Samouczek: konfigurowanie usługi G Suite na potrzeby automatycznej aprowizacji użytkowników
W tym samouczku opisano kroki, które należy wykonać zarówno w pakiecie G Suite, jak i identyfikatorze Entra firmy Microsoft w celu skonfigurowania automatycznej aprowizacji użytkowników. Po skonfigurowaniu identyfikator Entra firmy Microsoft automatycznie aprowizuje użytkowników i grupy i grupy w usłudze G Suite przy użyciu usługi aprowizacji firmy Microsoft. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.
Nuta
W tym samouczku opisano łącznik oparty na usłudze Microsoft Entra user Provisioning Service. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.
Obsługiwane możliwości
- Tworzenie użytkowników w usłudze G Suite
- Usuwanie użytkowników w usłudze G Suite, gdy nie wymagają już dostępu (uwaga: usunięcie użytkownika z zakresu synchronizacji nie spowoduje usunięcia obiektu w aplikacji GSuite)
- Zachowywanie synchronizacji atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i pakietem G Suite
- Aprowizuj grupy i członkostwa w grupach w usłudze G Suite
- Logowanie jednokrotne do usługi G Suite (zalecane)
Warunki wstępne
W scenariuszu opisanym w tym samouczku założono, że masz już następujące wymagania wstępne:
- Dzierżawa firmy Microsoft Entra
- Jedną z następujących ról: Administrator aplikacji, Administrator aplikacji w chmurze lub Właściciel aplikacji.
- Dzierżawa usługi G Suite
- Konto użytkownika w usłudze G Suite z uprawnieniami administratora.
Krok 1. Planowanie wdrożenia aprowizacji
- Dowiedz się, jak działa usługa aprowizacji.
- Określ, kto znajduje się w zakresie aprowizacji.
- Ustal, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i pakietem G Suite.
Krok 2. Konfigurowanie usługi G Suite w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft
Przed skonfigurowaniem usługi G Suite na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft należy włączyć aprowizację protokołu SCIM w usłudze G Suite.
Zaloguj się do konsoli administracyjnej usługi G Suite przy użyciu konta administratora, a następnie kliknij menu Główne, a następnie wybierz pozycję Zabezpieczenia. Jeśli go nie widzisz, może być ukryty w menu Pokaż więcej .
Przejdź do obszaru Zabezpieczenia —> Dostęp i kontrola danych —> Kontrolki interfejsu API. Zaznacz pole wyboru Ufaj aplikacjom wewnętrznym, należącym do domeny, a następnie kliknij przycisk ZAPISZ
Ważny
Dla każdego użytkownika, który zamierzasz aprowizować w usłudze G Suite, jego nazwa użytkownika w identyfikatorze Entra firmy Microsoft musi być powiązana z domeną niestandardową. Na przykład nazwy użytkowników, które wyglądają, bob@contoso.onmicrosoft.com nie są akceptowane przez usługę G Suite. Z drugiej strony bob@contoso.com jest akceptowany. Domenę istniejącego użytkownika można zmienić, postępując zgodnie z instrukcjami dostępnymi tutaj.
Po dodaniu i zweryfikowaniu żądanych domen niestandardowych przy użyciu identyfikatora Entra firmy Microsoft należy je ponownie zweryfikować za pomocą usługi G Suite. Aby zweryfikować domeny w usłudze G Suite, zapoznaj się z następującymi krokami:
W konsoli administracyjnej usługi G Suite przejdź do pozycji Konto —> domeny —> zarządzanie domenami.
Na stronie Zarządzanie domeną kliknij pozycję Dodaj domenę.
Na stronie Dodawanie domeny wpisz nazwę domeny, którą chcesz dodać.
Wybierz pozycję DODAJ DOMENĘ I ROZPOCZNIJ WERYFIKACJĘ. Następnie wykonaj kroki, aby sprawdzić, czy jesteś właścicielem nazwy domeny. Aby uzyskać kompleksowe instrukcje dotyczące weryfikowania domeny w usłudze Google, zobacz Weryfikowanie własności witryny.
Powtórz powyższe kroki dla kolejnych domen, które mają zostać dodane do usługi G Suite.
Następnie określ, którego konta administratora chcesz użyć do zarządzania aprowizowaniem użytkowników w usłudze G Suite. Przejdź do pozycji Role administratora konta>.
W przypadku roli Administratora tego konta zmodyfikuj uprawnienia dla tej roli. Upewnij się, że włączono wszystkie uprawnienia interfejsu API administratora, aby można było użyć tego konta do aprowizacji.
Krok 3. Dodawanie pakietu G Suite z galerii aplikacji Microsoft Entra
Dodaj pakiet G Suite z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze G Suite. Jeśli wcześniej skonfigurowano usługę G Suite dla logowania jednokrotnego, możesz użyć tej samej aplikacji. Zaleca się jednak utworzenie oddzielnej aplikacji podczas początkowego testowania integracji. Dowiedz się więcej o dodawaniu aplikacji z galerii tutaj.
Krok 4. Definiowanie, kto znajduje się w zakresie aprowizacji
Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto jest aprowizowany na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika/grupy. Jeśli zdecydujesz się określić zakres aprowizacji aplikacji na podstawie przypisania, możesz użyć poniższych kroków , aby przypisać użytkowników i grupy do aplikacji. Jeśli zdecydujesz się określić zakres, kto jest aprowizowany wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtru określania zakresu zgodnie z opisem w tym miejscu.
Zacznij od małych. Przetestuj mały zestaw użytkowników i grup przed wdrożeniem dla wszystkich użytkowników. Jeśli zakres aprowizacji jest ustawiony na przypisanych użytkowników i grupy, możesz to kontrolować, przypisując jednego lub dwóch użytkowników lub grup do aplikacji. Gdy zakres jest ustawiony na wszystkich użytkowników i grupy, można określić filtr określania zakresu na podstawie atrybutów.
Jeśli potrzebujesz więcej ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.
Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze G Suite
Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i/lub grup w usłudze TestApp na podstawie przypisań użytkowników i/lub grup w identyfikatorze Entra firmy Microsoft.
Nuta
Aby dowiedzieć się więcej na temat punktu końcowego interfejsu API usługi G Suite, zapoznaj się z dokumentacją interfejsu API katalogu.
Aby skonfigurować automatyczną aprowizację użytkowników dla usługi G Suite w usłudze Microsoft Entra ID:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
Na liście aplikacji wybierz pozycję G Suite.
Wybierz kartę Aprowizacja. Kliknij pozycję Rozpocznij.
Ustaw tryb aprowizacji na automatyczny.
W sekcji Poświadczenia administratora kliknij pozycję Autoryzuj. Nastąpi przekierowanie do okna dialogowego autoryzacji Google w nowym oknie przeglądarki.
Upewnij się, że chcesz przyznać firmie Microsoft uprawnienia do wprowadzania zmian w dzierżawie usługi G Suite. Wybierz pozycję Akceptuj.
Wybierz pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą G Suite. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi G Suite ma uprawnienia administratora i spróbuj ponownie. Następnie spróbuj ponownie wykonać krok Autoryzacja.
W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji, a następnie zaznacz pole wyboru Wyślij powiadomienie e-mail po wystąpieniu błędu.
Wybierz pozycję Zapisz.
W sekcji Mapowania wybierz pozycję Aprowizuj użytkowników firmy Microsoft Entra.
Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do usługi G Suite w sekcji Mapowanie atrybutów. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Nuta
Aprowizacja aplikacji GSuite obecnie obsługuje tylko użycie primaryEmail jako zgodnego atrybutu.
| Atrybut | Typ |
|---|---|
| primaryEmail | Struna |
| Stosunków. [type eq "manager"].value | Struna |
| name.familyName | Struna |
| name.givenName | Struna |
| zawieszony | Struna |
| externalIds. [type eq "custom"].value | Struna |
| externalIds. [type eq "organization"].value | Struna |
| Adresy. [type eq "work"].country | Struna |
| Adresy. [type eq "work"].streetAddress | Struna |
| Adresy. [type eq "work"].region | Struna |
| Adresy. [type eq "work"].locality | Struna |
| Adresy. [type eq "work"].postalCode | Struna |
| wiadomości e-mail. [type eq "work"].address | Struna |
| Organizacji. [type eq "work"].department | Struna |
| Organizacji. [type eq "work"].title | Struna |
| phoneNumbers. [type eq "work"].value | Struna |
| phoneNumbers. [type eq "mobile"].value | Struna |
| phoneNumbers. [type eq "work_fax"].value | Struna |
| wiadomości e-mail. [type eq "work"].address | Struna |
| Organizacji. [type eq "work"].department | Struna |
| Organizacji. [type eq "work"].title | Struna |
| Adresy. [type eq "home"].country | Struna |
| Adresy. [type eq "home"].formatted | Struna |
| Adresy. [type eq "home"].locality | Struna |
| Adresy. [type eq "home"].postalCode | Struna |
| Adresy. [type eq "home"].region | Struna |
| Adresy. [type eq "home"].streetAddress | Struna |
| Adresy. [type eq "other"].country | Struna |
| Adresy. [type eq "other"].formatted | Struna |
| Adresy. [type eq "other"].locality | Struna |
| Adresy. [type eq "other"].postalCode | Struna |
| Adresy. [type eq "other"].region | Struna |
| Adresy. [type eq "other"].streetAddress | Struna |
| Adresy. [type eq "work"].formatted | Struna |
| changePasswordAtNextLogin | Struna |
| wiadomości e-mail. [type eq "home"].address | Struna |
| wiadomości e-mail. [type eq "other"].address | Struna |
| externalIds. [type eq "account"].value | Struna |
| externalIds. [type eq "custom"].customType | Struna |
| externalIds. [type eq "customer"].value | Struna |
| externalIds. [type eq "login_id"].value | Struna |
| externalIds. [type eq "network"].value | Struna |
| gender.type | Struna |
| GeneratedImmutableId | Struna |
| Identyfikator | Struna |
| Ims. [type eq "home"].protocol | Struna |
| Ims. [type eq "other"].protocol | Struna |
| Ims. [type eq "work"].protocol | Struna |
| includeInGlobalAddressList | Struna |
| ipWhitelisted | Struna |
| Organizacji. [type eq "school"].costCenter | Struna |
| Organizacji. [type eq "school"].department | Struna |
| Organizacji. [type eq "school"].domain | Struna |
| Organizacji. [type eq "school"].fullTimeEquivalent | Struna |
| Organizacji. [type eq "school"].location | Struna |
| Organizacji. [type eq "school"].name | Struna |
| Organizacji. [type eq "school"].symbol | Struna |
| Organizacji. [type eq "school"].title | Struna |
| Organizacji. [type eq "work"].costCenter | Struna |
| Organizacji. [type eq "work"].domain | Struna |
| Organizacji. [type eq "work"].fullTimeEquivalent | Struna |
| Organizacji. [type eq "work"].location | Struna |
| Organizacji. [type eq "work"].name | Struna |
| Organizacji. [type eq "work"].symbol | Struna |
| OrgUnitPath | Struna |
| phoneNumbers. [type eq "home"].value | Struna |
| phoneNumbers. [type eq "other"].value | Struna |
| witryny sieci Web. [type eq "home"].value | Struna |
| witryny sieci Web. [type eq "other"].value | Struna |
| witryny sieci Web. [type eq "work"].value | Struna |
W sekcji Mapowania wybierz pozycję Aprowizuj grupy firmy Microsoft Entra.
Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi G Suite w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowania są używane do dopasowania grup w usłudze G Suite do operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Atrybut Typ E-mail Struna Członków Struna nazwa Struna opis Struna Aby skonfigurować filtry określania zakresu, zapoznaj się z poniższymi instrukcjami podanymi w samouczku Filtrowanie zakresu.
Aby włączyć usługę aprowizacji firmy Microsoft dla usługi G Suite, zmień stan aprowizacji na Wł . w sekcji Ustawienia .
Zdefiniuj użytkowników i/lub grupy, które chcesz aprowizować w usłudze G Suite, wybierając żądane wartości w sekcji Zakres w sekcji Ustawienia.
Gdy wszystko będzie gotowe do aprowizacji, kliknij przycisk Zapisz.
Ta operacja rozpoczyna początkowy cykl synchronizacji wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.
Nuta
Jeśli użytkownicy mają już istniejące konto osobiste/konsumenckie przy użyciu adresu e-mail użytkownika Firmy Microsoft Entra, może to spowodować problem, który można rozwiązać przy użyciu narzędzia Google Transfer Tool przed wykonaniem synchronizacji katalogu.
Krok 6. Monitorowanie wdrożenia
Po skonfigurowaniu aprowizacji użyj następujących zasobów, aby monitorować wdrożenie:
- Użyj dzienników aprowizacji, aby określić, którzy użytkownicy zostali pomyślnie aprowizowani lub nie powiodły się
- Sprawdź pasek postępu, aby zobaczyć stan cyklu aprowizacji i sposób jego zamknięcia do ukończenia
- Jeśli konfiguracja aprowizacji wydaje się być w złej kondycji, aplikacja przechodzi do kwarantanny. Dowiedz się więcej o stanach kwarantanny tutaj.
Porady dotyczące rozwiązywania problemów
- Usunięcie użytkownika z zakresu synchronizacji powoduje wyłączenie ich w aplikacji GSuite, ale nie spowoduje usunięcia użytkownika w usłudze G Suite
Dostęp do aplikacji just in time (JIT) za pomocą usługi PIM dla grup
Dzięki usłudze PIM dla grup możesz zapewnić dostęp just in time do grup w usłudze Google Cloud / Google Workspace i zmniejszyć liczbę użytkowników, którzy mają stały dostęp do uprzywilejowanych grup w usłudze Google Cloud / Google Workspace.
Konfigurowanie aplikacji dla przedsiębiorstw na potrzeby logowania jednokrotnego i aprowizacji
- Dodaj usługę Google Cloud /Google Workspace do dzierżawy, skonfiguruj ją do aprowizacji zgodnie z opisem w tym samouczku i rozpocznij aprowizację.
- Konfigurowanie logowania jednokrotnego dla usługi Google Cloud/Google Workspace.
- Utwórz grupę, która zapewnia wszystkim użytkownikom dostęp do aplikacji.
- Przypisz grupę do aplikacji Google Cloud/Google Workspace.
- Przypisz użytkownika testowego jako bezpośredniego członka grupy utworzonej w poprzednim kroku lub zapewnij im dostęp do grupy za pośrednictwem pakietu dostępu. Tej grupy można używać do trwałego, nieadmin dostępu w usłudze Google Cloud/ Google Workspace.
Włączanie usługi PIM dla grup
- Utwórz drugą grupę w usłudze Microsoft Entra ID. Ta grupa zapewnia dostęp do uprawnień administratora w usłudze Google Cloud/Google Workspace.
- Przełącz grupę do zarządzania w usłudze Microsoft Entra PIM.
- Przypisz użytkownika testowego jako uprawnionego do grupy w usłudze PIM z rolą ustawioną na element członkowski.
- Przypisz drugą grupę do aplikacji Google Cloud/Google Workspace.
- Aprowizacja na żądanie umożliwia utworzenie grupy w usłudze Google Cloud/Google Workspace.
- Zaloguj się do usługi Google Cloud/Google Workspace i przypisz drugą grupę niezbędnych uprawnień do wykonywania zadań administracyjnych.
Teraz każdy użytkownik końcowy, który zakwalifikował się do grupy w usłudze PIM, może uzyskać dostęp JIT do grupy w usłudze Google Cloud /Google Workspace, aktywując członkostwo w grupie. Po wygaśnięciu przypisania użytkownik zostanie usunięty z grupy w usłudze Google Cloud / Google Workspace. Podczas następnego cyklu przyrostowego usługa aprowizacji próbuje ponownie usunąć użytkownika z grupy. Może to spowodować błąd w dziennikach aprowizacji. Ten błąd jest oczekiwany, ponieważ członkostwo w grupie zostało już usunięte. Komunikat o błędzie można zignorować.
- Jak długo trwa aprowizowania użytkownika w aplikacji?
- Po dodaniu użytkownika do grupy w usłudze Microsoft Entra ID poza aktywowaniem członkostwa w grupie przy użyciu usługi Microsoft Entra ID Privileged Identity Management (PIM):
- Członkostwo w grupie jest aprowizowane w aplikacji podczas następnego cyklu synchronizacji. Cykl synchronizacji jest uruchamiany co 40 minut.
- Gdy użytkownik aktywuje członkostwo w grupie w usłudze Microsoft Entra ID PIM:
- Członkostwo w grupie jest aprowidowane w ciągu 2–10 minut. Gdy jednocześnie występuje duża liczba żądań, żądania są ograniczane w tempie pięciu żądań na 10 sekund.
- Dla pierwszych pięciu użytkowników w ciągu 10 sekund aktywowania członkostwa w grupie dla określonej aplikacji członkostwo w grupie jest aprowizowane w aplikacji w ciągu 2–10 minut.
- W przypadku szóstego użytkownika i powyżej w ciągu 10 sekund aktywowania członkostwa w grupie dla określonej aplikacji członkostwo w grupie jest aprowizowane do aplikacji w następnym cyklu synchronizacji. Cykl synchronizacji jest uruchamiany co 40 minut. Limity ograniczania przepływności dotyczą aplikacji dla przedsiębiorstw.
- Po dodaniu użytkownika do grupy w usłudze Microsoft Entra ID poza aktywowaniem członkostwa w grupie przy użyciu usługi Microsoft Entra ID Privileged Identity Management (PIM):
- Jeśli użytkownik nie może uzyskać dostępu do niezbędnej grupy w usłudze Google Cloud /Google Workspace, przejrzyj dzienniki usługi PIM i dzienniki aprowizacji, aby upewnić się, że członkostwo w grupie zostało pomyślnie zaktualizowane. W zależności od sposobu tworzenia architektury aplikacji docelowej może upłynąć więcej czasu na zastosowanie członkostwa w grupie w aplikacji.
- Alerty dotyczące niepowodzeń można tworzyć przy użyciu usługi Azure Monitor.
Dziennik zmian
- 10/17/2020 — dodano obsługę większej liczby atrybutów użytkowników i grup usługi G Suite.
- 10/17/2020 — Zaktualizowano nazwy atrybutów docelowych usługi G Suite, aby były zgodne z definicją w tym miejscu.
- 10/17/2020 — zaktualizowano domyślne mapowania atrybutów.
Więcej zasobów
- Zarządzanie aprowizowaniem konta użytkownika dla aplikacji dla przedsiębiorstw
- Co to jest dostęp do aplikacji i logowanie jednokrotne przy użyciu identyfikatora Microsoft Entra ID?