App na nuvem Office 365

Com a Linguagem de marcação para autorização de segurança (SAML), seus usuários podem fazer login em apps empresariais na nuvem com as credenciais do Google Cloud.

Configurar o SSO via SAML para o Microsoft Office 365

Veja como configurar o Logon único (SSO) via SAML para o aplicativo Microsoft Office 365.

Antes de começar
Etapa 1: configurar o ImmutableID

O Office 365 usa o atributo ImmutableID para identificar os usuários de modo exclusivo. Para usar o SSO entre o Google e o Office 365, cada usuário do Office 365 precisa ter um ImmutableId, e o atributo ID de nome SAML enviado ao Office 365 durante o SSO precisa o mesmo do ImmutableId.

O ImmutableID de um usuário do Office 365 varia de acordo com a maneira como o usuário é criado. Estas são as situações mais comuns:

  • Os usuários ainda não estão no Office 365. Se você configurar o Google para provisionar usuários automaticamente, não precisará definir o ImmutableID. Ele será mapeado por padrão para o endereço de e-mail do usuário (o atributo User Principle Name, ou UPN). Avance para a etapa 2 abaixo.
  • Quando os usuários são criados no Admin Console do Office 365, o ImmutableID fica em branco. Para esses usuários, use o comando Set-MsolUser do PowerShell e configure o ImmutableID no Office 365 para corresponder ao UPN do usuário: 

    Set-MsolUser -UserPrincipalName testuser@yourdomain.com -ImmutableId testuser@yourdomain.com

    Você também pode usar Set-MsolUser para atualizar todos os usuários em massa. Veja instruções específicas na documentação do PowerShell.

  • Quando os usuários são criados pela sincronização do Azure Active Directory, o ImmutableID é uma versão codificada do objectGUID do Active Directory. Para esses usuários, faça o seguinte:
    1. Use o PowerShell para recuperar o ImmutableID no Azure AD. Por exemplo, para recuperar o ImmutableID de todos os usuários e exportar para um arquivo CSV, faça o seguinte:

      $exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv C:\csvfile

    2. Crie um atributo personalizado no Google e preencha o perfil de cada usuário com o ImmutableID do Office 365. Veja instruções em adicionar um novo atributo personalizado e atualizar um perfil de usuário. Também é possível automatizar o processo com a GAM (uma ferramenta de linha de comando de código aberto) ou com o SDK Admin do Workspace.

Veja mais informações sobre o ImmutableID na documentação da Microsoft.

Etapa 2: receber informações do provedor de identidade (IdP) do Google
  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisAutenticaçãoe depoisSSO com aplicativos SAML.

    Para realizar essa tarefa, você precisa fazer login como um superadministrador.

  3. Na seção Configurar Logon único (SSO), copie e salve o URL do SSO e o ID da entidade e faça o download do Certificado.

Em seguida, alterne para o Office 365 e siga as instruções de configuração na Etapa 3. Você retornará ao Admin Console na Etapa 4 abaixo para concluir a configuração do SSO.

Etapa 3: configurar o Office 365 como provedor de serviços (SP) SAML 2.0
  1. Em uma nova guia do navegador, faça login no aplicativo Office 365 como administrador.
  2. Com um editor de texto, crie variáveis do PowerShell com os dados do IdP que você copiou do Google. Veja os valores necessários para cada variável:
    Variável Valor
    $DomainName "seudominio.com"
    $FederationBrandName "Google Cloud Identity" (ou outro valor que você escolher)
    $Authentication “Federada”
    $PassiveLogOnUrl
    $ActiveLogOnUri     		 "URL do SSO" (nas informações do IdP do Google)
    $SigningCertificate "Cole o certificado completo aqui" (nas informações do IdP do Google)*
    $IssuerURI "ID da entidade" (nas informações do IdP do Google)
    $LogOffUri "https://accounts.google.com/logout"
    $PreferredAuthenticationProtocol "SAMLP"
    *Verifique se a variável $SigningCertifcate está em uma linha de texto. Se não estiver, o PowerShell mostrará uma mensagem de erro.
  3. Com o console do PowerShell, execute o comando Set-MsolDomainAuthentication para configurar seu domínio do Active Directory para federação. Veja instruções específicas na documentação do Microsoft PowerShell.
  4. (Opcional) Para testar as configurações de federação, use o seguinte comando do PowerShell: 

    Get-MSolDomainFederationSettings -DomainName yourdomain.com | Format-List *

Observação: se o domínio já estiver federado e for necessário mudar a federação para o Google, execute o comando
Set-MsolDomainFederationSettings usando os mesmos parâmetros listados na tabela acima.

Etapa 4: configurar o Google como provedor de identidade (IdP) SAML
  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.
  3. Clique em Adicionar appe depoisPesquisar apps.
  4. Digite Office 365 no campo de pesquisa.
  5. Nos resultados da pesquisa, passe o cursor sobre o app SAML Office 365 e clique em Selecionar.
  6. Na página Detalhes do provedor de identidade do Google, clique em Continuar.
  7. Na página Detalhes do provedor de serviços, faça o seguinte:
    1. Marque a opção Resposta assinada.
    2. Defina o Formato do código de nome como "PERSISTENTE".
    3. Se você criou um atributo personalizado para adicionar o ImmutableID do Office 365 aos perfis de usuários do Google (consulte a Etapa 1 acima), selecione o atributo personalizado como ID de nome. Como opção, defina ID de nome em Informações básicas > E-mail principal.
  8. Clique em Continuar.
  9. Na página Mapeamento de atributos, clique no menu Selecionar campo e mapeie os seguintes atributos do diretório do Google para os atributos do Office 365 correspondentes:
     
    Atributo do diretório do Google Atributo do Office 365
    Basic Information > Primary Email IDPEmail
  10. (Opcional) Para inserir nomes de grupos relevantes para este app:
    1. Em Associação ao grupo (opcional), clique em Pesquisar um grupo, digite uma ou mais letras do nome do grupo e selecione o nome.
    2. Adicione outros grupos conforme necessário (máximo de 75 grupos).
    3. Em Atributo do app, digite o nome do atributo de grupo correspondente do provedor de serviços.

    Independentemente do total de nomes de grupo informados, a resposta SAML incluirá apenas grupos de que o usuário faz parte (direta ou indiretamente). Confira mais informações em Sobre o mapeamento de associações a grupos.

  11. Clique em Concluir.
Etapa 5: ativar o app Office 365
  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.
  3. Selecione o Office 365.
  4. Clique em Acesso do usuário.

  5. Se você quiser ativar ou desativar um serviço para todos na organização, clique em Ativar para todos ou Desativar para todos, depois clique em Salvar.

  6. (Opcional) Se você quiser ativar ou desativar um serviço para uma unidade organizacional:
    1. Selecione a unidade organizacional à esquerda.
    2. Para mudar o status do serviço, selecione Ativado ou Desativado.
    3. Escolha uma opção:
      • Se o status do serviço estiver definido como Herdado e você quiser manter a configuração atualizada, mesmo que a configuração mãe seja alterada, clique em Modificar.
      • Caso o status do serviço esteja definido como Modificado, clique em Herdar para usar a configuração mãe ou clique em Salvar para manter a nova configuração mesmo que a configuração mãe seja alterada.
        Observação: saiba mais sobre a estrutura organizacional.
  7. Para ativar um serviço para um grupos de usuários de uma ou várias unidades organizacionais, selecione um grupo de acesso. Veja mais detalhes em Ativar um serviço para um grupo.
  8. Verifique se os IDs de e-mail da sua conta de usuário do Office 365 correspondem aos do domínio do Google.
Etapa 6: verificar se o SSO está funcionando entre o Google e o Office 365

No Office 365, é possível iniciar o SSO pelo provedor de identidade (IdP) e pelo provedor de serviços (SP). Siga estas etapas para verificar o SSO de uma das duas formas:

Iniciado pelo IdP

  1. Faça login no Google Admin Console.

    Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Appse depoisApps da Web e para dispositivos móveis.
  3. Selecione o Office 365.
  4. No canto superior esquerdo, clique em Testar login SAML

    O Office 365 será aberto em uma guia separada. Se isso não acontecer, use as informações das mensagens de erro SAML para atualizar as configurações do IdP e do SP conforme necessário e teste o login SAML novamente.

Iniciado pelo SP

  1. Abra https://login.microsoftonline.com/.
    A página de login do Google será aberta.
  2. Digite as credenciais de login.
  3. Depois que elas forem autenticadas, o Office 365 será aberto automaticamente.
Etapa 7: configurar o provisionamento automático  


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?
true
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
2984388178012640427
true
Pesquisar na Central de Ajuda
true
true
true
false
false