Penyediaan pengguna dan single sign-on Microsoft Entra ID (sebelumnya Azure AD)

Dokumen ini menunjukkan cara menyiapkan penyediaan pengguna dan single sign-on antara tenant Microsoft Entra ID (sebelumnya Azure AD) dan akun Cloud Identity atau Google Workspace Anda.

Dokumen ini mengasumsikan bahwa Anda sudah menggunakan Microsoft Office 365 atau Microsoft Entra ID di organisasi Anda dan ingin menggunakan Microsoft Entra ID agar pengguna dapat melakukan autentikasi dengan Google Cloud. Microsoft Entra ID sendiri mungkin terhubung ke Active Directory lokal dan mungkin menggunakan federasi Entra ID, autentikasi pass-through, atau sinkronisasi hash sandi.

Siapkan akun Cloud Identity atau Google Workspace Anda

Membuat pengguna untuk Microsoft Entra ID

Agar Microsoft Entra ID dapat mengakses akun Cloud Identity atau Google Workspace Anda, Anda harus membuat pengguna untuk Microsoft Entra ID di akun Cloud Identity atau Google Workspace.

Pengguna Microsoft Entra ID hanya dimaksudkan untuk penyediaan otomatis. Oleh karena itu, sebaiknya pisahkan dari akun pengguna lain dengan menempatkannya pada unit organisasi (OU) yang terpisah. Menggunakan OU terpisah juga memastikan bahwa Anda nantinya dapat menonaktifkan single sign-on untuk pengguna Microsoft Entra ID.

Untuk membuat OU baru, lakukan tindakan berikut:

  1. Buka Konsol Admin dan login menggunakan pengguna admin super yang dibuat saat Anda mendaftar ke Cloud Identity atau Google Workspace.
  2. Di menu, buka Direktori > Unit organisasi.
  3. Klik Buat unit organisasi dan berikan nama dan deskripsi untuk OU:
    • Nama: Automation
    • Deskripsi: Automation users
  4. Klik Buat.

Buat akun pengguna untuk Microsoft Entra ID dan tempatkan di Automation OU:

  1. Di menu, buka Direktori > Pengguna dan klik Tambahkan pengguna baru untuk membuat pengguna.

  2. Berikan nama dan alamat email yang sesuai seperti berikut:

    • Nama Depan: Microsoft Entra ID
    • Nama Belakang: Provisioning

    • Email utama: azuread-provisioning

      Tetap gunakan domain primer untuk alamat email.

  3. Klik Kelola sandi, unit organisasi, dan foto profil pengguna dan konfigurasikan setelan berikut:

    • Unit organisasi: Pilih OU Automation yang Anda buat sebelumnya.
    • Sandi: Pilih Buat sandi dan masukkan sandi.
    • Minta perubahan sandi saat login berikutnya: Dinonaktifkan.

  4. Klik Tambahkan pengguna baru.

  5. Klik Done.

Menetapkan hak istimewa ke Microsoft Entra ID

Agar Microsoft Entra ID dapat membuat, mencantumkan, dan menangguhkan pengguna serta grup pada akun Cloud Identity atau Google Workspace, Anda harus memberikan hak istimewa tambahan kepada pengguna azuread-provisioning sebagai berikut:

  • Agar Microsoft Entra ID dapat mengelola semua pengguna, termasuk administrator delegasi dan pengguna admin super, Anda harus menjadikan pengguna azuread-provisioning sebagai admin super.

  • Agar Microsoft Entra ID hanya dapat mengelola pengguna non-admin, Anda cukup menjadikan pengguna azuread-provisioning sebagai administrator delegasi. Sebagai administrator yang didelegasikan, Microsoft Entra ID tidak dapat mengelola administrator delegasi atau pengguna admin super lainnya.

Admin-super

Untuk menjadikan pengguna azuread-provisioning sebagai admin super, lakukan hal berikut:

  1. Cari pengguna yang baru dibuat dalam daftar, lalu klik nama pengguna tersebut untuk membuka halaman akunnya.
  2. Pada bagian Peran dan hak istimewa admin, klik Tetapkan peran.
  3. Aktifkan peran admin super.
  4. Klik Save.

Administrator delegasi

Untuk menjadikan pengguna azuread-provisioning sebagai administrator delegasi, buat peran admin baru dan tetapkan kepada pengguna:

  1. Pada menu, buka Akun > Peran admin.
  2. Klik Buat peran baru.
  3. Berikan nama dan deskripsi untuk peran seperti berikut:
    • Nama: Microsoft Entra ID
    • Deskripsi: Role for automated user and group provisioning
  4. Klik Lanjutkan.
  5. Di layar berikutnya, scroll ke bawah ke bagian yang bernama Hak istimewa Admin API dan tetapkan hak istimewa berikut ke diaktifkan:
    • Unit Organisasi > Baca
    • Pengguna
    • Grup
  6. Klik Lanjutkan.
  7. Klik Buat peran.
  8. Klik Tetapkan pengguna.
  9. Pilih pengguna azuread-provisioning, lalu klik Tetapkan peran.

Mendaftarkan domain

Di Cloud Identity dan Google Workspace, pengguna dan grup diidentifikasi berdasarkan alamat email. Domain yang digunakan oleh alamat email ini harus terdaftar dan terverifikasi terlebih dahulu.

Siapkan daftar domain DNS yang perlu didaftarkan:

  • Jika Anda berencana untuk memetakan pengguna berdasarkan UPN, sertakan semua domain yang digunakan oleh UPN. Jika ragu, sertakan semua domain kustom tenant Microsoft Entra ID Anda.
  • Jika Anda berencana memetakan pengguna berdasarkan alamat email, sertakan semua domain yang digunakan di alamat email. Daftar domain mungkin berbeda dengan daftar domain kustom tenant Microsoft Entra ID Anda.

Jika Anda berencana menyediakan grup, ubah daftar domain DNS:

  • Jika Anda berencana memetakan grup menurut alamat email, sertakan semua domain yang digunakan di alamat email grup. Jika ragu, sertakan semua domain kustom tenant Microsoft Entra ID Anda.
  • Jika Anda berencana memetakan grup berdasarkan nama, sertakan subdomain khusus seperti groups.PRIMARY_DOMAIN, dengan PRIMARY_DOMAIN sebagai nama domain primer akun Cloud Identity atau Google Workspace Anda.

Setelah mengidentifikasi daftar domain DNS, Anda dapat mendaftarkan domain yang tidak ada. Untuk setiap domain dalam daftar yang belum terdaftar, lakukan langkah-langkah berikut:

  1. Pada konsol Admin, buka Akun > Domain > Kelola domain.
  2. Klik Tambahkan domain.
  3. Masukkan nama domain, kemudian pilih Domain sekunder.
  4. Klik Tambahkan domain dan mulai verifikasi lalu ikuti petunjuk untuk memverifikasi kepemilikan domain.

Mengonfigurasi penyediaan Microsoft Entra ID

Membuat aplikasi perusahaan

Anda siap menghubungkan Microsoft Entra ID ke akun Cloud Identity atau Google Workspace dengan menyiapkan aplikasi galeri Google Cloud/G Suite Connector by Microsoft dari Microsoft Azure Marketplace.

Aplikasi galeri dapat dikonfigurasi untuk menangani penyediaan pengguna dan single sign-on. Dalam dokumen ini, Anda menggunakan dua instance aplikasi galeri, yaitu satu untuk penyediaan pengguna dan satu untuk single sign-on.

Pertama, buat instance aplikasi galeri untuk menangani penyediaan pengguna:

  1. Buka portal Azure lalu login sebagai pengguna dengan hak istimewa administrator global.
  2. Pilih Microsoft Entra ID > Enterprise applications.
  3. Klik New application.
  4. Telusuri Google Cloud, lalu klik item Google Cloud/G Suite Connector by Microsoft dalam daftar hasil.
  5. Tetapkan nama aplikasi ke Google Cloud (Provisioning).
  6. Klik Buat.
  7. Menambahkan aplikasi mungkin perlu waktu beberapa detik, Anda kemudian akan dialihkan ke halaman berjudul Google Cloud (Provisioning) - Overview.
  8. Di menu Portal Azure, klik Manage > Properties:
    1. Set Enabled for users to sign-in ke No.
    2. Setel Assignment required ke No.
    3. Set Visible to users ke No.
    4. Klik Save.

  9. Di menu Azure Portal, klik Manage > Provisioning:

    1. Klik Mulai.
    2. Ubah Provisioning Mode ke Automatic.
    3. Klik Admin Credentials > Authorize.

    4. Login menggunakan pengguna azuread-provisioning@DOMAIN yang Anda buat sebelumnya, dengan DOMAIN sebagai domain primer akun Cloud Identity atau Google Workspace Anda.

    5. Karena ini adalah pertama kalinya Anda login menggunakan pengguna ini, Anda akan diminta untuk menyetujui Persyaratan Layanan Google dan kebijakan privasi Google.

    6. Jika Anda menyetujui persyaratan, klik Saya mengerti.

    7. Konfirmasi akses ke Cloud Identity API dengan mengklik Allow.

    8. Klik Test Connection untuk memverifikasi bahwa Microsoft Entra ID dapat berhasil melakukan autentikasi dengan Cloud Identity atau Google Workspace.

    9. Klik Save.

Mengonfigurasi penyediaan pengguna

Cara yang tepat untuk mengonfigurasi penyediaan pengguna bergantung pada apakah Anda ingin memetakan pengguna berdasarkan alamat email atau UPN.

UPN

  1. Di bagian Mappings, klik Provision Entra ID Users.
  2. Untuk atribut surname dan givenName, lakukan tindakan berikut:
    1. Klik Edit.
    2. Tetapkan Default value if null ke _.
    3. Klik Oke.
  3. Klik Save.
  4. Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
  5. Klik X untuk menutup dialog Attribute Mapping.

UPN: substitusi domain

  1. Di bagian Mappings, klik Provision Entra ID Users.

  2. Untuk atribut userPrincipalName, lakukan hal berikut:

    1. Klik Edit.

    2. Konfigurasi pemetaan berikut:

      • Mapping type: Expression

      • Expression:

        Replace([userPrincipalName], "@DOMAIN", , , "@SUBSTITUTE_DOMAIN", , )

      Ganti kode berikut:

      • DOMAIN: nama domain yang ingin diganti
      • SUBSTITUTE_DOMAIN nama domain yang akan digunakan

    3. Klik Oke.

  3. Untuk atribut surname dan givenName, lakukan hal berikut:

    1. Klik Edit.
    2. Tetapkan Default value if null ke _.
    3. Klik Oke.

  4. Klik Save.

  5. Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.

  6. Klik X untuk menutup dialog Attribute Mapping.

Alamat email

  1. Di bagian Mappings, klik Provision Entra ID Users.
  2. Untuk atribut userPrincipalName, lakukan hal berikut:
    1. Klik Edit.
    2. Tetapkan Source attribute ke mail.
    3. Klik Oke.
  3. Untuk atribut surname dan givenName, lakukan tindakan berikut:
    1. Klik Edit.
    2. Tetapkan Default value if null ke _.
    3. Klik Oke.
  4. Klik Save.
  5. Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
  6. Klik X untuk menutup dialog Attribute Mapping.

Anda harus mengonfigurasi pemetaan untuk primaryEmail, name.familyName, name.givenName, dan suspended. Semua pemetaan atribut lainnya bersifat opsional.

Saat Anda mengonfigurasi pemetaan atribut tambahan, perhatikan hal berikut:

  • Galeri Google Cloud/G Suite Connector dari Microsoft saat ini tidak mengizinkan Anda menetapkan alias email.
  • Galeri Google Cloud/G Suite Connector dari Microsoft saat ini tidak mengizinkan Anda menetapkan lisensi kepada pengguna Sebagai solusinya, pertimbangkan untuk menyiapkan pemberian lisensi otomatis untuk unit organisasi.
  • Untuk menetapkan pengguna ke unit organisasi, tambahkan pemetaan untuk OrgUnitPath. Jalurnya harus dimulai dengan karakter / dan harus merujuk ke unit organisasi yang sudah ada, misalnya /employees/engineering.

Mengonfigurasi penyediaan grup

Cara yang tepat untuk mengonfigurasi penyediaan grup bergantung pada apakah grup Anda diaktifkan untuk email atau tidak. JIka grup tidak diaktifkan untuk email, atau jika grup menggunakan alamat email yang berakhiran "onmicrosoft.com", Anda dapat memperoleh alamat email dari nama grup.

Tidak ada pemetaan grup

  1. Di bagian Mappings, klik Provision Entra ID Groups.
  2. Set Enabled ke No.
  3. Klik Save.
  4. Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
  5. Klik X untuk menutup dialog Attribute Mapping.

Nama

  1. Di bagian Mappings, klik Provision Entra ID Groups.
  2. Untuk atribut mail, lakukan tindakan berikut:
    1. Klik Edit.
    2. Konfigurasikan setelan berikut:
      1. Jenis pemetaan: Ekspresi.
      2. Ekspresi: Join("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN"). Ganti GROUPS_DOMAIN dengan domain yang seharusnya digunakan oleh semua alamat email grup—misalnya, groups.example.com.
      3. Atribut target: email.
    3. Klik Oke.
  3. Klik Save.
  4. Pastikan bahwa menyimpan perubahan akan menyebabkan pengguna dan grup disinkronkan ulang dengan mengklik Yes.
  5. Klik X untuk menutup dialog Attribute Mapping.

Alamat email

  • Jika Anda memetakan grup berdasarkan alamat email, jangan ubah setelan default-nya.

Mengonfigurasi penetapan pengguna

Jika mengetahui bahwa hanya sebagian pengguna tertentu yang memerlukan akses ke Google Cloud, Anda dapat secara opsional membatasi kumpulan pengguna yang akan disediakan dengan menetapkan aplikasi perusahaan untuk pengguna atau kelompok pengguna tertentu.

Jika ingin semua pengguna disediakan, Anda dapat melewati langkah-langkah berikut.

  1. Di menu Azure Portal, klik Manage > Users and groups.
  2. Tambahkan pengguna atau grup yang ingin Anda sediakan. Jika Anda memilih grup, semua anggota grup ini akan disediakan secara otomatis.
  3. Klik Tetapkan.

Mengaktifkan penyediaan otomatis

Langkah berikutnya adalah mengonfigurasi Microsoft Entra ID untuk menyediakan pengguna secara otomatis ke Cloud Identity atau Google Workspace:

  1. Di menu Azure Portal, klik Manage > Provisioning.
  2. Pilih Edit provisioning.
  3. Set Provisioning Status ke On.

  4. Di bagian Settings, set Scope ke salah satu opsi berikut:

    1. Sync only assigned users and groups jika Anda telah mengonfigurasi penetapan pengguna.
    2. Sync all users and groups jika tidak.

    Jika kotak untuk menetapkan cakupan ini tidak ditampilkan, klik Save dan muat ulang halaman tersebut.

  5. Klik Save.

Microsoft Entra ID memulai sinkronisasi awal. Bergantung pada jumlah pengguna dan grup dalam direktori, proses ini dapat memerlukan waktu beberapa menit atau jam. Anda dapat memuat ulang halaman browser untuk melihat status sinkronisasi di bagian bawah halaman, atau pilih Audit Logs pada menu untuk melihat detail selengkapnya.

Setelah sinkronisasi awal selesai, Microsoft Entra ID akan menerapkan update dari Microsoft Entra ID secara berkala ke akun Cloud Identity atau Google Workspace Anda. Untuk mengetahui detail selengkapnya tentang cara Microsoft Entra ID menangani modifikasi pengguna dan grup, lihat Memetakan siklus hidup pengguna dan Memetakan siklus hidup grup.

Pemecahan masalah

Jika sinkronisasi tidak dimulai dalam waktu lima menit, Anda dapat memaksanya untuk memulai dengan melakukan hal berikut:

  1. Klik Edit provisioning.
  2. Set Provisioning Status ke Off.
  3. Klik Save.
  4. Set Provisioning Status ke On.
  5. Klik Simpan.
  6. Tutup dialog penyediaan.
  7. Klik Restart provisioning.

Jika sinkronisasi masih tidak dimulai, klik Uji Koneksi untuk memverifikasi bahwa kredensial Anda berhasil disimpan.

Mengonfigurasi Microsoft Entra ID untuk single sign-on

Meskipun semua pengguna Microsoft Entra ID yang relevan kini secara otomatis disediakan ke Cloud Identity atau Google Workspace, Anda belum dapat menggunakan pengguna ini untuk login. Agar pengguna dapat login, Anda tetap harus mengonfigurasi single sign-on.

Membuat profil SAML

Untuk mengonfigurasi single sign-on dengan Microsoft Entra ID, Anda harus membuat profil SAML terlebih dahulu di akun Cloud Identity atau Google Workspace. Profil SAML berisi setelan yang terkait dengan tenant Microsoft Entra ID Anda, termasuk URL dan sertifikat penandatanganannya.

Selanjutnya, Anda menetapkan profil SAML ke grup atau unit organisasi tertentu.

Untuk membuat profil SAML baru di akun Cloud Identity atau Google Workspace Anda, lakukan hal berikut:

  1. Di Konsol Admin, buka SSO dengan IdP pihak ketiga.

    Buka SSO dengan IdP pihak ketiga

  2. Klik Profil SSO pihak ketiga > Tambahkan profil SAML.

  3. Di halaman SAML SSO profile, masukkan setelan berikut:

    • Nama: Entra ID
    • ID entitas IDP: Biarkan kosong
    • URL halaman login: Biarkan kosong
    • URL halaman logout:: Biarkan kosong
    • Ubah sandi URL:: Biarkan kosong

    Jangan upload sertifikat verifikasi terlebih dahulu.

  4. Klik Simpan.

    Halaman SAML SSO profile yang muncul berisi dua URL:

    • ID Entitas
    • URL ACS

    Anda memerlukan URL ini di bagian berikutnya saat mengonfigurasi Microsoft Entra ID.

Membuat aplikasi Microsoft Entra ID

Buat aplikasi perusahaan kedua untuk menangani single sign-on:

  1. Pada Portal Azure, buka Microsoft Entra ID > Enterprise applications.
  2. Klik New application.
  3. Telusuri Google Cloud, lalu klik item Google Cloud/G Suite Connector by Microsoft dalam daftar hasil.
  4. Tetapkan nama aplikasi ke Google Cloud.

  5. Klik Buat.

    Menambahkan aplikasi mungkin memerlukan waktu beberapa detik. Anda kemudian akan dialihkan ke halaman berjudul Google Cloud - Overview.

  6. Di menu Azure Portal, klik Manage > Properties.

  7. Set Enabled for users to sign-in ke Yes.

  8. Tetapkan Assignment required ke Yes kecuali jika Anda ingin mengizinkan semua pengguna menggunakan single sign-on.

  9. Klik Simpan.

Mengonfigurasi penetapan pengguna

Jika sudah mengetahui bahwa hanya sebagian pengguna tertentu yang memerlukan akses ke Google Cloud, Anda dapat secara opsional membatasi sekelompok pengguna yang akan diizinkan untuk login dengan cara menetapkan aplikasi perusahaan kepada pengguna atau kelompok pengguna tertentu.

Jika Anda sudah menetapkan User assignment required ke No sebelumnya, Anda dapat melewati langkah-langkah berikut.

  1. Di menu Azure Portal, klik Manage > Users and groups.
  2. Tambahkan pengguna atau grup yang ingin Anda izinkan untuk Single Sign-On.
  3. Klik Tetapkan.

Mengaktifkan single sign-on

Agar Cloud Identity dapat menggunakan Microsoft Entra ID untuk autentikasi, Anda harus menyesuaikan beberapa setelan:

  1. Di menu Azure Portal, klik Manage > Single sign-on.
  2. Di layar balot, klik kartu SAML.
  3. Di kartu Basic SAML Configuration, klik Edit.

  4. Pada dialog Basic SAML Configuration, masukkan setelan berikut:

    1. Identifier (Entity ID):
      • Tambahkan URL Entitas dari profil SSO Anda dan tetapkan Default ke diaktifkan.
      • Hapus semua entri lainnya.
    2. URL Balasan: Tambahkan URL ACS dari profil SSO Anda.

    3. Sign on URL:

      https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/

      Ganti PRIMARY_DOMAIN dengan nama domain primer yang digunakan oleh akun Cloud Identity atau Google Workspace Anda.

  5. Klik Save, lalu tutup dialog dengan mengklik X.

  6. Pada kartu SAML Certificates, temukan entri berlabel Certificate (Base 64) lalu klik Download untuk mendownload sertifikat ke komputer lokal Anda.

  7. Di kartu Set up Google Cloud, Anda akan menemukan dua URL:

    • URL Login
    • ID Microsoft Entra ID

    Anda memerlukan URL ini di bagian berikutnya saat menyelesaikan profil SAML.

Langkah-langkah berikutnya akan berbeda bergantung pada apakah Anda memetakan pengguna berdasarkan alamat email atau UPN.

UPN

  1. Pada kartu Attributes & Claims, klik Edit.

  2. Hapus semua klaim yang tercantum di bagian Additional claims. Anda dapat menghapus data dengan mengklik tombol lalu pilih Delete.

    Daftar atribut dan klaim terlihat seperti berikut:

    Dialog Atribut & Klaim Pengguna.

  3. Tutup dialog dengan mengklik X.

UPN: substitusi domain

  1. Di kartu User Attributes & Claims, klik Edit.

  2. Hapus semua klaim yang tercantum di bagian Additional claims. Anda dapat menghapus data dengan mengklik tombol lalu pilih Delete.

    Daftar atribut dan klaim terlihat seperti berikut:

    Dialog Atribut & Klaim Pengguna.

  3. Klik Unique User Identifier (Name ID) untuk mengubah pemetaan klaim.

  4. Set Source ke Transformation dan konfigurasikan transformasi berikut:

    • Transformation: ExtractMailPrefix()
    • Parameter 1: user.userPrincipalName

  5. Pilih Add transformation lalu konfigurasi transformasi berikut:

    • Transformation: Join()
    • Separator: @
    • Parameter 2: Masukkan nama domain pengganti.

    Anda harus menggunakan nama domain pengganti yang sama untuk penyediaan pengguna dan single sign-on. Jika nama domain tidak tercantum, Anda mungkin perlu memverifikasinya terlebih dahulu .

  6. Klik Tambahkan.

  7. Klik Save.

  8. Tutup dialog dengan mengklik X.

Alamat email

  1. Di kartu User Attributes & Claims, klik Edit.
  2. Pilih baris berlabel Unique User Identifier (Name ID).
  3. Ubah Source attribute ke user.mail.
  4. Klik Save.

  5. Hapus semua klaim yang tercantum di bagian Additional claims. Untuk menghapus semua data klik , lalu klik Delete.

    Dialog Atribut & Klaim Pengguna.

  6. Tutup dialog dengan mengklik .

Lengkapi profil SAML

Selesaikan konfigurasi profil SAML Anda:

  1. Kembali ke Konsol Admin, lalu buka Keamanan > Autentikasi > SSO dengan IdP pihak ketiga.

    Buka SSO dengan IdP pihak ketiga

  2. Buka profil SAML Entra ID yang Anda buat sebelumnya.

  3. Klik bagian Detail IDP untuk mengedit setelan.

  4. Masukkan setelan berikut:

    • ID entitas IdP: Masukkan Microsoft Entra Identifier dari kartu Set up Google Cloud di Portal Azure.
    • Sign-in page URL: Masukkan Login URL dari kartu Set up Google Cloud di Portal Azure.
    • URL halaman logout: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
    • Change password URL: https://account.activedirectory.windowsazure.com/changepassword.aspx

  5. Di bagian Verification certificate, klik Upload certificate, lalu pilih sertifikat penandatanganan token yang Anda download sebelumnya.

  6. Klik Simpan.

Sertifikat penandatanganan token ID Microsoft Entra hanya valid untuk waktu yang terbatas dan Anda harus merotasi sertifikat sebelum masa berlakunya habis. Untuk mengetahui informasi selengkapnya, lihat Merotasi sertifikat single sign-on nanti dalam dokumen ini.

Profil SAML Anda sudah selesai, tetapi Anda masih perlu menetapkannya.

Tetapkan profil SAML

Pilih pengguna yang akan menerapkan profil SAML baru:

  1. Di Konsol Admin, di halaman SSO dengan IDP pihak ketiga, klik Kelola penetapan profil SSO > Kelola.

    Buka Kelola penetapan profil SSO

  2. Di panel kiri, pilih grup atau unit organisasi yang ingin Anda terapkan profil SSO-nya. Untuk menerapkan profil ke semua pengguna, pilih unit organisasi root.

  3. Di panel kanan, pilih Profil SSO lain.

  4. Di menu, pilih profil SSO Entra ID - SAML yang Anda buat sebelumnya.

  5. Klik Simpan.

Untuk menetapkan profil SAML ke grup atau unit organisasi lain, ulangi langkah-langkah di atas.

Perbarui setelan SSO untuk OUAutomation untuk menonaktifkan single sign-on:

  1. Di panel kiri, pilih OU Automation.
  2. Di panel kanan, pilih Tidak Ada.
  3. Klik Ganti.

Opsional: Mengonfigurasi pengalihan untuk URL layanan khusus domain

Saat menautkan ke Google Cloud konsol dari portal atau dokumen internal, Anda dapat meningkatkan kualitas pengalaman pengguna dengan menggunakan URL layanan khusus domain.

Tidak seperti URL layanan biasa seperti https://console.cloud.google.com/, URL layanan khusus domain menyertakan nama domain utama Anda. Pengguna yang tidak diautentikasi yang mengklik link ke URL layanan khusus domain akan langsung dialihkan ke Entra ID, bukan ditampilkan halaman login Google terlebih dahulu.

Contoh URL layanan khusus domain mencakup:

Layanan Google URL Logo
Google Cloud console https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ Logo Google Cloud
Google Dokumen https://docs.google.com/a/DOMAIN Logo Google Dokumen
Google Spreadsheet https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/ Logo Google Spreadsheet
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ Logo Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logo Google Drive
Gmail https://mail.google.com/a/DOMAIN Logo Gmail
Google Grup https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ Logo Google Grup
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/ Logo Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ Logo Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logo YouTube

Untuk mengonfigurasi URL layanan khusus domain agar dialihkan ke Entra ID, lakukan langkah-langkah berikut:

  1. Di Konsol Admin, di halaman SSO dengan IDP pihak ketiga, klik URL layanan khusus domain > Edit.

    Buka URL layanan khusus domain

  2. Setel Alihkan pengguna secara otomatis ke IdP pihak ketiga di profil SSO berikut ke aktif.

  3. Setel SSO profile ke Entra ID.

  4. Klik Simpan.

Opsional: Mengonfigurasi verifikasi login

Login dengan Google mungkin meminta verifikasi tambahan kepada pengguna saat mereka login dari perangkat yang tidak dikenal atau saat upaya login mereka terlihat mencurigakan karena alasan lain. Verifikasi login ini membantu meningkatkan keamanan, dan sebaiknya Anda mengaktifkan verifikasi login.

Jika Anda merasa verifikasi login terlalu merepotkan, Anda dapat menonaktifkan verifikasi login dengan melakukan hal berikut:

  1. Di Konsol Admin, buka Keamanan > Autentikasi > Verifikasi login.
  2. Di panel kiri, pilih unit organisasi yang ingin Anda nonaktifkan verifikasi loginnya. Untuk menonaktifkan tantangan login bagi semua pengguna, pilih unit organisasi root.
  3. Di bagian Setelan bagi pengguna yang login menggunakan profil SSO lain, pilih Jangan minta pengguna melakukan verifikasi tambahan dari Google.
  4. Klik Simpan.

Menguji Single Sign-On

Setelah menyelesaikan konfigurasi single sign-on di Microsoft Entra ID dan Cloud Identity atau Google Workspace, Anda dapat mengakses Google Cloud dengan dua cara:

Untuk memeriksa apakah opsi kedua berfungsi sebagaimana mestinya, jalankan pengujian berikut:

  1. Pilih pengguna Microsoft Entra ID yang telah disediakan untuk Cloud Identity atau Google Workspace dan yang tidak memiliki hak istimewa admin super. Pengguna dengan hak istimewa admin super selalu harus login menggunakan kredensial Google, sehingga tidak cocok untuk menguji single sign-on.
  2. Buka jendela browser baru, lalu buka https://console.cloud.google.com/.

  3. Di halaman Login dengan Google yang muncul, masukkan alamat email pengguna dan klik Next. Jika Anda menggunakan substitusi domain, alamat ini harus merupakan alamat email dengan substitusi yang diterapkan.

    Dialog Login dengan Google.

  4. Anda akan dialihkan ke Microsoft Entra ID dan akan melihat perintah login lainnya. Masukkan alamat email pengguna (tanpa penggantian domain) dan klik Next.

    Dialog login Microsoft Entra ID.

  5. Setelah memasukkan sandi, Anda akan diminta untuk tetap login atau tidak. Untuk saat ini, pilih No.

    Setelah autentikasi berhasil, Microsoft Entra ID akan mengalihkan Anda kembali ke Login dengan Google. Karena ini pertama kalinya Anda login menggunakan pengguna ini, Anda diminta untuk menyetujui Persyaratan Layanan Google dan kebijakan privasi Google.

  6. Jika Anda menyetujui persyaratan, klik Saya mengerti.

    Anda akan dialihkan ke konsol Google Cloud , yang meminta Anda untuk mengonfirmasi preferensi dan menyetujui Persyaratan Layanan Google Cloud.

  7. Jika Anda menyetujui persyaratannya, pilih Yes dan klik Agree and continue.

  8. Klik ikon avatar di kiri atas halaman, lalu klik Sign out.

    Anda akan dialihkan ke halaman Microsoft Entra ID yang mengonfirmasi bahwa Anda berhasil logout.

Perlu diingat bahwa pengguna dengan hak istimewa admin super dikecualikan dari single sign-on, sehingga Anda masih dapat menggunakan Konsol Admin untuk memverifikasi atau mengubah setelan.

Merotasi sertifikat single sign-on

Sertifikasi penandatanganan token ID Microsoft Entra hanya valid untuk beberapa bulan, dan Anda harus mengganti sertifikat tersebut sebelum masa berlakunya habis.

Untuk merotasi sertifikat penandatanganan, tambahkan sertifikat tambahan ke aplikasi Microsoft Entra ID:

  1. Pada Portal Azure, buka Microsoft Entra ID > Enterprise applications lalu buka aplikasi yang Anda buat untuk single sign-on.
  2. Di menu Azure Portal, klik Manage > Single sign-on.

  3. Di kartu SAML Certificates, klik Edit.

    Anda akan melihat daftar yang berisi satu atau beberapa sertifikat. Satu sertifikat ditandai sebagai Active.

  4. Klik New certificate.

  5. Tetap gunakan setelan penandatanganan default, lalu klik Save.

    Sertifikat ini ditambahkan ke daftar sertifikat dan diberi tanda Inactive.

  6. Pilih sertifikat baru, lalu klik  > Base64 certificate download.

    Biarkan jendela browser tetap terbuka dan jangan tutup dialog.

Untuk menggunakan sertifikat baru, lakukan hal berikut:

  1. Buka tab atau jendela browser baru.

  2. Buka Konsol Admin, lalu buka SSO dengan IdP pihak ketiga.

    Buka SSO dengan IdP pihak ketiga

  3. Buka profil SAML Entra ID.

  4. Klik Detail IDP.

  5. Klik Upload another certificate lalu pilih sertifikat baru yang Anda download sebelumnya.

  6. Klik Simpan.

  7. Kembali ke portal Microsoft Entra ID dan dialog SAML Certificates.

  8. Pilih sertifikat baru, lalu klik  > Make certificate active.

  9. Klik Yes untuk mengaktifkan sertifikat.

    Microsoft Entra ID sekarang menggunakan sertifikat penandatanganan baru.

  10. Uji apakah SSO masih berfungsi seperti yang diharapkan. Untuk mengetahui informasi selengkapnya, lihat Menguji single sign-on.

Untuk menghapus sertifikat lama, lakukan langkah-langkah berikut:

  1. Kembali ke Konsol Admin dan Entra ID profil SAML.
  2. Klik Detail IDP.
  3. Di bagian Sertifikat verifikasi, bandingkan tanggal habis masa berlaku sertifikat Anda untuk menemukan sertifikat lama, lalu klik .
  4. Klik Simpan.

Bermigrasi dari profil SSO lama ke profil SAML

Jika Anda menyiapkan single sign-on antara Microsoft Entra ID dan akun Cloud Identity atau Google Workspace Anda pada tahun 2023 atau sebelumnya, Anda mungkin menggunakan profil SSO lama. Bagian ini menjelaskan perbedaan antara profil SAML dan profil SSO lama serta menunjukkan cara bermigrasi dari profil SSO lama ke profil SAML.

Perbandingan profil SAML dan profil SSO lama

Profil SSO lama tidak digunakan lagi. Sebaiknya Anda menggantinya dengan profil SAML. Profil SAML berbeda dari profil lama dalam beberapa hal, termasuk hal-hal berikut:

  • Anda dapat membuat beberapa profil SAML dan menetapkannya ke satu atau beberapa unit organisasi atau grup. Sebaliknya, Anda hanya dapat membuat satu profil SSO lama untuk setiap akun Cloud Identity atau Google Workspace.
  • Profil SAML menggunakan format yang berbeda dari profil SSO lama untuk ID entitas dan URL layanan konsumen pernyataan (ACS).
  • Saat Anda menggunakan profil SAML, verifikasi login diaktifkan secara default. Sebaliknya, jika Anda menggunakan profil SSO lama, verifikasi login dinonaktifkan secara default.

Bermigrasi dari profil SSO lama ke profil SAML

Untuk bermigrasi dari profil SSO lama ke profil SAML dengan cara yang meminimalkan gangguan, lakukan hal berikut:

  1. Di portal Azure, buka aplikasi perusahaan yang Anda gunakan untuk single sign-on dan lakukan langkah berikut:

    1. Di menu Azure Portal, klik Manage > Single sign-on.
    2. Pada kartu SAML Certificates, temukan entri yang berlabel Certificate (Base 64), lalu klik Download untuk mendownload sertifikat ke komputer lokal Anda.

    3. Pada kartu Set up Google Cloud, catat hal berikut:

      • URL Login
      • ID Microsoft Entra ID

      Anda memerlukan informasi ini saat membuat profil SAML.

  2. Di Konsol Admin, buka Keamanan > Autentikasi > Verifikasi login.

    Buka Verifikasi login

    Untuk setiap unit organisasi, lakukan hal berikut:

    1. Pilih unit organisasi.

    2. Klik Verifikasi pasca-SSO dan ubah Setelan untuk pengguna yang login menggunakan profil SSO lain agar cocok dengan Setelan untuk pengguna yang login menggunakan profil SSO untuk organisasi Anda.

      Dalam dialog ini, profil SSO lainnya merujuk pada profil SAML dan profil SSO untuk organisasi Anda merujuk pada profil SSO lama Anda.

    3. Klik Simpan atau Ganti.

  3. Di Konsol Admin, buka SSO dengan IdP pihak ketiga dan lakukan hal berikut:

    Buka SSO dengan IdP pihak ketiga

    1. Klik Profil SSO pihak ketiga > Tambahkan profil SAML.

    2. Di halaman SAML SSO profile, masukkan informasi berikut:

      • Nama: Entra ID
      • ID entitas IdP: Masukkan Microsoft Entra Identifier dari kartu Set up Google Cloud di Portal Azure.
      • Sign-in page URL: Masukkan Login URL dari kartu Set up Google Cloud di Portal Azure.
      • URL halaman logout: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
      • Change password URL: https://account.activedirectory.windowsazure.com/changepassword.aspx

    3. Untuk Verification certificate, klik Upload certificate, lalu pilih sertifikat penandatanganan token yang telah Anda download sebelumnya.

    4. Klik Simpan.

    5. Di halaman SAML SSO profile, catat hal berikut:

      • ID Entitas
      • URL ACS

      Anda memerlukan informasi ini saat mengonfigurasi Microsoft Entra ID.

  4. Kembali ke portal Azure, buka aplikasi perusahaan yang Anda gunakan untuk single sign-on, lalu lakukan langkah berikut:

    1. Di menu Azure Portal, klik Manage > Single sign-on.
    2. Di kartu Basic SAML Configuration, klik Edit.

    3. Untuk Identifier (Entity ID), tambahkan Entity URL dari profil SAML yang Anda buat.

    4. Untuk Reply URL (Assertion Consumer Service URL), tambahkan URL ACS dari profil SAML yang Anda buat.

    5. Klik Save, lalu tutup dialog dengan mengklik X.

  5. Kembali ke Konsol Admin, lalu buka Keamanan > Autentikasi > SSO dengan IdP pihak ketiga, lalu klik Kelola penetapan profil SSO > Kelola.

    Buka Kelola penetapan profil SSO

  6. Untuk setiap penetapan profil SSO yang ada yang menggunakan Profil SSO lama, lakukan hal berikut:

    1. Ubah profil SSO dari Profil SSO lama menjadi Entra ID - SAML.
    2. Pilih Minta Google untuk meminta nama pengguna, lalu alihkan pengguna ke halaman login IDP profil ini.
    3. Klik Simpan.

  7. Kembali ke halaman SSO dengan IDP pihak ketiga, lalu klik URL layanan khusus domain > Edit.

    Buka URL layanan khusus domain

    1. Jika Alihkan pengguna secara otomatis ke IdP pihak ketiga di profil SSO berikut saat ini disetel ke diaktifkan, ubah profil SSO ke Entra ID - SAML.

      Jika Alihkan pengguna secara otomatis ke IdP pihak ketiga di profil SSO berikut disetel ke nonaktif, Anda dapat melewati langkah ini.

    2. Klik Simpan.

  8. Kembali ke portal Azure, buka aplikasi perusahaan yang Anda gunakan untuk single sign-on, lalu lakukan langkah berikut:

    1. Di menu Azure Portal, klik Manage > Single sign-on.
    2. Di kartu Basic SAML Configuration, klik Edit.
    3. Untuk Identifier (Entity ID), hapus google.com dan http://google.com.
    4. Untuk Reply URL (Assertion Consumer Service URL), hapus https://www.google.com/.
    5. Klik Save, lalu tutup dialog dengan mengklik X.

Pembersihan

Agar tidak perlu membayar biaya pada akun Google Cloud Anda untuk resource yang digunakan dalam tutorial ini, hapus project yang berisi resource tersebut, atau simpan project dan hapus setiap resource.

Untuk menonaktifkan single sign-on pada akun Cloud Identity atau Google Workspace Anda, ikuti langkah-langkah berikut:

  1. Di Konsol Admin, buka Kelola penetapan profil SSO.

    Buka Kelola penetapan profil SSO

  2. Untuk setiap penetapan profil, lakukan hal berikut:

    1. Buka profil.
    2. Jika Anda melihat tombol Wariskan, klik Wariskan. Jika Anda tidak melihat tombol Mewarisi, pilih Tidak Ada, lalu klik Simpan.

  3. Kembali ke halaman SSO dengan IDP pihak ketiga dan buka profil SAML Microsoft Entra ID.

  4. Klik Hapus.

Anda dapat menghapus setelan single sign-on dan penyediaan di Microsoft Entra ID dengan cara sebagai berikut:

  1. Pada Portal Azure, buka Microsoft Entra ID > Enterprise applications.
  2. Dari daftar aplikasi, pilih Google Cloud.
  3. Di menu Azure Portal, klik Manage > Single sign-on.
  4. Klik Hapus.
  5. Konfirmasi penghapusan dengan mengklik Yes.

Langkah berikutnya

Kontributor

Penulis: Johannes Passing | Cloud Solutions Architect