Você pode configurar o SSO com o Google como seu provedor de serviços de diversas formas, dependendo das necessidades da sua organização. Com os perfis de SSO, que contêm as configurações do seu IdP, você tem flexibilidade para aplicar configurações de SSO diferentes a usuários na sua organização.
O Google Workspace suporta protocolos de SSO baseados em SAML e OIDC:
Se todos os usuários fizerem login usando um IdP com SAML
- Siga as etapas em Configurar um perfil de SSO para sua organização.
- Se você quiser impedir que alguns usuários usem o SSO (e fazê-los se logarem diretamente no Google), siga as etapas em Decidir quais usuários devem usar o SSO, onde você pode atribuir "Nenhum" para Perfil de SSO.
Se você usa vários IdPs para seus usuários ou o OIDC:
As etapas que você seguirá vão depender do protocolo usado pelo seu IdP (SAML ou OIDC):
- SAML
- Siga as etapas abaixo para criar perfis de SSO para cada IdP.
- Decidir quais usuários devem usar o SSO.
- OIDC
- Verifique se você configurou os seguintes pré-requisitos para o OIDC no locatário do Azure AD da sua organização:
- O locatário do Azure AD precisa ter o domínio verificado.
- Os usuários finais precisam ter licenças do Microsoft 365.
- Siga as etapas em Decidir quais usuários devem usar o SSO para atribuir o perfil do OIDC pré-configurado a unidades organizacionais/grupos selecionados.
Observação: no momento, a interface de linha de comando do Google Cloud não é compatível com a reautenticação com o OIDC.
- Verifique se você configurou os seguintes pré-requisitos para o OIDC no locatário do Azure AD da sua organização:
-
Se você tiver usuários em uma unidade organizacional (por exemplo, em uma subunidade organizacional) que não precisem de SSO, também poderá usar atribuições para desativar o SSO para esses usuários.
Caso seus usuários utilizem URLs de serviço específicos do domínio para acessar os serviços do Google (por exemplo, https://mail.google.com/a/example.com), você também poderá gerenciar como esses URLs funcionam com o SSO.
Antes de começar
Para criar um perfil de SSO via SAML, você precisará de uma configuração básica da equipe de suporte ou da documentação do IdP:
- URL da página de login: também conhecido como URL de SSO ou endpoint SAML 2.0 (HTTP). Os usuários fazem login no seu IdP.
- URL da página de saída: é a página de destino que o usuário acessa depois de sair do Google app ou serviço.
- Certificado PEM X.509 do seu IdP. Para mais informações sobre os certificados X.509, consulte Chave SAML e certificado de verificação.
- URL para alteração de senha: a página que os usuários do SSO acessam para alterar a senha (em vez de alterar a senha no Google).
Configurar o perfil de SSO da organização
Use esta opção se todos os seus usuários que utilizam o SSO utilizarem um IdP.
-
-
No Admin Console, acesse Menu SegurançaAutenticaçãoSSO com IdP de terceiros.
- Em Perfil de SSO de terceiros para sua organização, clique em Adicionar perfil de SSO.
- Marque a caixa Configurar SSO com o provedor de identidade terceirizado.
Preencha as seguintes informações sobre seu IdP:
- Digite o URL da página de login e o URL da página de saída do IdP.
Observação: todos os URLs precisam ser digitados e usar HTTPS, por exemplo, https://sso.example.com.
- Clique em Fazer upload do certificado, localize e faça o upload do certificado X.509 fornecido pelo seu IdP. Para informações sobre como gerar um certificado, consulte Chave SAML e certificado de verificação.
- Escolha se você quer usar um emissor específico de domínio na solicitação SAML do Google.
Se você tiver vários domínios usando SSO com seu IdP, use um emissor específico do domínio para identificar o domínio correto que está emitindo a solicitação SAML.
- Marcado: o Google envia um emissor específico para seu domínio: google.com/a/example.com (onde example.com é seu nome de domínio principal do Google Workspace).
- Desmarcado: o Google envia o emissor padrão na solicitação SAML, google.com.
- (Opcional) Para aplicar o SSO a um conjunto de usuários em intervalos de endereços IP específicos, insira uma máscara de rede. Para mais informações, consulte Resultados do mapeamento de rede.
Observação: você também pode configurar o SSO parcial atribuindo o perfil de SSO a unidades organizacionais ou grupos específicos.
- Digite um URL para alteração de senha para seu IdP. Os usuários acessarão esse URL (em vez da página de alteração de senha do Google) para redefinir a senha.
Observação: se você digitar um URL aqui, os usuários serão direcionados para esta página, mesmo que o SSO não esteja ativado na sua organização.
Desativar o SSO para todos os usuários
Se você precisar desativar a autenticação de terceiros para todos os usuários sem alterar a atribuição do perfil de SSO nas unidades organizacionais ou nos grupos, desative o perfil de SSO de terceiros:
- Desmarque a opção Configurar SSO com o provedor de identidade terceirizado.
- Clique em Salvar.
Criar um perfil de SSO via SAML
Siga estas etapas para criar um perfil de SSO de terceiros. É possível criar até mil perfis na sua organização.
-
-
No Admin Console, acesse Menu SegurançaAutenticaçãoSSO com IdP de terceiros.
- Em Perfis de SSO de terceiros, clique em Adicionar perfil de SAML.
- Insira um nome para o perfil.
- Preencha o URL da página de login e outras informações coletadas do seu IdP.
- Digite um URL para alteração de senha para seu IdP. Os usuários acessarão esse URL (em vez da página de alteração de senha do Google) para redefinir a senha.
- Clique em Fazer upload do certificado, localize e faça upload do arquivo de certificado. Para informações sobre como gerar um certificado, consulte Chave SAML e certificado de verificação.
- Clique em Salvar.
- Na seção Detalhes do provedor de serviço, copie e salve o ID da entidade e o URL do ACS. Você vai precisar desses valores para configurar o SSO com o Google no painel de controle do administrador do IdP.
- (Opcional) Se o IdP tiver suporte para declarações de criptografia, você vai poder gerar e compartilhar um certificado com o IdP para ativar a criptografia. Cada perfil de SSO SAML pode ter até dois certificados de SP.
- Clique na seção Detalhes do SP para entrar no modo de edição.
- Em Certificado de SP, clique em Gerar certificado. O certificado vai ser mostrado depois de salvo.
- Clique em Salvar. Serão mostrados o nome, a data de validade e o conteúdo do certificado.
- Use os botões acima para copiar o conteúdo ou fazer o download do certificado como um arquivo e compartilhar o certificado com o IdP.
- (Opcional) Se você precisar rotacionar um certificado, volte para "Detalhes do SP" e clique em Gerar outro certificado. Depois, compartilhe o novo certificado com seu IdP. Depois de confirmar que seu IdP está usando o novo certificado, exclua o original.
Decidir quais usuários devem usar o SSO
Ative o SSO para uma unidade organizacional ou um grupo atribuindo um perfil de SSO e o IdP associado a ele. Ou desative o SSO atribuindo "Nenhum" ao perfil de SSO. Também é possível aplicar uma política de SSO mista em uma unidade organizacional ou um grupo, como ao ativar o SSO para a unidade organizacional como um todo e desativá-lo em uma subunidade organizacional.
- Clique em Gerenciar atribuições do perfil de SSO.
- Se você estiver atribuindo o perfil de SSO pela primeira vez, clique em "Primeiros passos". Caso contrário, clique em Gerenciar.
- À esquerda, selecione a unidade organizacional ou o grupo a que você está atribuindo o perfil de SSO.
- Se a atribuição do perfil de SSO a uma unidade organizacional ou um grupo for diferente da atribuição de perfil a todo o domínio, um aviso de modificação aparecerá quando você selecionar a unidade organizacional ou o grupo.
- Não é possível atribuir o perfil de SSO por usuário. Você pode verificar a configuração de um usuário específico na visualização de Usuários.
- Escolha uma atribuição de perfil de SSO para a unidade organizacional ou o grupo selecionados:
- Para excluir a unidade organizacional ou o grupo do SSO, escolha Nenhum. Os usuários na unidade organizacional ou no grupo farão login diretamente no Google.
- Para atribuir outro IdP à unidade organizacional ou ao grupo, escolha Outro perfil de SSO e selecione o perfil de SSO na lista suspensa.
- (Somente perfis SAML) Depois de selecionar um perfil SAML, escolha uma opção de login para usuários que acessam diretamente um serviço do Google sem primeiro fazer login no IdP de terceiros do perfil de SSO. Você pode solicitar o nome de usuário do Google e redirecioná-lo para o IdP ou exigir que ele digite o nome de usuário e a senha do Google.
Observação: se você solicitar que os usuários digitem o nome de usuário e a senha do Google, a configuração Alterar URL da senha para esse perfil de SSO SAML (disponível em "Perfil SSO" > "Detalhes do IdP") é ignorado. Isso garante que os usuários possam alterar as senhas do Google conforme necessário.
- (Somente perfil do SSO do Microsoft OIDC) Digite a senha da sua conta da Microsoft e clique em Fazer login para verificar a configuração do SSO da Microsoft.
Se você é um administrador da organização do Azure AD, tem a opção de aceitar o consentimento em nome da organização. Isso significa que os usuários finais não precisam dar consentimento do OAuth.
- Clique em Salvar.
- Atribua perfis de SSO a outras unidades organizacionais ou grupos conforme necessário.
Depois que você fechar o card Gerenciar atribuições do perfil de SSO, serão mostradas as atribuições atualizadas para unidades organizacionais e grupos na seção Gerenciar atribuições do perfil de SSO.
Remover um item da lista de atribuições do perfil de SSO
- Clique no nome de um grupo ou de uma unidade organizacional para abrir as configurações de atribuição do perfil.
- Substitua a configuração de atribuição atual pela configuração da unidade organizacional mãe:
- Para atribuições de unidades organizacionais, clique em Herdar.
- Para atividades em grupo, clique em Não definido.
- Para atribuições de UO raiz, defina a atribuição como Nenhuma (ou o perfil de SSO de terceiros da organização) se quiser usar o perfil de SSO de terceiros na organização.
Gerenciar URLs de serviço específicos do domínio
A configuração URLs de serviço específicos do domínio permite controlar o que acontece quando os usuários fazem login com URLs de serviço como https://mail.google.com/a/example.com. Há duas opções:
- Direcione os usuários ao IdP de terceiros. Escolha esta opção para sempre direcionar esses usuários para o IdP de terceiros que você selecionar na lista suspensa do perfil de SSO. Pode ser o perfil de SSO da organização ou outro perfil de terceiros (se você tiver adicionado um).
Importante: se você tiver unidades organizacionais ou grupos que não usam o SSO, não escolha essa configuração. Os usuários que não usam o SSO serão direcionados automaticamente para o IdP e não poderão fazer login.
- Exigir que os usuários digitem o nome de usuário na página de login do Google. Com essa opção, primeiro os usuários que digitam URLs específicos do domínio são enviados à página de login do Google. Se eles forem usuários do SSO, serão redirecionados para a página de login do IdP.