Integration des Microsoft My Apps-Portals

Last reviewed 2023-02-27 UTC

Refresh_date: 2023-03-01

In diesem Dokument wird gezeigt, wie Sie Google-Dienste und websichere IAP-Webanwendungen (Identity-Aware Proxy) zum Microsoft My Apps-Portal hinzufügen und die automatische Anmeldung für diese Anwendungen aktivieren.

In diesem Dokument wird davon ausgegangen, dass Sie Ihr Cloud Identity- oder Google Workspace-Konto mit Microsoft Entra ID verknüpft haben, indem Sie Microsoft Entra ID für die Einmalanmeldung (SSO) konfiguriert haben.

Hinweise

Führen Sie die Schritte zum Verknüpfen Ihres Cloud Identity- oder Google Workspace-Kontos mit Microsoft Entra ID aus.

Einmalanmeldung (SSO) über ein Portal initiieren

Zur Authentifizierung bei einem externen Identitätsanbieter wie Azure AD verwenden Cloud Identity und Google Workspace die vom Dienstanbieter initiierte Anmeldung. Bei dieser Art der Anmeldung beginnt die Authentifizierung beim Dienstanbieter, der Sie dann zum Identitätsanbieter weiterleitet. Beispiel:

  1. Sie greifen auf einen Google-Dienst wie die Google Cloud Console oder Looker Studio zu, indem Sie eine URL oder ein Lesezeichen öffnen. In diesem Szenario übernehmen Google und seine Dienste die Rolle des Dienstanbieters.
  2. Der Google-Anmeldebildschirm wird angezeigt und Sie werden aufgefordert, die E-Mail-Adresse Ihrer Google-Identität einzugeben.
  3. Sie werden zu Microsoft Entra ID weitergeleitet, die als IdP dient.
  4. Sie melden sich bei der Microsoft Entra ID an.
  5. Sie werden über die Microsoft Entra ID zu dem Google-Dienst zurückgeleitet, auf den Sie ursprünglich zugegriffen haben.

Ein Vorteil der vom Dienstanbieter initiierten Anmeldung besteht darin, dass Nutzer direkt auf Google-Dienste zugreifen können, indem sie einen Link öffnen oder ein Lesezeichen verwenden. Wenn Ihre Organisation Microsoft Entra ID verwendet, können Sie zu diesem Zweck das Microsoft My Apps-Portal verwenden. Nicht gezwungen zu sein, Anwendungen über ein Portal zu öffnen, ist praktisch für Poweruser, die bestimmte Websites als Lesezeichen speichern oder sich bestimmte URLs merken. Für andere Nutzer kann es dennoch nützlich sein, die Links zu relevanten Anwendungen in einem Portal anzuzeigen.

Wenn Sie jedoch dem Microsoft My Apps-Portal einen Link wie https://lookerstudio.google.com hinzufügen, zeigt sich ein Fehler im Prozess für die vom Dienstanbieter initiierte Anmeldung. Auch wenn ein Nutzer, der auf den Link im Portal klickt, eine gültige Microsoft Entra ID-Sitzung hat, wird diesem der Google Log-in-Bildschirm möglicherweise weiterhin angezeigt und er wird aufgefordert, seine E-Mail-Adresse einzugeben. Diese scheinbar redundante Anmeldeaufforderung entsteht dadurch, dass Google Log-in nicht auf die bestehende Microsoft Entra ID-Sitzung hingewiesen wird.

Sie können die zusätzliche Anmeldeaufforderung von Google vermeiden, indem Sie für die Konfiguration des Microsoft My Apps-Portals spezielle URLs verwenden. Diese URLs enthalten einen Hinweis, welches Cloud Identity- oder Google Workspace-Konto Nutzer verwenden sollen. Durch die zusätzlichen Informationen wird die Authentifizierung im Hintergrund ausgeführt, was zu einer besseren Nutzerfreundlichkeit führt.

Die folgende Tabelle enthält allgemeine Google-Dienste, den entsprechenden Namen in Microsoft Entra ID und den Link, mit dem Sie die SSO wie im vorherigen Abschnitt beschrieben implementieren können.

Google-Dienst URL Logo
Google Cloud Console https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Logo: Google Cloud
Google Docs https://docs.google.com/a/DOMAIN Logo: Google Docs
Google Tabellen https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Google Tabellen-Logo
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Google Sites-Logo
Google Drive https://drive.google.com/a/DOMAIN Google Drive-Logo
Gmail https://mail.google.com/a/DOMAIN Gmail-Logo
Google Groups https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Logo: Google Groups
Notizen https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Logo: Google Notizen
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Logo: Looker Studio

Erstellen Sie für jeden Google-Dienst, den Sie dem Microsoft My Apps-Portal hinzufügen möchten, eine neue Unternehmensanwendung:

  1. Klicken Sie im Azure-Portal auf Microsoft Entra ID > Unternehmensanwendungen.
  2. Klicken Sie auf Neue Anwendung.

  3. Klicken Sie auf Eigene Anwendung erstellen und geben Sie Folgendes ein:

    • Wie lautet der Name Ihrer Anwendung: Geben Sie den Namen des Google-Dienstes wie in der vorherigen Tabelle angegeben ein.
    • Was möchten Sie mit Ihrer Anwendung tun? Wählen Sie Andere Anwendung einbinden, die Sie nicht in der Galerie finden (Nicht-Galerie).

  4. Klicken Sie auf Erstellen.

  5. Wählen Sie die Option Eigenschaften aus.

  6. Ändern Sie das Logo zu der in der Tabelle verknüpften Datei.

  7. Klicken Sie auf Save.

  8. Wählen Sie im Menü auf der linken Seite die Option Single sign-on aus.

  9. Wählen Sie Linked aus.

  10. Geben Sie die in der Tabelle aufgeführte URL ein, z. B. http://docs.google.com/a/DOMAIN.

    Ersetzen Sie DOMAIN durch den primären Domainnamen Ihres Cloud Identity- oder Google Workspace-Kontos, z. B. example.com.

  11. Klicken Sie auf Save.

Sie müssen die SAML-basierte SSO nicht in der Anwendung konfigurieren. Alle Einmalanmeldungen werden weiterhin von der Anwendung verarbeitet, die Sie zuvor für die Einmalanmeldung erstellt haben.

So weisen Sie die Anwendung Nutzern zu:

  1. Wählen Sie im Menü auf der linken Seite Properties aus.
  2. Setzen Sie User assignment required auf Yes.
  3. Klicken Sie auf Save.
  4. Klicken Sie im Menü links auf Manage > Users and groups.
  5. Klicken Sie auf Add User (Nutzer hinzufügen).
  6. Wählen Sie Users aus.
  7. Wählen Sie die Nutzer oder Gruppen aus, die Sie bereitstellen möchten. Wenn Sie eine Gruppe auswählen, werden alle Mitglieder der Gruppe bereitgestellt.
  8. Klicken Sie auf Select.
  9. Klicken Sie auf Assign.

Es kann einige Minuten dauern, bis ein Link im My Apps-Portal angezeigt wird.

Zugriff steuern

Durch das Zuweisen von Nutzern und Gruppen zu einzelnen Anwendungen in Microsoft Entra ID steuern Sie die Sichtbarkeit der Verknüpfung, jedoch nicht den Zugriff auf einen Dienst. Ein Dienst, der im My Apps-Portal eines Nutzers nicht angezeigt wird, kann möglicherweise weiterhin zugänglich sein, wenn der Nutzer die richtige URL öffnet. Damit Sie steuern können, welche Nutzer und Gruppen auf einen Dienst zugreifen dürfen, müssen Sie in der Google Admin-Konsole den Dienst aktivieren oder deaktivieren.

Sie können die Sichtbarkeit und den Zugriff mithilfe von Gruppen vereinfachen:

  1. Erstellen Sie für jeden Google-Dienst eine Sicherheitsgruppe in Microsoft Entra ID, z. B. Looker Studio users und Google Drive users.
  2. Weisen Sie die Gruppen wie im vorherigen Abschnitt beschrieben der entsprechenden Microsoft Entra ID-Unternehmensanwendung zu. Beispiel: Weisen Sie Looker Studio users der Anwendung Looker Studio und Google Drive users der Anwendung Google Drive zu.
  3. Konfigurieren Sie die bereitzustellenden Gruppen für Ihr Cloud Identity- oder Google Workspace-Konto.
  4. Aktivieren Sie in der Admin-Konsole den entsprechenden Dienst für jede Gruppe. Aktivieren Sie beispielsweise Looker Studio für die Gruppe Looker Studio users und Google Drive für die Gruppe Google Drive users. Deaktivieren Sie den Dienst für alle anderen Nutzer.

Wenn Sie Mitglieder zu diesen Gruppen hinzufügen oder daraus entfernen, steuern Sie den Zugriff und die Sichtbarkeit jetzt in einem einzigen Schritt.

IAP-geschützte Webanwendungen

Wenn Sie Identity-Aware Proxy (IAP) zum Schutz Ihrer Webanwendungen verwenden, können Sie dem Microsoft My Apps-Portal Links zu diesen Anwendungen hinzufügen und dafür die Einmalanmeldung aktivieren.

Der Vorgang zum Hinzufügen eines Links zum Microsoft My Apps-Portal ist mit dem von Google-Diensten identisch. Sie müssen jedoch die URL Ihrer IAP-geschützten Webanwendung verwenden.

Wie bei Google-Diensten können Sie verhindern, dass Nutzer einen Google-Anmeldebildschirm sehen, nachdem sie einem Link zu einer IAP-geschützten Webanwendung im Portal gefolgt sind. Der Prozess unterscheidet sich jedoch. Anstelle einer speziellen URL konfigurieren Sie IAP für die Verwendung eines bestimmten Cloud Identity- oder Google Workspace-Kontos für die Authentifizierung:

  1. Aktivieren Sie Cloud Shell in der Google Cloud Console.

    Cloud Shell aktivieren

  2. Initialisieren Sie eine Umgebungsvariable:

    PRIMARY_DOMAIN=primary-domain

    Ersetzen Sie primary-domain durch die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos, z. B. example.com.

  3. Erstellen Sie eine Datei mit temporären Einstellungen, die IAP anweist, immer die primäre Domain Ihres Cloud Identity- oder Google Workspace-Kontos für die Authentifizierung zu verwenden:

    cat << EOF > iap-settings.yaml
accessSettings:
  oauthSettings:
    loginHint: "$PRIMARY_DOMAIN"
EOF

  4. Wenden Sie die Einstellung auf alle IAP-Webressourcen im Projekt an:

    gcloud iap settings set iap-settings.yaml --resource-type=iap_web

  5. Entfernen Sie die Datei mit den temporären Einstellungen:

    rm iap-settings.yaml

Zugriff steuern

Durch das Zuweisen von Nutzern und Gruppen zu einzelnen Anwendungen in Microsoft Entra ID steuern Sie die Sichtbarkeit des Links zu Ihrer IAP-geschützten Webanwendung, aber nicht den Zugriff auf die Anwendung. Zur Steuerung des Zugriffs müssen Sie außerdem die IAM-Richtlinie der IAP-geschützten Webanwendung anpassen.

Wie bei Google-Diensten können Sie die Sichtbarkeit und den Zugriff mithilfe von Gruppen vereinfachen:

  1. Erstellen Sie für jede Anwendung eine Sicherheitsgruppe in Microsoft Entra ID, z. B. Payroll application users.
  2. Weisen Sie der Gruppe die entsprechende Microsoft Entra ID-Unternehmensanwendung zu.
  3. Konfigurieren Sie die Gruppe, die für Ihr Cloud Identity- oder Google Workspace-Konto bereitgestellt werden soll.
  4. Aktualisieren Sie die IAM-Richtlinie der IAP-geschützten Webanwendung, um der Gruppe Payroll application users die Rolle Nutzer von IAP-gesicherten Web-Apps zuzuweisen, während Sie den Zugriff für andere Nutzer nicht mehr erlauben.

Wenn Sie der Gruppe Payroll application users Mitglieder hinzufügen und daraus entfernen, steuern Sie den Zugriff und die Sichtbarkeit in einem einzigen Schritt.

Nächste Schritte