Met Security Assertion Markup Language (SAML) kunnen uw gebruikers hun inloggegevens voor Google Cloud gebruiken om in te loggen bij zakelijke cloud-apps.
SSO via SAML instellen voor Microsoft Office 365
Hier leest u hoe u Single sign-on (SSO) via SAML instelt voor de Microsoft Office 365-app.
Stap 1: Google-identiteitsprovidergegevens (IdP) ophalen-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga op de homepage van de Beheerdersconsole naar Beveiliging
Single sign-on (SSO) instellen voor SAML-apps.
U moet zijn ingelogd als hoofdgebruiker om deze taak te kunnen uitvoeren.
- Voer een van deze handelingen uit in het gedeelte Single sign-on (SSO) instellen, afhankelijk van hoe u SSO wilt configureren in Microsoft Office 365:
- Kopieer en sla de SSO-URL en de Entiteits-ID op en download het certificaat.
- Download het IDP-metadatabestand.
Ga vervolgens naar Office 365 om de installatiestappen in stap 2 uit te voeren.In stap 3 hieronder gaat u terug naar de Beheerdersconsole om de SSO-configuratie te voltooien.
- Open een nieuw browsertabblad en log als beheerder in bij uw Office 365-app.
- Stel een federatie in van uw lokale Active Directory en Azure Active Directory.
U moet de federatie instellen om de Active Directory PowerShell-opdrachten te kunnen uitvoeren. Zie Use a SAML 2.0 Identity Provider (IdP) for Single Sign On (Een SAML 2.0 identiteitsprovider (IdP) gebruiken voor Single sign-on) voor meer informatie.
- Gebruik de PowerShell-console om onveranderlijke ID's voor uw gebruikers in te stellen. Bekijk de Documentatie over Microsoft PowerShell voor specifieke instructies.
- Gebruik de PowerShell-console om uw gefedereerde Active Directory-domein te configureren met de gegevens die u in stap 1 bij Google heeft gedownload (het IDP-metadatabestand of het certificaatbestand, de SSO-URL en de Entiteits-ID). Bekijk de Documentatie over Microsoft PowerShell voor specifieke instructies.
- Ga naar het volgende gedeelte om Google in te stellen als SAML-identiteitsprovider (IDP).
-
Ga op de homepage van de Beheerdersconsole naar Apps
Web- en mobiele apps.
-
Klik op App toevoegen
Apps zoeken.
- Voer Office 365 in het zoekveld in.
- Plaats in de zoekresultaten de muisaanwijzer op de SAML-app van Office 365 en klik op Selecteren.
- Klik op de pagina Google-identiteitsprovidergegevens op Doorgaan.
- Doe het volgende op de pagina Serviceprovidergegevens:
- Vink het vakje aan voor Ondertekende reactie.
- Stel de standaard Naam-ID zodat deze overeenkomt met de onveranderlijke ID die u in Active Directory heeft geconfigureerd.U kunt hier slechts één waarde invoeren.
Opmerking: Als de toewijzing voor de Naam-ID voor de SSO-configuratie niet hetzelfde is als de onveranderlijke ID, ziet u een foutmelding. - Stel de indeling Naam-ID in op 'PERSISTENT'.
- Klik op Doorgaan.
- Klik op de pagina Kenmerktoewijzing op het menu Veld selecteren en wijs de volgende Google-directorykenmerken toe aan de bijbehorende Office 365-kenmerken:
Google-directorykenmerk Office 365-kenmerk Basic Information > Primary Email (Algemene informatie > Primaire e-mailadres) IDPEmail - Klik op Voltooien.
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga op de homepage van de Beheerdersconsole naar Apps
Web- en mobiele apps.
- Selecteer Office 365.
-
Klik op Gebruikerstoegang.
-
Als u een service wilt in- of uitschakelen voor iedereen in uw organisatie, klikt u op Ingeschakeld voor iedereen of Uitgeschakeld voor iedereen. Klik vervolgens op Opslaan.
-
Ga als volgt te werk om een service alleen in of uit te schakelen voor gebruikers in een organisatie-eenheid:
- Selecteer links de organisatie-eenheid.
- Selecteer Ingeschakeld of Uitgeschakeld.
- Als wilt dat een service wordt in- of uitgeschakeld, zelfs als de service is in- of uitgeschakeld voor de bovenliggende organisatie-eenheid, klikt u op Overschrijven.
- Als de organisatie-eenheid al de status Overschrijven heeft, kiest u een optie:
- Overnemen: de instelling wordt teruggezet op dezelfde instelling als in de bovenliggende organisatie-eenheid.
- Opslaan: de nieuwe instelling wordt opgeslagen (en blijft zo, zelfs als de instelling wordt gewijzigd in de bovenliggende organisatie-eenheid).
Meer informatie over de organisatiestructuur.
-
(Optioneel) Schakel de service in voor een groep gebruikers.
Gebruik toegangsgroepen om een service in te schakelen voor specifieke gebruikers binnen een organisatie-eenheid of in verschillende organisatie-eenheden. Meer informatie - Controleer of de e-mail-ID's van uw Office 365-gebruikersaccounts overeenkomen met die in uw Google-domein.
Office 365 ondersteunt zowel door de identiteitsprovider (IdP) als de serviceprovider (SP) gestarte SSO. Volg deze stappen om SSO te verifiëren in een van beide modi:
Door IdP gestart
-
Log in bij de Google Beheerdersconsole.
Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).
-
Ga op de homepage van de Beheerdersconsole naar Apps
Web- en mobiele apps.
- Selecteer Office 365.
- Klik linksboven op Test SAML login (SAML-login testen).
Als het goed is, wordt Office 365 geopend in een nieuw tabblad. Als dit niet het geval is, gebruikt u de informatie in de SAML-foutmeldingen die worden weergegeven om de IdP- en SP-instellingen te updaten en test u de SAML-inlog opnieuw.
Door SP gestart
- Open https://login.microsoftonline.com/.
Als het goed is, wordt u automatisch doorgestuurd naar de inlogpagina van Google. - Voer uw inloggegevens in.
- Nadat uw inloggegevens zijn geverifieerd, wordt u automatisch teruggestuurd naar Office 365.
Als hoofdbeheerder kunt u gebruikers automatisch laten registreren bij de Office 365-app.
Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.