Pular para o conteúdo principal

Como configurar o Google Workspace para se autenticar na plataforma da Microsoft usando SAML

Ivan Carlos de Almeida
Atualizado

É possível configurar o Google Workspace para se autenticar em outras plataformas como o Entra ID (antigo Azure Active Directory do Microsoft Business) para unificar a autenticação dos usuários, como por exemplo, permitir que usuários do Entra ID se autentique em aplicativos do Google como Gmail, Google Cloud e YouTube utilizando suas credenciais na Microsoft. Para isso, siga as instruções abaixo para configurar seu domínio no Google para aceitar essa forma de autenticação de domínio federado usando SAML.

Acesse a página de administração do Microsoft Entra e menu Identity > Applications > Enterprise applications.

Selecione "New application", busque por "Google Cloud / G Suite Connector by Microsoft", clique no nome do aplicativo e clique em "Create".

Voltando para Identity > Applications > Enterprise applications você deve ver a aplicação "Google Cloud / G Suite Connector by Microsoft", clique no nome dele e selecione "Single sign-on" no menu lateral.

Na página "Select a single sign-on method", selecione SAML.

Na página "Set up single sign-on with SAML", clique em "Edit"no item "Basic SAML Configuration"

Nele você vai adicionar as seguintes linhas, lembrando de trocar <yourdomain.com> pelo domínio principal utilizado no Google Workspace:

  • Identifier (Entity ID):
google.com/a/<yourdomain.com>
google.com
http://google.com
https://google.com
https://google.com/a/<yourdomain.com>
  • Reply URL (Assertion Consumer Service URL):
https://www.google.com
https://www.google.com/a/<yourdomain.com>
https://www.google.com/a/<yourdomain.com>/acs
https://www.google.com/acs
  • Sign on URL:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com,https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com

Voltando para a página "Single sign-on" do aplicativo, em "SAML Certificates", faça download do sertificado "Certificate (Base64)".

Ainda na mesma página, em "Set up Google Cloud / G Suite Connector by Microsoft", copie a URL do item "Login URL".

Agora na página de administração do Google Workspace (https://admin.google.com/), aesse menu Security > Authentication > SSO with third party IdP.

Acesse "Third-party SSO profile for your organization" e siga os seguintes passos:

  • Habilite "Set up SSO with third-party identity provider"
  • Preencha "Sign-n page URL" com a URL copiada em "Login URL" do aplicativo na Microsoft.
  • Preencha a seguinte URL em Sign-out page URL:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
  • Faça o upload que você baixou no aplicativo da Microsoft em "Verification certificate"
  • Habilite o item "Use a domain specific issuer"
  • Preencha a seguinte URL em "Change password URL:
 https://account.activedirectory.windowsazure.com/changepassword.aspx
  • E salve essa página.

Para habilitar o SSO aos usuários na Microsoft:

  • Na página do "Google Cloud / G Suite Connector by Microsoft" na Microsoft, selecione "Users and groups" e adicione os usuários ou grupo que utilizarão o SSO, você pode utilizar um grupo dinâmico de toda a empresa.

Para habilitar o SSO aos usuários no Google:

  • Você deve definir como cada unidade organizacional vai fazer login, assignando a Organization unit para a forma de login em "Manage SSO profile assignments". Recomenda-se criar um Organization unit com o nome "Admin" e mover o(s) Super Admin(s) para ele, para que não seja afetado o acesso em caso de problema com o SSO.
    Para OUs que vão utilizar SSO, selecione "Organization's third-party SSO profile"
    Para OUs que não vão utilizar SSO, selecione "None".

Com isso você ativa o SSO entre Microsoft e Google.

Atenção:

  • O uso de contas que utilizam nomes com acentuação podem causar problemas como o erro "This account cannot be accessed because the login credentials could not be verified". Recomenda-se que não sejam utilizados nomes com acentuação.
  • Contas que não incluem Entra ID P1, P2, ou licenças que incluem esses serviços não são capazes de utilizar grupos para ativar usuários na aplicação "Google Cloud / G Suite Connector by Microsoft", sendo necessário adicionar usuários manualmente na aplicação.
  • Deve-se sempre usar o domínio principal do Google Workspace nos endereços SAML mesmo quando somente um domínio secundário for utilizado.

Fonte:

Artigos relacionados