É possível configurar o Entra ID (antigo Azure Active Directory do Microsoft Business) para se autenticar em outras plataformas como o Google Workspace para unificar a autenticação dos usuários, como por exemplo, permitir que usuários do Google Workspace se autentique em aplicativos do Microsoft 365 utilizando suas credenciais no Google. Para isso, siga as instruções abaixo para configurar seu domínio na Microsoft para aceitar essa forma de autenticação de domínio federado usando SAML.
Se conecte no Azure Active Directory através do PowerShell, ele pedirá as credenciais de administração do tenant (requer a instalação do módulo MSOnline):
Connect-MsolService
Usuários já existentes na Microsoft não serão criados na sincronização, por isso, você precisará adicionar o ImmutableID de cada usuário pendente. Baixe uma relação de usuários existentes com o ImmutableID deles:
$exportUsers = Get-MsolUser -All | Select-Object UserprincipalName, ImmutableID | Export-Csv users.csv
Execute o comando abaixo para cada usuário que precisa ter o ImmutableID definido ou alterado:
Set-MsolUser -UserPrincipalName [user]@[federateddomain.com] -ImmutableId [user]@[federateddomain.com]
Defina o domínio que será integrado ao Google como federado e configurando seus caminhos e chave de autenticação, lembrando que o domínio a ser federado não pode ser o domínio principal do tenant:
Set-MsolDomainAuthentication -DomainName "[domain]" -FederationBrandName "Google Cloud Identity" -Authentication "Federated" -PassiveLogOnUri "[SSO URL]" -ActiveLogOnUri "[SSO URL]" -SigningCertificate "[Google IdP certificate]" -IssuerURI "[Entity ID]" -LogOffUri "https://accounts.google.com/logout" -PreferredAuthenticationProtocol "SAMLP"
Caso precise reverter a federação, seja para desfazer a autenticação, ou para fazer alguma alteração nela, basta executar o comando abaixo:
Set-MsolDomainAuthentication -Authentication Managed -DomainName [domain]
Dica: Em ambientes com SAML, pode ser desejável remover o MFA do serviço secundário que é ativado por padrão, uma vez que o controle de acesso é feito pela plataforma principal, no caso, Google Workspace. Para desativar o MFA no Microsoft 365, desative o "security defaults" indo no Microsoft 365 Admin Center > Settings > Org settings > Modern authentication > link "enable security defaults in Azure portal" > Manage security defaults > Disabled. Caso siga por esse caminho, recomenda-se ativar manualmente o MFA para o usuário administrador do tenant que não utiliza o SAML.
Fonte: