Overzicht van Google Apps (G Suite)
G Suite, voorheen Google Apps, is een verzameling cloudgebaseerde applicaties waarmee medewerkers online kunnen samenwerken. Een spreadsheet-editor (vergelijkbaar met Microsoft Excel), een grafisch tekstverwerkingsprogramma, een tool voor het maken van aantrekkelijke presentaties, een grote e-mailinbox en nog veel meer behoren tot de toegankelijke tools.
Microsoft Office 365-overzicht
Microsoft's Office 365 is een abonnementsprogramma dat populaire tools bevat, waaronder Word, Excel en PowerPoint. Microsoft Office 365-abonnementen zijn beschikbaar voor zowel persoonlijk gebruik als voor allerlei soorten organisaties.
SSO op Office 365 met Google Apps: scenario-overzicht
Laten we ons voorstellen dat we voor een bedrijf werken dat heeft besloten Google Apps voor alles te gebruiken. Alle identiteiten, e-mailinboxen, documenten en andere gegevens worden gedeeld en opgeslagen op de servers van Google. Maar plotseling realiseerde een specifieke afdeling van de organisatie zich dat het gebruik van Microsoft Dynamics 365 hen zou helpen beter te presteren.
Werknemers op deze afdeling kunnen de Microsoft-tool niet standaard gebruiken met hun bestaande Google Apps-gebruikers. In dit scenario zou het een haalbare optie zijn om voor elke werknemer een tweede gebruiker aan te maken op Microsoft Azure Active Directory (AD). Azure Active Directory (Azure AD) is de verificatieservice die bedrijven moeten gebruiken om gebruikers te beheren die toegang hebben tot Microsoft-resources.
Dit kan een haalbare optie zijn voor een klein aantal gebruikers of wanneer het beveiligingsbeleid en de beveiligingsinitiatieven van het bedrijf niet voldoende zijn vastgesteld. Dit is een no-no voor bedrijven die belang hechten aan het beschermen van gevoelige gegevens en het stroomlijnen van beveiligingsprocessen. Tussen de twee identiteitsleveranciers, Google Apps en Microsoft Azure AD, zou de beveiligingsafdeling veel meer problemen hebben met het beheren van gebruikers.
Dus, hoe zouden we dit probleem aanpakken?
SSO op Office 365 met Google Apps: scenario-oplossing
Elk jaar beveiligt Auth0 miljarden logins met zijn enterprise-grade identiteitsplatform. Zelfs de meest gecompliceerde identificatieoplossingen, zoals hierboven beschreven, zijn eenvoudig te implementeren met Auth0. We kunnen Auth0 gebruiken om het identiteitssysteem van Google Apps te combineren met Microsoft Azure AD. We bereiken dit door een Auth0-regel te maken die gebruikersregistratie in Microsoft Azure Ad automatiseert.
We hebben Auth0 eerst ingesteld om eenmalige aanmelding bij Google Apps af te handelen en vervolgens hebben we Microsoft ingesteld om Auth0 als identiteitsprovider te gebruiken. Wanneer een gebruiker probeert toegang te krijgen tot een Microsoft-product, wordt deze doorgestuurd naar de Auth0-aanmeldingspagina (waar een knop Aanmelden met Google wordt weergegeven) en vervolgens automatisch inrichten op Azure AD.
De rest van deze blogpost laat zien hoe je deze integratie kunt bewerkstelligen.
SSO inschakelen
Eerst en vooral hebben we waarschijnlijk twee abonnementen: Google Apps en Office 365 voor Bedrijven. Omdat we Google Apps gaan gebruiken als onze identiteitsprovider, moeten we ervoor zorgen dat het correct is ingesteld en dat sommige mensen zich hebben geregistreerd.
We maken een gratis account aan bij Auth0 om te dienen als een integratieoplossing voor identiteitsbeheer. We zullen voorlopig geen wijzigingen aanbrengen in ons account, maar we houden het dashboard open voor het geval we later aanpassingen moeten doen.
Google Apps-project maken
We hebben een Google Apps-project nodig om eenmalige aanmelding met Google op Auth0 effectief in te schakelen. We hebben in het bijzonder een Google Client ID en een Google Client Secret nodig.
Laten we naar de API Manager gaan terwijl we zijn ingelogd op ons Google-account.Vervolgens bouwen we met behulp van het linkermenu een nieuwe app door naar Referenties te gaan:Laten we klikken op Een project maken terwijl we op de pagina Referenties zijn.Laten we het project een naam geven, de e-mail en privacygerelateerde vragen van Google beantwoorden in het dialoogvenster dat wordt weergegeven en vervolgens op Maken klikken:Het duurt even voordat Google ons project heeft gemaakt. Google zal er bij ons op aandringen om de inloggegevens te maken die we nodig hebben zodra het proces is voltooid.Laten we doorgaan en Credentials maken selecteren om een ??pop-upmenu te openen met alle verschillende soorten inloggegevens die we kunnen maken. Laten we doorgaan en de optie OAuth-client-ID kiezen."Om een ??OAuth-client-ID te genereren, moet u eerst een productnaam instellen op het toestemmingsscherm", herinnert Google u eraan. Om te beginnen, ga je gang en klik je op Toestemmingsscherm configureren.Daarna moeten we een Productnaam aanleveren, die aan consumenten wordt getoond als ze inloggen via Google.Laten we proberen het te redden.We zullen op dit punt worden gevraagd om meer informatie over onze vers gegenereerde app te verstrekken.Laten we voor webapplicatie kiezen en onze app een naam geven.Voer de volgende informatie in onder Beperkingen (merk op dat we het woord "beperkingen" moeten vervangen door "beperkingen").Laten we doorgaan en op Maken klikken. Het toont onze klant-ID en klantgeheim.Kopieer de Client ID en Client Secret en plak ze in de verbindingsinstellingen van Auth0.
Configureer Aanmelden met Google op Auth0
We configureren Aanmelden met Google op Auth0 nu we ons Google Apps-project correct hebben gemaakt en zowel de klant-ID als het klantgeheim hebben. Hieronder volgen de acties die u moet ondernemen om dit te doen:
Selecteer Verbindingen > Sociaal in het Auth0-dashboard.Om toegang te krijgen tot de instellingenpagina voor deze verbinding, selecteert u de verbinding met het Google-logo:Navigeer naar het tabblad Instellingen. Kopieer de Client ID en Client Secret uit de Google API Manager en plak ze hier.
Azure AD-toepassing maken
De volgende stap is het opzetten van een applicatie op ons Microsoft-account waarmee Google Apps-gebruikers zich kunnen aanmelden bij Microsoft-producten. Laten we de onderstaande acties ondernemen om daar te komen:
Ga naar de Azure Portal en meld u aan.Selecteer in de linkernavigatie Azure Active Directory.Kies in het nieuwe menu App-registraties.Selecteer Nieuwe toepassingsregistratie in het vervolgkeuzemenu.Vul de volgende velden in het formulier in:Geef de applicatie een naam (bijvoorbeeld Auth0 Provisioning)Kies als toepassingstype Web-app / API.Voeg een URL toe om in te loggen. Elke legitieme link is voldoende, omdat deze niet wordt gebruikt.In de lijst met app-registraties wordt de nieuw ontwikkelde app weergegeven. Kies het.Kies Sleutels op de Blade Instellingen (Microsoft verwijst naar deze secties als blades).Neem voor de nieuwe sleutel een Beschrijving (zoals auth0-bepaling) en een Duur op.Kopieer de clientsleutel door op de sleutel opslaan te klikken. Deze sleutel wordt slechts één keer weergegeven en is vereist voor de Auth0-regel.Selecteer in de nieuwe blade Vereiste machtigingen en klik op Toevoegen.Schakel onder Toepassingsmachtigingen de optie Directorygegevens lezen en schrijven voor de Microsoft Graph-API in.Om de gevraagde machtigingen te verlenen, keert u terug naar het gedeelte Vereiste machtigingen en klikt u op de knop machtigingen verlenen.
Voeg een Office 365 Single Sign-On-integratie toe op Auth0
Om Office 365-integratie met eenmalige aanmelding op Auth0 mogelijk te maken, moeten we eerst ons hoofddomein registreren in het beheercentrum van Office 365. Volg deze stappen om dit te doen:
Ga naar het Beheercentrum en log in.Ga naar Domeinen > Instellingen.Selecteer Domein toevoegen in het vervolgkeuzemenu.Voer de domeinnaam van het bedrijf in.Volg de instructies om het domein in Office 365 te verifiëren.
We kunnen de Office 365-integratie voor eenmalige aanmelding configureren in het dashboard van Auth0 na verificatie van het domein:
Ga naar het Auth0 Dashboard en log in.Selecteer in het linkermenu SSO-integraties.Selecteer SSO-integratie maken in het vervolgkeuzemenu.Selecteer vervolgens Office 365 en druk op de knop Maken.Voer de configuratie-instructies uit die op het scherm worden weergegeven.Ga in de nieuw gevormde SSO-integratie naar het tabblad Instellingen.Wanneer u zich abonneert op de producten van Microsoft, krijgt u een subdomein (bijvoorbeeld mijnbedrijfsurl.onmicrosoft.com).Maak een back-up van uw wijzigingen.
Integreer Google Apps en Microsoft AAD met een Auth0-regel
De laatste stap bij het voltooien van de integratie van Google Apps en Microsoft Azure AD is het bouwen van een Auth0-regel. Laten we hiervoor de volgende stappen nemen:
Ga naar het tabblad Geavanceerd van het Auth0-dashboard.Om afmeldingen correct af te handelen, neemt u https://login.microsoftonline.com/login.srf op als een toegestane afmeldings-URL.Klik in de linkernavigatie op Regels.Selecteer Regel maken in het vervolgkeuzemenu.Selecteer de regelsjabloon zonder regels.Geef de nieuwe regel een beschrijvende naam, zoals Microsoft AD-inrichting.Kopieer en plak de onderstaande JavaScript-code:
We moeten de waarden van de volgende constanten configureren na het kopiëren en plakken van de bovenstaande regel: AAD CUSTOM DOMAIN, AAD TENANT NAME, AAD CLIENT ID en AAD CLIENT SECRET. De eerste twee constanten hebben betrekking op het primaire domein van onze organisatie en het subdomein dat Microsoft ons heeft verstrekt toen we ons aansloten voor hun diensten. De laatste twee constanten komen overeen met de Azure Portal-app die we hebben gemaakt.
Ga naar de pagina Regels in het dashboard en scrol omlaag naar het gedeelte Instellingen om AAD CLIENT SECRET aan te passen om het algemene "configuratie" -object te gebruiken. Maak daar een nieuwe sleutel met de naam AAD CLIENT SECRET, vul de waarde in het aangrenzende tekstvak in en klik op Maken. In plaats van binnen een enkele regel als leesbare tekst te worden bewaard en weergegeven, wordt uw clientgeheim nu versleuteld en beschikbaar voor alle regels.
Het is vermeldenswaard dat de bovenstaande regel geen onderscheid maakt tussen gebruikers. Elke nieuwe Google Apps-gebruiker die verbinding maakt met Microsoft-producten, ontvangt een Office 365-licentie. U kunt deze regel zo nodig wijzigen om nauwkeurig te bepalen welke licenties aan welke gebruikers moeten worden toegewezen. U kunt bijvoorbeeld eenvoudig de regel aanpassen om gebruikers van een bepaalde Google Apps-groep een Microsoft Dynamics 365-licentie te geven, terwijl alle anderen Office 365 krijgen. De logica die bepaalt dat iedereen een Office 365-licentie krijgt, wordt bewaard in de functies getAvailableLicenses en assign Office365License hierboven .
Conclusie
Bedrijven kunnen de bedrijfstools gebruiken die worden geleverd door twee van de meest vooraanstaande bedrijven ter wereld, Microsoft en Google, dankzij de integratie die in dit artikel wordt beschreven. Als het gaat om identiteitsbeheer, stelt de gedemonstreerde oplossing ondernemingen in staat om te vertrouwen op één enkele bron van waarheid (in dit geval Google Apps) om automatisch gebruikers en licenties uit te geven aan een andere softwareprovider (Microsoft). Bovendien is de hier gehanteerde methode generiek. We kunnen alle andere softwareleveranciers die API's beschikbaar stellen, verbinden om bronnen en identiteiten te beheren met behulp van Auth0-regels.
Als u zich in ieder geval wilt aanmelden bij Microsoft Office 365 met Google Apps, moet u hun nummer bellen zoals gespecificeerd bij Bellen met Microsoft Bellen.