Notifica

Stai pianificando la tua strategia di ritorno al lavoro in ufficio? Scopri come Chrome OS può aiutarti.

Configurare l'accesso SSO e il provisioning degli utenti tra Microsoft Entra ID e ChromeOS

In qualità di amministratore, puoi configurare il provisioning degli utenti e il Single Sign-On (SSO) tra un tenant di Microsoft Entra ID e il tuo account Google Workspace o Cloud Identity. Quindi, gli utenti possono accedere a una pagina di autenticazione Microsoft Entra ID anziché alla schermata di accesso con Google sui loro dispositivi ChromeOS.

Il supporto del servizio SSO (Single Sign-On) basato sullo standard SAML (Security Assertion Markup Language) sui dispositivi ChromeOS consente agli utenti di accedere a un dispositivo con gli stessi meccanismi di autenticazione utilizzati nel resto dell'organizzazione. Le loro password possono rimanere all'interno dell'IdP (provider di identità) della tua organizzazione. La modalità di accesso è molto simile all'accesso a un account Google Workspace da un browser tramite il servizio SSO basato su SAML. Tuttavia, poiché un utente esegue l'accesso a un dispositivo, esistono alcune altre considerazioni da fare.

Prima di iniziare

  • Il tuo dominio è configurato in Microsoft Entra ID e Google (Workspace o Cloud Identity).
  • I nomi degli account utente sono gli stessi per Microsoft Entra ID e per Google. La directory Microsoft Entra ID contiene il tuo dominio come sottodominio registrato.
  • Questi passaggi non richiedono una federazione locale, ad esempio Active Directory Federation Services (ADFS). Tuttavia, si affidano al servizio basato su cloud equivalente in bundle con il livello gratuito Microsoft Entra ID.

Procedura

Passaggio 1: crea un'applicazione aziendale
  1. Accedi al portale di Microsoft Azure.
  2. Nella casella di ricerca in alto, inserisci applicazione aziendale e selezionala dall'elenco dei risultati di ricerca.
  3. Nella parte superiore del riquadro delle applicazioni aziendali, fai clic su Nuova applicazione.
  4. In Cloud platforms (Piattaforme cloud), fai clic su Google Cloud Platform (Piattaforma Google Cloud).
  5. Fai clic su Google Cloud/G Suite Connector by Microsoft (Connettore Google Cloud/G Suite di Microsoft).
  6. Per il nome, inserisci Google Cloud/G Suite Connector by Microsoft.
  7. Fai clic su Crea.
Passaggio 2: assegna un utente specifico all'applicazione aziendale

Sempre nel portale Microsoft Azure:

  1. A sinistra, in Manage (Gestisci), fai clic su Users and groups (Utenti e gruppi). In alternativa, nella pagina Overview (Panoramica), in Getting started (Introduzione), fai clic su Assign users and groups (Assegna utenti e gruppi).
  2. Nella parte superiore del riquadro Users and groups (Utenti e gruppi), fai clic su Add user/group (Aggiungi utente/gruppo).
  3. Nel riquadro Aggiungi assegnazione a sinistra, in Utenti, fai clic su Nessuna selezione.
  4. Nel riquadro Users (Utenti), seleziona l'utente desiderato.
  5. Fai clic su Seleziona.
  6. Nel riquadro Add Assignment (Aggiungi compito), fai clic su Assign (Assegna).
Passaggio 3: configura il servizio SSO con SAML

Sempre nel portale Microsoft Azure:

  1. A sinistra, in Manage (Gestisci), fai clic su Single Sign-On.
  2. Seleziona un metodo Single Sign-On. Fai clic su SAML.
  3. Nella pagina dell'accesso basato su SAML, vai a Basic SAML Configuration (Configurazione SAML di base).
  4. Fai clic su Modifica.
  5. Configura l'identificatore (ID entità). Aggiungi URL:
    • google.com/a/iltuodominio.com
    • https://google.com/a/iltuodominio.com
  6. Configura l'URL di risposta (URL Assertion Consumer Service):
    1. Aggiungi gli URL:
      • https://www.google.com/acs
      • https://www.google.com/a/iltuodominio.com/acs
    2. Imposta il valore predefinito:
      • Accanto a https://www.google.com/a/iltuodominio.com/acs, seleziona la casella Predefinito.
  7. Configura l'URL di Sign-on. Aggiungi URL:
    • https://www.google.com/a/iltuodominio.com/ServiceLogin?continue=https://mail.google.com
  8. Fai clic su Salva.
  9. Scarica la versione Base64 del certificato:
    1. Sempre nella pagina Sign-on basato su SAML, vai a Certificato di firma SAML.
    2. Accanto a Certificate (Certificato) (Base64), fai clic su Download (Scarica).
  10. Raccogli le informazioni necessarie per configurare l'applicazione Google Cloud/G Suite Connector by Microsoft per il collegamento con Microsoft Entra ID:
    1. Sempre nella pagina Sign-on basato su SAML, vai a Configura Google Cloud/G Suite Connector by Microsoft.
    2. Copia gli URL:
      • Login URL (URL di accesso): la pagina da cui gli utenti accedono al sistema e a Google Workspace.
      • URL di uscita: la pagina a cui gli utenti vengono reindirizzati dopo la disconnessione.
Passaggio 4: configura l'accesso SSO per Microsoft Entra

Configurare impostazioni IdP di terze parti

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2.  Nella Console di amministrazione, vai al Menu e poi Sicurezzae poiPanoramica.
  3. Fai clic su Configura il Single Sign-On (SSO) con un provider di identità di terze parti.
  4. Fai clic su Aggiungi profilo SSO.
  5. Seleziona la casella Configura SSO con provider di identità di terze parti.
  6. Inserisci gli URL dell'IdP di terze parti:
    1. URL della pagina di accesso: incolla l'URL di accesso che hai copiato nel passaggio 3 descritto sopra.
    2. URL della pagina di disconnessione: incolla l'URL di uscita che hai copiato nel passaggio 3 descritto sopra.
      Nota: gli URL devono utilizzare HTTPS.
  7. Fai clic su Replace certificate (Sostituisci certificato).
  8. Seleziona il file che vuoi utilizzare e fai clic su Open (Apri).
  9. Fai clic sulla casella Use a domain specific issuer (Utilizza un'autorità emittente specifica per il dominio).
  10. In Change password URL (URL per la modifica della password), inserisci l'URL:
    • https://account.activedirectory.windowsazure.com/changepassword.aspx
  11. Fai clic su Salva.

Configurare le impostazioni utente

Sempre nella Console di amministrazione:

  1. Nella Console di amministrazione, vai a Menu e poi Dispositivie poiChromee poiImpostazioni. Per impostazione predefinita si apre la pagina Impostazioni browser e utente.

    Se hai eseguito la registrazione a Chrome Browser Cloud Management, vai a Menu e poi Browser Chromee poiImpostazioni.

  2. Per applicare l'impostazione a tutti gli utenti e ai browser registrati, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria.
  3. Vai a Sicurezza.
  4. Per il Single Sign-On, seleziona Attiva il servizio Single Sign-On basato su SAML per dispositivi Chrome.
  5. (Facoltativo) Per la frequenza di accesso Single Sign-On SAML, inserisci un valore inferiore a quello della scadenza della password. Per maggiori dettagli sull'impostazione, vedi Impostare i criteri di Chrome per utenti o browser.
  6. Fai clic su Salva.

Configurare le impostazioni dispositivo

Sempre nella Console di amministrazione:

  1. Nella parte superiore della pagina, fai clic su Impostazioni dispositivo. In alternativa, dalla home page della Console di amministrazione, vai a DispositiviquindiChromequindiImpostazioniquindiDispositivo.
  2. Per applicare l'impostazione a tutti gli utenti e ai browser registrati, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria.
  3. Vai a Impostazioni di accesso.
  4. Per il reindirizzamento all'IdP SSO, seleziona Consenti agli utenti di andare direttamente alla pagina del provider di identità che utilizza il servizio SSO basato su SAML. Per maggiori dettagli sull'impostazione, vedi Configurare i criteri relativi ai dispositivi Chrome.
  5. Per il comportamento dei cookie Single Sign-On, seleziona Attiva trasferimento dei cookie SSO SAML nella sessione utente durante l'accesso. Per maggiori dettagli sull'impostazione, vedi Configurare i criteri relativi ai dispositivi Chrome.
  6. Fai clic su Salva.
Passaggio 5: testa i dispositivi ChromeOS
  1. Attiva un dispositivo ChromeOS gestito.
  2. Nella pagina Accedi a Chromebook, fai clic su Avanti.
  3. Nella pagina di accesso di Microsoft, inserisci il nome utente AD.
  4. Tocca Avanti.
  5. Inserisci la password.
  6. Fai clic su Accedi.
  7. Per mantenere l'accesso ed entrare nella sessione utente, fai clic su .
Passaggio 6: configura il provisioning degli utenti di Microsoft Entra ID

Quando hai effettuato la registrazione a Cloud Identity o Google Workspace, hai creato un account super amministratore. Anche se puoi utilizzarlo per Microsoft Entra ID, ti consigliamo di creare un account super amministratore separato che venga utilizzato esclusivamente da Microsoft Entra ID.

Crea utente

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Directorye poiUtenti.
  3. Nella parte superiore della pagina, fai clic su Aggiungi nuovo utente.

    Nella parte superiore della tabella degli utenti viene selezionata la voce "Aggiungi nuovo utente".

  4. Inserisci i dati dell'account. Per i dettagli, vedi Aggiungere un account per un nuovo utente.
  5. Fai clic su Aggiungi nuovo utente.
  6. Per completare l'aggiunta del nuovo utente, fai clic su Fine.

Impostare l'utente come super amministratore

Sempre nella Console di amministrazione:

  1. Nella Console di amministrazione, vai a Menu e poi Directorye poiUtenti.
  2. Nell'elenco Utenti, individua il nuovo utente che hai appena creato.
  3. Fai clic sul nome dell'utente per aprire la pagina del suo account.
  4. Fai clic su Ruoli e privilegi di amministratore.

    Indica il link per passare a Ruoli amministrativi.

  5. Fai clic su Assegna ruoli.
  6. Accanto al ruolo Super amministratore, fai clic sul dispositivo di scorrimento in modo che il ruolo sia contrassegnato come Assegnato.
  7. Fai clic su Salva.
    Suggerimento: chiedi al nuovo amministratore di aggiungere opzioni di recupero al proprio account.

In genere l'utente diventa un amministratore a tutti gli effetti entro pochi minuti, ma l'operazione può richiedere fino a 24 ore.

Gestire il provisioning degli account utente

  1. Accedi al portale di Microsoft Azure.
  2. Nella casella di ricerca in alto, inserisci applicazione aziendale e selezionala dall'elenco dei risultati di ricerca.
  3. Cerca e fai clic su Google Cloud/G Suite Connector by Microsoft.
  4. A sinistra, in Manage (Gestisci), fai clic su Provisioning.
  5. Fai clic su Inizia.
  6. Per la modalità di provisioning, seleziona Automatic (Automatico).
  7. Fai clic su Admin Credentials (Credenziali di amministrazione).
  8. Fai clic su Autorizza.
  9. Accedi utilizzando il nuovo account super amministratore che hai appena creato.
  10. Fai clic su Allow (Consenti) per confermare l'accesso all'API Cloud Identity.
  11. In Credenziali amministratore, fai clic su Verifica connessione. Verrà visualizzato un messaggio che indica se hai l'autorizzazione per abilitare il provisioning.
  12. (Facoltativo) In Mappings (Mappature), configura il provisioning di utenti o gruppi. Ti consigliamo di utilizzare l'impostazione predefinita.
  13. Fai clic su Salva.
  14. Nella parte superiore della pagina Provisioning, fai clic su Avvia provisioning.
  15. Attendi il completamento della sincronizzazione.

Argomenti correlati

Google e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?

Come possiamo migliorare l'articolo?
true
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
48345368938552585
true
Cerca nel Centro assistenza
true
true
true
true
true
410864
false
false