Office 365 bulut uygulaması

Güvenlik Onayı Biçimlendirme Dili (SAML) ile, kullanıcılarınız kurumsal bulut uygulamalarında oturum açmak için kendi Google Cloud kimlik bilgilerini kullanabilir.

Microsoft Office 365 için SAML üzerinden TOA ayarlarını yapma

Microsoft Office 365 uygulaması için SAML üzerinden tek oturum açma (TOA) hizmetini aşağıdaki yolla ayarlayabilirsiniz.

Başlamadan önce
  • Google Workspace alanınızı Microsoft Office 365'e ekleyin. Talimatlar için Microsoft 365'e alan ekleme başlıklı makaleye bakın.
  • PowerShell'i yükleyin (Microsoft Azure Active Directory Modülü ile birlikte).
1. Adım: ImmutableID özelliğini yapılandırın

Office 365, kullanıcıları benzersiz olarak tanımlamak için ImmutableID özelliğini kullanır. Google arasında Office 365 TOA özelliğinin çalışması için her Office 365 kullanıcısının bir ImmutableID'ye (Sabit Kimlik) sahip olması ve TOA sırasında Office 365'e gönderilen SAML Ad Kimliği'nin ImmutableID ile aynı olması gerekir.

Bir Office 365 kullanıcısının ImmutableID'si kullanıcının nasıl oluşturulduğuna bağlı olarak değişiklik gösterir. En yaygın senaryolar şunlardır:

  • Hiçbir kullanıcı henüz Office 365'te değil. Google'ı kullanıcıların temel hazırlığını otomatik olarak yapacak şekilde ayarlarsanız ImmutableID'yi yapılandırmanız gerekmez. Bu özellik varsayılan olarak kullanıcının e-posta adresiyle (UserPrincipalName veya UPN) eşlenir. Aşağıdaki 2. adıma geçin.
  • Kullanıcılar Office 365 Yönetici konsolunda oluşturulduysa ImmutableID boş bırakılmalıdır. Bu kullanıcılar için PowerShell Set-MsolUser komutu, Office 365'teki ImmutableID değerini kullanıcının UPN'siyle eşleşecek şekilde ayarlar: 

    Set-MsolUser -UserPrincipalName testkullanıcısı@alanınız.com -ImmutableId testkullanıcısı@alanınız.com

    Tüm kullanıcıları toplu olarak güncellemek için Set-MsolUser komutunu da kullanabilirsiniz. Özel talimatlar için PowerShell dokümanlarına bakın.

  • Kullanıcılar Azure Active Directory senkronizasyonu aracılığıyla oluşturulduysa ImmutableID, Active Directory objectGUID değerinin şifrelenmiş bir sürümüdür. Bu kullanıcılar için şunları yapın:
    1. PowerShell'i kullanarak Azure AD'den ImmutableID değerini alın. Örneğin, tüm kullanıcıların ImmutableID değerlerini almak ve bunları bir CSV dosyasına aktarmak için şu komutu kullanın:

      $exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv C:\csvfile

    2. Google'da özel bir özellik oluşturun, ardından her bir kullanıcı profiline ilgili Office 365 ImmutableID değerini girin. Talimatlar için yeni bir özel özellik oluşturma ve kullanıcı profilini güncelleme makalelerine bakın. Ayrıca, GAM aracını (bir açık kaynak komut yazılımı aracı) veya Workspace Admin SDK'yı kullanarak işlemi otomatik hale getirebilirsiniz.

ImmutableID hakkında daha fazla bilgi için Microsoft dokümanlarına bakın.

2. Adım: Google kimlik sağlayıcı (IdP) bilgilerini alın
  1. Google Yönetici konsolu hesabınızda oturum açın.

    Süper yönetici ayrıcalıkları bulunan (@gmail.com ile bitmeyen) bir hesabı kullanarak oturum açın.

  2. Yönetici konsolunda Menü ardından GüvenlikardındanKimlik doğrulamaardındanSAML uygulamalarıyla TOA'ya gidin.

    Bu görev için süper yönetici olarak oturum açmanız gerekir.

  3. Tek oturum açma (TOA) özelliğini kurun bölümünde, TOA URL'si ve Varlık Kimliği değerlerini kopyalayıp kaydedin ve Sertifika'yı indirin.

Bunun ardından, 3. adımdaki kurulum talimatlarını uygulamak üzere Office 365'e geçeceksiniz. TOA yapılandırmasını tamamlamak için ise aşağıdaki 4. adımda Yönetici konsoluna geri döneceksiniz.

3. Adım: Office 365 uygulamasını SAML 2.0 servis sağlayıcı (SP) olarak ayarlayın
  1. Yeni bir tarayıcı sekmesinde, Office 365 uygulamanıza yönetici olarak giriş yapın.
  2. Bir metin düzenleyicisi kullanarak, Google'dan kopyaladığınız IdP verilerinden PowerShell değişkenlerini oluşturun. Her değişken için gereken değerler şunlardır:
    Değişken Değer
    $DomainName alanınız.com”
    $FederationBrandName “Google Cloud Identity” (veya seçtiğiniz herhangi bir değer)
    $Authentication “Federated”
    $PassiveLogOnUrl
    $ActiveLogOnUri     		 “TOA URL'si” (Google IdP bilgilerinden)
    $SigningCertificate “Sertifikayı buraya yapıştırın” (Google IdP bilgilerinden)*
    $IssuerURI “Varlık Kimliği” (Google IdP bilgilerinden)
    $LogOffUri “https://accounts.google.com/logout”
    $PreferredAuthenticationProtocol “SAMLP”
    *$SigningCertifcate değişkeninin metnin tek bir satırında olmasını sağlayın, aksi halde PowerShell bir hata döndürecektir.
  3. PowerShell konsolunu kullanarak Set-MsolDomainAuthentication komutunu çalıştırıp federasyon için Active Directory alanınızı oluşturun. Özel talimatlar için Microsoft PowerShell dokümanlarına bakın.
  4. (İsteğe bağlı) Federasyon ayarlarını test etmek için aşağıdaki PowerShell komutunu kullanın: 

    Get-MSolDomainFederationSettings -DomainName alanınız.com | Format-List *

Not: Alanınız zaten federe edilmiş durumdaysa ve federasyonu Google olarak değiştirmek istiyorsanız yukarıdaki tabloda listelenen parametreleri kullanarak
Set-MsolDomainFederationSettings komutunu çalıştırın.

4. Adım: Google'ı SAML kimlik sağlayıcısı (IdP) olarak ayarlayın
  1. Google Yönetici konsolu hesabınızda oturum açın.

    Süper yönetici ayrıcalıkları bulunan (@gmail.com ile bitmeyen) bir hesabı kullanarak oturum açın.

  2. Yönetici Konsolu'nda Menü ardından UygulamalarardındanWeb uygulamaları ve mobil uygulamalar'a gidin.
  3. Uygulama ekleardındanUygulama ara'yı tıklayın.
  4. Arama alanına Office 365 yazın.
  5. Arama sonuçlarında, fareyle Office 365 SAML uygulamasının üzerine gelin ve Seç'i tıklayın.
  6. Google Kimlik Sağlayıcı ayrıntıları sayfasında Devam'ı tıklayın.
  7. Servis sağlayıcı ile ilgili ayrıntılar sayfasında:
    1. İmzalı yanıt'ı işaretleyin.
    2. Ad Kimliği biçimi seçeneğini "KALICI" olarak ayarlayın.
    3. Google kullanıcı profillerine Office 365 Sabit Kimliği eklemek için özel bir özellik oluşturduysanız (yukarıdaki 1. Adım'a bakın), Ad Kimliği olarak bu özelliği seçin. Özel özellik oluşturmadıysanız Ad Kimliği'ni Temel Bilgiler > Birincil e-posta olarak ayarlayın.
  8. Devam'ı tıklayın.
  9. Özellik eşlemesi sayfasında, Alan seç menüsünü tıklayın ve aşağıdaki Google dizini özelliklerini karşılık gelen Office 365 özellikleriyle eşleyin:
    Google Dizini özelliği Office 365 özelliği
    Temel Bilgiler > Birincil E-posta IDPEmail
  10. (İsteğe bağlı) Bu uygulamayla alakalı grup adlarını girmek için:
    1. Grup üyeliği (isteğe bağlı) için Grup arayın'ı tıklayın, grup adının bir veya daha fazla harfini girin ve grup adını seçin.
    2. Gerekirse başka gruplar ekleyin (en fazla 75 grup).
    3. Uygulama özelliği bölümünde, servis sağlayıcının ilgili grup özelliği adını girin.

    Kaç grup adı girdiğinize bakılmaksızın SAML yanıtı yalnızca kullanıcının üyesi olduğu grupları (doğrudan veya dolaylı olarak) içerir. Daha fazla bilgi için Grup üyeliğini eşleme hakkında başlıklı makaleyi inceleyin.

  11. Son'u tıklayın.
5. Adım: Office 365 uygulamasını etkinleştirin
  1. Google Yönetici konsolu hesabınızda oturum açın.

    Süper yönetici ayrıcalıkları bulunan (@gmail.com ile bitmeyen) bir hesabı kullanarak oturum açın.

  2. Yönetici Konsolu'nda Menü ardından UygulamalarardındanWeb uygulamaları ve mobil uygulamalar'a gidin.
  3. Office 365'i seçin.
  4. Kullanıcı erişimi'ni tıklayın.

  5. Bir hizmeti kuruluşunuzdaki herkes için etkinleştirmek veya devre dışı bırakmak istiyorsanız önce Herkes için etkin veya Herkes için devre dışı'yı, ardından Kaydet'i tıklayın.

  6. (İsteğe bağlı) Kuruluş birimi için bir hizmeti etkinleştirmek veya devre dışı bırakmak üzere:
    1. Solda, kuruluş birimini seçin.
    2. Hizmet durumunu değiştirmek için Açık veya Kapalı'yı seçin.
    3. Aşağıdakilerden birini seçin:
      • Hizmet durumu Devralındı olarak ayarlanmışsa ve üst kuruluştaki ayar değişse bile güncellenmiş ayarı korumak istiyorsanız Geçersiz kıl'ı tıklayın.
      • Hizmet durumu Geçersiz kılındı olarak ayarlanmışsa üst kuruluştaki ayara geri döndürmek için Devral'ı, üst kuruluştaki ayar değişse bile yeni ayarı korumak içinse Kaydet'i tıklayın.
        Not: Kuruluş yapısı hakkında daha fazla bilgi edinin.
  7. Bir hizmeti farklı kuruluş birimlerindeki veya bir kuruluş birimindeki bir grup kullanıcı için etkinleştirmek üzere bir erişim grubu seçin. Ayrıntıları, bir grup için hizmeti etkinleştirme bölümünde bulabilirsiniz.
  8. Office 365 kullanıcı hesabı e-posta kimliklerinizin Google alanınızdakilerle eşleştiğinden emin olun.
6. Adım: Google ve Office 365 arasında TOA hizmetinin çalıştığını doğrulayın

Office 365, hem Kimlik Sağlayıcı (IdP) hem de Servis Sağlayıcı (SS) tarafından başlatılan TOA'yı destekler. Her iki modda da TOA'yı doğrulamak için şu adımları uygulayın:

IdP tarafından başlatılan

  1. Google Yönetici konsolu hesabınızda oturum açın.

    Süper yönetici ayrıcalıkları bulunan (@gmail.com ile bitmeyen) bir hesabı kullanarak oturum açın.

  2. Yönetici Konsolu'nda Menü ardından UygulamalarardındanWeb uygulamaları ve mobil uygulamalar'a gidin.
  3. Office 365'i seçin.
  4. Sol üstte, SAML girişini test et seçeneğini tıklayın.

    Office 365 ayrı bir sekmede açılır. Açılmazsa IdP ve SS ayarlarınızı gerektiği şekilde güncellemek için, sonuçta ortaya çıkan SAML hata mesajlarındaki bilgileri kullanın ve SAML girişini yeniden test edin.

Servis sağlayıcı tarafından başlatılan

  1. https://login.microsoftonline.com/ sayfasını açın.
    Otomatik olarak Google ile oturum açma sayfasına yönlendirilirsiniz.
  2. Oturum açma kimlik bilgilerinizi girin.
  3. Kimlik bilgileriniz doğrulandıktan sonra otomatik olarak tekrar Office 365 uygulamasına yönlendirilirsiniz.
7. Adım: Otomatik temel hazırlık ayarlarını yapın  


Google, Google Workspace ve ilgili markalarla logolar Google LLC'nin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?
true
Arama
Aramayı temizle
Aramayı kapat
Ana menü
1949755120980219901
true
Yardım Merkezinde Arayın
true
true
true
false
false