Integrasi portal Microsoft My Apps

Refresh_date: 2023-03-01

Dokumen ini menunjukkan cara menambahkan layanan Google dan aplikasi web yang diamankan web Identity-Aware Proxy (IAP) ke portal Microsoft My Apps dan cara mengaktifkan login otomatis untuk aplikasi ini.

Dokumen ini mengasumsikan bahwa Anda telah menggabungkan akun Cloud Identity atau Google Workspace dengan Microsoft Entra ID dengan mengonfigurasi Microsoft Entra ID untuk single sign-on.

Sebelum memulai

Pastikan Anda telah menyelesaikan langkah-langkah untuk menggabungkan akun Cloud Identity atau Google Workspace dengan Microsoft Entra ID.

Memulai single sign-on dari portal

Untuk mendukung autentikasi dengan penyedia identitas (IdP) eksternal seperti Azure AD, Cloud Identity dan Google Workspace mengandalkan login yang dimulai oleh penyedia layanan. Dengan jenis login ini, autentikasi akan dimulai di penyedia layanan, yang kemudian mengalihkan Anda ke IdP—misalnya:

1. Anda mengakses layanan Google seperti Konsol Google Cloud atau Looker Studio dengan membuka URL atau bookmark. Google dan layanannya berperan sebagai penyedia layanan dalam skenario ini.
2. Layar Login dengan Google akan muncul, yang meminta Anda untuk memasukkan alamat email identitas Google Anda.
3. Anda akan dialihkan ke Microsoft Entra ID, yang berfungsi sebagai IdP.
4. Anda login ke Microsoft Entra ID.
5. Microsoft Entra ID akan mengalihkan Anda kembali ke layanan Google yang awalnya Anda coba akses.

Manfaat login yang dimulai penyedia layanan adalah pengguna dapat langsung mengakses layanan Google dengan membuka link atau menggunakan bookmark. Jika organisasi Anda menggunakan Microsoft Entra ID, Anda dapat menggunakan portal Microsoft My Apps untuk tujuan ini. Pengguna super akan merasa nyaman jika tidak dipaksa untuk membuka aplikasi melalui portal yang membuat bookmark situs tertentu atau mungkin mengingat URL tertentu. Bagi pengguna lain, menampilkan link ke aplikasi yang relevan di portal masih bisa menjadi hal yang berguna.

Namun, menambahkan link seperti https://lookerstudio.google.com ke portal Microsoft My Apps akan menunjukkan kekurangan proses login yang dimulai oleh penyedia layanan. Meskipun pengguna yang mengklik link di portal memiliki sesi Microsoft Entra ID yang valid, mereka mungkin masih melihat layar Login dengan Google dan diminta untuk memasukkan alamat email mereka. Permintaan login yang tampak berlebihan ini adalah akibat dari Login dengan Google yang tidak mengetahui sesi Microsoft Entra ID yang ada.

Anda dapat menghindari dialog Login dengan Google tambahan menggunakan URL khusus saat mengonfigurasi portal Microsoft My Apps. URL ini menyematkan petunjuk tentang akun Cloud Identity atau Google Workspace mana yang diharapkan untuk digunakan. Informasi tambahan memungkinkan autentikasi dilakukan secara senyap, sehingga meningkatkan pengalaman pengguna.

Menambahkan link ke portal Microsoft My Apps

Tabel berikut mencantumkan layanan Google umum, nama yang sesuai di Microsoft Entra ID, dan link yang dapat Anda gunakan untuk mengimplementasikan SSO seperti yang diuraikan di bagian sebelumnya.

Layanan Google	URL	Logo
Google Dokumen	https://docs.google.com/a/DOMAIN
Google Spreadsheet	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
Google Sites	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com
Google Drive	https://drive.google.com/a/DOMAIN
Gmail	https://mail.google.com/a/DOMAIN
Google Grup	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com
Google Keep	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
Looker Studio	https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com

Untuk setiap layanan Google yang ingin Anda tambahkan ke portal Microsoft My Apps, buat aplikasi perusahaan baru:

1. Di portal Azure, buka Microsoft Entra ID > Enterprise applications.
2. Klik New application.

3. Klik Create your own application dan masukkan informasi berikut:

   • What's the name of your app: Masukkan nama layanan Google seperti yang ditunjukkan dalam tabel sebelumnya.
   • What are you looking to do with your application: Pilih Integrate any other application you don't find in the gallery (Non-gallery).

4. Klik Create.

5. Pilih Properties.

6. Ubah logo ke file yang ditautkan dalam tabel.

7. Klik Simpan.

8. Di menu sebelah kiri, pilih Single sign-on.

9. Pilih Linked.

10. Masukkan URL yang tercantum dalam tabel—misalnya, http://docs.google.com/a/DOMAIN.

    Ganti DOMAIN dengan nama domain primer akun Cloud Identity atau Google Workspace Anda, seperti example.com.

11. Klik Simpan.

Perhatikan bahwa Anda tidak perlu mengonfigurasi SSO berbasis SAML di aplikasi. Semua operasi single sign-on terus ditangani oleh aplikasi yang sebelumnya Anda buat untuk single sign-on.

Untuk menetapkan aplikasi kepada pengguna, lakukan hal berikut:

1. Di menu sebelah kiri, pilih Properties.
2. Tetapkan User assignment required ke Yes.
3. Klik Simpan.
4. Di menu sebelah kiri, klik Manage > Users and groups.
5. Klik Tambahkan pengguna.
6. Pilih Pengguna.
7. Pilih pengguna atau grup yang ingin Anda sediakan. Jika Anda memilih grup, semua anggota grup akan disediakan.
8. Klik Select.
9. Klik Tetapkan.

Mungkin perlu waktu beberapa menit agar link muncul di portal My Apps.

Mengontrol akses

Menetapkan pengguna dan grup ke aplikasi individual di Microsoft Entra ID akan mengontrol visibilitas link, tetapi tidak mengontrol akses ke layanan. Layanan yang tidak terlihat di portal My Apps milik pengguna mungkin masih dapat diakses jika pengguna membuka URL yang tepat. Untuk mengontrol pengguna dan grup yang diizinkan mengakses layanan, Anda juga harus mengaktifkan atau menonaktifkan layanan di Google Konsol Admin.

Anda dapat menyederhanakan proses kontrol visibilitas dan akses menggunakan grup:

1. Untuk setiap layanan Google, buat grup keamanan di Microsoft Entra ID—misalnya, Looker Studio users dan Google Drive users.
2. Tetapkan grup ke aplikasi perusahaan Microsoft Entra ID yang sesuai, seperti yang dijelaskan di bagian sebelumnya. Misalnya, tetapkan Looker Studio users ke aplikasi Looker Studio dan Google Drive users ke aplikasi Google Drive.
3. Konfigurasikan grup yang akan disediakan ke akun Cloud Identity atau Google Workspace Anda.
4. Di Konsol Admin, aktifkan layanan masing-masing untuk setiap grup. Misalnya, aktifkan Looker Studio untuk grup Looker Studio users dan Google Drive untuk grup Google Drive users. Nonaktifkan layanan untuk semua orang.

Dengan menambahkan dan menghapus anggota ke grup ini, Anda kini mengontrol akses dan visibilitas dalam satu langkah.

Aplikasi web yang dilindungi IAP

Jika menggunakan Identity-Aware Proxy (IAP) untuk melindungi aplikasi web, Anda dapat menambahkan link ke aplikasi ini ke portal Microsoft My Apps dan mengaktifkan single sign-on untuk aplikasi tersebut.

Menambahkan link ke portal Microsoft My Apps

Proses penambahan link ke portal Microsoft My Apps sama dengan proses untuk layanan Google, tetapi Anda harus menggunakan URL aplikasi web yang dilindungi IAP.

Seperti yang dapat dilakukan dengan layanan Google, Anda dapat mencegah pengguna melihat layar login Google setelah mengikuti link ke aplikasi web yang dilindungi IAP di portal, tetapi prosesnya berbeda. Daripada menggunakan URL khusus, Anda dapat mengonfigurasi IAP agar selalu menggunakan akun Cloud Identity atau Google Workspace tertentu untuk autentikasi:

1. Di konsol Google Cloud, aktifkan Cloud Shell.

   Aktifkan Cloud Shell

2. Lakukan inisialisasi variabel lingkungan:

   PRIMARY_DOMAIN=primary-domain

   Ganti primary-domain dengan domain primer akun Cloud Identity atau Google Workspace Anda—misalnya, example.com.

3. Buat file setelan sementara yang menginstruksikan IAP untuk selalu menggunakan domain primer akun Cloud Identity atau Google Workspace Anda untuk autentikasi:

   cat << EOF > iap-settings.yaml
   accessSettings:
     oauthSettings:
       loginHint: "$PRIMARY_DOMAIN"
   EOF
   

4. Terapkan setelan ini ke semua resource web IAP dalam project:

   gcloud iap settings set iap-settings.yaml --resource-type=iap_web

5. Hapus file setelan sementara:

   rm iap-settings.yaml

Mengontrol akses

Menetapkan pengguna dan grup ke aplikasi individual di Microsoft Entra ID akan mengontrol visibilitas link ke aplikasi web yang dilindungi IAP, tetapi tidak mengontrol akses ke aplikasi tersebut. Untuk mengontrol akses, Anda juga harus menyesuaikan kebijakan IAM dari aplikasi web yang dilindungi IAP.

Seperti pada layanan Google, Anda dapat menyederhanakan proses kontrol visibilitas dan akses menggunakan grup:

1. Untuk setiap aplikasi, buat grup keamanan di Microsoft Entra ID—misalnya, Payroll application users.
2. Tetapkan grup ke masing-masing aplikasi perusahaan Microsoft Entra ID.
3. Konfigurasikan grup yang akan disediakan ke akun Cloud Identity atau Google Workspace Anda.
4. Perbarui kebijakan IAM aplikasi web yang dilindungi IAP untuk memberikan peran IAP-Secure Web App User ke grup Payroll application users sekaligus melarang akses untuk pengguna lain

Dengan menambahkan dan menghapus anggota ke grup Payroll application users, Anda mengontrol akses dan visibilitas dalam satu langkah.

Langkah selanjutnya

• Pelajari lebih lanjut tentang menggabungkan Google Cloud dengan Microsoft Entra ID.
• Baca praktik terbaik untuk merencanakan akun dan organisasi serta praktik terbaik untuk menggabungkan Google Cloud dengan IdP eksternal.
• Baca Identity-Aware Proxy lebih lanjut.