Öğretici: G Suite'i otomatik kullanıcı sağlama için yapılandırma
Bu öğreticide, otomatik kullanıcı sağlamayı yapılandırmak için hem G Suite hem de Microsoft Entra Id'de gerçekleştirmeniz gereken adımlar açıklanmaktadır. Yapılandırıldığında, Microsoft Entra Id, Microsoft Entra sağlama hizmetini kullanarak kullanıcıları ve grupları otomatik olarak sağlar ve G Suite'e sağlamasını geri alır. Bu hizmetin ne yaptığı, nasıl çalıştığı ve sık sorulan sorular hakkında önemli ayrıntılar için bkz . Microsoft Entra Id ile SaaS uygulamalarına kullanıcı sağlamayı ve sağlamayı kaldırmayı otomatikleştirme.
Not
Bu öğreticide, Microsoft Entra kullanıcı Sağlama Hizmeti'nin üzerinde oluşturulmuş bir bağlayıcı açıklanmaktadır. Bu hizmetin ne yaptığı, nasıl çalıştığı ve sık sorulan sorular hakkında önemli ayrıntılar için bkz . Microsoft Entra Id ile SaaS uygulamalarına kullanıcı sağlamayı ve sağlamayı kaldırmayı otomatikleştirme.
Desteklenen özellikler
- G Suite'te kullanıcı oluşturma
- Artık erişim gerektirmeyen kullanıcıları G Suite'te kaldırma (not: Bir kullanıcıyı eşitleme kapsamından kaldırmak, GSuite'da nesnenin silinmesine neden olmaz)
- Microsoft Entra ID ve G Suite arasında kullanıcı özniteliklerinin eşitlenmesini sağlayın
- G Suite'te grup ve grup üyelikleri sağlama
- G Suite'te çoklu oturum açma (önerilir)
Önkoşullar
Bu öğreticide özetlenen senaryo, aşağıdaki önkoşullara zaten sahip olduğunuzu varsayar:
- Microsoft Entra kiracısı
- Aşağıdaki rollerden biri: Uygulama Yöneticisi, Bulut Uygulaması Yöneticisi veya Uygulama Sahibi.
- G Suite kiracısı
- G Suite'te Yönetici izinlerine sahip bir kullanıcı hesabı.
1. Adım: Sağlama dağıtımınızı planlama
- Hazırlama hizmetinin nasıl çalıştığı hakkında bilgi edinin.
- Sağlama kapsamında kimlerin olduğunu belirleyin.
- Microsoft Entra ID ile G Suite arasında hangi verilerin eşleneceğini belirleyin.
2. Adım: G Suite'i Microsoft Entra Id ile sağlamayı destekleyecek şekilde yapılandırma
G Suite'i Microsoft Entra ID ile otomatik kullanıcı sağlama için yapılandırmadan önce G Suite'te SCIM sağlamayı etkinleştirmeniz gerekir.
G Suite Yönetici konsolunda yönetici hesabınızla oturum açın, ardından Ana menüye tıklayın ve güvenlik'i seçin. Bu seçeneği görmüyorsanız, Daha Fazla Göster menüsünün altında gizlenmiş olabilir.
Güvenlik -> Erişim ve veri denetimi -> API Denetimleri bölümüne gidin. İç ve etki alanına ait uygulamalara güven onay kutusunu seçin ve KAYDET'e tıklayın
Önemli
G Suite'e sağlamayı planladığınız her kullanıcı için, Microsoft Entra Id'deki kullanıcı adları özel bir etki alanına bağlı olmalıdır . Örneğin, gibi bob@contoso.onmicrosoft.com görünen kullanıcı adları G Suite tarafından kabul edilmez. Öte yandan, bob@contoso.com kabul edilir. Buradaki yönergeleri izleyerek mevcut bir kullanıcının etki alanını değiştirebilirsiniz.
Microsoft Entra ID ile istediğiniz özel etki alanlarını ekleyip doğruladıktan sonra, bunları G Suite ile yeniden doğrulamanız gerekir. G Suite'te etki alanlarını doğrulamak için aşağıdaki adımlara bakın:
G Suite Yönetim Konsolu'nda Hesap - Etki Alanları ->> Etki Alanlarını Yönet'e gidin.
Etki Alanını Yönet sayfasında Etki alanı ekle'ye tıklayın.
Etki Alanı Ekle sayfasında, eklemek istediğiniz etki alanının adını yazın.
ETKI ALANı EKLE VE DOĞRULAMAYı BAŞLAT'ı seçin. Ardından, etki alanı adının sahibi olduğunuzu doğrulamak için adımları izleyin. Google ile etki alanınızı doğrulama hakkında kapsamlı yönergeler için bkz . Site sahipliğinizi doğrulama.
G Suite'e eklemeyi planladığınız diğer etki alanları için önceki adımları yineleyin.
Ardından, G Suite'te kullanıcı sağlamayı yönetmek için hangi yönetici hesabını kullanmak istediğinizi belirleyin. Hesap Yöneticisi> rolleri'ne gidin.
Bu hesabın Yönetici rolü için ilgili rolün Ayrıcalıkları'nı düzenleyin. Bu hesabın sağlama için kullanılabilmesi için tüm Yönetici API Ayrıcalıklarını etkinleştirdiğinizden emin olun.
3. Adım: Microsoft Entra uygulama galerisinden G Suite ekleme
G Suite'e sağlamayı yönetmeye başlamak için Microsoft Entra uygulama galerisinden G Suite ekleyin. Daha önce SSO için G Suite'i ayarladıysanız aynı uygulamayı kullanabilirsiniz. Ancak başlangıçta tümleştirmeyi test ederken ayrı bir uygulama oluşturmanız önerilir. Galeriden uygulama ekleme hakkında daha fazla bilgi için buraya bakın.
4. Adım: Sağlama kapsamında kimlerin olduğunu tanımlama
Microsoft Entra sağlama hizmeti, uygulamaya atamaya göre veya kullanıcının /grubun özniteliklerine göre sağlananların kapsamını belirlemenizi sağlar. Atamaya göre uygulamanıza kimlerin sağlandığına yönelik kapsam kullanmayı seçerseniz, uygulamaya kullanıcı ve grup atamak için aşağıdaki adımları kullanabilirsiniz. Yalnızca kullanıcı veya grubun özniteliklerine göre sağlananların kapsamını belirlemeyi seçerseniz, burada açıklandığı gibi bir kapsam filtresi kullanabilirsiniz.
Başlangıçta kapsamı sınırlı tutun. Herkesi hazırlamadan önce birkaç kullanıcı ve grupla test yapın. Hazırlama kapsamı atanan kullanıcılar ve gruplar olarak ayarlandığında uygulamaya bir veya iki kullanıcı ya da grup atayarak bu adımı kontrol edebilirsiniz. Kapsam tüm kullanıcılar ve gruplar olarak ayarlandığında öznitelik tabanlı kapsam filtresi belirtebilirsiniz.
Daha fazla rol gerekiyorsa, yeni roller eklemek için uygulama bildirimini güncelleştirebilirsiniz.
5. Adım: G Suite'e otomatik kullanıcı sağlamayı yapılandırma
Bu bölüm, Microsoft Entra Id'deki kullanıcı ve/veya grup atamalarına göre TestApp'te kullanıcıları ve/veya grupları oluşturmak, güncelleştirmek ve devre dışı bırakmak için Microsoft Entra sağlama hizmetini yapılandırma adımlarında size yol gösterir.
Not
G Suite Dizin API'si uç noktası hakkında daha fazla bilgi edinmek için Dizin API'si başvuru belgelerine bakın.
Microsoft Entra Id'de G Suite için otomatik kullanıcı sağlamayı yapılandırmak için:
Microsoft Entra yönetim merkezinde en az Bir Bulut Uygulaması Yöneticisi olarak oturum açın.
Kimlik>Uygulamaları>Kurumsal uygulamaları'na göz atın.
Uygulamalar listesinde G Suite'i seçin.
Sağlama sekmesini seçin. Başlarken'e tıklayın.
Hazırlama Modu'nu Otomatik olarak ayarlayın.
Yönetici Kimlik Bilgileri bölümünün altında Yetki ver'e tıklayın. Yeni bir tarayıcı penceresinde google yetkilendirme iletişim kutusuna yönlendirilirsiniz.
G Suite kiracınızda değişiklik yapmak için Microsoft Entra izinleri vermek istediğinizi onaylayın. Kabul Et’i seçin.
Microsoft Entra ID'nin G Suite'e bağlanadığından emin olmak için Bağlantıyı Test Et'i seçin. Bağlantı başarısız olursa G Suite hesabınızın Yönetici izinlerine sahip olduğundan emin olun ve yeniden deneyin. Ardından Yetkilendirme adımını yeniden deneyin.
Bildirim E-postası alanına hazırlama hatası bildirimlerinin gönderilmesini istediğiniz kişinin veya grubun e-posta adresini yazıp Hata oluştuğunda e-posta bildirimi gönder onay kutusunu seçin.
Kaydet'i seçin.
Eşlemeler bölümünde Microsoft Entra kullanıcılarını sağla'yı seçin.
Öznitelik Eşleme bölümünde Microsoft Entra ID'den G Suite'e eşitlenen kullanıcı özniteliklerini gözden geçirin. Değişiklikleri kaydetmek için Kaydet düğmesini seçin.
Not
GSuite Sağlama şu anda yalnızca eşleşen öznitelik olarak primaryEmail kullanımını destekler.
| Öznitelik | Tür |
|---|---|
| primaryEmail | String |
| Ilişkiler. [type eq "manager"].value | String |
| name.familyName | String |
| name.givenName | String |
| Askıya | String |
| externalId'ler. [type eq "custom"].value | String |
| externalId'ler. [type eq "organization"].value | String |
| Adres. [type eq "work"].country | String |
| Adres. [type eq "work"].streetAddress | String |
| Adres. [eq "work"].region yazın | String |
| Adres. [type eq "work"].locality | String |
| Adres. [type eq "work"].postalCode | String |
| e-postaları seçin. [eq "work"].address yazın | String |
| Kuruluş. [eq "work"].department yazın | String |
| Kuruluş. [eq "work"].title yazın | String |
| phoneNumbers. [type eq "work"].value | String |
| phoneNumbers. [eq "mobile"].value yazın | String |
| phoneNumbers. [type eq "work_fax"].value | String |
| e-postaları seçin. [eq "work"].address yazın | String |
| Kuruluş. [eq "work"].department yazın | String |
| Kuruluş. [eq "work"].title yazın | String |
| Adres. [type eq "home"].country | String |
| Adres. [eq "home"].formatted yazın | String |
| Adres. [type eq "home"].locality | String |
| Adres. [type eq "home"].postalCode | String |
| Adres. [eq "home"].region yazın | String |
| Adres. [type eq "home"].streetAddress | String |
| Adres. [type eq "other"].country | String |
| Adres. [type eq "other"].formatted | String |
| Adres. [type eq "other"].locality | String |
| Adres. [type eq "other"].postalCode | String |
| Adres. [type eq "other"].region | String |
| Adres. [type eq "other"].streetAddress | String |
| Adres. [type eq "work"].formatted | String |
| changePasswordAtNextLogin | String |
| e-postaları seçin. [eq "home"].address yazın | String |
| e-postaları seçin. [eq "diğer"].address yazın | String |
| externalId'ler. [type eq "account"].value | String |
| externalId'ler. [eq "custom"].customType yazın | String |
| externalId'ler. [type eq "customer"].value | String |
| externalId'ler. [type eq "login_id"].value | String |
| externalId'ler. [eq "network"].value yazın | String |
| gender.type | String |
| GeneratedImmutableId | String |
| Tanımlayıcı | String |
| ıms. [eq "home"].protocol yazın | String |
| ıms. [eq "diğer"].protocol yazın | String |
| ıms. [eq "work"].protocol yazın | String |
| includeInGlobalAddressList | String |
| ipWhitelisted | String |
| Kuruluş. [type eq "school"].costCenter | String |
| Kuruluş. [type eq "school"].department | String |
| Kuruluş. [type eq "school"].domain | String |
| Kuruluş. [type eq "school"].fullTimeEquivalent | String |
| Kuruluş. [eq "school"].location yazın | String |
| Kuruluş. [eq "school"].name yazın | String |
| Kuruluş. [eq "school"].symbol yazın | String |
| Kuruluş. [eq "school"].title yazın | String |
| Kuruluş. [type eq "work"].costCenter | String |
| Kuruluş. [type eq "work"].domain | String |
| Kuruluş. [type eq "work"].fullTimeEquivalent | String |
| Kuruluş. [eq "work"].location yazın | String |
| Kuruluş. [eq "work"].name yazın | String |
| Kuruluş. [eq "work"].symbol yazın | String |
| OrgUnitPath | String |
| phoneNumbers. [type eq "home"].value | String |
| phoneNumbers. [type eq "other"].value | String |
| web siteleri. [type eq "home"].value | String |
| web siteleri. [type eq "other"].value | String |
| web siteleri. [type eq "work"].value | String |
Eşlemeler bölümünde Microsoft Entra grupları sağla'yı seçin.
Öznitelik Eşleme bölümünde Microsoft Entra ID'den G Suite'e eşitlenen grup özniteliklerini gözden geçirin. Eşleştirme özellikleri olarak seçilen öznitelikler, güncelleştirme işlemleri için G Suite'teki grupları eşleştirmek için kullanılır. Değişiklikleri kaydetmek için Kaydet düğmesini seçin.
Öznitelik Tür e-posta String Üyeler String Adı String açıklama String Kapsam belirleme filtrelerini yapılandırmak için Kapsam belirleme filtresi öğreticisi ile sunulan yönergeleri izleyin.
G Suite için Microsoft Entra sağlama hizmetini etkinleştirmek için Ayarlar bölümünde Sağlama Durumu'nu Açık olarak değiştirin.
Ayarlar bölümünde Kapsam'ta istenen değerleri seçerek G Suite'e sağlamak istediğiniz kullanıcıları ve/veya grupları tanımlayın.
Sağlamaya hazır olduğunuzda Kaydet'e tıklayın.
Bu işlem, Ayarlar bölümündeki Kapsam alanında tanımlanan tüm kullanıcılar ve gruplar için ilk eşitleme döngüsünü başlatır. İlk döngünün gerçekleştirilmesi, Microsoft Entra sağlama hizmeti çalıştığı sürece yaklaşık 40 dakikada bir gerçekleşen sonraki döngülerden daha uzun sürer.
Not
Kullanıcıların Microsoft Entra kullanıcısının e-posta adresini kullanan bir kişisel/tüketici hesabı zaten varsa, dizin eşitlemesini gerçekleştirmeden önce Google Aktarım Aracı kullanılarak çözülebilecek bir soruna neden olabilir.
6. Adım: Dağıtımınızı izleme
Sağlamayı yapılandırdıktan sonra dağıtımınızı izlemek için aşağıdaki kaynakları kullanın:
- Hazırlama işlemi başarılı ve başarısız olan kullanıcıları belirlemek için hazırlama günlüklerini kullanın
- Sağlama döngüsünün durumunu ve tamamlanmaya ne kadar yakın olduğunu görmek için ilerleme çubuğunu denetleyin
- Sağlama yapılandırması iyi durumda değilse, uygulama karantinaya alınır. Karantina durumu hakkında daha fazla bilgi edinmek için buraya bakın.
Sorun Giderme İpuçları
- Bir kullanıcının eşitleme kapsamından kaldırılması GSuite'da devre dışı bırakır ancak G Suite'te kullanıcının silinmesine neden olmaz
Gruplar için PIM ile tam zamanında (JIT) uygulama erişimi
Gruplar için PIM ile Google Cloud / Google Workspace'teki gruplara tam zamanında erişim sağlayabilir ve Google Cloud / Google Workspace'te ayrıcalıklı gruplara kalıcı erişimi olan kullanıcı sayısını azaltabilirsiniz.
Kurumsal uygulamanızı SSO ve sağlama için yapılandırma
- Kiracınıza Google Cloud / Google Workspace ekleyin, bu öğreticide açıklandığı gibi sağlama için yapılandırın ve sağlamayı başlatın.
- Google Cloud / Google Workspace için çoklu oturum açmayı yapılandırın.
- Tüm kullanıcılara uygulamaya erişim sağlayan bir grup oluşturun.
- Grubu Google Cloud / Google Workspace uygulamasına atayın.
- Test kullanıcınızı önceki adımda oluşturulan grubun doğrudan üyesi olarak atayın veya bir erişim paketi aracılığıyla gruba erişim sağlayın. Bu grup, Google Cloud /Google Workspace'te kalıcı, yönetici olmayan erişim için kullanılabilir.
Gruplar için PIM'i etkinleştirme
- Microsoft Entra Id'de ikinci bir grup oluşturun. Bu grup, Google Cloud /Google Workspace'te yönetici izinlerine erişim sağlar.
- Microsoft Entra PIM'de grubu yönetim altına getirin.
- PiM'de rol üye olarak ayarlanmış grup için uygun olarak test kullanıcınızı atayın.
- İkinci grubu Google Cloud / Google Workspace uygulamasına atayın.
- Grubu Google Cloud /Google Workspace'te oluşturmak için isteğe bağlı sağlamayı kullanın.
- Google Cloud /Google Workspace'te oturum açın ve ikinci gruba yönetici görevlerini gerçekleştirmek için gerekli izinleri atayın.
Artık PIM'de gruba uygun hale gelen tüm son kullanıcılar, grup üyeliklerini etkinleştirerek Google Cloud /Google Workspace'te gruba JIT erişimi elde edebilir. Atama süresi dolduğunda, kullanıcı Google Cloud /Google Workspace'te gruptan kaldırılır. Sonraki artımlı döngü sırasında, sağlama hizmeti kullanıcıyı gruptan yeniden kaldırmayı dener. Bu, sağlama günlüklerinde hataya neden olabilir. Grup üyeliği zaten kaldırılmış olduğundan bu hata beklenir. Hata iletisi yoksayılabilir.
- Bir kullanıcının uygulamaya sağlanması ne kadar sürer?
- Kullanıcı, Microsoft Entra Id Privileged Identity Management (PIM) kullanarak grup üyeliğini etkinleştirme dışında Microsoft Entra ID'deki bir gruba eklendiğinde:
- Grup üyeliği, bir sonraki eşitleme döngüsü sırasında uygulamada sağlanır. Eşitleme döngüsü her 40 dakikada bir çalışır.
- Kullanıcı Microsoft Entra ID PIM'de grup üyeliğini etkinleştirdiğinde:
- Grup üyeliği 2 - 10 dakika içinde sağlanır. Bir kerede yüksek istek oranı olduğunda, istekler 10 saniyede beş istek hızında kısıtlanır.
- Belirli bir uygulama için grup üyeliklerini etkinleştiren 10 saniyelik bir süre içindeki ilk beş kullanıcı için, 2-10 dakika içinde uygulamada grup üyeliği sağlanır.
- Belirli bir uygulama için grup üyeliğini etkinleştiren 10 saniyelik bir süre içinde altıncı kullanıcı ve üzeri için, grup üyeliği bir sonraki eşitleme döngüsünde uygulamaya sağlanır. Eşitleme döngüsü her 40 dakikada bir çalışır. Azaltma sınırları kurumsal uygulama başınadır.
- Kullanıcı, Microsoft Entra Id Privileged Identity Management (PIM) kullanarak grup üyeliğini etkinleştirme dışında Microsoft Entra ID'deki bir gruba eklendiğinde:
- Kullanıcı Google Cloud / Google Workspace'te gerekli gruba erişemezse, grup üyeliğinin başarıyla güncelleştirildiğinden emin olmak için PIM günlüklerini ve sağlama günlüklerini gözden geçirin. Hedef uygulamanın nasıl tasarlandığına bağlı olarak, grup üyeliğinin uygulamada etkili olması daha fazla zaman alabilir.
- Azure İzleyici kullanarak hatalar için uyarılar oluşturabilirsiniz.
Günlüğü Değiştir
- 17.10.2020 - Daha fazla G Suite kullanıcı ve grup özniteliği için destek eklendi.
- 17.10.2020 - G Suite hedef öznitelik adları burada tanımlananlarla eşleşecek şekilde güncelleştirildi.
- 17.10.2020 - Varsayılan öznitelik eşlemeleri güncelleştirildi.
Diğer kaynaklar
- Kurumsal Uygulamalar için kullanıcı hesabı hazırlamayı yönetme
- Microsoft Entra Id ile uygulama erişimi ve çoklu oturum açma nedir?