Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны шаги, которые необходимо выполнить как в G Suite, так и в идентификаторе Microsoft Entra для настройки автоматической подготовки пользователей. При настройке Microsoft Entra ID автоматически создает и удаляет пользователей и группы в G Suite с помощью службы подготовки Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы см. в статье Автоматизация подготовки и удаления пользователей в приложениях SaaS с помощью идентификатора Microsoft Entra ID.
Примечание.
В этой статье описывается соединитель, созданный на основе службы подготовки пользователей Microsoft Entra. Важные сведения о том, что делает эта служба, как она работает, и часто задаваемые вопросы см. в статье Автоматизация предоставления и отмены доступа пользователей к приложениям SaaS с помощью Microsoft Entra ID.
Поддерживаемые возможности
- Создание пользователей в G Suite.
- Удалите пользователей в G Suite, если они больше не требуют доступа (примечание. Удаление пользователя из области синхронизации не приводит к удалению объекта в GSuite).
- Синхронизация атрибутов пользователей между идентификатором Microsoft Entra и G Suite
- Управление группами и членством в группах в G Suite.
- Единый вход в G Suite (рекомендуется).
Предварительные условия
В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:
- Учетная запись пользователя Microsoft Entra с активной подпиской. Если ее нет, можно создать учетную запись бесплатно.
- Одна из следующих ролей:
- Клиент G Suite.
- Учетная запись пользователя G Suite с разрешениями администратора.
Шаг 1. Планирование развертывания предоставления ресурсов
- Узнайте, как работает служба предоставления.
- Определите, кто находится в области предоставления.
- Определите, какие данные необходимо сопоставить между идентификатором Microsoft Entra и G Suite.
Шаг 2. Настройте G Suite для поддержки подготовки с помощью Microsoft Entra ID
Перед настройкой G Suite для автоматического управления пользователями с использованием Microsoft Entra ID, необходимо включить управление SCIM в G Suite.
Войдите в консоль администрирования G Suite с учетной записью администратора, а затем выберите главное меню и выберите "Безопасность". Если это меню не отображается, возможно, оно скрыто в меню Показать больше.
Перейдите к системе безопасности —> управление доступом и данными —> элементы управления API . Установите флажок "Доверять внутренним", доменным приложениям и нажмите кнопку SAVE
Внимание
Для каждого пользователя, которого вы хотите провизировать в G Suite, имя пользователя в учетной записи Microsoft Entra должно быть привязано к пользовательскому домену. Например, имена пользователей, которые выглядят как [email protected] не принимаются G Suite. С другой стороны, [email protected] принимается. Чтобы изменить домен для существующего пользователя, воспользуйтесь этой инструкцией.
После добавления и проверки нужных пользовательских доменов с помощью идентификатора Microsoft Entra необходимо снова проверить их с помощью G Suite. Чтобы проверить домены в G Suite, выполните следующие действия:
В консоли администрирования G Suite последовательно выберите Учетная запись -> Домены -> Управление доменами.
На странице "Управление доменом" выберите "Добавить домен".
На странице "Добавление домена" введите имя домена, который нужно добавить.
Выберите ДОБАВИТЬ ДОМЕН И НАЧАТЬ ПРОВЕРКУ. Затем выполните действия, подтверждающие, что вы владеете доменным именем. Подробные инструкции по проверке домена в Google см. на странице Как подтвердить право собственности на сайт.
Повторите описанные выше действия для всех доменов, которые вы планируете добавить в G Suite.
Затем определите, какую учетную запись администратора вы хотите использовать для управления подготовкой пользователей в G Suite. Перейдите в Учетная запись -> Роли администратора.
Для роли администратора этой учетной записи измените свойство Privileges (Привилегии). Убедитесь, что для учетной записи выбраны все параметры в разделе Admin API Privileges (Административные права доступа к API). Это позволит использовать ее для подготовки.
Шаг 3. Добавление G Suite из коллекции приложений Microsoft Entra
Добавьте G Suite из коллекции приложений Microsoft Entra, чтобы начать управление подготовкой в G Suite. Если вы ранее настроили G Suite для единого входа, можно использовать то же приложение. Однако рекомендуется создать отдельное приложение при первоначальном тестировании интеграции. Дополнительные сведения о добавлении приложения из коллекции см. здесь.
Шаг 4: Определите, кто входит в область предоставления ресурсов
Служба подготовки Microsoft Entra позволяет определить, кто подготовлен на основе назначения приложению или на основе атрибутов пользователя или группы. Если вы решите предоставлять доступ к вашему приложению на основе назначения, вы можете использовать шаги для назначения пользователей и групп приложению. Если вы выбираете, кто будет включен в диапазон на основе только атрибутов пользователя или группы, можно использовать фильтр области.
Начните с малого. Протестируйте небольшой набор пользователей и групп, прежде чем выполнять развертывание для всех. Когда в границы назначения включены назначенные пользователи и группы, вы можете управлять этим, назначив приложению одного или двух пользователей или одну или две группы. Если в область включены все пользователи и группы, можно указать фильтр области на основе атрибутов.
Если вам нужны дополнительные роли, можно обновить манифест приложения, добавить новые роли.
Шаг 5. Настройка автоматической подготовки пользователей в G Suite
В этом разделе описаны инструкции по настройке службы подготовки Microsoft Entra для создания, обновления и отключения пользователей и групп в TestApp на основе назначений пользователей и (или) групп в идентификаторе Microsoft Entra.
Примечание.
Дополнительные сведения о конечной точке API каталога G Suite см. в справочной документации по API каталога.
Чтобы настроить автоматическое предоставление пользователей для G Suite в Microsoft Entra ID, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум в качестве Администратора облачных приложений.
Перейдите к Identity>Applications>Enterprise applications.
В списке приложений выберите G Suite.
Выберите вкладку Подготовка. Выберите Начать.
Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).
В разделе учетные данные администратора выберите Авторизовать. Вы перенаправляетесь в диалоговое окно авторизации Google в новом окне браузера.
Убедитесь, что вы хотите предоставить Microsoft Entra разрешения на внесение изменений в тенант G Suite. Выберите Принять.
Выберите "Проверить подключение", чтобы убедиться, что идентификатор Microsoft Entra может подключаться к G Suite. Если установить подключение не удалось, убедитесь, что у учетной записи G Suite есть разрешения администратора, и повторите попытку. Затем повторите шаг авторизации.
В поле Электронная почта для уведомлений введите адрес электронной почты пользователя или группы, которые должны получать уведомления об ошибках подготовки, а также установите флажок Отправить уведомление по электронной почте при сбое.
Выберите Сохранить.
В разделе "Сопоставления" выберите "Подготовка пользователей Microsoft Entra".
Просмотрите атрибуты пользователя, которые синхронизируются из Microsoft Entra ID в G Suite, в разделе "Сопоставление атрибутов". Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Примечание.
В настоящее время настройка Google Workspace поддерживает только использование основного адреса электронной почты в качестве соответствующего атрибута.
| Атрибут | Тип |
|---|---|
| основная электронная почта | Строка |
| relations.[type eq "manager"].value | Строка |
| имя.фамилия | Строка |
| имя | Строка |
| приостановлено | Строка |
| externalIds.[type eq "custom"].value | Строка |
| внешнийИдентификаторы.[тип равно "организация"].значение | Строка |
| адреса.[тип eq "работа"].страна | Строка |
| addresses.[type eq "work"].streetAddress | Строка |
| addresses.[type eq "work"].region | Строка |
| addresses.[type eq "work"].locality | Строка |
| addresses.[type eq "work"].postalCode | Строка |
| emails.[type eq "work"].address | Строка |
| organizations.[type eq "work"].department | Строка |
| organizations.[type eq "work"].title | Строка |
| phoneNumbers.[type eq "рабочий"].value | Строка |
| phoneNumbers.[тип == "мобильный"].значение | Строка |
| телефонныеНомера.[тип eq "рабочий_факс"].значение | Строка |
| emails.[type eq "work"].address | Строка |
| organizations.[type eq "work"].department | Строка |
| organizations.[type eq "work"].заголовок | Строка |
| addresses.[type eq "home"].country | Строка |
| адреса.[type eq "дом"].formatted | Строка |
| addresses.[type eq "home"].locality | Строка |
| addresses.[type eq "home"].postalCode | Строка |
| addresses[type eq "home"].region | Строка |
| адреса.[тип равен "дом"].уличныйАдрес | Строка |
| addresses.[type eq "other"].country | Строка |
| адреса.[тип eq "другой"].отформатированный | Строка |
| addresses.[type eq "other"].locality | Строка |
| addresses.[type eq "другой"].postalCode | Строка |
| адреса.[тип eq "другое"].регион | Строка |
| addresses.[type eq "other"].streetAddress | Строка |
| addresses.[type eq "work"].formatted | Строка |
| Сменить пароль при следующем входе | Строка |
| emails.[type eq "home"].адрес | Строка |
| электронные почты.[тип равно "другое"].адрес | Строка |
| externalIds.[type eq "account"].value | Строка |
| externalIds.[type eq "пользовательский"].customType | Строка |
| Identifiers (externalIds).[тип eq "customer"].значение | Строка |
| externalIds.[type eq "login_id"].value | Строка |
| externalIds.[type eq "network"].value | Строка |
| тип пола | Строка |
| СгенерированныйНеизменяемыйИдентификатор | Строка |
| Идентификатор | Строка |
| ims.[type eq "home"].protocol | Строка |
| ИМС.[type eq "другое"].протокол | Строка |
| ims.[type eq "work"].protocol | Строка |
| ВключитьВГлобальныйСписокАдресов | Строка |
| ipWhitelisted | Строка |
| организаций.[type eq "школа"].costCenter | Строка |
| organizations.[type eq "школа"].отдел | Строка |
| organizations.[type eq "school"].domain | Строка |
| организации.[тип равен "school"].эквивалент полной занятости | Строка |
| организации.[тип eq "школа"].местоположение | Строка |
| organizations.[type eq "school"].name | Строка |
| организации.[тип равен "школа"].символ | Строка |
| organizations.[type eq "school"].title | Строка |
| organizations.[type eq "work"].costCenter | Строка |
| organizations.[type eq "work"].domain | Строка |
| organizations.[type eq "work"].fullTimeEquivalent | Строка |
| organizations.[type eq "work"].location | Строка |
| организации.[type eq "work"].имя | Строка |
| организации.[тип eq "work"].символ | Строка |
| OrgUnitPath | Строка |
| phoneNumbers.[тип eq "дом"].значение | Строка |
| phoneNumbers.[type eq "other"].value | Строка |
| websites.[type eq "home"].value | Строка |
| веб-сайты.[type eq "other"].value | Строка |
| websites.[type eq "work"].value | Строка |
В разделе "Сопоставления" выберите "Подготовка групп" Microsoft Entra.
Просмотрите атрибуты группы, синхронизированные из Microsoft Entra ID в G Suite, в разделе "Сопоставление атрибутов". Атрибуты, выбранные как свойства с меткой Сопоставление, используются для сопоставления групп в G Suite при операциях обновления. Нажмите кнопку Сохранить, чтобы зафиксировать все изменения.
Атрибут Тип эл. почта Строка Участники Строка имя Строка описание Строка Чтобы настроить фильтры области, ознакомьтесь со следующими инструкциями, приведенными в статье о фильтрации области.
Чтобы включить службу подготовки Microsoft Entra для G Suite, измените состояние подготовки на "Включено " в разделе "Параметры ".
Определите пользователей и (или) группы, которым вы хотите предоставить доступ в G Suite, выбрав нужные значения в Область разделе Параметры.
Когда будете готовы настроить, нажмите Сохранить.
После этого начнется цикл начальной синхронизации всех пользователей и групп, определенных в поле Область в разделе Параметры. Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут, пока работает служба подготовки Microsoft Entra.
Примечание.
Если у пользователей уже есть личные или потребительские учетные записи с помощью адреса электронной почты пользователя Microsoft Entra, может возникнуть проблема, которая может быть устранена с помощью средства передачи Google до выполнения синхронизации каталогов.
Шаг 6. Мониторинг развертывания
После настройки подготовки используйте следующие ресурсы для мониторинга развертывания:
- Используйте журналы подготовки для определения успешной или неудачной подготовки пользователей.
- Используйте индикатор выполнения, чтобы узнать состояние цикла подготовки и приблизительное время до его завершения
- Если конфигурация предоставления находится в неисправном состоянии, приложение переходит в режим карантина. Узнайте больше о состоянии карантина из статьи о состоянии карантина подготовки приложений .
Советы по устранению неполадок
- Удаление пользователя из области синхронизации отключает их в GSuite, но не приведет к удалению пользователя в G Suite
JIT-доступ к приложению с помощью PIM для групп
С помощью PIM для групп вы можете предоставить JIT-доступ к группам в Google Cloud или Google Workspace и уменьшить количество пользователей, имеющих постоянный доступ к привилегированным группам в Google Cloud или Google Workspace.
Настройте корпоративное приложение для единого входа (SSO) и обеспечения
- Добавьте Google Cloud или Google Workspace в клиент, настройте его для подготовки, как описано в этой статье, и начните подготовку.
- Настройка единого входа для Google Cloud или Google Workspace.
- Создайте группу, которая предоставляет всем пользователям доступ к приложению.
- Назначьте группу приложению Google Cloud или Google Workspace.
- Назначьте тестового пользователя в качестве прямого члена группы, созданной на предыдущем шаге, или предоставьте им доступ к группе через пакет доступа. Эту группу можно использовать для постоянного, неадминиграционного доступа в Google Cloud или Google Workspace.
Включение PIM для групп
- Создайте вторую группу в идентификаторе Microsoft Entra. Эта группа предоставляет доступ к разрешениям администратора в Google Cloud или Google Workspace.
- Включите группу под управление в Microsoft Entra PIM.
- Назначьте тестового пользователя соответствующим для группы в PIM в роли участника.
- Назначьте вторую группу приложению Google Cloud или Google Workspace.
- Используйте подготовку по запросу для создания группы в Google Cloud или Google Workspace.
- Войдите в Google Cloud или Google Workspace и назначьте вторую группу необходимых разрешений для выполнения задач администратора.
Теперь любой конечный пользователь, который получил право на участие в группе через PIM, может получить JIT-доступ к этой группе в Google Cloud / Google Workspace, активировав членство в группе. По истечении срока действия назначения пользователь удаляется из группы в Google Cloud или Google Workspace. Во время следующего итерационного цикла служба предоставления пытается ещё раз удалить пользователя из группы. Это может привести к ошибке в журналах развертывания. Эта ошибка ожидается, так как членство в группе уже удалено. Сообщение об ошибке можно игнорировать.
- Сколько времени требуется для подготовки пользователя к приложению?
- Когда пользователь добавляется в группу в Microsoft Entra ID без активации членства в группе с использованием Microsoft Entra ID Privileged Identity Management (PIM):
- Членство в группе предоставляется в приложении во время следующего цикла синхронизации. Цикл синхронизации выполняется каждые 40 минут.
- Когда пользователь активирует членство в группе в PIM идентификатора Microsoft Entra ID:
- Членство в группе подготавливается в течение 2–10 минут. При одновременном поступлении большого числа запросов их количество ограничивается до пяти запросов каждые 10 секунд.
- Для первых пяти пользователей в течение 10-секундного периода активации членства в группе для определенного приложения членство в группах подготавливается в приложении в течение 2–10 минут.
- Для шестого пользователя и за пределами 10-секундного периода активации членства в группе для конкретного приложения членство в группах подготавливается к приложению в следующем цикле синхронизации. Цикл синхронизации выполняется каждые 40 минут. Ограничения регулирования относятся к корпоративному приложению.
- Когда пользователь добавляется в группу в Microsoft Entra ID без активации членства в группе с использованием Microsoft Entra ID Privileged Identity Management (PIM):
- Если пользователь не может получить доступ к необходимой группе в Google Cloud или Google Workspace, просмотрите журналы PIM и журналы подготовки, чтобы убедиться, что членство в группе было успешно обновлено. В зависимости от того, как проектируется целевое приложение, может потребоваться больше времени для вступления в силу членства в группе в приложении.
- Вы можете создавать оповещения о сбоях с помощью Azure Monitor.
Журнал изменений
- 10.17.2020 — добавлена поддержка дополнительных атрибутов пользователя и группы G Suite.
- 17.10.2020: обновлены целевые имена атрибутов G Suite для соответствия приведенному здесь определению.
- 17.10.2020: обновлены стандартные сопоставления атрибутов.
Дополнительные ресурсы
- Управление подготовкой учетных записей пользователей для корпоративных приложений
- Что такое доступ к приложению и единый вход с помощью идентификатора Microsoft Entra?