É possível configurar o Google Workspace para se autenticar em outras plataformas como o Entra ID (antigo Azure Active Directory do Microsoft Business) para unificar a autenticação dos usuários, como por exemplo, permitir que usuários do Entra ID se autentique em aplicativos do Google como Gmail, Google Cloud e YouTube utilizando suas credenciais na Microsoft. Para isso, siga as instruções abaixo para configurar seu domínio no Google para aceitar essa forma de autenticação de domínio federado usando SAML.
Acesse a página de administração do Microsoft Entra e menu Identity > Applications > Enterprise applications.
Selecione "New application", busque por "Google Cloud / G Suite Connector by Microsoft", clique no nome do aplicativo e clique em "Create".
Voltando para Identity > Applications > Enterprise applications você deve ver a aplicação "Google Cloud / G Suite Connector by Microsoft", clique no nome dele e selecione "Single sign-on" no menu lateral.
Na página "Select a single sign-on method", selecione SAML.
Na página "Set up single sign-on with SAML", clique em "Edit"no item "Basic SAML Configuration"
Nele você vai adicionar as seguintes linhas, lembrando de trocar <yourdomain.com> por seu(s) domínio(s):
- Identifier (Entity ID):
google.com/a/<yourdomain.com>
google.com
http://google.com
https://google.com
https://google.com/a/<yourdomain.com>
- Reply URL (Assertion Consumer Service URL):
https://www.google.com
https://www.google.com/a/<yourdomain.com>
https://www.google.com/a/<yourdomain.com>/acs
https://www.google.com/acs
- Sign on URL:
https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://mail.google.com,https://www.google.com/a/<yourdomain.com>/ServiceLogin?continue=https://console.cloud.google.com
Voltando para a página "Single sign-on" do aplicativo, em "SAML Certificates", faça download do sertificado "Certificate (Base64)".
Ainda na mesma página, em "Set up Google Cloud / G Suite Connector by Microsoft", copie a URL do item "Login URL".
Agora na página de administração do Google Workspace (https://admin.google.com/), aesse menu Security > Authentication > SSO with third party IdP.
Acesse "Third-party SSO profile for your organization" e siga os seguintes passos:
- Habilite "Set up SSO with third-party identity provider"
- Preencha "Sign-n page URL" com a URL copiada em "Login URL" do aplicativo na Microsoft.
- Preencha a seguinte URL em Sign-out page URL:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
- Faça o upload que você baixou no aplicativo da Microsoft em "Verification certificate"
- Habilite o item "Use a domain specific issuer"
- Preencha a seguinte URL em "Change password URL:
https://account.activedirectory.windowsazure.com/changepassword.aspx
- E salve essa página.
Para habilitar o SSO aos usuários na Microsoft:
- Na página do "Google Cloud / G Suite Connector by Microsoft" na Microsoft, selecione "Users and groups" e adicione os usuários ou grupo que utilizarão o SSO, você pode utilizar um grupo dinâmico de toda a empresa.
Para habilitar o SSO aos usuários no Google:
- Você deve definir como cada unidade organizacional vai fazer login, assignando a Organization unit para a forma de login em "Manage SSO profile assignments". Recomenda-se criar um Organization unit com o nome "Admin" e mover o(s) Super Admin(s) para ele, para que não seja afetado o acesso em caso de problema com o SSO.
Para OUs que vão utilizar SSO, selecione "Organization's third-party SSO profile"
Para OUs que não vão utilizar SSO, selecione "None".
Com isso você ativa o SSO entre Microsoft e Google.
Atenção:
- O uso de contas que utilizam nomes com acentuação podem causar problemas como o erro "This account cannot be accessed because the login credentials could not be verified". Recomenda-se que não sejam utilizados nomes com acentuação.
- Contas que não incluem Entra ID P1, P2, ou licenças que incluem esses serviços não são capazes de utilizar grupos para ativar usuários na aplicação "Google Cloud / G Suite Connector by Microsoft", sendo necessário adicionar usuários manualmente na aplicação.
- Deve-se sempre usar o domínio principal do Google Workspace nos endereços SAML mesmo quando somente um domínio secundário for utilizado.
Fonte: