Stai pianificando la tua strategia di ritorno al lavoro in ufficio? Scopri come Chrome OS può aiutarti.

Configurare il provisioning di utenti e SSO tra Microsoft Azure e ChromeOS

In qualità di amministratore, puoi configurare il provisioning di utenti e Single Sign-On (SSO) tra un tenant Microsoft Azure Active Directory (AD) e il tuo account Google Workspace o Cloud Identity. Quindi, i tuoi utenti potranno accedere a una pagina di autenticazione di Azure anziché alla schermata di accesso di Google sui propri dispositivi ChromeOS.

Il supporto del servizio SSO (Single Sign-On) basato sullo standard SAML (Security Assertion Markup Language) sui dispositivi ChromeOS consente agli utenti di accedere a un dispositivo con gli stessi meccanismi di autenticazione utilizzati nel resto dell'organizzazione. Le loro password possono rimanere all'interno dell'IdP (provider di identità) della tua organizzazione. La modalità di accesso è molto simile all'accesso a un account Google Workspace da un browser tramite il servizio SSO basato su SAML. Tuttavia, poiché un utente esegue l'accesso a un dispositivo, esistono alcune altre considerazioni da fare.

Prima di iniziare

  • Il tuo dominio è configurato in Azure e Google (Workspace o Cloud Identity).
  • I nomi degli account utente sono gli stessi per Azure e Google. La directory di Azure contiene il tuo dominio come sottodominio registrato.
  • Questi passaggi non richiedono una federazione locale, ad esempio ADFS (Active Directory Federation Services). Tuttavia, fanno affidamento sul servizio equivalente basato su cloud in bundle con il livello gratuito di Azure AD.

Procedura

Passaggio 1: crea l'applicazione aziendale
  1. Accedi al portale di Azure Active Directory.
  2. Nella casella di ricerca in alto, inserisci applicazione aziendale e selezionala dall'elenco dei risultati di ricerca.
  3. Nella parte superiore del riquadro delle applicazioni aziendali, fai clic su Nuova applicazione.
  4. In Cloud Platform, fai clic su Google Cloud Platform.
  5. Fai clic su Google Cloud/G Suite Connector by Microsoft.
  6. Per il nome, inserisci Google Cloud/G Suite Connector by Microsoft.
  7. Fai clic su Crea.
Passaggio 2: assegna un utente specifico alla tua applicazione aziendale

Sempre nel portale di Azure Active Directory:

  1. A sinistra, in Gestisci, fai clic su Utenti e gruppi. In alternativa, nella sezione Introduzione della Pagina Panoramica, fai clic su Assegna utenti e gruppi.
  2. Nella parte superiore del riquadro Utenti e gruppi, fai clic su Aggiungi utente/gruppo.
  3. Nel riquadro Aggiungi assegnazione a sinistra, in Utenti, fai clic su Nessuna selezione.
  4. Nel riquadro Utenti, seleziona l'utente che ti interessa.
  5. Fai clic su Seleziona.
  6. Nel riquadro Aggiungi assegnazione, fai clic su Assegna.
Passaggio 3: configura il servizio SSO con SAML

Sempre nel portale di Azure Active Directory:

  1. A sinistra, in Gestisci, fai clic su Single Sign-On.
  2. Seleziona un metodo Single Sign-On. Fai clic su SAML.
  3. Nella pagina di accesso basata su SAML, vai a Configurazione di base SAML.
  4. Fai clic su Modifica.
  5. Configura l'identificatore (ID entità). Aggiungi gli URL:
    • google.com/a/iltuodominio.com
    • https://google.com/a/iltuodominio.com
  6. Configura l'URL di risposta (URL Assertion Consumer Service):
    1. Aggiungi gli URL:
      • https://www.google.com/acs
      • https://www.google.com/a/iltuodominio.com/acs
    2. Imposta il valore predefinito:
      • Accanto a https://www.google.com/a/iltuodominio.com/acs, seleziona la casella Predefinito.
  7. Configura l'URL di Sign-on. Aggiungi URL:
    • https://www.google.com/a/iltuodominio.com/ServiceLogin?continue=https://mail.google.com
  8. Fai clic su Salva.
  9. Scarica la versione Base64 del certificato:
    1. Sempre nella pagina Sign-on basato su SAML, vai a Certificato di firma SAML.
    2. Accanto a Certificato (Base64), fai clic su Scarica.
  10. Raccogli le informazioni necessarie per configurare Google Cloud/G Suite Connector by Microsoft per il collegamento con Azure AD:
    1. Sempre nella pagina Sign-on basato su SAML, vai a Configura Google Cloud/G Suite Connector by Microsoft.
    2. Copia gli URL:
      • URL di accesso: la pagina da cui gli utenti accedono al sistema e a Google Workspace.
      • URL di uscita: la pagina a cui gli utenti vengono reindirizzati dopo la disconnessione.
Passaggio 4: configura il servizio SSO di Azure

Configurare impostazioni IdP di terze parti

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2.  Nella Console di amministrazione, vai al Menu ""e poi"" Sicurezzae poiPanoramica.
  3. Fai clic su Configura il Single Sign-On (SSO) con un provider di identità di terze parti.
  4. Fai clic su Aggiungi profilo SSO.
  5. Seleziona la casella Configura SSO con provider di identità di terze parti.
  6. Inserisci gli URL dell'IdP di terze parti:
    1. URL della pagina di accesso: incolla l'URL di accesso che hai copiato nel passaggio 3 descritto sopra.
    2. URL della pagina di disconnessione: incolla l'URL di uscita che hai copiato nel passaggio 3 descritto sopra.
      Nota: gli URL devono utilizzare HTTPS.
  7. Fai clic su Sostituisci certificato.
  8. Seleziona il file che vuoi utilizzare e fai clic su Apri.
  9. Fai clic sulla casella Utilizza una società di emissione di domini specifica.
  10. Per cambiare l'URL della password, inserisci l'URL:
    • https://account.activedirectory.windowsazure.com/changepassword.aspx
  11. Fai clic su Salva.

Configurare le impostazioni utente

Sempre nella Console di amministrazione:

  1. Nella Home page della Console di amministrazione, vai a Dispositivie poiGestione di Chrome.
  2. Fai clic su ImpostazioniquindiUtenti e browser.
  3. Per applicare l'impostazione a tutti gli utenti e ai browser registrati, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria.
  4. Vai a Sicurezza.
  5. Per il Single Sign-On, seleziona Attiva il servizio Single Sign-On basato su SAML per dispositivi Chrome.
  6. (Facoltativo) Per la frequenza di accesso Single Sign-On SAML, inserisci un valore inferiore a quello della data di scadenza della password. Per informazioni dettagliate sull'impostazione, vedi Impostare i criteri di Chrome per utenti o browser.
  7. Fai clic su Salva.

Configurare le impostazioni dispositivo

Sempre nella Console di amministrazione:

  1. Nella parte superiore della pagina, fai clic su Impostazioni dispositivo. In alternativa, dalla home page della Console di amministrazione, vai a DispositiviquindiChromequindiImpostazioniquindiDispositivo.
  2. Per applicare l'impostazione a tutti gli utenti e ai browser registrati, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria.
  3. Vai a Impostazioni di accesso.
  4. Per il reindirizzamento all'IdP Single Sign-On, seleziona Consenti agli utenti di andare direttamente alla pagina del provider di identità che utilizza il servizio SSO basato su SAML. Per maggiori dettagli sulla configurazione, vedi Configurare i criteri relativi ai dispositivi Chrome.
  5. Per il comportamento dei cookie Single Sign-On, seleziona Attiva trasferimento dei cookie SSO SAML nella sessione utente durante l'accesso. Per maggiori dettagli sulla configurazione, vedi Configurare i criteri relativi ai dispositivi Chrome.
  6. Fai clic su Salva.
Passaggio 5: testa i dispositivi ChromeOS
  1. Attiva un dispositivo ChromeOS gestito.
  2. Nella pagina Accedi al tuo Chromebook, fai clic su Avanti.
  3. Nella pagina di accesso di Microsoft, inserisci il tuo nome utente di AD.
  4. Tocca Avanti.
  5. Inserisci la password.
  6. Fai clic su Accedi.
  7. Per mantenere l'accesso ed entrare nella sessione utente, fai clic su .
Passaggio 6: configura il provisioning degli utenti di Azure AD

Quando hai eseguito la registrazione a Cloud Identity o Google Workspace, hai creato un account super amministratore. Sebbene possa essere utilizzato per Azure AD, è consigliabile creare un account super amministratore separato, utilizzato esclusivamente da Azure AD.

Creare utente

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu ""e poi"" Directorye poiUtenti.
  3. Nella parte superiore della pagina, fai clic su Aggiungi nuovo utente.

    Nella parte superiore della tabella degli utenti viene selezionata la voce "Aggiungi nuovo utente".

  4. Inserisci i dati dell'account. Per informazioni dettagliate, vedi Aggiungere un account per un nuovo utente.
  5. Fai clic su Aggiungi nuovo utente.
  6. Per completare l'aggiunta del nuovo utente, fai clic su Fine.

Impostare un utente come super amministratore

Sempre nella Console di amministrazione:

  1. Nella Console di amministrazione, vai a Menu ""e poi"" Directorye poiUtenti.
  2. Nell'elenco Utenti, individua il nuovo utente appena creato.
  3. Fai clic sul nome dell'utente per aprire la pagina del suo account.
  4. Fai clic su Ruoli e privilegi di amministratore.

    Indica il link per passare a Ruoli amministrativi

  5. Fai clic su Assegna ruoli.
  6. Accanto al ruolo Super amministratore, fai clic sul dispositivo di scorrimento in modo che il ruolo sia contrassegnato come Assegnato"".
  7. Fai clic su Salva.
    Suggerimento: chiedi al nuovo amministratore di aggiungere opzioni di recupero al proprio account.

In genere l'utente diventa un amministratore a tutti gli effetti entro pochi minuti, ma l'operazione può richiedere fino a 24 ore.

Gestire il provisioning degli account utente

  1. Accedi al portale di Azure Active Directory.
  2. Nella casella di ricerca in alto, inserisci applicazione aziendale e selezionala dall'elenco dei risultati di ricerca.
  3. Cerca e fai clic su Google Cloud/G Suite Connector by Microsoft.
  4. A sinistra, in Gestisci, fai clic su Provisioning.
  5. Fai clic su Inizia.
  6. Per la modalità di provisioning, seleziona Automatica.
  7. Fai clic su Credenziali dell'amministratore.
  8. Fai clic su Autorizza.
  9. Accedi utilizzando il nuovo account super amministratore che hai appena creato.
  10. Fai clic su Consenti per confermare l'accesso all'API Cloud Identity.
  11. Nella sezione Credenziali amministratore, fai clic su Verifica connessione. Vedrai un messaggio che indica se hai l'autorizzazione ad attivare il provisioning.
  12. (Facoltativo) In Mappature, configura il provisioning degli utenti o dei gruppi. Ti consigliamo di utilizzare l'impostazione predefinita.
  13. Fai clic su Salva.
  14. Nella parte superiore della pagina Provisioning, fai clic su Avvia provisioning.
  15. Attendi il termine della sincronizzazione.

Argomenti correlati

Google e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?
Come possiamo migliorare l'articolo?
true
Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale
Cerca nel Centro assistenza
true
true
false
true
true
410864
false
false