Как настроить систему единого входа и инициализацию пользователей между Microsoft Entra ID и ChromeOS

Как администратор, вы можете настроить систему единого входа (SSO) и инициализацию пользователей между Microsoft Entra ID в качестве клиента и аккаунтом Google Workspace или Cloud Identity. Тогда вместо экрана входа в аккаунт Google на устройствах с ChromeOS будет показываться страница аутентификации Microsoft Entra ID.

С помощью SSO на базе SAML механизмы аутентификации, принятые в вашей компании, можно распространить и на устройства с ChromeOS. При этом пароли могут храниться у вашего поставщика идентификационной информации. Такая авторизация почти не отличается от входа в аккаунт Google Workspace с помощью браузера и системы единого входа на базе SAML. Однако здесь есть свои особенности.

Подготовка

  • Ваш домен должен быть настроен в Microsoft Entra ID и Google (Workspace или Cloud Identity).
  • Аккаунты пользователей в Microsoft Entra ID и Google должны иметь одинаковые названия. В каталоге Microsoft Entra ID ваш домен должен быть указан как зарегистрированный субдомен.
  • Для выполнения шагов ниже не требуется локальная федерация, например службы федерации Active Directory (ADFS). Однако вам необходима аналогичная облачная служба, которая поставляется в комплекте с бесплатной версией Microsoft Entra ID.

Инструкции

Шаг 1. Создайте корпоративное приложение
  1. Войдите в аккаунт на портале Microsoft Azure.
  2. В окне поиска вверху страницы введите запрос корпоративное приложение и выберите этот пункт из списка результатов.
  3. Вверху панели "Корпоративные приложения" нажмите Новое приложение.
  4. В разделе "Облачные платформы" нажмите Google Cloud Platform.
  5. Нажмите Соединитель Google Cloud / G Suite от Майкрософт.
  6. В поле "Название" введите Соединитель Google Cloud / G Suite от Майкрософт.
  7. Нажмите Создать.
Шаг 2. Назначьте корпоративному приложению определенного пользователя

На портале Microsoft Azure:

  1. Слева в разделе "Управление" нажмите Пользователи и группы. Вы также можете перейти на страницу "Обзор", а затем в разделе "Начало работы" нажать Назначить пользователей и группы.
  2. Вверху панели "Пользователи и группы" нажмите Добавить пользователя или группу.
  3. Слева на панели "Добавление назначения" в разделе "Пользователи" нажмите Не выбрано.
  4. На панели "Пользователи" выберите пользователя.
  5. Нажмите Выбрать.
  6. На панели "Добавление назначения" нажмите Назначить.
Шаг 3. Настройте систему единого входа на базе SAML

На портале Microsoft Azure:

  1. Слева в разделе "Управление" нажмите Единый вход.
  2. Выберите способ единого входа. Нажмите SAML.
  3. На странице "Вход на основе SAML" откройте раздел Базовая конфигурация SAML.
  4. Нажмите Изменить.
  5. Настройте идентификатор в поле "Идентификатор сущности". Добавьте следующие URL:
    • google.com/a/yourdomain.com
    • https://google.com/a/yourdomain.com
  6. Настройте URL ответа в поле "URL-адрес службы обработчика утверждений":
    1. Добавьте следующие URL:
      • https://google.com/acs
      • https://google.com/a/yourdomain.com/acs
    2. Настройте значение по умолчанию:
      • Напротив адреса https://google.com/a/yourdomain.com/acs установите флажок По умолчанию.
  7. Настройте URL входа. Добавьте следующий URL:
    • https://google.com/a/yourdomain.com/ServiceLogin?continue=https://mail.google.com
  8. Нажмите Сохранить.
  9. Скачайте версию сертификата в кодировке Base64:
    1. На странице "Вход на основе SAML" откройте раздел Сертификат подписи SAML.
    2. Напротив поля "Сертификат (Base64)" нажмите Скачать.
  10. Получите информацию, необходимую, чтобы связать приложение "Коннектор Google Cloud/G Suite от Майкрософт" с Microsoft Entra ID:
    1. На странице "Вход на основе SAML" выберите Настроить коннектор Google Cloud/G Suite от Майкрософт.
    2. Скопируйте следующие URL:
      • URL-адрес входа – URL страницы, где пользователь входит в систему и в Google Workspace;
      • URL-адрес выхода – URL страницы, куда пользователь перенаправляется после выхода.
Шаг 4. Настройте систему единого входа Microsoft Entra

Настройте параметры стороннего поставщика идентификационной информации

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемОбзор.
  3. Нажмите Настройка системы единого входа с использованием стороннего поставщика идентификационной информации.
  4. Выберите Добавить профиль системы единого входа.
  5. Установите флажок Настроить систему единого входа со сторонним поставщиком идентификационной информации.
  6. Введите URL-адреса стороннего поставщика идентификационной информации:
    1. URL страницы входа – вставьте значение из поля "URL-адрес входа", скопированное на шаге 3 выше.
    2. URL страницы выхода – вставьте значение поля "URL-адрес выхода", скопированное на шаге 3 выше.
      Примечание. URL должны начинаться с префикса "https".
  7. Нажмите Заменить сертификат.
  8. Выберите файл и нажмите Открыть.
  9. Установите флажок Использовать поставщика, связанного с доменом.
  10. В поле "URL для изменения пароля" укажите следующий URL:
    • https://account.activedirectory.windowsazure.com/changepassword.aspx
  11. Нажмите Сохранить.

Задайте настройки пользователей

В консоли администратора:

  1. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемНастройки. По умолчанию откроется страница Настройки пользователей и браузеров.

    Если вы зарегистрировались в Chrome Enterprise Core, нажмите на значок меню а затем Браузер Chromeа затемНастройки.

  2. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  3. Откройте раздел Безопасность.
  4. В разделе "Система единого входа" выберите Включить систему единого входа на базе SAML для устройств Chrome.
  5. При необходимости укажите для параметра "Периодичность использования системы единого входа на базе SAML" значение, которое не превышает срок действия пароля. Полный список параметров приведен в статье Как настроить правила Chrome для пользователей или браузеров.
  6.  
    Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.

    Чтобы вернуться к наследуемому значению, нажмите Наследовать.

Задайте настройки устройств

В консоли администратора:

  1. Вверху страницы нажмите Настройки устройств или на главной странице консоли администратора выберите Устройства>Chrome>Настройки>Устройство.
  2. Чтобы применить настройки ко всем пользователям и зарегистрированным браузерам, выберите организационное подразделение верхнего уровня. В противном случае выберите дочернее подразделение.
  3. Перейдите в раздел Настройки входа.
  4. В разделе "Перенаправление к поставщику идентификационной информации для системы единого входа" выберите Разрешить пользователям переходить напрямую на страницу поставщика идентификационной информации для системы единого входа на базе SAML. Подробнее о настройке правил для устройств Chrome
  5. В разделе "Передача файлов cookie системы единого входа" выберите Разрешить передачу файлов cookie системы единого входа на базе SAML в пользовательский сеанс при входе. Подробнее о настройке правил для устройств Chrome
  6. Нажмите Сохранить.
Шаг 5. Проверьте работу системы единого входа на устройствах с ChromeOS
  1. Включите управляемое устройство с ChromeOS.
  2. На странице входа в аккаунт на устройстве Chromebook нажмите Далее.
  3. На странице входа в аккаунт Microsoft введите свое имя пользователя Active Directory.
  4. Нажмите Далее.
  5. Введите пароль.
  6. Нажмите Войти.
  7. Чтобы оставаться в аккаунте и сохранять доступ к пользовательскому сеансу, нажмите Да.
Шаг 6. Настройте инициализацию пользователей Microsoft Entra ID

При регистрации в Cloud Identity или Google Workspace вы создали аккаунт суперадминистратора. Хотя его можно использовать для Microsoft Entra ID, мы рекомендуем создать для этого сервиса отдельный аккаунт суперадминистратора.

Создайте аккаунт пользователя

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Каталога затемПользователи.
  3. В верхней части страницы нажмите Новый пользователь.

  4. Введите данные аккаунта. Подробнее о том, как добавить аккаунт
  5. Нажмите Новый пользователь.
  6. Нажмите Готово, чтобы завершить создание аккаунта.

Предоставьте пользователю права суперадминистратора

В консоли администратора:

  1. В консоли администратора нажмите на значок меню а затем Каталога затемПользователи.
  2. Найдите в списке пользователя, аккаунт которого вы только что создали.
  3. Нажмите на имя пользователя. Откроется страница его аккаунта.
  4. Выберите раздел Права и роли администратора.

  5. Нажмите Назначить роли.
  6. Рядом с ролью "Суперадминистратор" установите ползунок в положение "Назначено".
  7. Нажмите Сохранить.
    Совет. Попросите нового администратора добавить способы восстановления доступа к аккаунту.

Обычно пользователь получает права администратора в течение нескольких минут, но иногда на это требуется до 24 часов.

Настройте инициализацию (подготовку) аккаунтов пользователей

  1. Войдите в аккаунт на портале Microsoft Azure.
  2. В окне поиска вверху страницы введите запрос корпоративное приложение и выберите этот пункт из списка результатов.
  3. Выполните поиск по запросу Соединитель Google Cloud / G Suite от Майкрософт и нажмите на этот результат.
  4. Слева в разделе "Управление" нажмите Подготовка.
  5. Нажмите Начать.
  6. В разделе "Режим подготовки к работе" выберите Автоматический.
  7. Нажмите Учетные данные администратора.
  8. Нажмите Авторизация.
  9. Выполните вход с аккаунтом суперадминистратора, который вы только что создали.
  10. Нажмите Разрешить, чтобы подтвердить доступ к Cloud Identity API.
  11. В разделе "Учетные данные администратора" нажмите Проверить подключение. Появится сообщение о том, авторизован ли новый пользователь, чтобы включить инициализацию.
  12. При необходимости в разделе "Сопоставления" настройте инициализацию пользователей или групп. Мы рекомендуем использовать параметр по умолчанию.
  13. Нажмите Сохранить.
  14. Вверху страницы "Подготовка" нажмите Начать подготовку.
  15. Дождитесь завершения синхронизации.

Статьи по теме

Google, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню
15025937463829314750
true
Поиск по Справочному центру
true
true
true
true
true
410864
false
false