Com a Linguagem de marcação para autorização de segurança (SAML), seus usuários podem fazer login em apps empresariais na nuvem com as credenciais do Google Cloud.
Configurar o SSO via SAML para o Microsoft Office 365
Veja como configurar o Logon único (SSO) via SAML para o aplicativo Microsoft Office 365.
Antes de começar- Adicione seu domínio do Google Workspace ao Microsoft Office 365. Veja mais instruções em Adicionar um domínio ao Microsoft 365.
- Instale o PowerShell (com o Módulo Microsoft Azure Active Directory).
O Office 365 usa o atributo ImmutableID para identificar os usuários de modo exclusivo. Para usar o SSO entre o Google e o Office 365, cada usuário do Office 365 precisa ter um ImmutableId, e o atributo ID de nome SAML enviado ao Office 365 durante o SSO precisa o mesmo do ImmutableId.
O ImmutableID de um usuário do Office 365 varia de acordo com a maneira como o usuário é criado. Estas são as situações mais comuns:
- Os usuários ainda não estão no Office 365. Se você configurar o Google para provisionar usuários automaticamente, não precisará definir o ImmutableID. Ele será mapeado por padrão para o endereço de e-mail do usuário (o atributo User Principle Name, ou UPN). Avance para a etapa 2 abaixo.
- Quando os usuários são criados no Admin Console do Office 365, o ImmutableID fica em branco. Para esses usuários, use o comando
Set-MsolUser
do PowerShell e configure o ImmutableID no Office 365 para corresponder ao UPN do usuário:Set-MsolUser -UserPrincipalName testuser@yourdomain.com -ImmutableId testuser@yourdomain.com
Você também pode usar
Set-MsolUser
para atualizar todos os usuários em massa. Veja instruções específicas na documentação do PowerShell. - Quando os usuários são criados pela sincronização do Azure Active Directory, o ImmutableID é uma versão codificada do objectGUID do Active Directory. Para esses usuários, faça o seguinte:
- Use o PowerShell para recuperar o ImmutableID no Azure AD. Por exemplo, para recuperar o ImmutableID de todos os usuários e exportar para um arquivo CSV, faça o seguinte:
$exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv C:\csvfile
- Crie um atributo personalizado no Google e preencha o perfil de cada usuário com o ImmutableID do Office 365. Veja instruções em adicionar um novo atributo personalizado e atualizar um perfil de usuário. Também é possível automatizar o processo com a GAM (uma ferramenta de linha de comando de código aberto) ou com o SDK Admin do Workspace.
- Use o PowerShell para recuperar o ImmutableID no Azure AD. Por exemplo, para recuperar o ImmutableID de todos os usuários e exportar para um arquivo CSV, faça o seguinte:
Veja mais informações sobre o ImmutableID na documentação da Microsoft.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu SegurançaAutenticaçãoSSO com aplicativos SAML.
Para realizar essa tarefa, você precisa fazer login como um superadministrador.
- Na seção Configurar Logon único (SSO), copie e salve o URL do SSO e o ID da entidade e faça o download do Certificado.
Em seguida, alterne para o Office 365 e siga as instruções de configuração na Etapa 3. Você retornará ao Admin Console na Etapa 4 abaixo para concluir a configuração do SSO.
- Em uma nova guia do navegador, faça login no aplicativo Office 365 como administrador.
- Com um editor de texto, crie variáveis do PowerShell com os dados do IdP que você copiou do Google. Veja os valores necessários para cada variável:
Variável Valor $DomainName "seudominio.com" $FederationBrandName "Google Cloud Identity" (ou outro valor que você escolher) $Authentication “Federada” $PassiveLogOnUrl
$ActiveLogOnUri"URL do SSO" (nas informações do IdP do Google) $SigningCertificate "Cole o certificado completo aqui" (nas informações do IdP do Google)* $IssuerURI "ID da entidade" (nas informações do IdP do Google) $LogOffUri "https://accounts.google.com/logout" $PreferredAuthenticationProtocol "SAMLP" - Com o console do PowerShell, execute o comando Set-MsolDomainAuthentication para configurar seu domínio do Active Directory para federação. Veja instruções específicas na documentação do Microsoft PowerShell.
- (Opcional) Para testar as configurações de federação, use o seguinte comando do PowerShell:
Get-MSolDomainFederationSettings -DomainName yourdomain.com | Format-List *
Observação: se o domínio já estiver federado e for necessário mudar a federação para o Google, execute o comando
Set-MsolDomainFederationSettings
usando os mesmos parâmetros listados na tabela acima.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
-
Clique em Adicionar appPesquisar apps.
- Digite Office 365 no campo de pesquisa.
- Nos resultados da pesquisa, passe o cursor sobre o app SAML Office 365 e clique em Selecionar.
- Na página Detalhes do provedor de identidade do Google, clique em Continuar.
- Na página Detalhes do provedor de serviços, faça o seguinte:
- Marque a opção Resposta assinada.
- Defina o Formato do código de nome como "PERSISTENTE".
- Se você criou um atributo personalizado para adicionar o ImmutableID do Office 365 aos perfis de usuários do Google (consulte a Etapa 1 acima), selecione o atributo personalizado como ID de nome. Como opção, defina ID de nome em Informações básicas > E-mail principal.
- Clique em Continuar.
- Na página Mapeamento de atributos, clique no menu Selecionar campo e mapeie os seguintes atributos do diretório do Google para os atributos do Office 365 correspondentes:
Atributo do diretório do Google Atributo do Office 365 Basic Information > Primary Email IDPEmail -
(Opcional) Para inserir nomes de grupos relevantes para este app:
- Em Associação ao grupo (opcional), clique em Pesquisar um grupo, digite uma ou mais letras do nome do grupo e selecione o nome.
- Adicione outros grupos conforme necessário (máximo de 75 grupos).
- Em Atributo do app, digite o nome do atributo de grupo correspondente do provedor de serviços.
Independentemente do total de nomes de grupo informados, a resposta SAML incluirá apenas grupos de que o usuário faz parte (direta ou indiretamente). Confira mais informações em Sobre o mapeamento de associações a grupos.
- Clique em Concluir.
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
- Selecione o Office 365.
-
Clique em Acesso do usuário.
-
Se você quiser ativar ou desativar um serviço para todos na organização, clique em Ativar para todos ou Desativar para todos, depois clique em Salvar.
-
(Opcional) Se você quiser ativar ou desativar um serviço para uma unidade organizacional:
- Selecione a unidade organizacional à esquerda.
- Para mudar o status do serviço, selecione Ativado ou Desativado.
- Escolha uma opção:
- Se o status do serviço estiver definido como Herdado e você quiser manter a configuração atualizada, mesmo que a configuração mãe seja alterada, clique em Modificar.
- Caso o status do serviço esteja definido como Modificado, clique em Herdar para usar a configuração mãe ou clique em Salvar para manter a nova configuração mesmo que a configuração mãe seja alterada.
Observação: saiba mais sobre a estrutura organizacional.
-
Para ativar um serviço para um grupos de usuários de uma ou várias unidades organizacionais, selecione um grupo de acesso. Veja mais detalhes em Ativar um serviço para um grupo.
- Verifique se os IDs de e-mail da sua conta de usuário do Office 365 correspondem aos do domínio do Google.
No Office 365, é possível iniciar o SSO pelo provedor de identidade (IdP) e pelo provedor de serviços (SP). Siga estas etapas para verificar o SSO de uma das duas formas:
Iniciado pelo IdP
-
Faça login no Google Admin Console.
Faça login usando uma conta com privilégios de superadministrador (não a que termina em @gmail.com).
-
No Admin Console, acesse Menu AppsApps da Web e para dispositivos móveis.
- Selecione o Office 365.
- No canto superior esquerdo, clique em Testar login SAML.
O Office 365 será aberto em uma guia separada. Se isso não acontecer, use as informações das mensagens de erro SAML para atualizar as configurações do IdP e do SP conforme necessário e teste o login SAML novamente.
Iniciado pelo SP
- Abra https://login.microsoftonline.com/.
A página de login do Google será aberta. - Digite as credenciais de login.
- Depois que elas forem autenticadas, o Office 365 será aberto automaticamente.
Como superadministrador, você pode provisionar usuários automaticamente no aplicativo Office 365.
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.