Entra.
2. Konfigurera Google Cloud/G Suite Anslut eller av Microsoft SSO – för att konfigurera inställningarna för enkel inloggning på programsidan.
   1. Skapa Google Cloud/G Suite Anslut eller av Microsoft-testanvändare – för att ha en motsvarighet till B.Simon i Google Cloud/G Suite Anslut eller av Microsoft som är länkad till Microsoft Entra-representationen av användaren.
3. Testa enkel inloggning – för att kontrollera om konfigurationen fungerar.

Konfigurera enkel inloggning med Microsoft Entra

Följ de här stegen för att aktivera Enkel inloggning i Microsoft Entra.

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

2. Bläddra till Identity>Applications>Enterprise-program> Google Cloud/G Suite Anslut eller via Enkel inloggning med Microsoft.>

3. På sidan Välj en enkel inloggningsmetod väljer du SAML.

4. På sidan Konfigurera enkel inloggning med SAML klickar du på pennikonen för Grundläggande SAML-konfiguration för att redigera inställningarna.

   

5. I avsnittet Grundläggande SAML-konfiguration utför du följande steg om du vill konfigurera för Gmail:

   a. I textrutan Identifierare skriver du en URL med något av följande mönster:

   Identifierare
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. I textrutan Svars-URL skriver du en URL med något av följande mönster:

   Svarswebbadress
   https://www.google.com
   https://www.google.com/a/<yourdomain.com>

   c. I textrutan Inloggnings-URL skriver du en URL med följande mönster: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com

6. I avsnittet Grundläggande SAML-konfiguration utför du följande steg om du vill konfigurera för Google Cloud Platform:

   a. I textrutan Identifierare skriver du en URL med något av följande mönster:

   Identifierare
   google.com/a/<yourdomain.com>
   google.com
   https://google.com
   https://google.com/a/<yourdomain.com>

   b. I textrutan Svars-URL skriver du en URL med något av följande mönster:

   Svarswebbadress
   https://www.google.com/acs
   https://www.google.com/a/<yourdomain.com>/acs

   c. I textrutan Inloggnings-URL skriver du en URL med följande mönster: https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

   Kommentar

   Dessa värden är inte verkliga. Uppdatera dessa värden med den faktiska identifieraren, svars-URL:en och inloggnings-URL: en. Google Cloud/G Suite-Anslut eller från Microsoft tillhandahåller inte entitets-ID/identifierarvärde för Enkel inloggning konfiguration, så när du avmarkerar det domänspecifika utfärdaralternativet blir google.comidentifierarvärdet . Om du kontrollerar det domänspecifika utfärdaralternativet blir google.com/a/<yourdomainname.com>det . Om du vill kontrollera/avmarkera det domänspecifika utfärdaralternativet måste du gå till avsnittet Konfigurera Google Cloud/G Suite Anslut eller av Microsoft SSO som beskrivs senare i självstudien. Om du vill ha mer information kontaktar du Google Cloud/G Suite Anslut eller av Supportteamet för Microsoft-klienten.

7. Ditt Google Cloud/G Suite-Anslut eller från Microsoft-programmet förväntar sig SAML-försäkran i ett visst format, vilket kräver att du lägger till anpassade attributmappningar i konfigurationen av SAML-tokenattribut. Följande skärmbild visar ett exempel på detta. Standardvärdet för unik användaridentifierare är user.userprincipalname, men Google Cloud/G Suite Anslut eller från Microsoft förväntar sig att detta mappas med användarens e-postadress. Till det kan du använda user.mail-attributet från listan eller rätt attributvärde baserat på organisationens konfiguration.

   

   Kommentar

   Se till att SAML-svaret inte innehåller några ASCII-tecken som inte är standard i attributet Efternamn.

8. På sidan Konfigurera enkel inloggning med SAML går du till avsnittet SAML-signeringscertifikat och letar upp Certifikat (Base64) och väljer Ladda ned för att ladda ned certifikatet och spara det på datorn.

   

9. I avsnittet Konfigurera Google Cloud/G Suite Anslut eller av Microsoft kopierar du lämpliga URL:er baserat på dina behov.

   

   https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
   

Skapa en Microsoft Entra-testanvändare

I det här avsnittet skapar du en testanvändare med namnet B.Simon.

1. Logga in på administrationscentret för Microsoft Entra som minst användaradministratör.
2. Gå till Identitet>Användare>Alla användare.
3. Välj Ny användare>Skapa ny användare överst på skärmen.
4. Följ dessa steg i användaregenskaperna :
   1. I fältet Visningsnamn anger du B.Simon.
   2. I fältet Användarens huvudnamn anger du username@companydomain.extension. Exempel: B.Simon@contoso.com
   3. Markera kryssrutan Visa lösenord och skriv sedan ned det värde som visas i rutan Lösenord.
   4. Välj Granska + skapa.
5. Välj Skapa.

Tilldela Microsoft Entra-testanvändaren

I det här avsnittet gör du det möjligt för B.Simon att använda enkel inloggning genom att ge åtkomst till Google Cloud/G Suite-Anslut eller från Microsoft.

1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.
2. Bläddra till Identity>Applications Enterprise-program>>Google Cloud/G Suite Anslut eller från Microsoft.
3. På appens översiktssida väljer du Användare och grupper.
4. Välj Lägg till användare/grupp och välj sedan Användare och grupper i dialogrutan Lägg till tilldelning .
   1. I dialogrutan Användare och grupper väljer du B.Simon i listan Användare och klickar sedan på knappen Välj längst ned på skärmen.
   2. Om du förväntar dig att en roll ska tilldelas till användarna kan du välja den i listrutan Välj en roll . Om ingen roll har konfigurerats för den här appen visas rollen "Standardåtkomst" markerad.
   3. I dialogrutan Lägg till tilldelning klickar du på knappen Tilldela.

Konfigurera Google Cloud/G Suite Anslut eller av Microsoft SSO

1. Öppna en ny flik i webbläsaren och logga in på Google Cloud/G Suite-Anslut eller från Microsoft Admin Console med ditt administratörskonto.

2. Gå till menyn –> Säkerhet –> Autentisering –> enkel inloggning med tredjeparts-IDP.

   

3. Utför följande konfigurationsändringar i fliken SSO-profil från tredje part för din organisation :

   

   a. Aktivera SSO-profilen för din organisation.

   b. I fältet Inloggningssidas-URL i Google Cloud/G Suite Anslut eller från Microsoft klistrar du in värdet för inloggnings-URL.

   c. I fältet Url för utloggningssidan i Google Cloud/G Suite Anslut eller från Microsoft klistrar du in värdet för utloggnings-URL.

   d. I Google Cloud/G Suite Anslut eller från Microsoft laddar du upp certifikatet som du har laddat ned tidigare för verifieringscertifikatet.

   e. Kontrollera/avmarkera alternativet Använd en domänspecifik utfärdare enligt anteckningen som nämns i avsnittet Grundläggande SAML-konfiguration i Microsoft Entra-ID.

   f. I fältet Ändra lösenords-URL i Google Cloud/G Suite Anslut eller av Microsoft anger du värdet somhttps://account.activedirectory.windowsazure.com/changepassword.aspx

   g. Klicka på Spara.

Skapa Google Cloud/G Suite-Anslut eller av Microsoft-testanvändare

Målet med det här avsnittet är att skapa en användare i Google Cloud/G Suite Anslut eller av Microsoft med namnet B.Simon. När användaren har skapats manuellt i Google Cloud/G Suite Anslut eller av Microsoft kan användaren nu logga in med sina Inloggningsuppgifter för Microsoft 365.

Google Cloud/G Suite Anslut eller från Microsoft har också stöd för automatisk användaretablering. För att konfigurera automatisk användaretablering måste du först konfigurera Google Cloud/G Suite Anslut eller av Microsoft för automatisk användaretablering.

Testa enkel inloggning

I det här avsnittet testar du konfigurationen av enkel inloggning med Microsoft Entra med följande alternativ.

• Klicka på Testa det här programmet så omdirigeras det till Google Cloud/G Suite Anslut eller via Microsoft-inloggnings-URL där du kan initiera inloggningsflödet.

• Gå till Google Cloud/G Suite Anslut eller via Microsoft Sign-on URL direkt och initiera inloggningsflödet därifrån.

• Du kan använda Microsoft Mina appar. När du klickar på Google Cloud/G Suite-Anslut eller av Microsoft-panelen i Mina appar omdirigeras detta till Google Cloud/G Suite Anslut eller via Microsofts inloggnings-URL. Mer information om Mina appar finns i Introduktion till Mina appar.

Nästa steg

När du har konfigurerat Google Cloud/G Suite Anslut eller av Microsoft kan du tillämpa sessionskontroll, vilket skyddar exfiltrering och infiltration av organisationens känsliga data i realtid. Sessionskontrollen utökas från villkorsstyrd åtkomst. Lär dig hur du framtvingar sessionskontroll med Microsoft Defender för molnet Apps.