Você pode configurar o SSO com o Google como seu provedor de serviços de diversas formas, dependendo das necessidades da sua organização. O Google Workspace oferece suporte a SSO baseados em SAML e OIDC:
- Com os perfis de SSO, que contêm as configurações do seu IdP, você tem flexibilidade para aplicar configurações de SSO diferentes a usuários na sua organização. Crie perfis baseados em SAML, perfis personalizados do OIDC ou use o perfil padrão do Microsoft Entra OIDC, que não precisa de configuração.
- Depois de criar perfis de SSO, atribua perfis a unidades organizacionais ou grupos para definir o IdP para esses usuários. Também é possível desativar o SSO para unidades organizacionais ou grupos específicos.
Caso seus usuários utilizem URLs de serviço específicos do domínio para acessar os serviços do Google (por exemplo, https://mail.google.com/a/example.com), você também poderá gerenciar como esses URLs funcionam com o SSO.
Se a sua organização precisar de redirecionamento condicional de SSO com base no endereço IP ou de SSO para superadmins, você também pode configurar o perfil de SSO legado.
Configurar o SSO com SAML
Antes de começar
Para criar um perfil de SSO via SAML, você precisará de uma configuração básica da equipe de suporte ou da documentação do IdP:
- URL da página de login: também conhecido como URL de SSO ou endpoint SAML 2.0 (HTTP). Os usuários fazem login no seu IdP.
- URL da página de saída: é a página de destino que o usuário acessa depois de sair do Google app ou serviço.
- URL para alteração de senha: a página que os usuários do SSO acessam para alterar a senha (em vez de alterar a senha no Google).
- Certificado PEM X.509 do seu IdP. O certificado contém a chave pública que verifica o login do IdP.
- O certificado precisa ser um certificado X.509 no formato PEM ou DER com uma chave pública incorporada.
- A chave pública precisa ser gerada com os algoritmos DSA ou RSA.
- A chave pública no certificado precisa corresponder à chave privada usada para assinar a resposta SAML.
Geralmente, você recebe esses certificados do IdP. No entanto, você também pode gerá-los.
Criar um perfil de SSO via SAML
Siga estas etapas para criar um perfil de SSO de terceiros. É possível criar até mil perfis na sua organização.
-
-
No Admin Console, acesse Menu
Segurança
Autenticação
- Em Perfis de SSO de terceiros, clique em Adicionar perfil de SAML.
- Insira um nome para o perfil.
- (Opcional) Se você tiver um arquivo de metadados XML do IdP, clique em "Fazer upload do arquivo XML" para fornecer informações do IdP e continue com a etapa 8.
- Preencha o URL da página de login e outras informações coletadas do seu IdP.
- Digite um URL para alteração de senha para seu IdP. Os usuários acessarão esse URL (em vez da página de alteração de senha do Google) para redefinir a senha.
- Clique em Fazer upload do certificado para fazer upload do arquivo de certificado.
Você pode fazer upload de até dois certificados, o que dá a opção de alterná-los quando necessário.
- Clique em Salvar.
- Na seção Detalhes do provedor de serviço, copie e salve o ID da entidade e o URL do ACS. Você vai precisar desses valores para configurar o SSO com o Google no painel de controle do administrador do IdP.
- (Opcional) Se o IdP tiver suporte para declarações de criptografia, você vai poder gerar e compartilhar um certificado com o IdP para ativar a criptografia. Cada perfil de SSO SAML pode ter até dois certificados de SP.
- Clique na seção Detalhes do SP para entrar no modo de edição.
- Em Certificado de SP, clique em Gerar certificado. O certificado vai ser mostrado depois de salvo.
- Clique em Salvar. Serão mostrados o nome, a data de validade e o conteúdo do certificado.
- Use os botões acima para copiar o conteúdo ou fazer o download do certificado como um arquivo e compartilhar o certificado com o IdP.
- (Opcional) Se você precisar rotacionar um certificado, volte para "Detalhes do SP" e clique em Gerar outro certificado. Depois, compartilhe o novo certificado com seu IdP. Depois de confirmar que seu IdP está usando o novo certificado, exclua o original.
Configurar o IdP
Para configurar o IdP para usar esse perfil de SSO, insira as informações da seção Detalhes do provedor de serviços (SP) do perfil nos campos apropriados nas configurações de SSO do IdP. O URL do ACS e o ID da entidade são exclusivos para esse perfil.
Configurar o perfil de SSO legadoO perfil de SSO legado é compatível com usuários que não migraram para perfis de SSO. Ele só é compatível com o uso de um único IdP.
-
-
No Admin Console, acesse Menu
- Em Perfis de SSO de terceiros, clique em Adicionar perfil de SAML.
- Na parte de baixo da página Detalhes do IdP, clique em Ir para a configuração de perfil SSO legada.
- Na página Perfil de SSO legado, marque a caixa Ativar SSO com o provedor de identidade de terceiros.
- Preencha as seguintes informações sobre seu IdP:
- Digite o URL da página de login e o URL da página de saída do IdP.
Observação: todos os URLs precisam ser digitados e usar HTTPS, por exemplo, https://sso.example.com.
- Clique em Fazer upload do certificado, localize e faça o upload do certificado X.509 fornecido pelo seu IdP. Para mais informações, consulte os requisitos do certificado.
- Escolha se você quer usar um emissor específico de domínio na solicitação SAML do Google.
Se você tiver vários domínios usando SSO com seu IdP, use um emissor específico do domínio para identificar o domínio correto que está emitindo a solicitação SAML.
- Marcado: o Google envia um emissor específico para seu domínio: google.com/a/example.com (onde example.com é seu nome de domínio principal do Google Workspace).
- Desmarcado: o Google envia o emissor padrão na solicitação SAML, google.com.
- (Opcional) Para aplicar o SSO a um conjunto de usuários em intervalos de endereços IP específicos, insira uma máscara de rede. Para mais informações, consulte Resultados do mapeamento de rede.
Observação: você também pode configurar o SSO parcial atribuindo o perfil de SSO a unidades organizacionais ou grupos específicos.
- Digite um URL para alteração de senha para seu IdP. Os usuários acessarão esse URL (em vez da página de alteração de senha do Google) para redefinir a senha.
Observação: se você digitar um URL aqui, os usuários serão direcionados para esta página, mesmo que o SSO não esteja ativado na sua organização.
- Digite o URL da página de login e o URL da página de saída do IdP.
- Clique em Salvar.
Depois de salvar, o perfil de SSO legado é listado na tabela Perfis de SSO.
Configurar o IdP
Para configurar o IdP para usar esse perfil de SSO, insira as informações da seção "Detalhes do provedor de serviços (SP)" do perfil nos campos apropriados nas configurações de SSO do IdP. O URL do ACS e o ID da entidade são exclusivos para esse perfil.
| Formato | |
| URL do ACS | https://accounts.google.com/a/{domain.com}/acs Em que {domain.com} é o nome de domínio do Workspace da sua organização. |
| ID da entidade | Uma das seguintes:
|
Desativar o perfil de SSO legado
- Na lista Perfis de SSO de terceiros, clique em Perfil de SSO legado.
- Nas configurações do Perfil de SSO legado, desmarque a opção Ativar SSO com o provedor de identidade de terceiros.
- Confirme que você quer continuar e clique em Salvar.
Na lista Perfis de SSO, o Perfil de SSO legado agora aparece como Desativado.
- As unidades organizacionais que tiverem o perfil de SSO legado atribuído vão mostrar um alerta na coluna Perfil atribuído.
- A unidade organizacional de nível superior vai mostrar Nenhum na coluna Perfil atribuído.
- Em Gerenciar atribuições do perfil de SSO, o perfil de SSO legado aparece como inativo.
Migrar de SAML legado para perfis de SSO
Se a sua organização estiver usando o perfil de SSO legado, recomendamos migrar para os perfis de SSO, que oferecem várias vantagens, incluindo suporte ao OIDC, APIs mais modernas e maior flexibilidade na aplicação de configurações de SSO aos seus grupos de usuários. Saiba mais.
Configurar o SSO com o OIDC
Siga estas etapas para usar o SSO baseado em OIDC:
- Escolha uma opção do OIDC: crie um perfil OIDC personalizado, em que você fornece informações para seu parceiro do OIDC, ou use o perfil OIDC pré-configurado do Microsoft Entra.
- Siga as etapas em Decidir quais usuários devem usar o SSO para atribuir o perfil do OIDC pré-configurado a unidades organizacionais/grupos selecionados.
Se você tiver usuários em uma unidade organizacional (por exemplo, em uma subunidade organizacional) que não precisem de SSO, também poderá usar atribuições para desativar o SSO para esses usuários.
Observação: no momento, a interface de linha de comando do Google Cloud não é compatível com a reautenticação com o OIDC.
Antes de começar
Para configurar um perfil OIDC personalizado, você precisará de uma configuração básica da equipe de suporte ou da documentação do IdP:
- URL do emissor: é o URL completo do servidor de autorização do IdP.
- Um cliente OAuth, identificado pelo ID do cliente e autenticado por uma chave secreta do cliente.
- URL para alteração de senha: a página que os usuários do SSO acessam para alterar a senha (em vez de alterar a senha no Google).
Além disso, o Google precisa que seu IdP faça o seguinte:
- A reivindicação de
e-maildo seu IdP precisa corresponder ao endereço de e-mail principal do usuário no Google. - Ele precisa usar o fluxo do código de autorização.
Criar um perfil OIDC personalizado
-
-
No Admin Console, acesse Menu
- Em Perfis de SSO de terceiros, clique em Adicionar perfil de OIDC.
- Nomeie o perfil do OIDC.
- Insira os detalhes do OIDC: ID do cliente, URL do emissor e chave secreta do cliente.
- Clique em Salvar.
- Na página de configurações do SSO do OIDC do novo perfil, copie o URI de redirecionamento. Você vai precisar atualizar o cliente OAuth no IdP para responder às solicitações usando esse URI.
Para editar as configurações, passe o cursor sobre Detalhes do OIDC e clique em Editar .
Usar o perfil do OIDC do Microsoft Entra
Verifique se você configurou os seguintes pré-requisitos para o OIDC no locatário do Microsoft Entra ID da sua organização:
- O locatário do ID do Microsoft Entra precisa ter o domínio verificado.
- Os usuários finais precisam ter licenças do Microsoft 365.
- O nome de usuário (e-mail principal) do admin do Google Workspace que atribui o perfil de SSO precisa corresponder ao endereço de e-mail principal da sua conta de administrador de locatário do Azure AD.
Decidir quais usuários devem usar o SSO
Ative o SSO para uma unidade organizacional ou um grupo atribuindo um perfil de SSO e o IdP associado a ele. Ou desative o SSO atribuindo "Nenhum" ao perfil de SSO. Também é possível aplicar uma política de SSO mista em uma unidade organizacional ou um grupo, como ao ativar o SSO para a unidade organizacional como um todo e desativá-lo em uma subunidade organizacional.
Se você ainda não criou um perfil, faça isso antes de continuar. Ou você pode atribuir o perfil OIDC pré-configurado.
- Clique em Gerenciar atribuições do perfil de SSO.
- Se você estiver atribuindo o perfil de SSO pela primeira vez, clique em "Primeiros passos". Caso contrário, clique em Gerenciar atribuições.
- À esquerda, selecione a unidade organizacional ou o grupo a que você está atribuindo o perfil de SSO.
- Se a atribuição do perfil de SSO a uma unidade organizacional ou um grupo for diferente da atribuição de perfil a todo o domínio, um aviso de modificação vai aparecer quando você selecionar a unidade organizacional ou o grupo.
- Não é possível atribuir o perfil de SSO por usuário. Você pode verificar a configuração de um usuário específico na visualização de Usuários.
- Escolha uma atribuição de perfil de SSO para a unidade organizacional ou o grupo selecionado:
- Para excluir a unidade organizacional ou o grupo do SSO, escolha Nenhum. Os usuários na unidade organizacional ou no grupo farão login diretamente no Google.
- Para atribuir outro IdP à unidade organizacional ou ao grupo, escolha Outro perfil de SSO e selecione o perfil de SSO na lista suspensa.
- (Somente perfis SAML) Depois de selecionar um perfil SAML, escolha uma opção de login para usuários que acessam diretamente um serviço do Google sem primeiro fazer login no IdP de terceiros do perfil de SSO. Você pode solicitar o nome de usuário do Google e redirecioná-lo para o IdP ou exigir que ele digite o nome de usuário e a senha do Google.
Observação: se você solicitar que os usuários digitem o nome de usuário e a senha do Google, a configuração Alterar URL da senha para esse perfil de SSO SAML (disponível em "Perfil SSO" > "Detalhes do IdP") é ignorado. Isso garante que os usuários possam alterar as senhas do Google conforme necessário.
- Clique em Salvar.
- (Opcional) Atribua perfis de SSO a outras unidades organizacionais ou grupos conforme necessário.
Depois que você fechar o card Gerenciar atribuições do perfil de SSO, serão mostradas as atribuições atualizadas para unidades organizacionais e grupos na seção Gerenciar atribuições do perfil de SSO.
Remover uma atribuição de perfil de SSO
- Clique no nome de um grupo ou de uma unidade organizacional para abrir as configurações de atribuição do perfil.
- Substitua a configuração de atribuição atual pela configuração da unidade organizacional mãe:
- Para atribuições de unidades organizacionais, clique em Herdar.
- Para atividades em grupo, clique em Não definido.
Observação: sua unidade organizacional principal sempre está presente na lista de atribuição de perfil, mesmo que o perfil esteja definido como "Nenhum".
Consulte também
- Configurações e manutenção opcionais do SSO
- Resolver problemas no SSO
- Aprovação de outra parte para ações sensíveis
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.
