Jako administrator możesz skonfigurować obsługę administracyjną użytkowników i logowanie jednokrotne między najemcą Microsoft Entra ID a kontem Google Workspace lub Cloud Identity. Dzięki temu Twoi użytkownicy będą mogli logować się na stronie uwierzytelniania w Microsoft Entra ID, a nie na ekranie logowania przez Google na urządzeniach z ChromeOS.
Urządzenia z ChromeOS obsługują logowanie jednokrotne przez SAML (Security Assertion Markup Language), dzięki czemu użytkownicy mogą logować się na urządzeniach przy użyciu tego samego mechanizmu uwierzytelniania, który jest używany w całej organizacji. Hasła użytkowników mogą pozostać w posiadaniu dostawcy tożsamości w organizacji. Proces logowania przypomina logowanie się na konto Google Workspace w przeglądarce przy użyciu logowania jednokrotnego przez SAML. Różnica polega jednak na tym, że użytkownik loguje się na urządzenie, dlatego trzeba wziąć pod uwagę dodatkowe kwestie.
Zanim zaczniesz
- Twoja domena jest skonfigurowana w Microsoft Entra ID i Google (Workspace lub Cloud Identity).
- Nazwy kont użytkowników są takie same w Microsoft Entra ID i Google. Katalog Microsoft Entra ID przechowuje Twoją domenę jako zarejestrowaną subdomenę.
- Te kroki nie wymagają lokalnej federacji, takiej jak usługi Active Directory Federation (ADFS). Zależą one jednak od podobnej usługi w chmurze połączonej z bezpłatnym abonamentem Microsoft Entra ID.
Instrukcje
- Zaloguj się w portalu Microsoft Azure.
- W polu wyszukiwania u góry strony wpisz aplikacja firmowa i wybierz ją z listy wyników wyszukiwania.
- U góry panelu Enterprise applications (Aplikacje firmowe) kliknij New application (Nowa aplikacja).
- W sekcji Cloud platforms (Platformy w chmurze) kliknij Google Cloud Platform.
- Kliknij Google Cloud/G Suite Connector firmy Microsoft.
- W polu Name (Nazwa) wpisz Google Cloud/G Suite Connector by Microsoft.
- Kliknij Utwórz.
Będąc w portalu Microsoft Azure:
- Po lewej stronie w sekcji Manage (Zarządzaj) kliknij Users and groups (Użytkownicy i grupy). Możesz też kliknąć Assign users and groups (Przypisz użytkowników i grupy) w sekcji Getting started (Pierwsze kroki) na stronie przeglądu.
- U góry panelu Users and groups (Użytkownicy i grupy) kliknij Add user/group (Dodaj użytkownika/grupę).
- W panelu Add Assignment (Dodaj przypisanie) po lewej stronie w sekcji Users (Użytkownicy) kliknij None selected (Nic nie wybrano).
- W panelu (Users) Użytkownicy wybierz odpowiedniego użytkownika.
- Kliknij Wybierz.
- W panelu Add Assignment (Dodaj przypisanie) kliknij Assign (Przypisz).
Będąc w portalu Microsoft Azure:
- Po lewej stronie w sekcji Manage (Zarządzaj) kliknij Single sign-on (Logowanie jednokrotne).
- Wybierz metodę logowania jednokrotnego. Kliknij SAML.
- Na stronie logowania jednokrotnego opartego na SAML otwórz Basic SAML Configuration (Podstawowa konfiguracja SAML).
- Kliknij Edytuj.
- Skonfiguruj identyfikator (jednostki). Dodaj URL-e:
- google.com/a/twoja-domena.com
- https://google.com/a/twoja-domena.com
- Skonfiguruj adres URL odpowiedzi (Assertion Consumer Service URL, URL usługi konsumenta potwierdzenia):
- Dodaj URL-e:
- https://www.google.com/acs
- https://www.google.com/a/twoja-domena.com/acs
- Ustaw wartość domyślną:
- Obokhttps://www.google.com/a/twoja-domena.com/acs, zaznacz pole Default (Domyślnie).
- Dodaj URL-e:
- Skonfiguruj URL logowania. Dodaj adres URL:
- https://www.google.com/a/twoja-domena.com/ServiceLogin?continue=https://mail.google.com
- Kliknij Zapisz.
- Pobierz wersję Base64 certyfikatu:
- Na stronie logowania jednokrotnego opartego na SAML otwórz SAML Signing Certificate (Certyfikat do podpisywania SAML).
- Obok opcji Certificate (Base64) Certyfikat (Base64 )kliknij Downlad (Pobierz).
- Zbierz informacje potrzebne do skonfigurowania połączenia aplikacji Google Cloud / G Suite Connector by Microsoft z Microsoft Entra ID:
- Pozostając na stronie logowania jednokrotnego opartego na SAML, przejdź do Set up Google Cloud / G Suite Connector by Microsoft (Skonfiguruj Google Cloud / G Suite Connector by Microsoft).
- Skopiuj adresy URL:
- Login URL (URL logowania) – strona, na której użytkownicy logują się w Twoim systemie i w Google Workspace.
- Logout URL (URL wylogowania)– strona, na którą użytkownicy są przekierowywani po wylogowaniu się.
Konfigurowanie ustawień zewnętrznego dostawcy tożsamości
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz Menu BezpieczeństwoPrzegląd.
- Kliknij Konfigurowanie logowania jednokrotnego (SSO) przy użyciu zewnętrznego dostawcy tożsamości.
- Kliknij Dodaj profil logowania jednokrotnego.
- Zaznacz pole Skonfiguruj jednokrotne logowanie przy użyciu zewnętrznego dostawcy tożsamości.
- Wpisz adresy URL zewnętrznych dostawców tożsamości:
- Kliknij Zamień certyfikat.
- Wybierz plik, którego chcesz użyć, i kliknij Otwórz.
- Kliknij pole Użyj wystawcy właściwego dla domeny.
- W polu Adres URL do zmiany hasła wpisz adres URL:
- https://account.activedirectory.windowsazure.com/changepassword.aspx
- Kliknij Zapisz.
Skonfiguruj ustawienia dotyczące użytkowników
W konsoli administracyjnej:
-
W konsoli administracyjnej kliknij Menu Urządzenia Chrome Ustawienia. Domyślnie otworzy się strona Ustawienia użytkownika i przeglądarki.
Jeśli korzystasz z zarządzania przeglądarką Chrome w chmurze, kliknij Menu Przeglądarka Chrome Ustawienia.
- Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
- Otwórz Zabezpieczenia.
- W przypadku logowania jednokrotnego wybierz Włącz logowanie jednokrotne oparte na protokole SAML dla urządzeń z Chrome.
- (Opcjonalnie) Jako częstotliwość logowania jednokrotnego przez SAML wpisz wartość mniejszą niż okres ważności hasła. Więcej informacji o tym ustawieniu znajdziesz w artykule Ustawianie zasad Chrome dotyczących użytkowników lub przeglądarek.
- Kliknij Zapisz.
Skonfiguruj ustawienia urządzeń
W konsoli administracyjnej:
- U góry strony kliknij Ustawienia urządzenia. Możesz też na stronie głównej w konsoli administracyjnej kliknąć Urządzenia Chrome Ustawienia Urządzenie.
- Aby zastosować to ustawienie do wszystkich użytkowników i zarejestrowanych przeglądarek, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
- Otwórz Ustawienia logowania.
- W sekcji Przekierowanie dostawcy tożsamości logowania jednokrotnego wybierz Zezwalaj użytkownikom na przechodzenie bezpośrednio na stronę dostawcy tożsamości logowania jednokrotnego przez SAML. Więcej informacji o tym ustawieniu znajdziesz w artykule Konfigurowanie zasad dotyczących urządzeń z Chrome.
- W sekcji Działanie plików cookie logowania jednokrotnego wybierz Włącz przenoszenie plików cookie jednokrotnego logowania się przez SAML do sesji użytkownika podczas logowania. Więcej informacji o tym ustawieniu znajdziesz w artykule Konfigurowanie zasad dotyczących urządzeń z Chrome.
- Kliknij Zapisz.
- Włącz zarządzane urządzenie z ChromeOS.
- Na stronie logowania się na Chromebooku kliknij Dalej.
- Na stronie logowania Microsoft wpisz nazwę użytkownika AD.
- Kliknij Next (Dalej).
- Wpisz hasło.
- Kliknij Zaloguj się.
- Aby pozostać zalogowanym i mieć dostęp do sesji użytkownika, kliknij Tak.
Podczas rejestracji w Cloud Identity lub Google Workspace utworzono konto superadministratora. Możesz go użyć w Microsoft Entra ID, ale zalecamy utworzenie oddzielnego konta superadministratora, które będzie używane tylko przez Microsoft Entra ID.
Utwórz użytkownika
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
- W konsoli administracyjnej otwórz Menu Katalog Użytkownicy.
- U góry strony kliknij Dodaj nowe konto użytkownika.
- Wpisz informacje o koncie. Więcej informacji znajdziesz w artykule na temat dodawania konta nowego użytkownika.
- Kliknij Dodaj nowe konto użytkownika.
- Aby zakończyć dodawanie nowego użytkownika, kliknij Gotowe.
Przypisywanie użytkownikowi roli superadministratora
W konsoli administracyjnej:
- W konsoli administracyjnej otwórz Menu Katalog Użytkownicy.
- Na liście użytkowników znajdź nowo utworzonego użytkownika.
- Kliknij nazwę użytkownika, aby otworzyć stronę jego konta.
- Kliknij Role i uprawnienia administratora.
- Kliknij Przypisz role.
- Obok roli Superadministrator kliknij suwak, aby oznaczyć go jako Przypisane .
- Kliknij Zapisz.
Wskazówka: nowy administrator powinien dodać opcje odzyskiwania do swoich kont.
Użytkownik zwykle uzyskuje uprawnienia administratora w ciągu kilku minut. Może to jednak potrwać do 24 godzin.
Zarządzanie obsługą administracyjną kont użytkowników
- Zaloguj się w portalu Microsoft Azure.
- W polu wyszukiwania u góry strony wpisz aplikacja firmowa i wybierz ją z listy wyników wyszukiwania.
- Wyszukaj i kliknij Google Cloud / G Suite Connector firmy Microsoft.
- Po lewej stronie w sekcji Manage (Zarządzaj) kliknij Provisioning (Obsługa administracyjna).
- Kliknij Rozpocznij.
- Jako tryb obsługi administracyjnej wybierz Automatic (Automatycznie).
- Kliknij Admin Credentials (Dane logowania administratora).
- Kliknij Autoryzuj.
- Zaloguj się na nowo utworzone konto superadministratora.
- Kliknij Allow (Zezwalaj), aby potwierdzić dostęp do interfejsu Cloud Identity API.
- W sekcji danych logowania administratora kliknij Test Connection (Testuj połączenie). Zobaczysz komunikat informujący o tym, czy masz uprawnienia do włączenia obsługi administracyjnej.
- (Opcjonalnie) W sekcji Mappings (Mapowanie) skonfiguruj obsługę administracyjną użytkowników lub grup. Zalecamy użycie ustawienia domyślnego.
- Kliknij Zapisz.
- U góry strony obsługi administracyjnej kliknij Start provisioning (Rozpocznij obsługę administracyjną).
- Zaczekaj na zakończenie synchronizacji.
Powiązane artykuły
- Konfigurowanie logowania jednokrotnego przez SAML na urządzeniach z ChromeOS
- Obsługa administracyjna użytkowników i logowanie jednokrotne w Microsoft Entra ID
- Samouczek: integracja logowania jednokrotnego w Microsoft Entra z Google Cloud / G Suite Connector firmy Microsoft
Google oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.