Provisioning degli utenti di Okta e Single Sign-On

Last reviewed 2025-01-08 UTC

Questo documento mostra come configurare il provisioning degli utenti e il Single Sign-On tra un'organizzazione Okta e il tuo account Cloud Identity o Google Workspace.

Il documento presuppone che tu utilizzi già Okta nella tua organizzazione e che tu voglia utilizzarlo per consentire agli utenti di autenticarsi con Google Cloud.

Obiettivi

  • Configura Okta per eseguire il provisioning automatico di utenti e, facoltativamente, gruppi in Cloud Identity o Google Workspace.
  • Configura il Single Sign-On (SSO) per consentire agli utenti di accedere a Google Cloud utilizzando un account utente Okta.

Costi

Se utilizzi la versione gratuita di Cloud Identity, la configurazione della federazione con Okta non utilizzerà componenti fatturabili di Google Cloud.

Consulta la pagina dei prezzi di Okta per eventuali commissioni che potrebbero essere applicate all'utilizzo di Okta.

Prima di iniziare

Preparazione del tuo account Cloud Identity o Google Workspace

Crea un utente per Okta

Per consentire a Okta di accedere al tuo account Cloud Identity o Google Workspace, devi creare un utente per Okta nel tuo account Cloud Identity o Google Workspace.

L'utente Okta è destinato solo al provisioning automatico. Pertanto, è consigliabile tenerlo separato dagli altri account utente inserendolo in un'unità organizzativa separata. L'utilizzo di un'unità organizzativa separata garantisce inoltre che in un secondo momento tu possa disattivare il Single Sign-On per l'utente Okta.

Per creare una nuova OU:

  1. Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore creato al momento della registrazione a Cloud Identity o Google Workspace.
  2. Nel menu, vai a Directory > Unità organizzative.
  3. Fai clic su Crea unità organizzativa e fornisci un nome e una descrizione per l'UO:
    • Nome: Automation
    • Descrizione: Automation users
  4. Fai clic su Crea.

Crea un account utente per Okta e inseriscilo nell'unità organizzativa Automation:

  1. Nel menu, vai a Directory > Utenti e fai clic su Aggiungi nuovo utente per creare un utente.

  2. Fornisci un nome e un indirizzo email appropriati, ad esempio:

    • Nome: Okta
    • Cognome: Provisioning

    • Email principale: okta-provisioning

      Mantieni il dominio principale per l'indirizzo email.

  3. Fai clic su Gestisci la password, l'unità organizzativa e la foto del profilo dell'utente e configura le seguenti impostazioni:

    • Unità organizzativa: seleziona l'unità organizzativa Automation che hai creato in precedenza.
    • Password: seleziona Crea password e inserisci una password.
    • Richiedi di cambiare la password all'accesso successivo: Disattivato.

  4. Fai clic su Aggiungi nuovo utente.

  5. Fai clic su Fine.

Assegnare privilegi a Okta

Per consentire a Okta di creare, elencare e sospendere utenti e gruppi nel tuo account Cloud Identity o Google Workspace, devi rendere l'utente okta-provisioning un super amministratore:

  1. Individua l'utente appena creato nell'elenco e fai clic sul suo nome per aprire la pagina del suo account.
  2. Nella sezione Ruoli e privilegi di amministratore, fai clic su Assegna i ruoli.
  3. Attiva il ruolo di super amministratore.
  4. Fai clic su Salva.

Configurare il provisioning di Okta

Ora puoi connettere Okta al tuo account Cloud Identity o Google Workspace configurando l'applicazione Google Workspace dal catalogo Okta.

L'applicazione Google Workspace può gestire sia il provisioning degli utenti sia il Single Sign-On. Utilizza questa applicazione anche se utilizzi Cloud Identity e prevedi di configurare il Single Sign-On solo per Google Cloud.

Crea un'applicazione

Per configurare l'applicazione Google Workspace:

  1. Apri la dashboard di amministrazione di Okta e accedi come utente con privilegi di super amministratore.
  2. Nel menu, vai a Applicazioni > Applicazioni.
  3. Fai clic su Sfoglia catalogo app.
  4. Cerca Google Workspace e seleziona l'applicazione Google Workspace.
  5. Fai clic su Aggiungi integrazione.

  6. Nella pagina Impostazioni generali, configura quanto segue:

    • Etichetta dell'applicazione: Google Cloud
    • Il dominio aziendale Google Apps: il nome di dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace.

    • Visualizza i seguenti link:

      • Imposta Account su attivato.
      • Imposta gli altri link su Attivato se utilizzi Google Workspace, altrimenti impostali su Disattivato.

    • Visibilità applicazione: impostata su attivata se utilizzi Google Workspace, disattivata altrimenti

    • Invio automatico del plug-in del browser: impostato su disattivato

  7. Fai clic su Avanti.

  8. Nella pagina Opzioni di accesso, configura quanto segue:

    • Sign on methods (Metodi di accesso): seleziona SAML 2.0
    • Stato di inoltro predefinito: lascia vuoto
    • Impostazioni di accesso avanzate > RPID: lascia vuoto

  9. Decidi come compilare l'indirizzo email principale per gli utenti in Cloud Identity o Google Workspace. L'indirizzo email principale di un utente deve utilizzare il dominio principale del tuo account Cloud Identity o Google Workspace o uno dei suoi domini secondari.

    Nome utente Okta

    Per utilizzare il nome utente Okta dell'utente come indirizzo email principale, utilizza le seguenti impostazioni:

    • Formato nome utente applicazione: nome utente Okta
    • Aggiorna nome utente applicazione su: Crea e aggiorna.

    Email

    Per utilizzare il nome utente Okta dell'utente come indirizzo email principale, utilizza le seguenti impostazioni:

    • Formato nome utente applicazione: Email
    • Aggiorna nome utente applicazione su: Crea e aggiorna.

  10. Fai clic su Fine.

Configurare il provisioning degli utenti

In questa sezione, configuri Okta per eseguire automaticamente il provisioning di utenti e gruppi in Google Cloud.

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Provisioning.

  2. Fai clic su Configura l'integrazione dell'API e configura quanto segue:

    • Abilita l'integrazione dell'API: imposta su Abilitato
    • Importa gruppi: impostato su disattivato, a meno che tu non abbia gruppi esistenti in Cloud Identity o Google Workspace che vuoi importare in Okta

  3. Fai clic su Autentica con Google Workspace.

  4. Accedi utilizzando l'utente okta-provisioning@DOMAIN che hai creato in precedenza, dove DOMAIN è il dominio principale del tuo account Cloud Identity o Google Workspace.

  5. Leggi i Termini di servizio e le Norme sulla privacy di Google. Se accetti i termini, fai clic su Ho capito.

  6. Conferma l'accesso all'API Cloud Identity facendo clic su Consenti.

  7. Fai clic su Salva.

Okta è connesso al tuo account Cloud Identity o Google Workspace, ma il provisioning è ancora disattivato. Per abilitare il provisioning:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Provisioning.

  2. Fai clic su Modifica e configura quanto segue:

    • Crea utenti: impostato su abilitato
    • Aggiorna attributi utente: impostato su attivato
    • Disattiva utenti: impostato su attivato
    • Sincronizza password: impostato su disattivato

  3. (Facoltativo) Fai clic su Vai all'editor del profilo per personalizzare le mappature degli attributi.

    Se utilizzi mappature personalizzate, devi mappare userName, nameGivenName e nameFamilyName. Tutti gli altri mapping degli attributi sono facoltativi.

  4. Fai clic su Salva.

Configurare l'assegnazione degli utenti

In questa sezione, configuri gli utenti Okta da eseguire il provisioning in Cloud Identity o Google Workspace:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Assegnazioni.
  2. Fai clic su Assegna > Assegna a persone o Assegna > Assegna a gruppi.
  3. Seleziona un utente o un gruppo e fai clic su Assegna.
  4. Nella finestra di dialogo di assegnazione visualizzata, mantieni le impostazioni predefinite e fai clic su Salva e torna indietro.
  5. Fai clic su Fine.

Ripeti i passaggi di questa sezione per ogni utente o gruppo di cui vuoi eseguire il provisioning. Per provisionare tutti gli utenti in Cloud Identity o Google Workspace, assegna il gruppo Tutti.

Configurare l'assegnazione di gruppo

Se vuoi, puoi consentire a Okta di eseguire il provisioning dei gruppi in Cloud Identity o Google Workspace. Anziché selezionare i gruppi singolarmente, è meglio configurare Okta per eseguire il provisioning dei gruppi in base a una convenzione di denominazione.

Ad esempio, per consentire a Okta di eseguire il provisioning di tutti i gruppi che iniziano con google-cloud, procedi nel seguente modo:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Gruppi push.
  2. Fai clic su Gruppi push > Trova gruppi per ruolo.

  3. Nella pagina Push groups by rule (Inserisci gruppi per regola), configura la seguente regola:

    • Nome regola: nome del ruolo, ad esempio Google Cloud.
    • Nome del gruppo: inizia con google-cloud

  4. Fai clic su Crea regola.

Risoluzione dei problemi

Per risolvere i problemi di provisioning di utenti o gruppi, fai clic su Visualizza log nella pagina delle impostazioni dell'applicazione Google Cloud.

Per consentire a Okta di riprovare un tentativo non riuscito di provisioning degli utenti:

  1. Vai a Dashboard > Attività.
  2. Trova l'attività non riuscita e apri i dettagli.
  3. Nella pagina dei dettagli, fai clic su Riprova selezione.

Configurazione di Okta per il Single Sign-On

Se hai seguito i passaggi per configurare il provisioning di Okta, ora viene eseguito automaticamente il provisioning di tutti gli utenti Okta pertinenti in Cloud Identity o Google Workspace. Per consentire l'accesso a questi utenti, configura Single Sign-On:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Sign On (Accesso).
  2. Fai clic su SAML 2.0 > Altri dettagli.
  3. Fai clic su Scarica per scaricare il certificato di firma.
  4. Prendi nota dei valori di URL di accesso, URL di uscita ed Emittente, ti serviranno in uno dei passaggi successivi.

Creare un profilo SAML

Crea un profilo SAML nel tuo account Cloud Identity o Google Workspace:

  1. Torna alla Console di amministrazione e vai a SSO con IdP terzo.

    Vai a SSO con IdP terzo

  2. Fai clic su Profili SSO di terze parti > Aggiungi profilo SAML.

  3. Nella pagina Profilo SSO SAML, inserisci le seguenti impostazioni:

    • Nome: Okta
    • ID entità IdP: inserisci l'emittente dalla dashboard di amministrazione Okta.
    • URL della pagina di accesso: inserisci l'URL di accesso dalla dashboard di amministrazione Okta.
    • URL della pagina di uscita: inserisci l'URL di uscita dalla dashboard di amministrazione Okta.
    • URL per la modifica della password: https://ORGANIZATION.okta.com/enduser/settings dove ORGANIZATION è il nome della tua organizzazione Okta.

  4. In Certificato di verifica, fai clic su Carica certificato e seleziona il certificato di firma token che hai scaricato in precedenza.

  5. Fai clic su Salva.

    La pagina Profilo SSO SAML visualizzata contiene un ID entità nel formato https://accounts.google.com/samlrp/RPID, dove RPID è un ID univoco.

    Prendi nota del valore di RPID. Ti servirà nel passaggio successivo.

Assegna il profilo SAML

Seleziona gli utenti a cui deve essere applicato il nuovo profilo SAML:

  1. Nella Console di amministrazione, nella pagina SSO con IdP di terze parti, fai clic su Gestisci assegnazioni di profili SSO > Gestisci.

    Vai a Gestisci assegnazione di profili SSO

  2. Nel riquadro a sinistra, seleziona il gruppo o l'unità organizzativa a cui vuoi applicare il profilo SSO. Per applicare il profilo a tutti gli utenti, seleziona l'unità organizzativa principale.

  3. Nel riquadro a destra, nel menu, seleziona il profilo SSO Okta - SAML che hai creato in precedenza.

  4. Fai clic su Salva.

Per assegnare il profilo SAML a un altro gruppo o unità organizzativa, ripeti i passaggi precedenti.

Aggiorna le impostazioni SSO per l'unità organizzativa Automation per disattivare il Single Sign-On:

  1. Nel riquadro a sinistra, seleziona l'unità organizzativa Automation.
  2. Modifica l'assegnazione del profilo SSO in Nessuno.
  3. Fai clic su Sostituisci.

Completa la configurazione SSO in Okta

Torna a Okta e completa la configurazione SSO:

  1. Nella dashboard di amministrazione Okta, nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Sign On (Accesso).

  2. Fai clic su Modifica e aggiorna le seguenti impostazioni:

    • Impostazioni di accesso avanzate > RPID: inserisci l'RPID che hai copiato dalla Console di amministrazione.

  3. Fai clic su Salva.

(Facoltativo) Configurare le verifiche dell'accesso

L'accesso a Google potrebbe chiedere agli utenti un'ulteriore verifica quando accedono da dispositivi sconosciuti o quando il tentativo di accesso sembra sospetto per altri motivi. Queste verifiche dell'accesso contribuiscono a migliorare la sicurezza e ti consigliamo di lasciarle attive.

Se ritieni che le verifiche dell'accesso causino troppi disagi, puoi disattivarle nel seguente modo:

  1. Nella Console di amministrazione, vai a Sicurezza > Autenticazione > Verifiche dell'accesso.
  2. Nel riquadro a sinistra, seleziona un'unità organizzativa per cui vuoi disattivare le verifiche dell'accesso. Per disattivare le richieste di accesso per tutti gli utenti, seleziona l'unità organizzativa principale.
  3. Nella sezione Impostazioni per gli utenti che eseguono l'accesso con altri profili SSO, seleziona Non chiedere agli utenti ulteriori verifiche da parte di Google.
  4. Fai clic su Salva.

Aggiungere la Google Cloud console e altri servizi Google alla dashboard dell'app

Per aggiungere la console Google Cloud e, facoltativamente, altri servizi Google alla dashboard delle app Okta dei tuoi utenti:

  1. Nella dashboard di amministrazione Okta, seleziona Applicazioni > Applicazioni.
  2. Fai clic su Sfoglia catalogo app.
  3. Cerca Bookmark app e seleziona l'applicazione App Preferiti.
  4. Fai clic su Aggiungi integrazione.

  5. Nella pagina Impostazioni generali, configura quanto segue:

    • Etichetta dell'applicazione: Google Cloud console
    • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, sostituisci PRIMARY_DOMAIN con il nome di dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace.

  6. Fai clic su Fine.

  7. Cambia il logo dell'applicazione con il logoGoogle Cloud .

  8. Apri la scheda Accesso.

  9. Fai clic su Autenticazione utente > Modifica e configura quanto segue:

    • Policy di autenticazione: impostata su Dashboard Okta

  10. Fai clic su Salva.

  11. Apri la scheda Assegnazione e assegna uno o più utenti. Gli utenti assegnati vedono il link alla console Google Cloud nella dashboard utente.

(Facoltativo) Ripeti i passaggi precedenti per tutti gli eventuali altri servizi Google che vuoi includere nelle dashboard utente. La tabella seguente contiene gli URL e i loghi dei servizi Google più utilizzati:

Servizio Google URL Logo
ConsoleGoogle Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ Logo Google Cloud
Documenti Google https://docs.google.com/a/DOMAIN Logo di Documenti Google
Fogli Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/ Logo di Fogli Google
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ Logo di Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logo di Google Drive
Gmail https://mail.google.com/a/DOMAIN Logo di Gmail
Google Gruppi https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ Logo di Google Gruppi
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/ Logo di Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ Logo di Looker Studio
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ Logo YouTube

Testare il Single Sign-On

Dopo aver completato la configurazione del Single Sign-On sia in Okta sia in Cloud Identity o Google Workspace, puoi accedere a Google Cloud in due modi:

Per verificare che la seconda opzione funzioni come previsto, esegui questo test:

  1. Scegli un utente Okta di cui è stato eseguito il provisioning in Cloud Identity o Google Workspace e a cui non sono stati assegnati privilegi di super amministratore. Gli utenti con privilegi di super amministratore devono sempre accedere utilizzando le credenziali Google e pertanto non sono adatti per testare il Single Sign-On.
  2. Apri una nuova finestra del browser e vai su https://console.cloud.google.com/.
  3. Nella pagina di accesso di Google visualizzata, inserisci l'indirizzo email dell'utente e fai clic su Avanti.

  4. Viene visualizzato un altro messaggio di accesso. Inserisci l'indirizzo email dell'utente e segui i passaggi per l'autenticazione.

    Dopo l'autenticazione riuscita, Okta dovrebbe reindirizzarti di nuovo all'accesso con Google. Poiché è la prima volta che accedi con questo utente, ti viene chiesto di accettare i Termini di servizio e le Norme sulla privacy di Google.

  5. Se accetti i termini, fai clic su Ho capito.

    Viene visualizzata la console Google Cloud , che ti chiede di confermare le preferenze e accettare i Termini di servizio di Google Cloud.

  6. Se accetti i termini, scegli e fai clic su Accetta e continua.

  7. Fai clic sull'icona dell'avatar in alto a sinistra nella pagina, poi fai clic su Esci.

    Viene visualizzata una pagina Okta che conferma che la disconnessione è stata completata.

Tieni presente che gli utenti con privilegi di super amministratore sono esenti dal single sign-on, quindi puoi comunque utilizzare la Console di amministrazione per verificare o modificare le impostazioni.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Passaggi successivi