Благодаря языку разметки декларации безопасности (SAML) пользователи могут входить в корпоративные облачные приложения с помощью учетных данных аккаунта Google Cloud.
Как настроить систему единого входа для приложения Microsoft Office 365 с помощью SAML
Ниже описано, как настроить систему единого входа для приложения Microsoft Office 365 с помощью SAML.
Подготовка- Добавьте домен Google Workspace в Microsoft Office 365. Инструкции приведены в этой статье.
- Установите PowerShell (с модулем Microsoft Azure Active Directory).
Office 365 использует атрибут ImmutableID для идентификации пользователей. Чтобы система единого входа для Google и Office 365 работала, у каждого пользователя Office 365 должен быть этот атрибут. Он должен совпадать с идентификатором названия для SAML, отправляемым в Office 365 при входе с использованием SSO.
Значение атрибута ImmutableID будет зависеть от способа создания пользователя Office 365. Ниже перечислены наиболее распространенные варианты.
- В Office 365 пока нет пользователей. Если в настройках Google вы задали автоматическую подготовку пользователей, атрибут ImmutableID настраивать не нужно, поскольку он по умолчанию сопоставляется с адресом электронной почты пользователя (с UPN – именем участника-пользователя). Перейдите к шагу 2.
- Атрибут ImmutableID будет пустым у пользователей, созданных в консоли администратора Office 365. Чтобы задать этому атрибуту значение, соответствующее имени участника-пользователя, выполните следующую команду PowerShell
:
Set-MsolUser -UserPrincipalName polzovatel@vash-domen.ru -ImmutableId polzovatel@vash-domen.ru
С помощью команды
Set-MsolUser
можно также выполнить массовое обновление пользователей. Подробную информацию можно найти в документации к PowerShell. - Если пользователи созданы при синхронизации Azure Active Directory, значением ImmutableID будет кодированная версия атрибута objectGUID из Active Directory. Выполните следующие действия для этих пользователей:
- С помощью PowerShell получите значение ImmutableID из Azure AD. Например, чтобы получить эти значения для всех пользователей и экспортировать их в CSV-файл, выполните следующую команду:
$exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv C:\csvfile
- Создайте настраиваемый атрибут в Google, а затем добавьте в профиль каждого пользователя атрибут ImmutableID из Office 365. Подробнее о том, как добавить настраиваемый атрибут и как обновить профиль пользователя… Кроме того, этот процесс можно автоматизировать, используя GAM (инструмент командной строки с открытым исходным кодом) или Google Workspace Admin SDK.
- С помощью PowerShell получите значение ImmutableID из Azure AD. Например, чтобы получить эти значения для всех пользователей и экспортировать их в CSV-файл, выполните следующую команду:
Дополнительные сведения об атрибуте ImmutableID можно найти в документации Microsoft.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню БезопасностьАутентификация Система единого входа с SAML-приложениями.
Чтобы выполнить эту задачу, войдите в аккаунт суперадминистратора.
- В разделе Настройка системы единого входа (SSO) скопируйте и сохраните URL SSO и идентификатор объекта, а также скачайте сертификат.
После этого откройте приложение Office 365 и следуйте инструкциям для шага 3. Затем вернитесь в консоль администратора (шаг 4) и завершите настройку системы единого входа.
- В новой вкладке браузера войдите в приложение Office 365 как администратор.
- В текстовом редакторе создайте переменные PowerShell на основе данных поставщика идентификационной информации, полученных от Google. В таблице ниже указаны значения для каждой переменной.
Переменная Значение $DomainName vashdomen.com $FederationBrandName Google Cloud Identity (или любое значение на ваш выбор) $Authentication Federated (федеративная аутентификация) $PassiveLogOnUrl
$ActiveLogOnUriURL системы единого входа (из данных поставщика идентификационной информации Google) $SigningCertificate Вставьте сюда сертификат целиком (из данных поставщика идентификационной информации Google)* $IssuerURI Идентификатор объекта (из данных поставщика идентификационной информации Google) $LogOffUri https://accounts.google.com/logout $PreferredAuthenticationProtocol SAMLP - В консоли PowerShell выполните команду Set-MsolDomainAuthentication, чтобы настроить домен Active Directory для федеративной аутентификации. Подробную информацию можно найти в документации Microsoft.
- Если нужно проверить настройки федеративной аутентификации, используйте следующую команду PowerShell:
Get-MSolDomainFederationSettings -DomainName vash-domen.ru | Format-List *
Примечание. Если ваш домен уже объединен в федерацию и вам нужно настроить федерацию с Google, выполните команду
Set-MsolDomainFederationSettings
, используя параметры из таблицы выше.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
-
Нажмите Добавить приложениеНайти приложения.
- В строке поиска введите Office 365.
- В результатах поиска наведите указатель на SAML-приложение Office 365 и нажмите Выбрать.
- На странице Сведения о поставщике идентификационной информации (Google) нажмите Продолжить.
- На странице Сведения о поставщике услуг:
- Установите флажок Подписанный ответ.
- В поле Формат идентификатора названия выберите значение "Постоянный".
- Если на шаге 1 вы создали настраиваемый атрибут, чтобы добавить в профили пользователей Google значения Immutable ID из Office 365, выберите этот атрибут для параметра Идентификатор названия. В противном случае задайте для этого параметра значение Общие сведения > Основной адрес электронной почты.
- Нажмите Продолжить.
- На странице Сопоставление атрибутов нажмите на меню Выберите поле и сопоставьте перечисленные ниже атрибуты каталога Google с атрибутами Office 365.
Атрибут каталога Google Атрибут Office 365 Общие сведения > Основной адрес эл. почты IDPEmail -
Если нужно указать названия групп для этого приложения:
- В разделе Участие в группах (необязательно) нажмите Поиск групп, введите одну или несколько начальных букв названия группы и выберите нужное.
- При необходимости добавьте группы (не более 75).
- В разделе Атрибут приложения укажите название соответствующего атрибута группы поставщика услуг.
Сколько бы групп ни указал администратор, в ответ SAML будет включена информация только о тех группах, участником которых пользователь прямо или косвенно является. Подробнее о сопоставлении информации об участии в группах…
- Нажмите Готово.
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
- Выберите Office 365.
-
Нажмите Доступ пользователей.
-
Чтобы включить или отключить сервис для всех пользователей в организации, нажмите Включено для всех или Отключено для всех, а затем выберите Сохранить.
-
При необходимости включите или выключите сервис для организационного подразделения:
- В левой части страницы выберите организационное подразделение.
- Для статуса сервиса выберите значение Вкл. или Выкл.
- Выберите один из вариантов:
- Если для статуса сервиса установлено значение Унаследовано и вы хотите, чтобы настройка продолжала действовать при изменении параметров родительской организации, нажмите Переопределить.
- Если установлено значение Переопределено, нажмите Наследовать, чтобы применить настройки родительской организации, или Сохранить, чтобы использовать новое значение параметра (даже если настройки родительской организации изменятся).
Подробнее о структуре организации…
-
Чтобы включить сервис для определенных пользователей, входящих в одно или разные организационные подразделения, выберите группу доступа. Подробнее о том, как включить сервис для группы…
- Убедитесь, что адреса электронной почты пользователей Office 365 совпадают с указанными для домена Google.
Office 365 поддерживает систему единого входа, инициируемую как поставщиком идентификационной информации, так и поставщиком услуг. Чтобы проверить работу системы в одном из этих режимов, следуйте приведенным ниже инструкциям.
Система, инициируемая поставщиком идентификационной информации
-
Войдите в консоль администратора Google.
Для входа используйте аккаунт суперадминистратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ПриложенияМобильные и веб-приложения.
- Выберите Office 365.
- В левом верхнем углу экрана нажмите Проверить вход через SAML.
Приложение Office 365 должно открыться в новой вкладке. Если этого не произойдет, измените настройки IdP и SP на основе информации в сообщениях об ошибках SAML, а затем проверьте вход через SAML ещё раз.
Система, инициируемая поставщиком услуг
- Перейдите по адресу https://login.microsoftonline.com/.
Вы будете автоматически перенаправлены на страницу входа в аккаунт Google. - Введите имя пользователя и пароль.
- После проверки данных система автоматически перенаправит вас в Office 365.
Суперадминистратор может включить автоматическую подготовку пользователей в приложении Office 365.
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.