Esercitazione: Configurare G Suite per il provisioning utenti automatico
Questa esercitazione descrive i passaggi da eseguire sia in G Suite che in Microsoft Entra ID per configurare il provisioning utenti automatico. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in G Suite usando il servizio di provisioning di Microsoft Entra. Per informazioni dettagliate sul funzionamento di questo servizio e domande frequenti, vedere Automatizzare il provisioning e il deprovisioning utenti in applicazioni SaaS con Microsoft Entra ID.
Nota
Questa esercitazione descrive un connettore basato sul servizio di provisioning utenti di Microsoft Entra. Per informazioni dettagliate sulle caratteristiche e sul funzionamento di questo servizio e per le domande frequenti, consultare la sezione Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.
Capacità supportate
- Creazione di utenti in G Suite
- Rimuovere gli utenti in G Suite quando non richiedono più l'accesso (nota: la rimozione di un utente dall'ambito di sincronizzazione non comporterà l'eliminazione dell'oggetto in GSuite)
- Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e G Suite
- Provisioning di gruppi e appartenenze a gruppi in G Suite
- Accesso Single Sign-On a G Suite (scelta consigliata)
Prerequisiti
Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:
- Un tenant di Microsoft Entra
- Uno dei seguenti ruoli: Amministratore di applicazioni, Amministratore applicazione cloud o Proprietario dell'applicazione.
- Un tenant di G Suite
- Account utente in G Suite con autorizzazioni di amministratore.
Passaggio 1: pianificare la distribuzione del provisioning
- Vedere le informazioni su come funziona il servizio di provisioning.
- Determinare gli utenti inclusi nell'ambito per il provisioning.
- Determinare per quali dati eseguire il mapping tra Microsoft Entra ID e G Suite.
Passaggio 2: Configurare G Suite perché supporti il provisioning con Microsoft Entra ID
Prima di configurare G Suite per il provisioning utenti automatico con Microsoft Entra ID, è necessario abilitare il provisioning SCIM in G Suite.
Accedere alla console di amministrazione di G Suite con l'account amministratore, poi cliccare su Menu principale e poi selezionare Sicurezza. Se non viene visualizzato, potrebbe essere nascosto nel menu Mostra altro.
Passare a Sicurezza -> Accesso e controllo dati -> Controlli API. Selezionare la casella di controllo Considera attendibili le app interne, di proprietà del dominio e quindi fare clic su SALVA
Importante
Per ogni utente per cui verrà effettuato il provisioning in G Suite, è necessario associare il relativo nome utente in Microsoft Entra ID a un dominio personalizzato. Ad esempio, nomi utente simili a bob@contoso.onmicrosoft.com non vengono accettati da G Suite. Invece, bob@contoso.com viene accettato. È possibile modificare il dominio di un utente esistente seguendo le istruzioni riportate qui.
Dopo aver aggiunto e verificato i domini personalizzati desiderati con Microsoft Entra ID, è necessario verificarli di nuovo con G Suite. Per verificare i domini in G Suite, seguire questa procedura:
Nella Console di amministrazione di G Suite passare andare su Account -> Domini -> Gestisci domini.
Nella pagina Gestisci dominio, cliccare su Aggiungi un dominio.
Nella pagina Aggiungi dominio, digitare il nome del dominio che si vuole aggiungere.
Selezionare AGGIUNGI DOMINIO E AVVIA VERIFICA. Seguire i passaggi per verificare che si è proprietari del nome di dominio. Per istruzioni dettagliate su come verificare il dominio con Google, vedere Verificare la proprietà del sito.
Ripetere i passaggi precedenti per eventuali altri domini che si intende aggiungere a G Suite.
Determinare quindi l'account amministratore da usare per gestire il provisioning utenti in G Suite. Andare su Account->Ruoli di amministratore.
Per il ruolo di amministratore dell'account, modificare i privilegi per quel ruolo. Assicurarsi di abilitare tutti i privilegi dell'API di amministratore in modo che l'account possa essere usato per il provisioning.
Passaggio 3: Aggiungere G Suite dalla raccolta di applicazioni Microsoft Entra
Aggiungere G Suite dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in G Suite. Se G Suite è stato configurato in precedenza per l'accesso SSO, è possibile usare la stessa applicazione. Si consiglia però di creare un'app separata per il test iniziale dell'integrazione. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, fare clic qui.
Passaggio 4: Definire chi è nell'ambito per il provisioning
Il servizio di provisioning di Microsoft Entra consente di definire l'ambito per gli utenti di cui viene effettuato il provisioning in base all'assegnazione all'applicazione e/o in base agli attributi dell'utente/gruppo. Se si sceglie di definire l'ambito degli utenti di cui verrà eseguito il provisioning per l'app in base all'assegnazione, è possibile seguire questa procedura per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito degli utenti di cui viene eseguito il provisioning esclusivamente in base agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito come descritto qui.
Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di eseguire la distribuzione a tutti. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di ambito basato su attributi.
Se sono necessari altri ruoli è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.
Passaggio 5: Configurare il provisioning utenti automatico in G Suite
Questa sezione descrive la procedura per configurare il servizio di provisioning di Microsoft Entra in modo da creare, aggiornare e disabilitare utenti e/o gruppi in TestApp in base alle assegnazioni di utenti e/o gruppi in Microsoft Entra ID.
Nota
Per altre informazioni sull'endpoint dell'API Directory di G Suite, consultare la documentazione di riferimento su API Directory.
Per configurare il provisioning utenti automatico per G Suite in Microsoft Entra ID:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.
Passare a Applicazioni>di identità>Applicazioni aziendali.
Nell'elenco di applicazioni selezionare G Suite.
Selezionare la scheda Provisioning. Fare clic su Inizia.
Impostare Modalità di provisioning su Automatico.
Nella sezione Credenziali amministratore fare clic su Autorizza. Si verrà reindirizzati a una finestra di dialogo di autorizzazione di Google in una nuova finestra del browser.
Confermare che si vuole concedere a Microsoft Entra le autorizzazioni per apportare modifiche al tenant di G Suite. Selezionare Accetto.
Selezionare Test connessione per verificare che Microsoft Entra ID possa connettersi a G Suite. Se la connessione non riesce, verificare che l'account G Suite disponga delle autorizzazioni di amministratore e riprovare. Ripetere quindi il passaggio per l'autorizzazione.
Nel campo Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning e selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.
Seleziona Salva.
Nella sezione Mapping, selezionare Esegui provisioning degli utenti Microsoft Entra.
Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a G Suite nella sezione Mapping attributi. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Nota
Il provisioning di GSuite supporta attualmente solo l'uso di primaryEmail come attributo corrispondente.
| Attributo | Tipo |
|---|---|
| primaryEmail | Stringa |
| relations.[type eq "manager"].value | String |
| name.familyName | String |
| name.givenName | String |
| suspended | String |
| externalIds.[type eq "custom"].value | String |
| externalIds.[type eq "organization"].value | String |
| addresses[type eq "work"].country | String |
| addresses[type eq "work"].streetAddress | String |
| addresses[type eq "work"].region | String |
| addresses[type eq "work"].locality | String |
| addresses[type eq "work"].postalCode | String |
| emails.[type eq "work"].address | String |
| organizations.[type eq "work"].department | String |
| organizations.[type eq "work"].title | String |
| phoneNumbers[type eq "work"].value | String |
| phoneNumbers[type eq "mobile"].value | String |
| phoneNumbers.[type eq "work_fax"].value | String |
| emails.[type eq "work"].address | String |
| organizations.[type eq "work"].department | String |
| organizations.[type eq "work"].title | String |
| addresses.[type eq "home"].country | String |
| addresses.[type eq "home"].formatted | String |
| addresses.[type eq "home"].locality | String |
| addresses.[type eq "home"].postalCode | String |
| addresses.[type eq "home"].region | String |
| addresses.[type eq "home"].streetAddress | String |
| addresses.[type eq "other"].country | String |
| addresses.[type eq "other"].formatted | String |
| addresses.[type eq "other"].locality | String |
| addresses.[type eq "other"].postalCode | String |
| addresses.[type eq "other"].region | String |
| addresses.[type eq "other"].streetAddress | String |
| addresses[type eq "work"].formatted | String |
| changePasswordAtNextLogin | String |
| emails.[type eq "home"].address | String |
| emails.[type eq "other"].address | String |
| externalIds.[type eq "account"].value | String |
| externalIds.[type eq "custom"].customType | String |
| externalIds.[type eq "customer"].value | String |
| externalIds.[type eq "login_id"].value | String |
| externalIds.[type eq "network"].value | String |
| gender.type | String |
| GeneratedImmutableId | String |
| Identifier | String |
| ims.[type eq "home"].protocol | String |
| ims.[type eq "other"].protocol | String |
| ims.[type eq "work"].protocol | String |
| includeInGlobalAddressList | String |
| ipWhitelisted | String |
| organizations.[type eq "school"].costCenter | String |
| organizations.[type eq "school"].department | String |
| organizations.[type eq "school"].domain | String |
| organizations.[type eq "school"].fullTimeEquivalent | String |
| organizations.[type eq "school"].location | String |
| organizations.[type eq "school"].name | String |
| organizations.[type eq "school"].symbol | String |
| organizations.[type eq "school"].title | String |
| organizations.[type eq "work"].costCenter | String |
| organizations.[type eq "work"].domain | String |
| organizations.[type eq "work"].fullTimeEquivalent | String |
| organizations.[type eq "work"].location | String |
| organizations.[type eq "work"].name | String |
| organizations.[type eq "work"].symbol | String |
| OrgUnitPath | String |
| phoneNumbers.[type eq "home"].value | String |
| phoneNumbers.[type eq "other"].value | String |
| websites.[type eq "home"].value | String |
| websites.[type eq "other"].value | String |
| websites.[type eq "work"].value | String |
Nella sezione Mapping, selezionare Esegui provisioning dei gruppi Microsoft Entra.
Esaminare gli attributi gruppo sincronizzati da Microsoft Entra ID a G Suite nella sezione Mapping attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in G Suite per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.
Attributo Type E-mail String Membri String name string descrizione Stringa Per configurare i filtri di ambito, fare riferimento alle istruzioni fornite nell'esercitazione sui filtri per la definizione dell'ambito.
Per abilitare il servizio di provisioning di Microsoft Entra per G Suite, impostare Stato del provisioning su Sì nella sezione Impostazioni.
Definire gli utenti e/o i gruppi di cui si vuole effettuare il provisioning in G Suite selezionando i valori desiderati in Ambito nella sezione Impostazioni.
Quando si è pronti per effettuare il provisioning, fare clic su Salva.
L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.
Nota
Se gli utenti dispongono già di un account personale/consumer esistente che usa l'indirizzo di posta elettronica dell'utente Microsoft Entra, potrebbe verificarsi un problema che è possibile risolvere usando lo strumento Google Transfer prima di eseguire la sincronizzazione della directory.
Passaggio 6: monitorare la distribuzione
Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:
- Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning con esito positivo o negativo
- Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento
- Se la configurazione del provisioning appare in uno stato non integro, l'applicazione entra in quarantena. Per altre informazioni sugli stati di quarantena, fare clic qui.
Suggerimenti per la risoluzione dei problemi
- La rimozione di un utente dall'ambito di sincronizzazione lo disabilita in G Suite, ma non comporta l'eliminazione dell'utente in G Suite
Accesso just-in-time (JIT) alle applicazioni con PIM per i gruppi
Con PIM per i gruppi, è possibile fornire l'accesso just-in-time ai gruppi in Google Cloud/Google Workspace e ridurre il numero di utenti che hanno accesso permanente ai gruppi con privilegi in Google Cloud/Google Workspace.
Configurare l'applicazione aziendale per SSO e provisioning
- Aggiungere Google Cloud/Google Workspace al tenant, configurarlo per il provisioning come descritto in questa esercitazione e avviare il provisioning.
- Configurare il Single Sign-On per Google Cloud/Google Workspace.
- Creare un gruppo che fornisce a tutti gli utenti l'accesso all'applicazione.
- Assegnare il gruppo all'applicazione Google Cloud/Google Workspace.
- Assegnare l'utente di test come membro diretto del gruppo creato nel passaggio precedente oppure fornire l'accesso al gruppo tramite un pacchetto di accesso. Questo gruppo può essere usato per l'accesso permanente e non amministratore in Google Cloud/Google Workspace.
Abilitare PIM per i gruppi
- Creare un secondo gruppo in Microsoft Entra ID. Questo gruppo fornisce l'accesso alle autorizzazioni di amministratore in Google Cloud/Google Workspace.
- Portare il gruppo sotto la gestione in Microsoft Entra PIM.
- Assegnare l'utente di test come idoneo per il gruppo in PIM con il ruolo impostato su membro.
- Assegnare il secondo gruppo all'applicazione Google Cloud/Google Workspace.
- Usare il provisioning su richiesta per creare il gruppo in Google Cloud/Google Workspace.
- Accedere a Google Cloud/Google Workspace e assegnare al secondo gruppo le autorizzazioni necessarie per eseguire le attività di amministratore.
Ora qualsiasi utente finale che è stato reso idoneo per il gruppo in PIM può ottenere l'accesso JIT al gruppo in Google Cloud/Google Workspace attivando l'appartenenza al gruppo. Alla scadenza dell'assegnazione, l'utente viene rimosso dal gruppo in Google Cloud/Google Workspace. Durante il ciclo incrementale successivo, il servizio di provisioning tenta di rimuovere nuovamente l'utente dal gruppo. Ciò può causare un errore nei log di provisioning. Questo errore è previsto perché l'appartenenza al gruppo è già stata rimossa. È possibile ignorare questo messaggio di errore.
- Quanto tempo è necessario per inserire un utente sottoposto a provisioning nell'applicazione?
- Quando un utente viene aggiunto a un gruppo in Microsoft Entra ID al di fuori dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra ID Privileged Identity Management (PIM):
- Il provisioning dell'appartenenza al gruppo viene effettuato nell'applicazione durante il ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti.
- Quando un utente attiva l'appartenenza al gruppo in Microsoft Entra ID PIM:
- Viene effettuato il provisioning dell'appartenenza al gruppo in 2-10 minuti. Quando si verifica una frequenza elevata di richieste contemporaneamente, le richieste vengono limitate a una velocità di cinque richieste ogni 10 secondi.
- Per i primi cinque utenti entro un periodo di 10 secondi dall'attivazione dell'appartenenza a un gruppo specifico per un'applicazione specifica, l'appartenenza al gruppo viene sottoposta a provisioning nell'applicazione entro 2-10 minuti.
- Per il sesto utente e oltre un periodo di 10 secondi dall'attivazione dell'appartenenza al gruppo per un'applicazione specifica, viene effettuato il provisioning dell'appartenenza al gruppo all'applicazione nel ciclo di sincronizzazione successivo. Il ciclo di sincronizzazione viene eseguito ogni 40 minuti. La limitazione delle richieste vale per ogni applicazione aziendale.
- Quando un utente viene aggiunto a un gruppo in Microsoft Entra ID al di fuori dell'attivazione dell'appartenenza al gruppo tramite Microsoft Entra ID Privileged Identity Management (PIM):
- Se l'utente non è in grado di accedere al gruppo necessario in Google Cloud Google Workspace, esaminare i registri di PIM e i registri di provisioning per assicurarsi che l'appartenenza al gruppo sia stata aggiornata correttamente. A seconda dell'architettura dell'applicazione di destinazione, l'applicazione di destinazione potrebbe richiedere più tempo per rendere effettiva l'appartenenza al gruppo nell'applicazione.
- È possibile creare avvisi per gli errori usando Monitoraggio di Azure.
Registro modifiche
- 17/10/2020: aggiunta del supporto per altri attributi di gruppo e utente di G Suite.
- 17/10/2020: aggiornamento dei nomi degli attributi di destinazione di G Suite in base a quanto definito qui.
- 17/10/2020: aggiornamento dei mapping degli attributi predefiniti.
Altre risorse
- Gestione del provisioning degli account utente per app aziendali
- Che cos'è l'accesso alle applicazioni e Single Sign-On con Microsoft Entra ID?