Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo descreve os passos que deve realizar tanto no Google (Google Cloud ou Google Workspace) como no Microsoft Entra ID para configurar o provisionamento automático do utilizador. Quando configurado, o Microsoft Entra ID provisiona e desconfigura automaticamente utilizadores e grupos para o Google Workspace usando o serviço de provisionamento Microsoft Entra. Para obter detalhes importantes sobre o que esse serviço faz, como funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Nota
Este artigo descreve um conector construído sobre o serviço de provisionamento de utilizadores Microsoft Entra para o Google G Suite, o antigo nome do Google Workspace. Para obter detalhes importantes sobre o que esse serviço faz, como funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.
Capacidades suportadas
- Criar utilizadores no G Suite
- Remover utilizadores no G Suite quando já não precisarem de acesso (nota: remover um utilizador do âmbito de sincronização não resulta na eliminação do objeto no G Suite)
- Manter os atributos do utilizador sincronizados entre o Microsoft Entra ID e o G Suite
- Provisionar grupos e associações de grupos no G Suite
- Início de sessão único no G Suite (recomendado)
Pré-requisitos
O cenário descrito neste artigo pressupõe que você já tenha os seguintes pré-requisitos:
- Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode criar uma conta gratuitamente.
- Uma das seguintes funções:
- Um locatário do G Suite
- Uma conta de utilizador num G Suite com permissões de administrador.
Etapa 1: Planejar a implantação do provisionamento
- Saiba mais sobre como funciona o serviço de provisionamento.
- Identifique quem está na área de provisionamento.
- Determine quais dados mapear entre Microsoft Entra ID e Google Workspace.
Etapa 2: configurar o G Suite para oferecer suporte ao provisionamento com o ID do Microsoft Entra
Antes de configurar o G Suite para o provisionamento automático de utilizadores com o Microsoft Entra ID, tem de ativar o aprovisionamento SCIM no G Suite.
Faça login no Admin Console do G Suite com sua conta de administrador, selecione Menu principal e, em seguida, selecione Segurança. Se você não vê-lo, ele pode estar oculto no menu Mostrar Mais .
Navegue até Segurança -> Controle de acesso e dados -> Controles de API . Marque a caixa de seleção Confiar em aplicativos internos de propriedade do domínio e selecione SALVAR
Importante
Para cada utilizador que pretende provisionar para o G Suite, o respetivo nome de utilizador no Microsoft Entra ID tem de estar associado a um domínio personalizado. Por exemplo, nomes de utilizador que se assemelham a bob@contoso.onmicrosoft.com não são aceites pelo G Suite. Por outro lado, bob@contoso.com é aceite. Você pode alterar o domínio de um usuário existente seguindo as instruções aqui.
Depois de adicionar e verificar os domínios personalizados desejados com o Microsoft Entra ID, você deve verificá-los novamente com o G Suite. Para verificar domínios no G Suite, consulte os seguintes passos:
No Admin Console do G Suite, navegue até Conta -> Domínios -> Gerenciar domínios.
Na página Gerenciar domínio, selecione Adicionar um domínio.
Na página Adicionar Domínio, digite o nome do domínio que você deseja adicionar.
Selecione
ADICIONAR DOMÍNIO & INICIAR VERIFICAÇÃO . Em seguida, siga as etapas para verificar se você é o proprietário do nome de domínio. Para obter instruções abrangentes sobre como verificar seu domínio com o Google, consulte Verificar a propriedade do seu site.Repita os passos anteriores para quaisquer outros domínios que pretenda adicionar ao G Suite.
Em seguida, determine qual a conta de administrador que pretende utilizar para gerir o aprovisionamento de utilizadores no G Suite. Navegue até Funções de Conta-Administrador>.
Para a função Administrador dessa conta, edite os Privilégios dessa função. Certifique-se de habilitar todos os privilégios da API de administrador para que essa conta possa ser usada para provisionamento.
Etapa 3: adicionar o G Suite da galeria de aplicativos do Microsoft Entra
Adicione o G Suite a partir da galeria de aplicações do Microsoft Entra para começar a gerir o aprovisionamento no G Suite. Se já configurou o G Suite para SSO, pode utilizar a mesma aplicação. No entanto, recomendamos que você crie um aplicativo separado ao testar a integração inicialmente. Saiba mais sobre como adicionar um aplicativo da galeria aqui.
Etapa 4: Definir quem está no escopo do provisionamento
O serviço de provisionamento do Microsoft Entra permite definir o escopo de quem é provisionado com base na atribuição ao aplicativo ou com base nos atributos do usuário ou grupo. Se você optar por definir o escopo de quem é provisionado para seu aplicativo com base na atribuição, poderá usar as etapas para atribuir usuários e grupos ao aplicativo. Se você optar por definir o escopo de quem é provisionado com base apenas nos atributos do usuário ou grupo, poderá usar um filtro de escopo.
Comece pequeno. Teste com um pequeno conjunto de utilizadores e grupos antes de implementar para todos. Quando o âmbito do aprovisionamento está definido para os utilizadores e os grupos atribuídos, pode controlar isto ao atribuir um ou dois utilizadores ou grupos à aplicação. Quando o escopo é definido para todos os usuários e grupos, você pode especificar um filtro de escopo baseado em atributo.
Se precisar de funções extras, você pode atualizar o manifesto do aplicativo para adicionar novas funções.
Etapa 5: configurar o provisionamento automático de usuários para o G Suite
Esta seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e/ou grupos no TestApp com base em atribuições de usuário e/ou grupo na ID do Microsoft Entra.
Nota
Para saber mais sobre o endpoint da API do diretório do G Suite, consulte a documentação de referência da API do Directory.
Para configurar o provisionamento automático de usuários para o G Suite no Microsoft Entra ID:
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até Entra ID>Enterprise apps.
Na lista de aplicações, selecione G Suite.
Selecione a guia Provisionamento . Selecione Começar.
Defina o Modo de provisionamento como Automático.
Na seção Credenciais do administrador , selecione Autorizar. Você será redirecionado para uma caixa de diálogo de autorização do Google em uma nova janela do navegador.
Confirme se deseja conceder permissões à Microsoft Entra para fazer alterações no inquilino do G Suite. Selecione Aceitar.
Selecione Testar ligação para garantir que o Microsoft Entra ID pode ligar-se ao G Suite. Se a conexão falhar, verifique se sua conta do G Suite tem permissões de administrador e tente novamente. Em seguida, tente a etapa Autorizar novamente.
No campo Email de notificação , digite o endereço de e-mail de uma pessoa ou grupo que deve receber as notificações de erro de provisionamento e marque a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha .
Selecione Salvar.
Na seção Mapeamentos , selecione Provisionar usuários do Microsoft Entra.
Analise os atributos de usuário sincronizados do ID do Microsoft Entra para o G Suite na seção Mapeamento de atributos . Selecione o botão Salvar para confirmar as alterações.
Nota
Atualmente, o G Suite Provisioning suporta apenas o uso de email principal como atributo correspondente.
| Atributo | Tipo |
|---|---|
| primárioE-mail | Cordão |
| relações.[tipo == "gestor"].valor | Cordão |
| nome.apelido | Cordão |
| nome.dado | Cordão |
| suspenso | Cordão |
| externalIds.[tipo eq "personalizado"].value | Cordão |
| externalIds. [tipo eq "organização"].value | Cordão |
| endereços. [tipo eq "trabalho"].país | Cordão |
| endereços. [digite eq "trabalho"].streetEndereço | Cordão |
| endereços.[tipo eq "trabalho"].região | Cordão |
| endereços. [tipo eq "trabalho"].localidade | Cordão |
| endereços. [digite eq "trabalho"].postalCode | Cordão |
| emails.[tipo eq "trabalho"].endereço | Cordão |
| organizações.[tipo eq "emprego"].departamento | Cordão |
| organizações.[tipo eq "trabalho"].título | Cordão |
| Números de telefone. [tipo eq "trabalho"].value | Cordão |
| númerosDeTelefone.[tipo eq "móvel"].valor | Cordão |
| Números de telefone.[tipo eq "work_fax"].value | Cordão |
| emails.[tipo eq "trabalho"].endereço | Cordão |
| organizações.[tipo eq "emprego"].departamento | Cordão |
| organizações.[tipo eq "trabalho"].título | Cordão |
| endereços.[tipo eq "home"].país | Cordão |
| endereços.[tipo eq "casa"].formatado | Cordão |
| endereços.[tipo eq "casa"].localidade | Cordão |
| endereços.[tipo eq "home"].códigoPostal | Cordão |
| endereços.[tipo eq "casa"].região | Cordão |
| endereços.[tipo eq "home"].streetAddress | Cordão |
| endereços. [tipo eq "outro"].país | Cordão |
| endereços. [tipo eq "outro"].formatado | Cordão |
| endereços. [digite eq "outro"].localidade | Cordão |
| endereços.[tipo eq "outro"].códigoPostal | Cordão |
| endereços.[tipo eq "outro"].região | Cordão |
| endereços. [digite eq "outro"].streetAddress | Cordão |
| endereços.[tipo eq "work"].formatted | Cordão |
| alterar a palavra-passe na próxima sessão | Cordão |
| e-mails. [digite eq "home"].address | Cordão |
| e-mails. [digite eq "outro"].address | Cordão |
| externalIds.[tipo eq "account"].value | Cordão |
| externalIds. [type eq "custom"].customType | Cordão |
| externalIds.[tipo eq "cliente"].value | Cordão |
| externalIds.[tipo eq "login_id"].value | Cordão |
| externalIds.[tipo eq "rede"].value | Cordão |
| tipo de género | Cordão |
| IdImutávelGerado | Cordão |
| Identificador | Cordão |
| ims. [tipo eq "home"].protocolo | Cordão |
| ims.[tipo == "outro"].protocolo | Cordão |
| ims [tipo eq "trabalho"].protocolo | Cordão |
| incluirNaListaGlobalDeEndereços | Cordão |
| ipLista de permissões | Cordão |
| organizações.[tipo eq "escola"].centroDeCustos | Cordão |
| organizações. [tipo eq "escola"].departamento | Cordão |
| organizações.[tipo eq "escola"].domínio | Cordão |
| organizações. [digite eq "escola"].fullTimeEquivalent | Cordão |
| organizações. [tipo eq "escola"].localização | Cordão |
| organizações.[tipo eq "escola"].nome | Cordão |
| organizações.[tipo eq "escola"].símbolo | Cordão |
| organizações. [tipo eq "escola"].título | Cordão |
| organizações. [tipo eq "trabalho"].costCenter | Cordão |
| organizações.[type eq "work"].domain | Cordão |
| organizações. [type eq "work"].fullTimeEquivalent | Cordão |
| organizações. [tipo eq "trabalho"].localização | Cordão |
| organizações. [tipo eq "trabalho"].nome | Cordão |
| organizações.[tipo igual "trabalho"].símbolo | Cordão |
| Caminho da Unidade Organizacional | Cordão |
| Números de telefone.[tipo eq "casa"].valor | Cordão |
| Números de telefone.[tipo eq "outro"].value | Cordão |
| sítios Web.[tipo eq "home"].value | Cordão |
| websites.[tipo eq "outro"].valor | Cordão |
| sítios Web. [tipo eq "trabalho"].value | Cordão |
Na seção Mapeamentos , selecione Provisionar grupos do Microsoft Entra.
Analise os atributos de grupo sincronizados do ID do Microsoft Entra para o G Suite na seção Mapeamento de atributos . Os atributos selecionados como Propriedades correspondentes são usados para corresponder aos grupos no G Suite para operações de atualização. Selecione o botão Salvar para confirmar as alterações.
Atributo Tipo e-mail Cordão Membros Cordão nome Cordão descrição Cordão Para configurar filtros de escopo, consulte as instruções a seguir fornecidas no artigo Filtro de escopo .
Para ativar o serviço de aprovisionamento Microsoft Entra para o G Suite, altere o Estado de aprovisionamento para Ativado na secção Definições .
Defina os utilizadores e/ou grupos que pretende provisionar para o G Suite escolhendo os valores pretendidos em Âmbito na secção Definições .
Quando estiver pronto para provisionar, selecione Salvar.
Esta operação inicia o ciclo de sincronização inicial de todos os usuários e grupos definidos em Escopo na seção Configurações . O ciclo inicial leva mais tempo para ser executado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, enquanto o serviço de provisionamento do Microsoft Entra estiver em execução.
Nota
Se os utilizadores já tiverem uma conta pessoal/de consumo existente a usar o endereço de email do utilizador Microsoft Entra, isso pode causar algum problema, que pode ser resolvido usando a Ferramenta de Transferência do Google antes de realizar a sincronização de diretórios.
Etapa 6: Monitorar sua implantação
Depois de configurar o provisionamento, use os seguintes recursos para monitorar sua implantação:
- Use os logs de provisionamento para determinar quais usuários são provisionados com ou sem êxito
- Verifique a barra de progresso para ver o status do ciclo de provisionamento e quão perto ele está de ser concluído
- Se a configuração de provisionamento parecer estar em um estado não íntegro, o aplicativo entrará em quarentena. Saiba mais sobre o estado de quarentena no artigo Quarentena do estado de provisionamento de aplicativos.
Dicas para resolução de problemas
- A remoção de um utilizador do âmbito de sincronização desativa-o no GSuite, mas não resulta na eliminação do utilizador no G Suite
Acesso a aplicativos just-in-time (JIT) com PIM para grupos
Com o PIM for Groups, você pode fornecer acesso just-in-time a grupos no Google Cloud / Google Workspace e reduzir o número de usuários que têm acesso permanente a grupos privilegiados no Google Cloud / Google Workspace.
Configure seu aplicativo corporativo para SSO e provisionamento
- Adicione o Google Cloud / Google Workspace ao seu locatário, configure-o para provisionamento conforme descrito neste artigo e inicie o provisionamento.
- Configure single sign-on para Google Cloud / Google Workspace.
- Crie um grupo que forneça a todos os usuários acesso ao aplicativo.
- Atribua o grupo ao aplicativo Google Cloud / Google Workspace.
- Atribui ao teu utilizador de teste como membro direto do grupo criado na etapa anterior, ou dá-lhe acesso ao grupo através de um pacote de acesso. Este grupo pode ser usado para acesso persistente e não administrativo no Google Cloud / Google Workspace.
Habilitar o PIM para grupos
- Crie um segundo grupo no Microsoft Entra ID. Este grupo fornece acesso a permissões de administrador no Google Cloud / Google Workspace.
- Coloque o grupo sob gestão no Microsoft Entra PIM.
- Atribua seu usuário de teste como elegível para o grupo no PIM com a função definida como membro.
- Atribua o segundo grupo ao aplicativo Google Cloud / Google Workspace.
- Use o provisionamento sob demanda para criar o grupo no Google Cloud / Google Workspace.
- Faça login no Google Cloud / Google Workspace e atribua ao segundo grupo as permissões necessárias para executar tarefas administrativas.
Agora, qualquer usuário final que se tornou elegível para o grupo no PIM pode obter acesso JIT ao grupo no Google Cloud / Google Workspace ativando sua associação ao grupo. Quando a atribuição expira, o usuário é removido do grupo no Google Cloud / Google Workspace. Durante o próximo ciclo incremental, o serviço de provisionamento tenta remover o usuário do grupo novamente. Isso pode resultar em um erro nos logs de provisionamento. Este erro é esperado porque a associação ao grupo já foi removida. A mensagem de erro pode ser ignorada.
- Quanto tempo leva para ter um usuário provisionado para o aplicativo?
- Quando um usuário é adicionado a um grupo no Microsoft Entra ID fora da ativação de sua associação de grupo usando o Microsoft Entra ID Privileged Identity Management (PIM):
- A associação ao grupo é provisionada no aplicativo durante o próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos.
- Quando um usuário ativa sua associação de grupo no Microsoft Entra ID PIM:
- A participação no grupo é provisionada entre 2 e 10 minutos. Quando há uma alta taxa de solicitações num único momento, as solicitações são limitadas a um nível de cinco solicitações a cada 10 segundos.
- Para os primeiros cinco usuários dentro de um período de 10 segundos ativando sua associação de grupo para um aplicativo específico, a associação de grupo é provisionada no aplicativo dentro de 2-10 minutos.
- Para o sexto usuário e além dentro de um período de 10 segundos ativando sua associação de grupo para um aplicativo específico, a associação ao grupo é provisionada para o aplicativo no próximo ciclo de sincronização. O ciclo de sincronização é executado a cada 40 minutos. Os limites de limitação são por aplicativo corporativo.
- Quando um usuário é adicionado a um grupo no Microsoft Entra ID fora da ativação de sua associação de grupo usando o Microsoft Entra ID Privileged Identity Management (PIM):
- Se o usuário não conseguir acessar o grupo necessário no Google Cloud/Google Workspace, revise os logs do PIM e os logs de provisionamento para garantir que a associação ao grupo foi atualizada com êxito. Dependendo de como o aplicativo de destino é arquitetado, pode levar mais tempo para que a associação ao grupo entre em vigor no aplicativo.
- Você pode criar alertas para falhas usando o Azure Monitor.
Registo de alterações
- 17/10/2020 - Adicionado suporte para mais atributos de usuário e grupo do G Suite.
- 17/10/2020 - Nomes de atributos de destino do G Suite atualizados para corresponder ao que está definido aqui.
- 17/10/2020 - Mapeamentos de atributos padrão atualizados.
Mais recursos
- Gerenciando o provisionamento de contas de usuário para aplicativos corporativos
- O que é acesso ao aplicativo e logon único com o Microsoft Entra ID?