Microsoft My Apps 门户集成

Last reviewed 2023-02-27 UTC

更新日期:2023 年 3 月 1 日

本文档介绍如何将 Google 服务和 Identity-Aware Proxy (IAP) 网络安全 Web 应用添加到 Microsoft My Apps 门户,以及如何为这些应用启用自动登录。

本文档假定您已通过配置 Microsoft Entra ID 进行单点登录,将您的 Cloud Identity 或 Google Workspace 账号与 Microsoft Entra ID 联合。

须知事项

确保您已完成将 Cloud Identity 或 Google Workspace 账号与 Microsoft Entra ID 联合的步骤。

从门户启动单点登录

为了支持通过外部身份提供商 (IdP)(如 Azure AD)进行身份验证,Cloud Identity 和 Google Workspace 依赖于服务提供商发起的登录。使用这种登录方式,将从服务提供商处开始身份验证,然后服务提供商再将您重定向到 IdP,例如:

  1. 您可以通过打开网址或书签来访问 Google 服务,例如 Google Cloud 控制台Looker Studio。在此场景中,Google 及其服务将充当服务提供商。
  2. 系统显示 Google 登录屏幕,提示您输入 Google 身份的电子邮件地址。
  3. 您将被重定向到充当 IdP 的 Microsoft Entra ID。
  4. 您登录 Microsoft Entra ID。
  5. Microsoft Entra ID 会将您重定向回您最初尝试访问的 Google 服务。

服务提供商启动的登录的一项优势是,用户可以打开链接或使用书签来直接访问 Google 服务。如果您的组织使用 Microsoft Entra ID,您可以使用 Microsoft My Apps 门户来实现此目的。对于为特定网站添加书签或可能记得住某些网址的高级用户来说,并非一定要通过门户打开应用这一点非常方便。对于其他用户,在门户中显示相关应用的链接仍然很有价值。

但是,向 Microsoft My Apps 门户添加 https://lookerstudio.google.com 之类的链接,揭示了服务提供商启动的登录过程的一个缺点。那就是尽管点击门户中的链接的用户具有有效的 Microsoft Entra ID 会话,但他们可能仍会看到 Google 登录屏幕提示其输入电子邮件地址。由于 Google 登录并未注意到现有的 Microsoft Entra ID 会话,因此登录提示看起来很多余。

配置 Microsoft My Apps 门户时,您可以使用特殊网址来避免出现额外的 Google 登录提示。这些网址会嵌入一个提示,指出用户应使用哪个 Cloud Identity 或 Google Workspace 账号。这一额外的信息可让身份验证机制静默执行,从而提升用户体验。

下表列出了常见的 Google 服务、Microsoft Entra ID 中对应的名称,以及可用于实现 SSO 的链接(如上一部分所述)。

Google 服务 网址 徽标
Google Cloud 控制台 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Google Cloud 徽标
Google 文档 https://docs.google.com/a/DOMAIN Google 文档徽标
Google 表格 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Google 表格徽标
Google 协作平台 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Google 协作平台徽标
Google 云端硬盘 https://drive.google.com/a/DOMAIN Google 云端硬盘徽标
Gmail https://mail.google.com/a/DOMAIN Gmail 徽标
Google 网上论坛 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Google 网上论坛徽标
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Google Keep 徽标
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Looker 数据洞察徽标

对于您要添加到 Microsoft My Apps 门户的每项 Google 服务,请创建一个新的企业应用:

  1. Azure 门户中,转到 Microsoft Entra ID > 企业应用
  2. 点击新建应用

  3. 点击创建自己的应用,然后输入以下内容:

    • 应用名称是什么:输入上表中指定的 Google 服务的名称。
    • 您希望如何处理应用:选择集成您在图库中找不到的任何其他应用(非图库)

  4. 点击创建

  5. 选择属性

  6. 将徽标更改为表中链接的文件。

  7. 点击保存

  8. 在左侧菜单中,选择单一登录

  9. 选择已链接

  10. 输入表中列出的网址,例如 http://docs.google.com/a/DOMAIN

    DOMAIN 替换为您的 Cloud Identity 或 Google Workspace 账号的主域名,例如 example.com

  11. 点击保存

请注意,您不必在应用中配置基于 SAML 的单点登录。所有单点登录操作均由您之前为其创建单点登录的应用进行处理。

如需将应用分配给用户,请执行以下操作:

  1. 在左侧菜单中,选择属性
  2. 需要使用用户分配设置为
  3. 点击保存
  4. 在左侧菜单中,点击管理 > 用户和组
  5. 点击添加用户
  6. 选择用户
  7. 选择您要预配的用户或组。如果您选择组,则系统会预配该组的所有成员。
  8. 点击选择
  9. 点击分配

可能需要几分钟才会在“我的应用”门户中显示链接。

控制访问权限

将用户和组分配给 Microsoft Entra ID 中的各个应用,可以控制链接的公开范围,但并不能控制对服务的访问权限。用户仍可访问未在其“我的应用”门户上公开的服务,前提是他们打开的网址正确。如需控制哪些用户和群组可以访问服务,您还必须在 Google 管理控制台启用或停用服务

您可以使用组来简化控制公开范围和访问权限的流程:

  1. 对于每项 Google 服务,请在 Microsoft Entra ID 中创建安全组,例如 Looker Studio usersGoogle Drive users
  2. 将组分配给相应的 Microsoft Entra ID 企业应用,如上一部分所述。例如,将 Looker Studio users 分配给 Looker 数据洞察应用,将 Google Drive users 分配给 Google 云端硬盘应用。
  3. 配置要预配到 Cloud Identity 或 Google Workspace 账号的群组
  4. 管理控制台中,为每个组启用相应的服务。例如,为 Looker Studio users 组启用 Looker 数据洞察,为 Google Drive users 组启用 Google 云端硬盘。为其他所有人停用此服务。

现在,您只需一个步骤即可同时控制访问权限和公开范围,那就是在这些组中添加和移除成员。

受 IAP 保护的 Web 应用

如果您使用 Identity-Aware Proxy (IAP) 保护 Web 应用,则可以将这些应用的链接添加到 Microsoft My Apps 门户,并为它们启用单点登录体验。

向 Microsoft My Apps 门户添加链接的过程与添加 Google 服务的过程相同,但您必须使用受 IAP 保护的 Web 应用的网址。

与 Google 服务一样,您可以阻止用户在访问门户中受 IAP 保护的 Web 应用的链接后看到 Google 登录屏幕,但过程有所不同。您可以将 IAP 配置为始终使用特定 Cloud Identity 或 Google Workspace 账号进行身份验证,而不是使用特殊网址:

  1. 在 Google Cloud 控制台中,激活 Cloud Shell。

    激活 Cloud Shell

  2. 初始化环境变量:

    PRIMARY_DOMAIN=primary-domain

    primary-domain 替换为您的 Cloud Identity 或 Google Workspace 账号的主域名,例如 example.com

  3. 创建临时设置文件,用于指示 IAP 始终使用您的 Cloud Identity 或 Google Workspace 账号的主域名进行身份验证:

    cat << EOF > iap-settings.yaml
accessSettings:
  oauthSettings:
    loginHint: "$PRIMARY_DOMAIN"
EOF

  4. 将设置应用于项目中的所有 IAP 网络资源:

    gcloud iap settings set iap-settings.yaml --resource-type=iap_web

  5. 移除临时设置文件:

    rm iap-settings.yaml

控制访问权限

通过将用户和组分配给 Microsoft Entra ID 中的各个应用,可以针对受 IAP 保护的 Web 应用控制其链接的公开范围,但不能控制对应用的访问权限。如需控制访问权限,您还必须自定义受 IAP 保护的 Web 应用的 IAM 政策

与 Google 服务一样,您可以使用组来简化控制公开范围和访问权限的过程:

  1. 对于每个应用,请在 Microsoft Entra ID 中创建一个安全组,例如 Payroll application users
  2. 将该组分配给相应的 Microsoft Entra ID 企业应用。
  3. 配置要预配到 Cloud Identity 或 Google Workspace 账号的群组
  4. 更新受 IAP 保护的 Web 应用的 IAM 政策,向 Payroll application users 群组授予 IAP-Secured Web App User 角色,同时禁止其他用户的访问权限

您只需一个步骤即可同时控制访问权限和公开范围,那就是在 Payroll application users 组中添加和移除成员。

后续步骤