Provisioning degli utenti Okta e Single Sign-On

Last reviewed 2024-01-03 UTC

Questo documento mostra come configurare il provisioning degli utenti e il Single Sign-On tra un'organizzazione Okta e il tuo account Cloud Identity o Google Workspace.

Il documento presuppone che tu utilizzi già Okta nella tua organizzazione e voglia utilizzarlo per consentire agli utenti di eseguire l'autenticazione con Google Cloud.

Obiettivi

  • Configura Okta per eseguire il provisioning automatico di utenti e, facoltativamente, di gruppi su Cloud Identity o Google Workspace.
  • Configura il Single Sign-On per consentire agli utenti di accedere a Google Cloud utilizzando un account utente Okta.

Costi

Se utilizzi la versione gratuita di Cloud Identity, la configurazione della federazione con Okta non utilizzerà componenti fatturabili di Google Cloud.

Consulta la pagina dei prezzi di Okta per conoscere le eventuali commissioni che potrebbero essere applicate all'utilizzo di Okta.

Prima di iniziare

Preparazione dell'account Cloud Identity o Google Workspace in corso...

Crea un utente per Okta

Per consentire a Okta di accedere al tuo account Cloud Identity o Google Workspace, devi creare un utente per Okta nel tuo account Cloud Identity o Google Workspace.

L'utente Okta è destinato solo al provisioning automatico. Ti consigliamo quindi di tenerlo separato dagli altri account utente inserendolo in un'unità organizzativa (UO) separata. L'utilizzo di un'UO separata garantisce anche la possibilità di disabilitare il Single Sign-On per l'utente Okta in un secondo momento.

Per creare una nuova UO:

  1. Apri la Console di amministrazione e accedi utilizzando l'utente super amministratore creato quando hai eseguito la registrazione a Cloud Identity o Google Workspace.
  2. Nel menu, vai a Directory > Unità organizzative.
  3. Fai clic su Crea unità organizzativa e fornisci un nome e una descrizione per l'UO:
    • Nome: Automation
    • Descrizione: Automation users
  4. Fai clic su Crea.

Crea un account utente per Okta e inseriscilo nell'UO Automation:

  1. Nel menu, vai a Directory > Utenti e fai clic su Aggiungi nuovo utente per creare un utente.

  2. Fornisci un nome e un indirizzo email appropriati, come quelli seguenti:

    • Nome: Okta
    • Cognome: Provisioning

    • Indirizzo email principale: okta-provisioning

      Mantieni il dominio principale dell'indirizzo email.

  3. Fai clic su Gestisci la password, l'unità organizzativa e la foto del profilo dell'utente e configura le seguenti impostazioni:

    • Unità organizzativa: seleziona l'UO Automation che hai creato in precedenza.
    • Password: seleziona Crea password e inserisci una password.
    • Richiedi di cambiare la password all'accesso successivo: Disattivato.

  4. Fai clic su Aggiungi nuovo utente.

  5. Fai clic su Fine.

Assegnare privilegi a Okta

Per consentire a Okta di creare, elencare e sospendere utenti e gruppi nel tuo account Cloud Identity o Google Workspace, devi impostare l'utente okta-provisioning come super amministratore:

  1. Individua l'utente appena creato nell'elenco e fai clic sul nome dell'utente per aprire la pagina del suo account.
  2. In Ruoli e privilegi di amministratore, fai clic su Assegna ruoli.
  3. Abilita il ruolo di super amministratore.
  4. Fai clic su Salva.

Configurazione del provisioning Okta

Ora è tutto pronto per collegare Okta al tuo account Cloud Identity o Google Workspace configurando l'applicazione Google Workspace dal catalogo Okta.

L'applicazione Google Workspace è in grado di gestire sia il provisioning degli utenti sia il Single Sign-On. Utilizza questa applicazione anche se usi Cloud Identity e prevedi di configurare il Single Sign-On solo per Google Cloud.

Crea un'applicazione

Per configurare l'applicazione Google Workspace:

  1. Apri la dashboard di amministrazione Okta e accedi come utente con i privilegi di super amministratore.
  2. Nel menu, vai ad Applicazioni > Applicazioni.
  3. Fai clic su Sfoglia il catalogo di app.
  4. Cerca Google Workspace e seleziona l'applicazione Google Workspace.
  5. Fai clic su Add integration (Aggiungi integrazione).

  6. Nella pagina Impostazioni generali, configura quanto segue:

    • Etichetta applicazione: Google Cloud
    • Il tuo dominio Google Apps aziendale: il nome di dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace.

    • Visualizza i seguenti link:

      • Imposta Account su enabled.
      • Imposta gli altri link su enabled se utilizzi Google Workspace, altrimenti imposta gli altri link su disattivati.

    • Visibilità delle applicazioni: impostata su enabled se utilizzi Google Workspace, disattivata in caso contrario

    • Invio automatico del plug-in del browser: impostato su disabilitato

  7. Tocca Avanti.

  8. Nella pagina Opzioni di accesso, configura quanto segue:

    • Sign on method (Metodi di accesso): seleziona SAML 2.0
    • Default Relay State (Stato di inoltro predefinito): lascia il campo vuoto
    • Impostazioni di accesso avanzate > RPID: lascia vuoto il campo

  9. Decidi come compilare l'indirizzo email principale per gli utenti in Cloud Identity o Google Workspace. L'indirizzo email principale di un utente deve utilizzare il dominio principale dell'account Cloud Identity o Google Workspace o uno dei relativi domini secondari.

    Nome utente Okta

    Per utilizzare il nome utente Okta come indirizzo email principale, usa le seguenti impostazioni:

    • Application username format (Formato nome utente applicazione): nome utente Okta
    • Aggiorna il nome utente dell'applicazione su: Crea e aggiorna.

    Email

    Per utilizzare il nome utente Okta come indirizzo email principale, usa le seguenti impostazioni:

    • Application username format (Formato nome utente applicazione): Email
    • Aggiorna il nome utente dell'applicazione su: Crea e aggiorna.

  10. Fai clic su Fine.

Configurare il provisioning degli utenti

In questa sezione configurerai Okta per il provisioning automatico di utenti e gruppi in Google Cloud.

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Provisioning.

  2. Fai clic su Configura integrazione API e configura quanto segue:

    • Abilita integrazione API: impostata su enabled
    • Importa gruppi: imposta su disattivato, a meno che non ci siano gruppi esistenti in Cloud Identity o Google Workspace che vuoi importare in Okta.

  3. Fai clic su Authenticate with Google Workspace (Autenticazione con Google Workspace).

  4. Accedi utilizzando l'utente okta-provisioning@DOMAIN creato in precedenza, dove DOMAIN è il dominio principale del tuo account Cloud Identity o Google Workspace.

  5. Leggi i Termini di servizio e le norme sulla privacy di Google. Se accetti i termini, fai clic su Ho capito.

  6. Conferma l'accesso all'API Cloud Identity facendo clic su Consenti.

  7. Fai clic su Salva.

Okta è connesso al tuo account Cloud Identity o Google Workspace, ma il provisioning è ancora disabilitato. Per attivare il provisioning:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Provisioning.

  2. Fai clic su Modifica e configura quanto segue:

    • Crea utenti: imposta su enabled.
    • Aggiorna attributi utente: imposta su enabled
    • Disattiva utenti: imposta su enabled.
    • Password di sincronizzazione: imposta su disattivata.

  3. (Facoltativo) Fai clic su Vai all'editor del profilo per personalizzare le mappature degli attributi.

    Se utilizzi mapping personalizzati, devi mappare userName, nameGivenName e nameFamilyName. Tutte le altre mappature degli attributi sono facoltative.

  4. Fai clic su Salva.

Configura assegnazione utenti

In questa sezione devi configurare gli utenti Okta di cui eseguire il provisioning in Cloud Identity o Google Workspace:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Assignments (Compiti).
  2. Fai clic su Assegna > Assegna a persone o Assegna > Assegna a gruppi.
  3. Seleziona un utente o un gruppo e fai clic su Assegna.
  4. Nella finestra di dialogo del compito visualizzata, mantieni le impostazioni predefinite e fai clic su Salva e torna indietro.
  5. Fai clic su Fine.

Ripeti i passaggi in questa sezione per ogni utente o gruppo di cui vuoi eseguire il provisioning. Per eseguire il provisioning di tutti gli utenti a Cloud Identity o Google Workspace, assegna il gruppo Tutti.

Configura assegnazione gruppo

Se vuoi, puoi consentire a Okta di eseguire il provisioning dei gruppi in Cloud Identity o Google Workspace. Invece di selezionare i gruppi individualmente, è meglio configurare Okta per eseguire il provisioning dei gruppi in base a una convenzione di denominazione.

Ad esempio, per consentire a Okta di eseguire il provisioning di tutti i gruppi che iniziano con google-cloud, segui questi passaggi:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Gruppi di push.
  2. Fai clic su Esegui il push dei gruppi > Trova i gruppi per ruolo.

  3. Nella pagina Esegui il push dei gruppi in base alla regola, configura la seguente regola:

    • Nome regola: nome del ruolo, ad esempio Google Cloud.
    • Nome del gruppo: inizia con google-cloud

  4. Fai clic su Crea regola.

Risoluzione dei problemi

Per risolvere i problemi relativi al provisioning di utenti o gruppi, fai clic su Visualizza log nella pagina delle impostazioni dell'applicazione Google Cloud.

Per consentire a Okta di riprovare a eseguire il provisioning degli utenti non riuscito:

  1. Vai a Dashboard > Tasks.
  2. Trova l'attività non riuscita e apri i dettagli.
  3. Nella pagina dei dettagli, fai clic su Riprova selezione.

Configurazione di Okta per Single Sign-On

Se hai seguito i passaggi per configurare il provisioning Okta, verrà eseguito automaticamente il provisioning di tutti gli utenti Okta pertinenti su Cloud Identity o Google Workspace. Per consentire a questi utenti di accedere, configura il Single Sign-On:

  1. Nella pagina delle impostazioni dell'applicazione Google Cloud, apri la scheda Accesso.
  2. Fai clic su SAML 2.0 > Altri dettagli.
  3. Fai clic su Scarica per scaricare il certificato di firma.
  4. Prendi nota degli URL di accesso e dell'URL di uscita: questi URL devono essere necessari in uno dei passaggi riportati di seguito.

Dopo aver preparato Okta per il Single Sign-On, puoi abilitare il Single Sign-On nel tuo account Cloud Identity o Google Workspace:

  1. Apri la Console di amministrazione e accedi con un utente super amministratore.
  2. Nel menu, fai clic su Mostra altro e vai a Sicurezza > Autenticazione > SSO con IdP di terze parti.

  3. Fai clic su Aggiungi profilo SSO.

  4. Imposta Configura SSO con provider di identità di terze parti su Attivato.

  5. Inserisci le seguenti impostazioni:

    1. URL pagina di accesso: inserisci l'URL di accesso che hai copiato dalla pagina delle impostazioni Okta.
    2. URL pagina di uscita: inserisci l'URL di uscita che hai copiato dalla pagina delle impostazioni Okta.
    3. URL per la modifica della password: https://ORGANIZATION.okta.com/enduser/settings, dove ORGANIZATION è il nome della tua organizzazione Okta.

  6. In Certificato di verifica, fai clic su Carica certificato, quindi scegli il certificato di firma del token che hai scaricato in precedenza.

  7. Fai clic su Salva.

Aggiorna le impostazioni SSO per l'UO Automation per disabilitare il Single Sign-On:

  1. In Gestisci le assegnazioni dei profili SSO, fai clic su Inizia.
  2. Espandi Unità organizzative e seleziona l'UO Automation.
  3. Cambia l'assegnazione del profilo SSO da Profilo SSO di terze parti dell'organizzazione a Nessuno.
  4. Fai clic su Sostituisci.

Aggiungere la console Google Cloud e altri servizi Google alla dashboard dell'app

Per aggiungere la console Google Cloud e, facoltativamente, altri servizi Google alla dashboard dell'app Okta degli utenti, segui questi passaggi:

  1. Nella dashboard di amministrazione di Okta, seleziona Applications > Applications (Applicazioni).
  2. Fai clic su Sfoglia il catalogo di app.
  3. Cerca Bookmark app e seleziona l'applicazione App Preferiti.
  4. Fai clic su Add integration (Aggiungi integrazione).

  5. Nella pagina Impostazioni generali, configura quanto segue:

    • Etichetta applicazione: Google Cloud console
    • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/, sostituendo PRIMARY_DOMAIN con il nome di dominio principale utilizzato dal tuo account Cloud Identity o Google Workspace.

  6. Fai clic su Fine.

  7. Cambia il logo dell'applicazione con il logo Google Cloud.

  8. Apri la scheda Accedi.

  9. Fai clic su Autenticazione utente > Modifica e configura quanto segue:

    • Criterio di autenticazione: impostato su dashboard Okta

  10. Fai clic su Salva.

  11. Apri la scheda Compito e assegna uno o più utenti. Gli utenti assegnati vedono il link della console Google Cloud nella dashboard utente.

Se vuoi, ripeti i passaggi precedenti per eventuali servizi Google aggiuntivi che vuoi includere nelle dashboard per gli utenti. La seguente tabella contiene gli URL e i loghi dei servizi Google di uso comune:

Servizio Google URL Logo
Console Google Cloud https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Logo Google Cloud
Documenti Google https://docs.google.com/a/DOMAIN Logo di Documenti Google
Fogli Google https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Logo di Fogli Google
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Logo di Google Sites
Google Drive https://drive.google.com/a/DOMAIN Logo di Google Drive
Gmail https://mail.google.com/a/DOMAIN Logo di Gmail
Google Gruppi https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Logo di Google Gruppi
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Logo di Google Keep
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Logo di Looker Studio

Testa il Single Sign-On

Dopo aver completato la configurazione Single Sign-On sia in Okta che in Cloud Identity o Google Workspace, puoi accedere a Google Cloud in due modi:

Per verificare che la seconda opzione funzioni come previsto, esegui il test seguente:

  1. Scegli un utente Okta di cui è stato eseguito il provisioning in Cloud Identity o Google Workspace e a cui non sono stati assegnati i privilegi di super amministratore. Gli utenti con privilegi di super amministratore devono sempre accedere utilizzando le credenziali Google e pertanto non sono idonei per testare il Single Sign-On.
  2. Apri una nuova finestra del browser e vai all'indirizzo https://console.cloud.google.com/.
  3. Nella pagina Accedi con Google visualizzata, inserisci l'indirizzo email dell'utente e fai clic su Avanti.

  4. Il sistema ti reindirizzerà a Okta e vedrai un'altra richiesta di accesso. Inserisci l'indirizzo email dell'utente e segui i passaggi per l'autenticazione.

    Dopo l'autenticazione, Okta dovrebbe reindirizzarti di nuovo ad Accedi con Google. Poiché è la prima volta che accedi utilizzando questo utente, ti viene chiesto di accettare i Termini di servizio e le norme sulla privacy di Google.

  5. Se accetti i termini, fai clic su Ho capito.

    Si aprirà la console Google Cloud, in cui ti verrà chiesto di confermare le preferenze e accettare i Termini di servizio di Google Cloud.

  6. Se accetti i termini, scegli e fai clic su Accetta e continua.

  7. Fai clic sull'icona dell'avatar in alto a sinistra nella pagina, quindi fai clic su Esci.

    Si aprirà una pagina Okta, in cui ti verrà confermata la disconnessione.

Tieni presente che gli utenti con privilegi di super amministratore sono esenti dal Single Sign-On, pertanto puoi comunque utilizzare la Console di amministrazione per verificare o modificare le impostazioni.

Esegui la pulizia

Per evitare che al tuo Account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questo tutorial, elimina il progetto che contiene le risorse oppure mantieni il progetto ed elimina le singole risorse.

Passaggi successivi