Artikel ini menunjukkan cara menyiapkan single sign-on antara lingkungan Active Directory dan akun Cloud Identity atau Google Workspace Anda dengan menggunakan Active Directory Federation Services (AD FS) dari Microsoft dan SAML Federation.
Artikel ini mengasumsikan bahwa Anda memahami cara pengelolaan identitas Active Directory dapat diperluas ke Google Cloud dan telah mengonfigurasi penyediaan pengguna. Artikel ini juga mengasumsikan bahwa Anda memiliki server AD FS 4.0 yang berfungsi dan berjalan di Windows Server 2016 atau Windows Server versi yang lebih baru.
Untuk mengikuti panduan ini, Anda memerlukan pengetahuan tentang Layanan Domain Active Directory dan AD FS. Anda juga memerlukan pengguna di Cloud Identity atau Google Workspace yang memiliki hak istimewa super-admin dan pengguna di Active Directory yang memiliki akses administratif ke server AD FS Anda.
Tujuan
- Konfigurasikan server AD FS agar Cloud Identity atau Google Workspace dapat menggunakannya sebagai penyedia identitas.
- Buat kebijakan penerbitan klaim yang cocok dengan identitas antara Active Directory dan Cloud Identity atau Google Workspace.
- Konfigurasikan akun Cloud Identity atau Google Workspace agar dapat mendelegasikan autentikasi ke AD FS.
Biaya
Jika Anda menggunakan Cloud Identity edisi gratis, mengikuti artikel ini tidak akan menggunakan komponen Google Cloud yang dapat ditagih.
Sebelum memulai
- Pastikan server AD FS menjalankan Windows Server 2016 atau yang lebih baru. Meskipun Anda juga dapat mengonfigurasi single sign-on menggunakan Windows Server dan AD FS versi sebelumnya, langkah-langkah konfigurasi yang diperlukan mungkin berbeda dari yang dijelaskan dalam artikel ini.
- Pastikan Anda memahami cara pengelolaan identitas Active Directory dapat diperluas ke Google Cloud.
- Konfigurasikan penyediaan pengguna antara Active Directory dan Cloud Identity atau Google Workspace.
- Sebaiknya siapkan AD FS dalam konfigurasi server farm agar tidak menjadi titik tunggal kegagalan. Setelah Anda mengaktifkan single sign-on, ketersediaan AD FS menentukan apakah pengguna dapat login ke Google Cloud Console.
Memahami {i>single sign-on<i}
Dengan menggunakan Google Cloud Directory Sync, Anda otomatis membuat dan memelihara pengguna serta mengikat siklus prosesnya dengan pengguna di Active Directory.
Meskipun Google Cloud Directory Sync menyediakan detail akun pengguna, Google Cloud Directory Sync tidak menyinkronkan sandi. Setiap kali pengguna perlu melakukan autentikasi di Google Cloud, autentikasi tersebut harus didelegasikan kembali ke Active Directory, yang dilakukan menggunakan AD FS dan protokol Security Assertion Markup Language (SAML). Penyiapan ini memastikan bahwa hanya Active Directory yang memiliki akses ke kredensial pengguna dan menerapkan kebijakan atau mekanisme autentikasi multi-faktor (MFA) yang sudah ada. Selain itu, hal ini menetapkan pengalaman single sign-on antara lingkungan lokal Anda dan Google.
Untuk detail selengkapnya tentang single sign-on, lihat Single sign-on
Mengonfigurasi AD FS
Sebelum mengaktifkan Single Sign-On di Cloud Identity atau Google Workspace, Anda harus mengonfigurasi AD FS terlebih dahulu.
Menciptakan kepercayaan pihak tepercaya
Buat kepercayaan pihak tepercaya baru:
- Login ke server AD FS Anda dan buka snap-in MMC AD FS Management.
- Pilih AD FS > Relying Party Trusts.
- Di panel Actions, klik Add trusted party trust.
- Di halaman Welcome di wizard, pilih Claims aware, lalu klik Start.
- Di halaman Pilih sumber data, pilih Masukkan data tentang pihak tepercaya secara manual, lalu klik Berikutnya.
- Di halaman Specify display name, masukkan nama, contohnya
Google Cloud
, lalu klik Next. - Di halaman Konfigurasi sertifikat, klik Berikutnya.
Pada halaman Configure URL, pilih Enable support for the SAML 2.0 WebSSO protocol, dan masukkan URL layanan SSO berikut:
https://www.google.com/a/DOMAIN/acs
Ganti
DOMAIN
dengan domain primer akun Cloud Identity atau Google Workspace Anda, lalu klik Berikutnya.Di halaman Mengonfigurasi ID, tambahkan dua ID berikut:
google.com/a/DOMAIN
, menggantiDOMAIN
dengan domain primer akun Cloud Identity atau Google Workspace Andagoogle.com
Kemudian klik Berikutnya.
Di halaman Pilih kebijakan kontrol akses, pilih kebijakan akses yang sesuai, lalu klik Berikutnya.
Di halaman Ready to Add Trust, tinjau setelan Anda, lalu klik Next.
Di halaman terakhir, hapus centang pada kotak Konfigurasi kebijakan penerbitan klaim dan tutup wizard.
Dalam daftar kepercayaan pihak tepercaya, Anda kini akan melihat entri baru.
Mengonfigurasi URL logout
Jika Anda memungkinkan pengguna menggunakan single sign-on di beberapa aplikasi, Anda harus mengizinkan mereka logout di beberapa aplikasi:
- Di konsol AD FS Management, di bagian Relying Party Trusts, klik kanan kepercayaan yang baru saja Anda buat, lalu klik Properties.
- Pada tab Endpoints, klik Add SAML.
Pada dialog Add an Endpoint, konfigurasi setelan berikut:
- Endpoint type: Logout SAML
- Binding: POST
URL Tepercaya:
https://ADFS/adfs/ls/?wa=wsignout1.0
Ganti
ADFS
dengan nama domain server AD FS yang sepenuhnya memenuhi syarat.
Klik Oke.
Klik OK untuk menutup dialog.
Mengonfigurasi pemetaan klaim
Setelah AD FS mengautentikasi pengguna, AD FS akan mengeluarkan pernyataan SAML.
Pernyataan ini berfungsi sebagai bukti bahwa
otentikasi telah berhasil dilakukan. Pernyataan harus mengidentifikasi siapa yang telah diautentikasi, yang merupakan tujuan klaim NameID
.
Agar Login dengan Google dapat mengaitkan NameID
dengan pengguna, NameID
harus berisi alamat email utama pengguna tersebut. Bergantung pada cara Anda
memetakan pengguna
antara Active Directory dan Cloud Identity atau Google Workspace,
NameID
harus berisi UPN atau alamat email dari Active Directory
pengguna, dengan substitusi domain diterapkan sesuai kebutuhan.
UPN
- Dalam daftar kepercayaan pihak tepercaya, pilih kepercayaan yang baru saja Anda buat, lalu klik Edit kebijakan penerbitan klaim.
- Klik Tambahkan Aturan
- Di halaman Choose rule type di wizard Add transform claim rule, pilih Mengubah klaim masuk, lalu klik Berikutnya.
Di halaman Konfigurasi aturan klaim, konfigurasikan setelan berikut:
- Nama aturan klaim:
Name Identifier
- Jenis klaim masuk: UPN
- Jenis klaim keluar: ID Nama
- Format ID nama keluar: Email
- Nama aturan klaim:
Pilih Lewati semua nilai klaim, lalu klik Selesai.
Klik Oke untuk menutup dialog kebijakan penerbitan klaim.
UPN: substitusi domain
- Dalam daftar kepercayaan pihak tepercaya, pilih kepercayaan yang baru saja Anda buat, lalu klik Edit kebijakan penerbitan klaim.
- Klik Tambahkan Aturan
- Di halaman Choose rule type di wizard Add transform claim rule, pilih Mengubah klaim masuk, lalu klik Berikutnya.
Di halaman Konfigurasi aturan klaim, konfigurasikan setelan berikut:
- Nama aturan klaim:
Name Identifier
- Jenis klaim masuk: UPN
- Jenis klaim keluar: ID Nama
- Format ID nama keluar: Email
- Nama aturan klaim:
Pilih Ganti akhiran email klaim masuk dengan akhiran email baru dan konfigurasikan setelan berikut:
- Akhiran email baru: Nama domain yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.
Klik Finish, lalu klik OK.
- Dalam daftar kepercayaan pihak tepercaya, pilih kepercayaan yang baru saja Anda buat, lalu klik Edit kebijakan penerbitan klaim.
- Tambahkan aturan untuk mencari alamat email:
- Pada dialog, klik Tambahkan Aturan.
- Pilih Send LDAP Attributes as Claims, lalu klik Next.
- Di halaman berikutnya, terapkan setelan berikut:
- Nama aturan klaim:
Email address
- Attribute Store: Active Directory
- Nama aturan klaim:
- Tambahkan baris ke daftar pemetaan atribut LDAP:
- Atribut LDAP: Alamat-Email
- Jenis Klaim Keluar: Alamat-Email
- Klik Selesai.
Tambahkan aturan lain untuk menetapkan
NameID
:- Klik Tambahkan Aturan
- Di halaman Choose rule type di wizard Add transform claim rule, pilih Mengubah klaim masuk, lalu klik Berikutnya.
Di halaman Konfigurasi aturan klaim, konfigurasikan setelan berikut:
- Nama aturan klaim:
Name Identifier
- Jenis klaim masuk: Alamat-Email
- Jenis klaim keluar: ID Nama
- Format ID nama keluar: Email
- Nama aturan klaim:
Pilih Lewati semua nilai klaim, lalu klik Selesai.
Klik Oke untuk menutup dialog kebijakan penerbitan klaim.
Email: subtitusi domain
- Dalam daftar kepercayaan pihak tepercaya, pilih kepercayaan yang baru saja Anda buat, lalu klik Edit kebijakan penerbitan klaim.
- Tambahkan aturan untuk mencari alamat email:
- Pada dialog, klik Tambahkan Aturan.
- Pilih Send LDAP Attributes as Claims, lalu klik Next.
- Di halaman berikutnya, terapkan setelan berikut:
- Nama aturan klaim:
Email address
- Attribute Store: Active Directory
- Nama aturan klaim:
- Tambahkan baris ke daftar pemetaan atribut LDAP:
- Atribut LDAP: Alamat-Email
- Jenis Klaim Keluar: Alamat-Email
- Klik Selesai.
Tambahkan aturan lain untuk menetapkan nilai
NameID
:- Klik Tambahkan Aturan
- Di halaman Choose rule type di wizard Add transform claim rule, pilih Mengubah klaim masuk, lalu klik Berikutnya.
Di halaman Konfigurasi aturan klaim, konfigurasikan setelan berikut:
- Nama aturan klaim:
Name Identifier
- Jenis klaim masuk: Alamat-Email
- Jenis klaim keluar: ID Nama
- Format ID nama keluar: Email
- Nama aturan klaim:
Pilih Ganti akhiran email klaim masuk dengan akhiran email baru dan konfigurasikan setelan berikut:
- Akhiran email baru: Nama domain yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.
Klik Finish, lalu klik OK.single-sign-on
Mengekspor sertifikat penandatanganan token AD FS
Setelah AD FS mengautentikasi pengguna, AD FS akan meneruskan pernyataan SAML ke Cloud Identity atau Google Workspace. Agar Cloud Identity dan Google Workspace dapat memverifikasi integritas dan keaslian pernyataan tersebut, AD FS menandatangani pernyataan dengan kunci penandatanganan token khusus dan memberikan sertifikat yang memungkinkan Cloud Identity atau Google Workspace memeriksa tanda tangan.
Sekarang Anda mengekspor sertifikat penandatanganan dari AD FS:
- Di konsol Pengelolaan AD FS, klik Service > Certificates.
- Klik kanan sertifikat yang tercantum di bagian Token-penandatanganan, lalu klik View Certificate.
- Pilih tab Details.
- Klik Copy to File untuk membuka Certificate Export Wizard.
- Di Welcome to the certificate Export wizard, klik Berikutnya.
- Di halaman Export private key, pilih No, do not export the private key.
- Di halaman Export file format, pilih Base-64 encoding X.509 (.CER) lalu klik Next.
- Di halaman File to Export, berikan nama file lokal, lalu klik Next.
- Klik Finish untuk menutup dialog.
- Salin sertifikat yang diekspor ke komputer lokal Anda.
Mengonfigurasi akun Cloud Identity atau Google Workspace Anda
Setelah konfigurasi AD FS selesai, Anda kini dapat mengonfigurasi single sign-on di akun Cloud Identity atau Google Workspace:
Buka Konsol Admin, lalu buka SSO dengan IdP pihak ketiga.
Klik Tambahkan profil SSO.
Setel Siapkan SSO dengan Penyedia Identitas pihak ketiga ke aktif.
Masukkan setelan berikut. Di semua URL, ganti
ADFS
dengan nama domain yang sepenuhnya memenuhi syarat dari server AD FS:- URL halaman login:
https://ADFS/adfs/ls/
- URL halaman logout:
https://ADFS/adfs/ls/?wa=wsignout1.0
- URL ubah sandi:
https://ADFS/adfs/portal/updatepassword/
- URL halaman login:
Di bagian Verifikasi sertifikat, klikUpload sertifikat, lalu pilih sertifikat penandatanganan token yang telah Anda download sebelumnya.
Klik Simpan.
Logout dari Konsol Admin.
Menguji single sign-on
Anda telah menyelesaikan konfigurasi single sign-on di AD FS dan Cloud Identity atau Google Workspace. Untuk memeriksa apakah single sign-on berfungsi sebagaimana mestinya, jalankan pengujian berikut:
- Pilih pengguna Active Directory yang sebelumnya telah disediakan ke Cloud Identity atau Google Workspace dan belum memiliki hak istimewa admin super yang ditetapkan. Pengguna yang memiliki hak istimewa admin super harus selalu login dengan menggunakan kredensial Google, sehingga tidak cocok untuk menguji single sign-on.
- Buka jendela browser baru, lalu buka https://console.cloud.google.com/.
Di halaman Login dengan Google yang muncul, masukkan alamat email pengguna, lalu klik Berikutnya. Jika menggunakan substitusi domain, Anda harus menerapkan substitusi ke alamat email.
Anda akan dialihkan ke AD FS. Jika Anda mengonfigurasi AD FS untuk menggunakan autentikasi berbasis formulir, Anda akan melihat halaman login.
Masukkan UPN dan sandi untuk pengguna Active Directory, lalu klik Sign in.
Setelah autentikasi berhasil, AD FS akan mengalihkan Anda kembali ke Google Identity Platform. Karena ini adalah login pertama untuk pengguna ini, Anda diminta untuk menyetujui persyaratan layanan dan kebijakan privasi Google.
Jika Anda menyetujui persyaratannya, klik Setuju.
Anda akan dialihkan ke konsol Google Cloud, yang meminta Anda untuk mengonfirmasi preferensi dan menyetujui persyaratan layanan Google Cloud. Jika Anda menyetujui persyaratannya, klik Ya, lalu klik Setuju dan Lanjutkan.
Di kiri atas, klik ikon avatar, lalu klik Logout.
Anda kemudian dialihkan ke halaman AD FS yang mengonfirmasi bahwa Anda telah berhasil logout.
Jika mengalami masalah saat login, Anda mungkin menemukan informasi tambahan di log admin AD FS.
Perlu diingat bahwa pengguna yang memiliki hak istimewa admin super dikecualikan dari single sign-on, sehingga Anda masih dapat menggunakan konsol Admin untuk memverifikasi atau mengubah setelan.
Pembersihan
Jika tidak ingin mengaktifkan Single Sign-On di organisasi Anda, ikuti langkah-langkah berikut untuk menonaktifkan single sign-on di Cloud Identity atau Google Workspace:
- Di konsol Admin, klik Keamanan > Setelan.
- Klik Menyiapkan single sign-on (SSO) dengan IdP pihak ketiga.
- Hapus centang pada kotak Siapkan SSO dengan penyedia identitas pihak ketiga.
- Klik Simpan.
Untuk menghapus konfigurasi di AD FS, ikuti langkah-langkah berikut:
- Login ke server AD FS dan buka snap-in AD FS MMC.
- Pada menu di sebelah kiri, klik kanan folder Relying Party Trusts.
- Dalam daftar kepercayaan pihak tepercaya, klik kanan Cloud Identity, lalu klik Hapus.
- Konfirmasi penghapusan dengan mengklik Yes.
Langkah selanjutnya
- Pelajari lebih lanjut cara menggabungkan Google Cloud dengan Active Directory.
- Pelajari penyediaan dan single sign-on pengguna B2B Azure Active Directory.
- Baca praktik terbaik untuk merencanakan akun dan organisasi serta praktik terbaik untuk menggabungkan Google Cloud dengan penyedia identitas eksternal.
- Pelajari praktik terbaik untuk mengelola pengguna admin super.