作为管理员,您可以在 Microsoft Entra ID 租户与您的 Google Workspace 或 Cloud Identity 账号之间设置用户配置和单点登录 (SSO)。设置完成后,您的用户便可以在其 ChromeOS 设备上登录 Microsoft Entra ID 身份验证页面,而不是 Google 登录屏幕。
ChromeOS 设备支持安全断言标记语言 (SAML) 单点登录 (SSO),让用户可以通过在组织中其他地方使用的同一身份验证机制登录设备。用户密码可以保留在您组织的身份提供方 (IdP) 中。登录方式与在浏览器中通过 SAML 单点登录功能登录 Google Workspace 账号非常相似。不过,由于用户是要登录设备,因此还需注意一些其他事项。
准备工作
- 您的网域已在 Microsoft Entra ID 和 Google Workspace/Google Cloud Identity 中配置。
- Microsoft Entra ID 和 Google 中的用户账号名称相同。在 Microsoft Entra ID 目录中,您的网域会保存为已注册的子网域。
- 这些步骤无需本地联盟关系,例如 Active Directory Federation Services (ADFS),但却依赖于与 Microsoft Entra ID 免费层级捆绑的同等云端服务。
操作方法
第 1 步:创建企业应用
- 登录 Microsoft Azure 门户。
- 在顶部的搜索框中,输入 enterprise application(企业应用),然后从搜索结果列表中选择该应用。
- 在“Enterprise applications”(企业应用)窗格顶部,点击 New application(新建应用)。
- 在“Cloud platforms”(云平台)下,点击 Google Cloud Platform。
- 点击 Google Cloud/G Suite Connector by Microsoft。
- 在“Name”(名称)部分,输入 Google Cloud/G Suite Connector by Microsoft。
- 点击 Create(创建)。
第 2 步:将特定用户分配到企业应用
仍然在 Microsoft Azure 门户中:
- 在左侧的“Manage”(管理)下,点击 Users and groups(用户和群组)。您也可以在“Overview”(概览)页面的“Getting started”(开始使用)下,点击 Assign users and groups(分配用户和群组)。
- 在“Users and groups”(用户和群组)窗格的部,点击 Add user/group(添加用户/群组)。
- 在左侧的“Add Assignment”(添加分配)窗格中的“Users”(用户)下,点击 None selected(未选择)。
- 在“Users”(用户)窗格中,选择所需用户。
- 点击 Select(选择)。
- 在“Add Assignment”(添加分配)窗格中,点击 Assign(分配)。
第 3 步:设置 SAML 单点登录
仍然在 Microsoft Azure 门户中:
- 在左侧的“Manage”(管理)下,点击 Single sign-on(单点登录)。
- 选择单点登录方法。点击 SAML。
- 在“SAML-based Sign-on”(基于 SAML 的登录)页面上,选择 Basic SAML Configuration(基本 SAML 配置)。
- 点击 Edit(修改)。
- 配置标识符(实体 ID)。请添加以下网址:
- google.com/a/<您的域名>.com
- https://google.com/a/<您的域名>.com
- 配置回复网址(断言消费者服务网址):
- 请添加以下网址:
- https://www.google.com/acs
- https://www.google.com/a/<您的域名>.com/acs
- 设置默认网址:
- 勾选 https://www.google.com/a/<您的域名>.com/acs 旁边的 Default(默认)复选框。
- 请添加以下网址:
- 配置登录网址。请添加以下网址:
- https://www.google.com/a/<您的域名>.com/ServiceLogin?continue=https://mail.google.com
- 点击 Save(保存)。
- 下载证书的 Base64 版本:
- 仍在“SAML-based Sign-on”(基于 SAML 的登录)页面上,选择 SAML Signing Certificate(SAML 签名证书)。
- 在“Certificate (Base64)”[证书 (Base64)] 旁边,点击 Download(下载)。
- 收集配置 Google Cloud / G Suite Connector by Microsoft 应用所需的信息,以与 Microsoft Entra ID 关联:
- 仍在“SAML-based Sign-on”(基于 SAML 的登录)页面上,选择 Set up Google Cloud / G Suite Connector by Microsoft(设置 Google Cloud / G Suite Connector by Microsoft)。
- 复制以下网址:
- Login URL(登录网址)- 用户登录您的系统和 Google Workspace 的页面。
- Logout URL(退出网址)- 用户退出后被重定向到的页面。
第 4 步:配置 Microsoft Entra 单点登录
配置第三方 IdP 设置
-
-
在管理控制台中,依次点击“菜单”图标 安全性 概览。
- 点击设置采用第三方身份提供商的单点登录 (SSO)
- 点击添加单点登录配置文件。
- 勾选设置采用第三方身份提供商的单点登录对应的复选框。
- 输入您的第三方 IdP 网址:
- 点击替换证书。
- 选择您要使用的文件,然后点击打开。
- 点击使用网域特有的颁发者复选框。
- 在“更改密码网址”部分,输入如下网址:
- https://account.activedirectory.windowsazure.com/changepassword.aspx
- 点击保存。
配置用户设置
仍在管理控制台中:
-
在管理控制台中,依次点击“菜单”图标 设备Chrome设置。默认情况下,系统会打开用户和浏览器设置页面。
如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标 Chrome 浏览器设置。
- 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门。
- 选择安全性。
- 在“单点登录”部分,选择为 Chrome 设备启用基于 SAML 的单点登录。
- (可选)在“SAML 单点登录的登录频率”部分,输入一个小于密码到期时间的值。如需详细了解这项设置,请参阅为用户或浏览器设置 Chrome 政策。
- 点击保存。
配置设备设置
仍在管理控制台中:
- 点击页面顶部的设备设置。您也可以在管理控制台首页,点击设备 Chrome 设置 设备。
- 要将该设置应用于所有用户和已注册的浏览器,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门。
- 选择登录设置。
- 在“单点登录 IdP 重定向”部分,选择允许用户直接转到 SAML SSO IdP 页面。如需详细了解这项设置,请参阅设置 Chrome 设备政策。
- 在“单点登录 Cookie 行为”部分,选择允许在登录过程中将 SAML SSO Cookie 转移到用户会话中。如需详细了解这项设置,请参阅设置 Chrome 设备政策。
- 点击保存。
第 5 步:测试 ChromeOS 设备
- 开启受管理的 ChromeOS 设备。
- 在“登录 Chromebook”页面上,点击下一步。
- 在 Microsoft 登录页面上,输入您的 AD 用户名。
- 点击下一步。
- 输入密码。
- 点击登录。
- 如要保持登录状态并访问用户会话,请点击是。
第 6 步:配置 Microsoft Entra ID 用户配置
注册 Cloud Identity 或 Google Workspace 即可创建一个超级用户账号。您可以将其用于 Microsoft Entra ID,但我们建议您创建一个单独的 Microsoft Entra ID 超级用户账号。
创建用户
-
- 在管理控制台中,依次点击“菜单”图标 目录 用户。
- 点击页面顶部的添加新用户。
- 输入账号信息。如需了解详情,请参阅为新用户添加账号。
- 点击添加新用户。
- 点击完成以完成添加新用户。
将用户设为超级用户
仍在管理控制台中:
- 在管理控制台中,依次点击“菜单”图标 目录 用户。
- 在“用户”列表中,找到您刚刚创建的新用户。
- 点击用户的姓名以打开其账号页面。
- 点击管理员角色和权限。
- 点击分配角色。
- 点击“超级用户”角色旁边的滑块,然后该角色会被标记为“已分配”。
- 点击保存。
提示:请让新管理员为自己的账号添加账号恢复选项。
用户通常会在几分钟内获得管理员角色,但最多可能需要 24 小时。
管理用户账号配置
- 登录 Microsoft Azure 门户。
- 在顶部的搜索框中,输入 enterprise application(企业应用),然后从搜索结果列表中选择该应用。
- 搜索并点击 Google Cloud / G Suite Connector by Microsoft。
- 在左侧的“Manage”(管理)下,点击 Provisioning(配置)。
- 点击 Get started(开始使用)。
- 在“配置模式”部分,选择 Automatic(自动)。
- 点击 Admin Credentials(管理员凭据)。
- 点击 Authorize(授权)。
- 使用您刚刚新建的超级用户账号登录。
- 点击 Allow(允许)以确认对 Cloud Identity API 的访问权限。
- 在“Admin Credentials”(管理员凭据)下,点击 Test Connection(测试连接)。系统会显示一条消息,告知您是否有权启用配置。
- (可选)在“Mappings”(映射)下,设置用户或群组配置。我们建议您使用默认设置。
- 点击 Save(保存)。
- 在“Provisioning”(配置)页面顶部,点击 Start provisioning(开始配置)。
- 等待同步完成。
相关主题
- 为 ChromeOS 设备配置 SAML 单点登录
- Micrsoft Entra ID 用户配置和单点登录
- 教程:Micrsoft Entra 单点登录与 Google Cloud / G Suite Connector by Microsoft 集成
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。