Single Sign-On Active Directory

Memahami single sign-on

Dengan menggunakan Google Cloud Directory Sync, Anda otomatis membuat dan memelihara pengguna serta mengikat siklus prosesnya dengan pengguna di Active Directory.

Meskipun GCDS menyediakan detail akun pengguna, GCDS tidak menyinkronkan sandi. Setiap kali pengguna perlu melakukan autentikasi di Google Cloud, autentikasi tersebut harus didelegasikan kembali ke Active Directory, yang dilakukan menggunakan AD FS dan protokol Security Assertion Markup Language (SAML). Penyiapan ini memastikan bahwa hanya Active Directory yang memiliki akses ke kredensial pengguna dan menerapkan kebijakan atau mekanisme autentikasi multi-faktor (MFA) yang ada. Selain itu, fitur ini membuat pengalaman single sign-on antara lingkungan lokal Anda dan Google.

Untuk detail selengkapnya tentang single sign-on, lihat Single sign-on

Membuat profil SAML

Untuk mengonfigurasi Single Sign-On dengan AD FS, Anda harus membuat profil SAML terlebih dahulu di akun Cloud Identity atau Google Workspace Anda. Profil SAML berisi setelan yang terkait dengan instance AD FS Anda, termasuk URL dan sertifikat penandatanganannya.

Selanjutnya, Anda menetapkan profil SAML ke grup atau unit organisasi tertentu.

Untuk membuat profil SAML baru di akun Cloud Identity atau Google Workspace Anda, lakukan hal berikut:

1. Di Konsol Admin, buka SSO dengan IdP pihak ketiga.

   Buka SSO dengan IdP pihak ketiga

2. Klik Profil SSO pihak ketiga > Tambahkan profil SAML.

3. Di halaman SAML SSO profile, masukkan setelan berikut:

   • Nama: AD FS

   • ID entitas IDP:

     https://ADFS/adfs/services/trust
     

   • URL halaman login:

     https://ADFS/adfs/ls/
     

   • URL halaman logout:

     https://ADFS/adfs/ls/?wa=wsignout1.0
     

   • URL ubah sandi:

     https://ADFS/adfs/portal/updatepassword/
     

   Di semua URL, ganti ADFS dengan nama domain yang sepenuhnya memenuhi syarat server AD FS Anda.

   Jangan upload sertifikat verifikasi terlebih dahulu.

4. Klik Simpan.

   Halaman SAML SSO profile yang muncul berisi dua URL:

   • ID Entitas
   • URL ACS

   Anda memerlukan URL ini di bagian berikutnya saat mengonfigurasi AD FS.

Mengonfigurasi AD FS

Anda mengonfigurasi server AD FS dengan membuat kepercayaan pihak terkait.

Membuat kepercayaan pihak terkait

Buat kepercayaan pihak terkait baru:

1. Hubungkan ke server AD FS Anda dan buka snap-in MMC AD FS Management.
2. Pilih AD FS > Relying Party Trusts.
3. Di panel Tindakan, klik Tambahkan kepercayaan pihak tepercaya.
4. Di halaman Welcome wizard, pilih Claims aware, lalu klik Start.
5. Di halaman Pilih sumber data, pilih Masukkan data tentang pihak tepercaya secara manual, lalu klik Berikutnya.
6. Di halaman Specify display name, masukkan nama, contohnya Google Cloud, lalu klik Next.
7. Di halaman Konfigurasi sertifikat, klik Berikutnya.

8. Di halaman Configure URL, pilih Enable support for the SAML 2.0 WebSSO protocol, lalu masukkan ACS URL dari profil SAML Anda. Kemudian klik Berikutnya.

   

9. Di halaman Konfigurasi ID, tambahkan ID Entitas dari profil SAML Anda.

   

   Kemudian klik Berikutnya.

10. Di halaman Pilih kebijakan kontrol akses, pilih kebijakan akses yang sesuai, lalu klik Berikutnya.

11. Di halaman Siap Menambah Pihak Tepercaya, tinjau setelan Anda, lalu klik Berikutnya.

12. Di halaman terakhir, hapus centang pada kotak Konfigurasi kebijakan penerbitan klaim dan tutup wizard.

    Dalam daftar kepercayaan pihak tepercaya, Anda akan melihat entri baru.

Mengonfigurasi URL logout

Saat Anda mengizinkan pengguna menggunakan single sign-on di beberapa aplikasi, Anda harus mengizinkan mereka logout di beberapa aplikasi:

1. Buka kepercayaan pihak tepercaya yang baru saja Anda buat.
2. Pilih tab Endpoints.

3. Klik Tambahkan SAML dan konfigurasi setelan berikut:

   1. Jenis endpoint: Logout SAML
   2. Binding: POST

   3. URL Tepercaya:

      https://ADFS/adfs/ls/?wa=wsignout1.0
      

      Ganti ADFS dengan nama domain yang sepenuhnya memenuhi syarat dari server AD FS Anda.

      

4. Klik Oke.

5. Klik OK untuk menutup dialog.

Mengonfigurasi pemetaan klaim

Setelah mengautentikasi pengguna, AD FS akan mengeluarkan pernyataan SAML. Pernyataan ini berfungsi sebagai bukti bahwa autentikasi telah berhasil dilakukan. Pernyataan harus mengidentifikasi siapa yang telah diautentikasi, yang merupakan tujuan dari klaim NameID.

Untuk mengaktifkan Login dengan Google agar mengaitkan NameID dengan pengguna, NameID harus berisi alamat email utama pengguna tersebut. Bergantung pada cara Anda memetakan pengguna antara Active Directory dan Cloud Identity atau Google Workspace, NameID harus berisi UPN atau alamat email dari pengguna Active Directory, dengan substitusi domain diterapkan sesuai kebutuhan.

Mengekspor sertifikat penandatanganan token AD FS

Setelah mengautentikasi pengguna, AD FS akan meneruskan pernyataan SAML ke Cloud Identity atau Google Workspace. Agar Cloud Identity dan Google Workspace dapat memverifikasi integritas dan keaslian pernyataan tersebut, AD FS menandatangani pernyataan dengan kunci penandatanganan token khusus dan memberikan sertifikat yang memungkinkan Cloud Identity atau Google Workspace untuk memeriksa tanda tangan.

Ekspor sertifikat penandatanganan dari AD FS dengan melakukan hal berikut:

1. Di konsol Pengelolaan AD FS, klik Service > Certificates.
2. Klik kanan sertifikat yang tercantum di bagian Token-penandatanganan, lalu klik View Certificate.
3. Pilih tab Detail.
4. Klik Salin ke File untuk membuka Wizard Ekspor Sertifikat.
5. Di Selamat datang di wizard ekspor sertifikat, klik Berikutnya.
6. Di halaman Ekspor kunci pribadi, pilih Tidak, jangan ekspor kunci pribadi.
7. Di halaman Export file format, pilih Base-64 encoded X.509 (.CER) lalu klik Next.
8. Di halaman File to export, berikan nama file lokal, lalu klik Next.
9. Klik Selesai untuk menutup dialog.
10. Salin sertifikat yang diekspor ke komputer lokal Anda.

Lengkapi profil SAML

Anda menggunakan sertifikat penandatanganan untuk menyelesaikan konfigurasi profil SAML:

1. Kembali ke Konsol Admin, lalu buka Keamanan > Autentikasi > SSO dengan IdP pihak ketiga.

   Buka SSO dengan IdP pihak ketiga

2. Buka profil SAML AD FS yang Anda buat sebelumnya.

3. Klik bagian Detail IDP untuk mengedit setelan.

4. Klik Upload sertifikat, lalu pilih sertifikat penandatanganan token yang Anda ekspor dari AD FS.

5. Klik Simpan.

Profil SAML Anda sudah selesai, tetapi Anda masih perlu menetapkannya.

Tetapkan profil SAML

Pilih pengguna yang akan menerapkan profil SAML baru:

1. Di Konsol Admin, di halaman SSO dengan IDP pihak ketiga, klik Kelola penetapan profil SSO > Kelola.

   Buka Kelola penetapan profil SSO

2. Di panel kiri, pilih grup atau unit organisasi yang ingin Anda terapkan profil SSO-nya. Untuk menerapkan profil ke semua pengguna, pilih unit organisasi root.

3. Di panel kanan, pilih Profil SSO lain.

4. Di menu, pilih profil SSO AD FS - SAML yang Anda buat sebelumnya.

5. Klik Simpan.

Ulangi langkah-langkah untuk menetapkan profil SAML ke grup atau unit organisasi lain.

Menguji Single Sign-On

Anda telah menyelesaikan konfigurasi Single Sign-On. Anda dapat memeriksa apakah SSO berfungsi sebagaimana mestinya.

1. Pilih pengguna Active Directory yang memenuhi kriteria berikut:

   • Pengguna telah disediakan ke Cloud Identity atau Google Workspace.

   • Pengguna Cloud Identity tidak memiliki hak istimewa admin super.

     Akun pengguna yang memiliki hak istimewa admin super harus selalu login menggunakan kredensial Google, sehingga tidak cocok untuk menguji Single Sign-On.

2. Buka jendela browser baru, lalu buka https://console.cloud.google.com/.

3. Di halaman Login dengan Google yang muncul, masukkan alamat email pengguna, lalu klik Berikutnya. Jika Anda menggunakan substitusi domain, Anda harus menerapkan substitusi ke alamat email.

   

   Anda akan dialihkan ke AD FS. Jika Anda mengonfigurasi AD FS untuk menggunakan autentikasi berbasis formulir, Anda akan melihat halaman login.

4. Masukkan UPN dan sandi Anda untuk pengguna Active Directory, lalu klik Login.

   

5. Setelah autentikasi berhasil, AD FS akan mengalihkan Anda kembali ke konsolGoogle Cloud . Karena ini adalah login pertama bagi pengguna ini, Anda akan diminta untuk menyetujui persyaratan layanan dan kebijakan privasi Google.

6. Jika Anda menyetujui persyaratannya, klik Accept.

7. Anda akan dialihkan ke konsol Google Cloud , yang meminta Anda untuk mengonfirmasi preferensi dan menyetujui persyaratan layanan Google Cloud . Jika Anda menyetujui persyaratannya, klik Ya, lalu klik Setuju dan Lanjutkan.

8. Di kiri atas, klik ikon avatar, lalu klik Logout.

   Anda akan dialihkan ke halaman AD FS yang mengonfirmasi bahwa Anda telah berhasil logout.

Jika Anda mengalami masalah saat login, Anda dapat menemukan informasi tambahan di log admin AD FS.

Perlu diingat bahwa pengguna yang memiliki hak istimewa admin super dikecualikan dari single sign-on, sehingga Anda masih dapat menggunakan konsol Admin untuk memverifikasi atau mengubah setelan.

Opsional: Mengonfigurasi pengalihan untuk URL layanan khusus domain

Saat menautkan ke Google Cloud konsol dari portal atau dokumen internal, Anda dapat meningkatkan kualitas pengalaman pengguna dengan menggunakan URL layanan khusus domain.

Tidak seperti URL layanan biasa seperti https://console.cloud.google.com/, URL layanan khusus domain menyertakan nama domain utama Anda. Pengguna yang tidak diautentikasi yang mengklik link ke URL layanan khusus domain akan langsung dialihkan ke AD FS, bukan ditampilkan halaman login Google terlebih dahulu.

Contoh URL layanan khusus domain mencakup:

Layanan Google	URL	Logo
Google Cloud console	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
Google Dokumen	https://docs.google.com/a/DOMAIN
Google Spreadsheet	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Grup	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/
YouTube	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/

Untuk mengonfigurasi URL layanan khusus domain agar dialihkan ke AD FS, lakukan hal berikut:

1. Di Konsol Admin, di halaman SSO dengan IDP pihak ketiga, klik URL layanan khusus domain > Edit.

   Buka URL layanan khusus domain

2. Setel Alihkan pengguna secara otomatis ke IdP pihak ketiga di profil SSO berikut ke aktif.

3. Setel SSO profile ke AD FS.

4. Klik Simpan.

Opsional: Mengonfigurasi verifikasi login

Login dengan Google mungkin meminta verifikasi tambahan kepada pengguna saat mereka login dari perangkat yang tidak dikenal atau saat upaya login mereka terlihat mencurigakan karena alasan lain. Verifikasi login ini membantu meningkatkan keamanan, dan sebaiknya Anda mengaktifkan verifikasi login.

Jika Anda merasa verifikasi login terlalu merepotkan, Anda dapat menonaktifkan verifikasi login dengan melakukan hal berikut:

1. Di Konsol Admin, buka Keamanan > Autentikasi > Verifikasi login.
2. Di panel kiri, pilih unit organisasi yang ingin Anda nonaktifkan verifikasi loginnya. Untuk menonaktifkan verifikasi login bagi semua pengguna, pilih unit organisasi root.
3. Di bagian Setelan bagi pengguna yang login menggunakan profil SSO lain, pilih Jangan minta pengguna melakukan verifikasi tambahan dari Google.
4. Klik Simpan.