Single Sign-On di Active Directory

Informazioni sul Single Sign-On

Utilizzando Google Cloud Directory Sync, hai già automatizzato la creazione e la manutenzione degli utenti e collegato il loro ciclo di vita agli utenti in Active Directory.

Sebbene GCDS fornisca i dettagli dell'account utente, non sincronizza le password. Ogni volta che un utente deve autenticarsi in Google Cloud, l'autenticazione deve essere delegata ad Active Directory, operazione eseguita utilizzando AD FS e il protocollo SAML (Security Assertion Markup Language). Questa configurazione garantisce che solo Active Directory abbia accesso alle credenziali utente e che vengano applicate le norme esistenti o i meccanismi di autenticazione a più fattori (MFA). Inoltre, stabilisce un'esperienza di Single Sign-On tra il tuo ambiente on-premise e Google.

Per maggiori dettagli sul Single Sign-On, vedi Single Sign-On

Creare un profilo SAML

Per configurare il Single Sign-On con AD FS, devi prima creare un profilo SAML nel tuo account Cloud Identity o Google Workspace. Il profilo SAML contiene le impostazioni relative all'istanza AD FS, inclusi l'URL e il certificato di firma.

In un secondo momento, assegna il profilo SAML a determinati gruppi o unità organizzative.

Per creare un nuovo profilo SAML nel tuo account Cloud Identity o Google Workspace, segui questi passaggi:

1. Nella Console di amministrazione, vai a SSO con IdP terzo.

   Vai a SSO con IdP terzo

2. Fai clic su Profili SSO di terze parti > Aggiungi profilo SAML.

3. Nella pagina Profilo SSO SAML, inserisci le seguenti impostazioni:

   • Nome: AD FS

   • ID entità dell'IdP:

     https://ADFS/adfs/services/trust
     

   • URL della pagina di accesso:

     https://ADFS/adfs/ls/
     

   • URL della pagina di uscita:

     https://ADFS/adfs/ls/?wa=wsignout1.0
     

   • URL per la modifica della password:

     https://ADFS/adfs/portal/updatepassword/
     

   In tutti gli URL, sostituisci ADFS con il nome di dominio completo del server AD FS.

   Non caricare ancora un certificato di verifica.

4. Fai clic su Salva.

   La pagina Profilo SSO SAML visualizzata contiene due URL:

   • ID entità
   • URL ACS

   Questi URL ti serviranno nella sezione successiva, quando configurerai AD FS.

Configura AD FS

Configura il server AD FS creando un'attendibilità del componente.

Creazione della relazione di trust del componente attendibile

Crea una nuova relazione di trust con RP:

1. Connettiti al server AD FS e apri lo snap-in MMC Gestione AD FS.
2. Seleziona AD FS > Attendibilità componente.
3. Nel riquadro Azioni, fai clic su Aggiungi attendibilità componente.
4. Nella pagina Benvenuto della procedura guidata, seleziona Riconoscimento delle rivendicazioni e fai clic su Avvia.
5. Nella pagina Seleziona origine dati, seleziona Inserisci manualmente i dati sul relying party e fai clic su Avanti.
6. Nella pagina Specifica nome visualizzato, inserisci un nome come Google Cloud e fai clic su Avanti.
7. Nella pagina Configura certificato, fai clic su Avanti.

8. Nella pagina Configura URL, seleziona Abilita il supporto per il protocollo WebSSO SAML 2.0 e inserisci l'URL ACS dal tuo profilo SAML. Quindi, fai clic su Avanti.

   

9. Nella pagina Configura identificatori, aggiungi l'ID entità del tuo profilo SAML.

   

   Quindi, fai clic su Next.

10. Nella pagina Scegli il criterio di controllo dell'accesso#39;accesso, scegli un criterio di accesso appropriato e fai clic su Avanti.

11. Nella pagina Pronto per aggiungere la relazione di trust, rivedi le impostazioni e poi fai clic su Avanti.

12. Nell'ultima pagina, deseleziona la casella di controllo Configura criterio di emissione delle attestazioni e chiudi la procedura guidata.

    Nell'elenco delle relazioni di trust con RP, viene visualizzata una nuova voce.

Configurazione dell'URL di disconnessione

Quando consenti agli utenti di utilizzare il Single Sign-On in più applicazioni, è importante consentire loro di uscire da più applicazioni:

1. Apri l'attendibilità del relying party che hai appena creato.
2. Seleziona la scheda Endpoint.

3. Fai clic su Aggiungi SAML e configura le seguenti impostazioni:

   1. Endpoint type (Tipo di endpoint): SAML Logout (Disconnessione SAML)
   2. Binding: POST

   3. URL attendibile:

      https://ADFS/adfs/ls/?wa=wsignout1.0
      

      Sostituisci ADFS con il nome di dominio completo del server AD FS.

      

4. Fai clic su OK.

5. Fai clic su Ok per chiudere la finestra di dialogo.

Configurazione della mappatura delle attestazioni

Dopo che AD FS ha autenticato un utente, emette un'asserzione SAML. Questa asserzione funge da prova che l'autenticazione è andata a buon fine. L'asserzione deve identificare chi è stato autenticato, che è lo scopo dell'attestazione NameID.

Per consentire ad Accedi con Google di associare NameID a un utente, NameID deve contenere l'indirizzo email principale dell'utente. A seconda di come mappi gli utenti tra Active Directory e Cloud Identity o Google Workspace, NameID deve contenere l'UPN o l'indirizzo email dell'utente Active Directory, con le sostituzioni del dominio applicate se necessario.

Esportazione del certificato di firma del token AD FS

Dopo che AD FS autentica un utente, passa un'asserzione SAML a Cloud Identity o Google Workspace. Per consentire a Cloud Identity e Google Workspace di verificare l'integrità e l'autenticità dell'asserzione, AD FS firma l'asserzione con una speciale chiave di firma del token e fornisce un certificato che consente a Cloud Identity o Google Workspace di controllare la firma.

Esporta il certificato di firma da AD FS procedendo nel seguente modo:

1. Nella console di gestione AD FS, fai clic su Servizio > Certificati.
2. Fai clic con il tasto destro del mouse sul certificato elencato in Firma token e fai clic su Visualizza certificato.
3. Seleziona la scheda Dettagli.
4. Fai clic su Copia nel file per aprire la procedura guidata per l'esportazione del certificato.
5. Nella pagina Benvenuto nella procedura guidata per l'esportazione del certificato, fai clic su Avanti.
6. Nella pagina Esporta chiave privata, seleziona No, non esportare la chiave privata.
7. Nella pagina Formato file di esportazione, seleziona X.509 con codifica Base-64 (.CER) e fai clic su Avanti.
8. Nella pagina File da esportare, fornisci un nome file locale e fai clic su Avanti.
9. Fai clic su Fine per chiudere la finestra di dialogo.
10. Copia il certificato esportato sul tuo computer locale.

Completa il profilo SAML

Utilizzi il certificato di firma per completare la configurazione del profilo SAML:

1. Torna alla Console di amministrazione e vai a Sicurezza > Autenticazione > SSO con IdP terzo.

   Vai a SSO con IdP terzo

2. Apri il profilo SAML AD FS che hai creato in precedenza.

3. Fai clic sulla sezione Dettagli IDP per modificare le impostazioni.

4. Fai clic su Carica certificato e scegli il certificato di firma del token che hai esportato da AD FS.

5. Fai clic su Salva.

Il tuo profilo SAML è completo, ma devi ancora assegnarlo.

Assegna il profilo SAML

Seleziona gli utenti a cui deve essere applicato il nuovo profilo SAML:

1. Nella Console di amministrazione, nella pagina SSO con IdP di terze parti, fai clic su Gestisci assegnazioni di profili SSO > Gestisci.

   Vai a Gestisci assegnazione di profili SSO

2. Nel riquadro a sinistra, seleziona il gruppo o l'unità organizzativa a cui vuoi applicare il profilo SSO. Per applicare il profilo a tutti gli utenti, seleziona l'unità organizzativa principale.

3. Nel riquadro a destra, seleziona Un altro profilo SSO.

4. Nel menu, seleziona il profilo SSO AD FS - SAML che hai creato in precedenza.

5. Fai clic su Salva.

Ripeti i passaggi per assegnare il profilo SAML a un altro gruppo o unità organizzativa.

Testare il Single Sign-On

Hai completato la configurazione Single Sign-On. Puoi verificare se SSO funziona come previsto.

1. Scegli un utente di Active Directory che soddisfi i seguenti criteri:

   • L'utente è stato sottoposto al provisioning in Cloud Identity o Google Workspace.

   • L'utente Cloud Identity non dispone dei privilegi di super amministratore.

     Gli account utente con privilegi di super amministratore devono sempre accedere utilizzando le credenziali Google, pertanto non sono adatti per testare il single sign-on.

2. Apri una nuova finestra del browser e vai su https://console.cloud.google.com/.

3. Nella pagina di accesso a Google visualizzata, inserisci l'indirizzo email dell'utente e fai clic su Avanti. Se utilizzi la sostituzione del dominio, devi applicarla all'indirizzo email.

   

   Viene eseguito il reindirizzamento ad AD FS. Se hai configurato AD FS per utilizzare l'autenticazione basata su moduli, visualizzi la pagina di accesso.

4. Inserisci l'UPN e la password dell'utente Active Directory e fai clic su Accedi.

   

5. Dopo l'autenticazione riuscita, AD FS ti reindirizza alla consoleGoogle Cloud . Poiché questo è il primo accesso per questo utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.

6. Se accetti i termini, fai clic su Accetta.

7. Viene visualizzata la console Google Cloud , che ti chiede di confermare le preferenze e accettare i Google Cloud termini di servizio. Se accetti i termini, fai clic su Sì, quindi su Accetta e continua.

8. In alto a sinistra, fai clic sull'icona dell'avatar e poi su Esci.

   Viene visualizzata una pagina AD FS che conferma che la disconnessione è stata eseguita correttamente.

Se hai difficoltà ad accedere, potresti trovare ulteriori informazioni nel log di amministrazione di AD FS.

Tieni presente che gli utenti con privilegi di super amministratore sono esenti dal Single Sign-On, quindi puoi comunque utilizzare la Console di amministrazione per verificare o modificare le impostazioni.

(Facoltativo) Configura i reindirizzamenti per gli URL di servizio specifici del dominio

Quando crei un link alla Google Cloud console da portali o documenti interni, puoi migliorare l'esperienza utente utilizzando URL di servizio specifici del dominio.

A differenza degli URL di servizio regolari, come https://console.cloud.google.com/, gli URL di servizio specifici del dominio includono il nome del tuo dominio principale. Gli utenti non autenticati che fanno clic su un link a un URL del servizio specifico del dominio vengono reindirizzati immediatamente ad AD FS anziché visualizzare prima una pagina di accesso Google.

Esempi di URL di servizio specifici del dominio includono:

Servizio Google	URL	Logo
Google Cloud console	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/
Documenti Google	https://docs.google.com/a/DOMAIN
Fogli Google	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Gruppi	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/
YouTube	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/

Per configurare gli URL di servizio specifici del dominio in modo che reindirizzino ad AD FS, procedi nel seguente modo:

1. Nella Console di amministrazione, nella pagina SSO con IdP di terze parti, fai clic su URL di servizio specifici del dominio > Modifica.

   Vai agli URL di servizio specifici del dominio

2. Imposta Reindirizza automaticamente gli utenti all'IdP di terze parti nel profilo SSO seguente su attivato.

3. Imposta Profilo SSO su AD FS.

4. Fai clic su Salva.

(Facoltativo) Configurare le verifiche dell'accesso

L'accesso a Google potrebbe chiedere agli utenti un'ulteriore verifica quando accedono da dispositivi sconosciuti o quando il tentativo di accesso sembra sospetto per altri motivi. Queste verifiche dell'accesso contribuiscono a migliorare la sicurezza e ti consigliamo di lasciarle attive.

Se ritieni che le verifiche dell'accesso causino troppi disagi, puoi disattivarle nel seguente modo:

1. Nella Console di amministrazione, vai a Sicurezza > Autenticazione > Verifiche dell'accesso.
2. Nel riquadro a sinistra, seleziona un'unità organizzativa per cui vuoi disattivare le verifiche dell'accesso. Per disattivare le richieste di accesso per tutti gli utenti, seleziona l'unità organizzativa principale.
3. Nella sezione Impostazioni per gli utenti che eseguono l'accesso con altri profili SSO, seleziona Non chiedere agli utenti ulteriori verifiche da parte di Google.
4. Fai clic su Salva.