Provisioning degli utenti e Single Sign-On di Microsoft Entra ID (in precedenza Azure AD)

Questo documento mostra come configurare il provisioning degli utenti e il Single Sign-On tra un tenant di Microsoft Entra ID (in precedenza Azure AD) e il tuo account Cloud Identity o Google Workspace.

Il documento presuppone che tu utilizzi già Microsoft Office 365 o Microsoft Entra ID nella tua organizzazione e che tu voglia utilizzare Microsoft Entra ID per consentire agli utenti di autenticarsi con Google Cloud. Microsoft Entra ID stesso potrebbe essere connesso a un'istanza di Active Directory on-premise e potrebbe utilizzare la federazione di Entra ID, l'autenticazione pass-through o la sincronizzazione dell'hash della password.

Obiettivi

  • Configura Microsoft Entra ID per eseguire il provisioning automatico degli utenti e, facoltativamente, dei gruppi in Cloud Identity o Google Workspace.
  • Configura il Single Sign-On per consentire agli utenti di accedere a Google Cloud utilizzando un account utente Microsoft Entra ID o un utente di cui è stato eseguito il provisioning da Active Directory a Microsoft Entra ID.

Costi

Se utilizzi la versione gratuita di Cloud Identity, la configurazione della federazione con Microsoft Entra ID non utilizzerà componenti fatturabili di Google Cloud.

Consulta la pagina dei prezzi di Microsoft Entra ID per eventuali commissioni che potrebbero essere applicate all'utilizzo di Microsoft Entra ID.

Prima di iniziare

  • Assicurati di comprendere le differenze tra connessione Google Cloud a Microsoft Entra ID e connessione diretta Google Cloud ad Active Directory.
  • Decidi come mappare identità, gruppi e domini tra Microsoft Entra ID e Cloud Identity o Google Workspace. Rispondi in particolare alle seguenti domande:
    • Intendi utilizzare indirizzi email o nomi principali utente (UPN) come identificatori comuni per gli utenti?
    • Hai intenzione di eseguire il provisioning dei gruppi? In caso affermativo, hai intenzione di mappare i gruppi per indirizzo email o per nome?
    • Intendi eseguire il provisioning di tutti gli utenti in Google Cloud o solo di un sottoinsieme selezionato di utenti?
  • Prima di connettere il tenant Microsoft Entra ID di produzione a Google Cloud, valuta la possibilità di utilizzare un tenant di test di Microsoft Entra ID per configurare e testare il provisioning degli utenti.
  • Registrati a Cloud Identity se non hai ancora un account.
  • Se utilizzi la versione gratuita di Cloud Identity e intendi eseguire il provisioning di più di 50 utenti, richiedi un aumento del numero totale di utenti di Cloud Identity Free tramite il tuo contatto di assistenza.
  • Se sospetti che uno dei domini che prevedi di utilizzare per Cloud Identity possa essere stato utilizzato dai dipendenti per registrare account consumer, valuta la possibilità di eseguire prima la migrazione di questi account utente. Per maggiori dettagli, vedi Valutazione degli account utente esistenti.

Prepara il tuo account Cloud Identity o Google Workspace

Crea un utente per Microsoft Entra ID

Per consentire a Microsoft Entra ID di accedere al tuo account Cloud Identity o Google Workspace, devi creare un utente per Microsoft Entra ID nel tuo account Cloud Identity o Google Workspace.

L'utente Microsoft Entra ID è destinato solo al provisioning automatizzato. Pertanto, è consigliabile tenerlo separato dagli altri account utente inserendolo in un'unità organizzativa separata. L'utilizzo di un'unità organizzativa separata garantisce inoltre che in un secondo momento tu possa disattivare il Single Sign-On per l'utente Microsoft Entra ID.

Per creare una nuova OU:

  1. Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore creato al momento della registrazione a Cloud Identity o Google Workspace.
  2. Nel menu, vai a Directory > Unità organizzative.
  3. Fai clic su Crea unità organizzativa e fornisci un nome e una descrizione per l'UO:
    • Nome: Automation
    • Descrizione: Automation users
  4. Fai clic su Crea.

Crea un account utente per Microsoft Entra ID e inseriscilo nell'unità organizzativa Automation:

  1. Nel menu, vai a Directory > Utenti e fai clic su Aggiungi nuovo utente per creare un utente.

  2. Fornisci un nome e un indirizzo email appropriati, ad esempio:

    • Nome: Microsoft Entra ID
    • Cognome: Provisioning

    • Email principale: azuread-provisioning

      Mantieni il dominio principale per l'indirizzo email.

  3. Fai clic su Gestisci la password, l'unità organizzativa e la foto del profilo dell'utente e configura le seguenti impostazioni:

    • Unità organizzativa: seleziona l'unità organizzativa Automation che hai creato in precedenza.
    • Password: seleziona Crea password e inserisci una password.
    • Richiedi di cambiare la password all'accesso successivo: Disattivato.

  4. Fai clic su Aggiungi nuovo utente.

  5. Fai clic su Fine.

Assegnare privilegi a Microsoft Entra ID

Per consentire a Microsoft Entra ID di creare, elencare e sospendere utenti e gruppi nel tuo account Cloud Identity o Google Workspace, devi concedere all'utente azuread-provisioning privilegi aggiuntivi come segue:

  • Per consentire a Microsoft Entra ID di gestire tutti gli utenti, inclusi gli amministratori delegati e gli utenti super amministratore, devi assegnare all'utente azuread-provisioning il ruolo di super amministratore.

  • Per consentire a Microsoft Entra ID di gestire solo gli utenti non amministratori, è sufficiente rendere l'utente azuread-provisioning un amministratore delegato. In qualità di amministratore delegato, Microsoft Entra ID non può gestire altri amministratori delegati o utenti super amministratore.

Super amministratore

Per impostare l'utente azuread-provisioning come super amministratore:

  1. Individua l'utente appena creato nell'elenco e fai clic sul suo nome per aprire la pagina del suo account.
  2. Nella sezione Ruoli e privilegi di amministratore, fai clic su Assegna i ruoli.
  3. Attiva il ruolo di super amministratore.
  4. Fai clic su Salva.

Utente con delega di amministratore

Per rendere l'utente azuread-provisioning un amministratore delegato, crea un nuovo ruolo amministrativo e assegnalo all'utente:

  1. Nel menu, vai ad Account > Ruoli amministratore.
  2. Fai clic su Crea nuovo ruolo.
  3. Specifica un nome e una descrizione per il ruolo, ad esempio:
    • Nome: Microsoft Entra ID
    • Descrizione: Role for automated user and group provisioning
  4. Fai clic su Continua.
  5. Nella schermata successiva, scorri verso il basso fino alla sezione denominata Privilegi dell'API Admin e imposta i seguenti privilegi su abilitato:
    • Unità organizzative > Lettura
    • Utenti
    • Gruppi
  6. Fai clic su Continua.
  7. Fai clic su Crea ruolo.
  8. Fai clic su Assegna utenti.
  9. Seleziona l'utente azuread-provisioning e fai clic su Assegna ruolo.

Registra domini

In Cloud Identity e Google Workspace, utenti e gruppi sono identificati dall'indirizzo email. I domini utilizzati da questi indirizzi email devono essere registrati e verificati.

Prepara un elenco dei domini DNS che devi registrare:

  • Se prevedi di mappare gli utenti in base al nome principale utente (UPN), includi tutti i domini utilizzati dagli UPN. In caso di dubbio, includi tutti i domini personalizzati del tuo tenant Microsoft Entra ID.
  • Se prevedi di mappare gli utenti in base all'indirizzo email, includi tutti i domini utilizzati negli indirizzi email. L'elenco dei domini potrebbe essere diverso da quello dei domini personalizzati del tuo tenant Microsoft Entra ID.

Se prevedi di eseguire il provisioning dei gruppi, modifica l'elenco dei domini DNS:

  • Se prevedi di mappare i gruppi in base all'indirizzo email, includi tutti i domini utilizzati negli indirizzi email dei gruppi. In caso di dubbi, includi tutti i domini personalizzati del tuo tenant Microsoft Entra ID.
  • Se prevedi di mappare i gruppi per nome, includi un sottodominio dedicato come groups.PRIMARY_DOMAIN, dove PRIMARY_DOMAIN è il nome del dominio principale del tuo account Cloud Identity o Google Workspace.

Ora che hai identificato l'elenco dei domini DNS, puoi registrare i domini mancanti. Per ogni dominio nell'elenco non ancora registrato, esegui i seguenti passaggi:

  1. Nella Console di amministrazione, vai ad Account > Domini > Gestisci domini.
  2. Fai clic su Aggiungi un dominio.
  3. Inserisci il nome del dominio e seleziona Dominio secondario.
  4. Fai clic su Aggiungi dominio e avvia verifica e segui le istruzioni per verificare la proprietà del dominio.

Configurare il provisioning di Microsoft Entra ID

Creare un'applicazione aziendale

Ora puoi connettere Microsoft Entra ID al tuo account Cloud Identity o Google Workspace configurando l'app della galleria Google Cloud/G Suite Connector by Microsoft dal marketplace Microsoft Azure.

L'app galleria può essere configurata per gestire sia il provisioning degli utenti sia il Single Sign-On. In questo documento utilizzi due istanze dell'app galleria: una per il provisioning degli utenti e una per il Single Sign-On.

Per prima cosa, crea un'istanza dell'app galleria per gestire il provisioning degli utenti:

  1. Apri il portale Azure e accedi come utente con privilegi di amministratore globale.
  2. Seleziona Microsoft Entra ID > Applicazioni aziendali.
  3. Fai clic su Nuova applicazione.
  4. Cerca Google Cloud e poi fai clic sull'elemento Google Cloud/G Suite Connector by Microsoft nell'elenco dei risultati.
  5. Imposta il nome dell'applicazione su Google Cloud (Provisioning).
  6. Fai clic su Crea.
  7. L'aggiunta dell'applicazione potrebbe richiedere alcuni secondi, dopodiché dovresti essere reindirizzato a una pagina intitolata Google Cloud (Provisioning) - Overview.
  8. Nel menu a sinistra, fai clic su Gestisci > Proprietà:
    1. Imposta Enabled for users to sign-in (Attivato per l'accesso degli utenti) su No.
    2. Imposta Assegnazione obbligatoria su No.
    3. Imposta Visibile agli utenti su No.
    4. Fai clic su Salva.

  9. Nel menu a sinistra, fai clic su Gestisci > Provisioning:

    1. Fai clic su Inizia.
    2. Imposta Modalità di provisioning su Automatico.
    3. Fai clic su Credenziali amministratore > Autorizza.

    4. Accedi utilizzando l'utente azuread-provisioning@DOMAIN che hai creato in precedenza, dove DOMAIN è il dominio principale del tuo account Cloud Identity o Google Workspace.

    5. Poiché è la prima volta che accedi con questo utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.

    6. Se accetti i termini, fai clic su Ho capito.

    7. Conferma l'accesso all'API Cloud Identity facendo clic su Consenti.

    8. Fai clic su Verifica connessione per verificare che Microsoft Entra ID possa autenticarsi correttamente con Cloud Identity o Google Workspace.

    9. Fai clic su Salva.

Configurare il provisioning degli utenti

Il modo corretto per configurare il provisioning degli utenti dipende dal fatto che tu intenda mappare gli utenti per indirizzo email o per UPN.

UPN

  1. In Mappature, fai clic su Provisioning utenti Entra ID.
  2. Per gli attributi surname e givenName, procedi come segue:
    1. Fai clic su Modifica.
    2. Imposta Valore predefinito se nullo su _.
    3. Fai clic su OK.
  3. Fai clic su Salva.
  4. Conferma che il salvataggio delle modifiche comporterà la risincronizzazione di utenti e gruppi facendo clic su .
  5. Fai clic su X per chiudere la finestra di dialogo Mappatura attributi.

UPN: sostituzione del dominio

  1. In Mappature, fai clic su Provisioning utenti Entra ID.

  2. Per l'attributo userPrincipalName, procedi come segue:

    1. Fai clic su Modifica.

    2. Configura il seguente mapping:

      • Tipo di mappatura: Espressione

      • Expression:

        Replace([userPrincipalName], "@DOMAIN", , , "@SUBSTITUTE_DOMAIN", , )

      Sostituisci quanto segue:

      • DOMAIN: il nome di dominio che vuoi sostituire
      • Nome di dominio SUBSTITUTE_DOMAIN da utilizzare

    3. Fai clic su OK.

  3. Per gli attributi surname e givenName:

    1. Fai clic su Modifica.
    2. Imposta Valore predefinito se nullo su _.
    3. Fai clic su OK.

  4. Fai clic su Salva.

  5. Conferma che il salvataggio delle modifiche comporterà la risincronizzazione di utenti e gruppi facendo clic su .

  6. Fai clic su X per chiudere la finestra di dialogo Mappatura attributi.

Indirizzo email

  1. In Mappature, fai clic su Provisioning utenti Entra ID.
  2. Per l'attributo userPrincipalName, procedi come segue:
    1. Fai clic su Modifica.
    2. Imposta Attributo origine su mail.
    3. Fai clic su OK.
  3. Per gli attributi surname e givenName, procedi come segue:
    1. Fai clic su Modifica.
    2. Imposta Valore predefinito se nullo su _.
    3. Fai clic su OK.
  4. Fai clic su Salva.
  5. Conferma che il salvataggio delle modifiche comporterà la risincronizzazione di utenti e gruppi facendo clic su .
  6. Fai clic su X per chiudere la finestra di dialogo Mappatura attributi.

Devi configurare i mapping per primaryEmail, name.familyName, name.givenName e suspended. Tutti gli altri mapping degli attributi sono facoltativi.

Quando configuri mappature di attributi aggiuntive, tieni presente quanto segue:

  • La galleria Google Cloud/G Suite Connector by Microsoft al momento non consente di assegnare alias email.
  • La galleria Google Cloud/G Suite Connector by Microsoft al momento non consente di assegnare licenze agli utenti. Come soluzione alternativa, valuta la possibilità di configurare l'assegnazione automatica delle licenze per le unità organizzative.
  • Per assegnare un utente a un'unità organizzativa, aggiungi una mappatura per OrgUnitPath. Il percorso deve iniziare con un carattere / e deve fare riferimento a un'unità organizzativa già esistente, ad esempio /employees/engineering.

Configurare il provisioning dei gruppi

Il modo corretto per configurare il provisioning dei gruppi dipende dal fatto che i tuoi gruppi siano abilitati alla posta. Se i gruppi non sono abilitati alla posta o se utilizzano un indirizzo email che termina con "onmicrosoft.com", puoi derivare un indirizzo email dal nome del gruppo.

Nessuna mappatura dei gruppi

  1. In Mappature, fai clic su Provisioning di gruppi Entra ID.
  2. Imposta Attivato su No.
  3. Fai clic su Salva.
  4. Conferma che il salvataggio delle modifiche comporterà la risincronizzazione di utenti e gruppi facendo clic su .
  5. Fai clic su X per chiudere la finestra di dialogo Mappatura attributi.

Nome

  1. Nella sezione Mappature, fai clic su Provisioning di gruppi Entra ID.
  2. Per l'attributo mail, procedi nel seguente modo:
    1. Fai clic su Modifica.
    2. Configura le seguenti impostazioni:
      1. Tipo di mappatura: Espressione.
      2. Espressione: Join("@", NormalizeDiacritics(StripSpaces([displayName])), "GROUPS_DOMAIN"). Sostituisci GROUPS_DOMAIN con il dominio che tutti gli indirizzi email del gruppo devono utilizzare, ad esempio, groups.example.com.
      3. Attributo di destinazione: email.
    3. Fai clic su OK.
  3. Fai clic su Salva.
  4. Conferma che il salvataggio delle modifiche comporterà la risincronizzazione di utenti e gruppi facendo clic su .
  5. Fai clic su X per chiudere la finestra di dialogo Mappatura attributi.

Indirizzo email

  • Se mappi i gruppi in base all'indirizzo email, mantieni le impostazioni predefinite.

Configurare l'assegnazione degli utenti

Se sai che solo un determinato sottoinsieme di utenti deve accedere a Google Cloud, puoi limitare facoltativamente l'insieme di utenti di cui eseguire il provisioning assegnando l'app aziendale a utenti o gruppi di utenti specifici.

Se vuoi che tutti gli utenti vengano sottoposti al provisioning, puoi saltare i passaggi successivi.

  1. Nel menu a sinistra, fai clic su Gestisci > Utenti e gruppi.
  2. Aggiungi gli utenti o i gruppi che vuoi eseguire il provisioning. Se selezioni un gruppo, tutti i membri di questo gruppo vengono sottoposti al provisioning automaticamente.
  3. Fai clic su Assegna.

Abilita il provisioning automatico

Il passaggio successivo consiste nel configurare Microsoft Entra ID per eseguire automaticamente il provisioning degli utenti in Cloud Identity o Google Workspace:

  1. Nel menu a sinistra, fai clic su Gestisci > Provisioning.
  2. Seleziona Modifica provisioning.
  3. Imposta Stato del provisioning su On.

  4. In Impostazioni, imposta Ambito su uno dei seguenti valori:

    1. Sincronizza solo utenti e gruppi assegnati se hai configurato l'assegnazione degli utenti.
    2. Sincronizza tutti gli utenti e i gruppi.

    Se questa casella per impostare l'ambito non viene visualizzata, fai clic su Salva e aggiorna la pagina.

  5. Fai clic su Salva.

Microsoft Entra ID avvia una sincronizzazione iniziale. A seconda del numero di utenti e gruppi nella directory, questo processo può richiedere diversi minuti o ore. Puoi aggiornare la pagina del browser per visualizzare lo stato della sincronizzazione nella parte inferiore della pagina o selezionare Log di controllo nel menu per visualizzare ulteriori dettagli.

Al termine della sincronizzazione iniziale, Microsoft Entra ID propagherà periodicamente gli aggiornamenti da Microsoft Entra ID al tuo account Cloud Identity o Google Workspace. Per ulteriori dettagli su come Microsoft Entra ID gestisce le modifiche apportate a utenti e gruppi, vedi Mappatura del ciclo di vita degli utenti e Mappatura del ciclo di vita dei gruppi.

Risoluzione dei problemi

Se la sincronizzazione non inizia entro cinque minuti, puoi forzarne l'avvio procedendo nel seguente modo:

  1. Fai clic su Modifica provisioning.
  2. Imposta Stato del provisioning su Off.
  3. Fai clic su Salva.
  4. Imposta Stato del provisioning su On.
  5. Fai clic su Salva.
  6. Chiudi la finestra di dialogo di provisioning.
  7. Fai clic su Riavvia provisioning.

Se la sincronizzazione non viene ancora avviata, fai clic su Testa connessione per verificare che le credenziali siano state salvate correttamente.

Configurare Microsoft Entra ID per Single Sign-On

Sebbene ora venga eseguito automaticamente il provisioning di tutti gli utenti Microsoft Entra ID pertinenti in Cloud Identity o Google Workspace, non puoi ancora utilizzare questi utenti per accedere. Per consentire agli utenti di accedere, devi comunque configurare il single sign-on.

Creare un profilo SAML

Per configurare il Single Sign-On con Microsoft Entra ID, devi prima creare un profilo SAML nel tuo account Cloud Identity o Google Workspace. Il profilo SAML contiene le impostazioni relative al tuo tenant Microsoft Entra ID, inclusi l'URL e il certificato di firma.

In un secondo momento, assegna il profilo SAML a determinati gruppi o unità organizzative.

Per creare un nuovo profilo SAML nel tuo account Cloud Identity o Google Workspace, segui questi passaggi:

  1. Nella Console di amministrazione, vai a SSO con IdP terzo.

    Vai a SSO con IdP terzo

  2. Fai clic su Profili SSO di terze parti > Aggiungi profilo SAML.

  3. Nella pagina Profilo SSO SAML, inserisci le seguenti impostazioni:

    • Nome: Entra ID
    • ID entità dell'IdP: lascia vuoto
    • URL della pagina di accesso: lascia vuoto
    • URL della pagina di uscita: lascia vuoto
    • URL per la modifica della password: lascia vuoto

    Non caricare ancora un certificato di verifica.

  4. Fai clic su Salva.

    La pagina Profilo SSO SAML visualizzata contiene due URL:

    • ID entità
    • URL ACS

    Avrai bisogno di questi URL nella sezione successiva, quando configurerai Microsoft Entra ID.

Crea un'applicazione Microsoft Entra ID

Crea una seconda applicazione aziendale per gestire il Single Sign-On:

  1. Nel portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
  2. Fai clic su Nuova applicazione.
  3. Cerca Google Cloud e poi fai clic su Google Cloud/G Suite Connector by Microsoft nell'elenco dei risultati.
  4. Imposta il nome dell'applicazione su Google Cloud.

  5. Fai clic su Crea.

    L'aggiunta dell'applicazione potrebbe richiedere alcuni secondi. A questo punto, viene visualizzata una pagina intitolata Google Cloud - Overview.

  6. Nel menu a sinistra, fai clic su Gestisci > Proprietà.

  7. Imposta Enabled for users to sign-in su Yes.

  8. Imposta Assegnazione obbligatoria su , a meno che tu non voglia consentire a tutti gli utenti di utilizzare il Single Sign-On.

  9. Fai clic su Salva.

Configurare l'assegnazione degli utenti

Se sai già che solo un determinato sottoinsieme di utenti deve accedere a Google Cloud, puoi facoltativamente limitare l'insieme di utenti autorizzati ad accedere assegnando l'app aziendale a utenti o gruppi di utenti specifici.

Se in precedenza hai impostato Assegnazione utente obbligatoria su No, puoi saltare i passaggi seguenti.

  1. Nel menu a sinistra, fai clic su Gestisci > Utenti e gruppi.
  2. Aggiungi gli utenti o i gruppi per cui vuoi consentire il Single Sign-On.
  3. Fai clic su Assegna.

Attivare il Single Sign-On

Per consentire a Cloud Identity di utilizzare Microsoft Entra ID per l'autenticazione, devi modificare alcune impostazioni:

  1. Nel menu a sinistra, fai clic su Gestisci > Single Sign-On.
  2. Nella schermata della scheda elettorale, fai clic sulla scheda SAML.
  3. Nella scheda Configurazione SAML di base, fai clic su Modifica.

  4. Nella finestra di dialogo Basic SAML Configuration (Configurazione SAML di base), inserisci le seguenti impostazioni:

    1. Identificatore (ID entità):
      • Aggiungi l'URL entità dal tuo profilo SSO e imposta Predefinito su attivato.
      • Rimuovi tutte le altre voci.
    2. Reply URL (URL di risposta): aggiungi l'URL ACS dal tuo profilo SSO.

    3. Sign on URL:

      https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/

      Sostituisci PRIMARY_DOMAIN con il nome del dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace.

  5. Fai clic su Salva e poi chiudi la finestra di dialogo facendo clic su X.

  6. Nella scheda Certificato di firma SAML, individua la voce Certificato (Base 64) e fai clic su Scarica per scaricare il certificato sul computer locale.

  7. Nella scheda Configura Google Cloud, trovi due URL:

    • URL di accesso
    • Identificatore Microsoft Entra ID

    Questi URL ti serviranno nella sezione successiva, quando completerai il profilo SAML.

I passaggi rimanenti variano a seconda che tu esegua la mappatura degli utenti per indirizzo email o per UPN.

UPN

  1. Nella scheda Attributi e rivendicazioni, fai clic su Modifica.

  2. Elimina tutte le rivendicazioni elencate in Rivendicazioni aggiuntive. Puoi eliminare i record facendo clic sul pulsante e selezionando Elimina.

    L'elenco degli attributi e delle rivendicazioni ha il seguente aspetto:

    Finestra di dialogo Attributi e rivendicazioni utente.

  3. Chiudi la finestra di dialogo facendo clic sulla X.

UPN: sostituzione del dominio

  1. Nella scheda Attributi e rivendicazioni utente, fai clic su Modifica.

  2. Elimina tutte le rivendicazioni elencate in Rivendicazioni aggiuntive. Puoi eliminare i record facendo clic sul pulsante e selezionando Elimina.

    L'elenco degli attributi e delle rivendicazioni ha il seguente aspetto:

    Finestra di dialogo Attributi e rivendicazioni utente.

  3. Fai clic su Identificatore utente univoco (ID nome) per modificare la mappatura delle rivendicazioni.

  4. Imposta Origine su Trasformazione e configura la seguente trasformazione:

    • Trasformazione: ExtractMailPrefix()
    • Parametro 1: user.userPrincipalName

  5. Seleziona Aggiungi trasformazione e configura la seguente trasformazione:

    • Trasformazione: Join()
    • Separatore: @
    • Parametro 2: inserisci il nome del dominio sostitutivo.

    Devi utilizzare lo stesso nome di dominio sostitutivo per il provisioning degli utenti e il Single Sign-On. Se il nome di dominio non è elencato, potresti doverlo verificare prima .

  6. Fai clic su Aggiungi.

  7. Fai clic su Salva.

  8. Chiudi la finestra di dialogo facendo clic sulla X.

Indirizzo email

  1. Nella scheda Attributi e rivendicazioni utente, fai clic su Modifica.
  2. Seleziona la riga con l'etichetta Unique User Identifier (Name ID) (Identificatore utente univoco (ID nome)).
  3. Modifica l'attributo origine in user.mail.
  4. Fai clic su Salva.

  5. Elimina tutte le rivendicazioni elencate in Rivendicazioni aggiuntive. Per eliminare tutti i record, fai clic su , quindi su Elimina.

    Finestra di dialogo Attributi e rivendicazioni utente.

  6. Chiudi la finestra di dialogo facendo clic su .

Completa il profilo SAML

Completa la configurazione del profilo SAML:

  1. Torna alla Console di amministrazione e vai a Sicurezza > Autenticazione > SSO con IdP terzo.

    Vai a SSO con IdP terzo

  2. Apri il profilo SAML Entra ID che hai creato in precedenza.

  3. Fai clic sulla sezione Dettagli IDP per modificare le impostazioni.

  4. Inserisci le seguenti impostazioni:

    • ID entità IdP: inserisci l'identificatore Microsoft Entra della scheda Configura Google Cloud nel portale Azure.
    • URL della pagina di accesso: inserisci l'URL di accesso della scheda Configura Google Cloud nel portale Azure.
    • URL della pagina di disconnessione: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
    • URL per la modifica della password: https://account.activedirectory.windowsazure.com/changepassword.aspx

  5. In Certificato di verifica, fai clic su Carica certificato e seleziona il certificato di firma token che hai scaricato in precedenza.

  6. Fai clic su Salva.

Il certificato di firma del token di Microsoft Entra ID è valido per un periodo di tempo limitato e devi ruotarlo prima della scadenza. Per saperne di più, consulta la sezione Ruotare un certificato Single Sign-On più avanti in questo documento.

Il tuo profilo SAML è completo, ma devi ancora assegnarlo.

Assegna il profilo SAML

Seleziona gli utenti a cui deve essere applicato il nuovo profilo SAML:

  1. Nella Console di amministrazione, nella pagina SSO con IdP di terze parti, fai clic su Gestisci assegnazioni di profili SSO > Gestisci.

    Vai a Gestisci assegnazione di profili SSO

  2. Nel riquadro a sinistra, seleziona il gruppo o l'unità organizzativa a cui vuoi applicare il profilo SSO. Per applicare il profilo a tutti gli utenti, seleziona l'unità organizzativa principale.

  3. Nel riquadro a destra, seleziona Un altro profilo SSO.

  4. Nel menu, seleziona il profilo SSO Entra ID - SAML che hai creato in precedenza.

  5. Fai clic su Salva.

Per assegnare il profilo SAML a un altro gruppo o unità organizzativa, ripeti i passaggi precedenti.

Aggiorna le impostazioni SSO per l'unità organizzativa Automation per disattivare il Single Sign-On:

  1. Nel riquadro a sinistra, seleziona l'unità organizzativa Automation.
  2. Nel riquadro a destra, seleziona Nessuno.
  3. Fai clic su Sostituisci.

(Facoltativo) Configura i reindirizzamenti per gli URL di servizio specifici del dominio

Quando crei un link alla Google Cloud console da portali o documenti interni, puoi migliorare l'esperienza utente utilizzando URL di servizio specifici del dominio.

A differenza degli URL di servizio regolari, come https://console.cloud.google.com/, gli URL di servizio specifici del dominio includono il nome del tuo dominio principale. Gli utenti non autenticati che fanno clic su un link a un URL di servizio specifico del dominio vengono reindirizzati immediatamente a Entra ID anziché visualizzare prima una pagina di accesso di Google.

Esempi di URL di servizio specifici del dominio includono:

Servizio Google URL Logo
ConsoleGoogle Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ Logo Google Cloud
Documenti Google https://docs.google.com/a/DOMAIN Logo di Documenti Google
Fogli Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/ Logo di Fogli Google
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ Logo di Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logo di Google Drive
Gmail https://mail.google.com/a/DOMAIN Logo di Gmail
Google Gruppi https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ Logo di Google Gruppi
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/ Logo di Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ Logo di Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logo YouTube

Per configurare gli URL di servizio specifici del dominio in modo che reindirizzino a Entra ID, procedi nel seguente modo:

  1. Nella Console di amministrazione, nella pagina SSO con IdP di terze parti, fai clic su URL di servizio specifici del dominio > Modifica.

    Vai agli URL di servizio specifici del dominio

  2. Imposta Reindirizza automaticamente gli utenti all'IdP di terze parti nel profilo SSO seguente su attivato.

  3. Imposta Profilo SSO su Entra ID.

  4. Fai clic su Salva.

(Facoltativo) Configurare le verifiche dell'accesso

L'accesso a Google potrebbe chiedere agli utenti un'ulteriore verifica quando accedono da dispositivi sconosciuti o quando il tentativo di accesso sembra sospetto per altri motivi. Queste verifiche dell'accesso contribuiscono a migliorare la sicurezza e ti consigliamo di lasciarle attive.

Se ritieni che le verifiche dell'accesso causino troppi disagi, puoi disattivarle nel seguente modo:

  1. Nella Console di amministrazione, vai a Sicurezza > Autenticazione > Verifiche dell'accesso.
  2. Nel riquadro a sinistra, seleziona un'unità organizzativa per cui vuoi disattivare le verifiche dell'accesso. Per disattivare le richieste di accesso per tutti gli utenti, seleziona l'unità organizzativa principale.
  3. Nella sezione Impostazioni per gli utenti che eseguono l'accesso con altri profili SSO, seleziona Non chiedere agli utenti ulteriori verifiche da parte di Google.
  4. Fai clic su Salva.

Testare il Single Sign-On

Ora che hai completato la configurazione del Single Sign-On sia in Microsoft Entra ID sia in Cloud Identity o Google Workspace, puoi accedere a Google Cloud in due modi:

Per verificare che la seconda opzione funzioni come previsto, esegui questo test:

  1. Scegli un utente Microsoft Entra ID di cui è stato eseguito il provisioning in Cloud Identity o Google Workspace e a cui non sono stati assegnati privilegi di super amministratore. Gli utenti con privilegi di super amministratore devono sempre accedere utilizzando le credenziali Google e pertanto non sono adatti per testare il Single Sign-On.
  2. Apri una nuova finestra del browser e vai su https://console.cloud.google.com/.

  3. Nella pagina di accesso di Google visualizzata, inserisci l'indirizzo email dell'utente e fai clic su Avanti. Se utilizzi la sostituzione del dominio, questo indirizzo deve essere l'indirizzo email con la sostituzione applicata.

    Finestra di dialogo Accedi con Google.

  4. Vieni reindirizzato a Microsoft Entra ID e visualizzerai un altro prompt di accesso. Inserisci l'indirizzo email dell'utente (senza sostituzione del dominio) e fai clic su Avanti.

    Finestra di dialogo di accesso a Microsoft Entra ID.

  5. Dopo aver inserito la password, ti viene chiesto se vuoi rimanere connesso. Per ora, scegli No.

    Dopo l'autenticazione riuscita, Microsoft Entra ID dovrebbe reindirizzarti all'accesso con Google. Poiché è la prima volta che accedi con questo utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.

  6. Se accetti i termini, fai clic su Ho capito.

    Viene visualizzata la console Google Cloud , che ti chiede di confermare le preferenze e accettare i Termini di servizio di Google Cloud.

  7. Se accetti i termini, scegli e fai clic su Accetta e continua.

  8. Fai clic sull'icona dell'avatar in alto a sinistra nella pagina, poi fai clic su Esci.

    Viene visualizzata una pagina di Microsoft Entra ID che conferma che la disconnessione è stata eseguita correttamente.

Tieni presente che gli utenti con privilegi di super amministratore sono esenti dal single sign-on, quindi puoi comunque utilizzare la Console di amministrazione per verificare o modificare le impostazioni.

Ruotare un certificato Single Sign-On

Il certificato di firma del token Microsoft Entra ID è valido solo per alcuni mesi e devi sostituirlo prima della scadenza.

Per ruotare un certificato di firma, aggiungi un certificato aggiuntivo all'applicazione Microsoft Entra ID:

  1. Nel portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali e apri l'applicazione che hai creato per il Single Sign-On.
  2. Nel menu a sinistra, fai clic su Gestisci > Single Sign-On.

  3. Nella scheda Certificato di firma SAML, fai clic su Modifica.

    Viene visualizzato un elenco di uno o più certificati. Un certificato è contrassegnato come Attivo.

  4. Fai clic su Nuovo certificato.

  5. Mantieni le impostazioni di firma predefinite e fai clic su Salva.

    Il certificato viene aggiunto all'elenco dei certificati e viene contrassegnato come Non attivo.

  6. Seleziona il nuovo certificato e fai clic su  > Scarica certificato Base64.

    Mantieni aperta la finestra del browser e non chiudere la finestra di dialogo.

Per utilizzare il nuovo certificato:

  1. Apri una nuova scheda o finestra del browser.

  2. Apri la Console di amministrazione e vai a SSO con IdP terzo.

    Vai a SSO con IdP terzo

  3. Apri il profilo SAML Entra ID.

  4. Fai clic su Dettagli IdP.

  5. Fai clic su Carica un altro certificato e seleziona il nuovo certificato scaricato in precedenza.

  6. Fai clic su Salva.

  7. Torna al portale Microsoft Entra ID e alla finestra di dialogo Certificato di firma SAML.

  8. Seleziona il nuovo certificato e fai clic su  > Rendi attivo il certificato.

  9. Fai clic su per attivare il certificato.

    Microsoft Entra ID ora utilizza il nuovo certificato di firma.

  10. Verifica che SSO funzioni ancora come previsto. Per ulteriori informazioni, vedi Testare il Single Sign-On.

Per rimuovere il vecchio certificato:

  1. Torna alla Console di amministrazione e al profilo Entra ID SAML.
  2. Fai clic su Dettagli IdP.
  3. In Certificato di verifica, confronta le date di scadenza dei tuoi certificati per trovare quello precedente e fai clic su .
  4. Fai clic su Salva.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Per disattivare il Single Sign-On nel tuo account Cloud Identity o Google Workspace, segui questi passaggi:

  1. Nella Console di amministrazione, vai a Gestisci assegnazioni di profili SSO.

    Vai a Gestisci assegnazione di profili SSO

  2. Per ogni assegnazione di profilo:

    1. Apri il profilo.
    2. Se vedi il pulsante Eredita, fai clic su Eredita. Se non vedi il pulsante Eredita, seleziona Nessuno e fai clic su Salva.

  3. Torna alla pagina SSO con IdP di terze parti e apri il profilo SAML Microsoft Entra ID.

  4. Fai clic su Elimina.

Puoi rimuovere le impostazioni di Single Sign-On e provisioning in Microsoft Entra ID come segue:

  1. Nel portale Azure, vai a Microsoft Entra ID > Applicazioni aziendali.
  2. Dall'elenco delle applicazioni, scegli Google Cloud.
  3. Nel menu a sinistra, fai clic su Gestisci > Single Sign-On.
  4. Fai clic su Elimina.
  5. Conferma l'eliminazione facendo clic su .

Passaggi successivi