Aplikasi cloud Office 365

Dengan standar SAML 2.0, Anda dapat mengonfigurasi single sign-on (SSO) untuk sejumlah aplikasi cloud. Setelah menyiapkan SSO, pengguna Anda dapat menggunakan kredensial Google Workspace mereka untuk login ke aplikasi menggunakan SSO.

Menggunakan SAML guna menyiapkan SSO untuk Office 365

Anda harus login sebagai administrator super untuk melakukan tugas ini.

Sebelum memulai

  • Tambahkan domain Workspace Anda ke Microsoft Office 365. Untuk mengetahui petunjuknya, buka Menambahkan domain ke Microsoft 365.
  • Instal PowerShell.

  • Konfigurasi ImmutableID—Office 365 menggunakan atribut ImmutableID untuk mengidentifikasi pengguna secara unik. Agar SSO antara Google dan Office 365 berfungsi, setiap pengguna Office 365 harus memiliki ImmutableID dan atribut ID Nama SAML yang dikirim ke Office 365 saat SSO harus sama dengan ImmutableID.

    ImmutableID pengguna Office 365 berbeda-beda sesuai dengan cara pengguna dibuat. Berikut skenario yang paling mungkin terjadi:

    • Belum ada pengguna di Office 365—Jika Anda akan menyiapkan Google untuk menyediakan pengguna secara otomatis, Anda tidak perlu mengonfigurasi atribut ImmutableID. Secara default, ID ini dipetakan ke alamat email pengguna, yaitu User Principle Name (UPN). Lanjutkan ke Langkah 1.

    • Jika pengguna dibuat di konsol Admin Office 365—ImmutableID harus dikosongkan. Untuk pengguna tersebut, gunakan perintah Update-MgUser PowerShell untuk menetapkan ImmutableID di Office 365 agar cocok dengan UPN pengguna:

      Update-MgUser -UserPrincipalName testuser@perusahaan-anda.com -OnPremisesImmutableId testuser@perusahaan-anda.com

      Anda juga dapat menggunakan Update-MgUser untuk mengupdate massal semua pengguna. Untuk mengetahui langkah-langkahnya, buka dokumentasi PowerShell.

    • Jika pengguna dibuat melalui sinkronisasi Microsoft Entra ID—ImmutableID adalah versi yang dienkode dari objectGUID Active Directory. Untuk pengguna tersebut:
      1. Gunakan PowerShell untuk mengambil ImmutableID dari Entra ID. Misalnya, untuk mengambil ImmutableID bagi semua pengguna dan mengekspor file CSV:

        $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

      2. Buat atribut khusus di Google, lalu isi profil setiap pengguna dengan ImmutableID Office 365 miliknya. Untuk mengetahui langkah-langkahnya, buka Menambahkan atribut khusus baru dan Memperbarui profil pengguna. Anda juga dapat mengotomatiskan proses ini menggunakan GAM (alat command line open source) atau Admin console API.

      Untuk mengetahui informasi selengkapnya tentang ImmutableID, buka dokumentasi Microsoft.

Langkah 1: Siapkan Google sebagai penyedia identitas SAML

  1. Di konsol Google Admin, buka Menu lalu AplikasilaluAplikasi seluler dan web.

    Anda harus login sebagai administrator super untuk melakukan tugas ini.

  2. Klik Tambahkan aplikasilaluTelusuri aplikasi.
  3. Untuk Masukkan nama aplikasi, masukkan Office 365.
  4. Di hasil penelusuran, arahkan kursor ke Microsoft Office 365, lalu klik Pilih.
  5. Di jendela Detail Penyedia Identitas Google, untuk Opsi 2: Salin URL SSO, ID entitas, dan sertifikat:
    1. Di samping URL SSO, klik Salin , lalu simpan URL.
    2. Di samping ID Entitas, klik Salin , lalu simpan ID entitas tersebut.
    3. Di samping Sertifikat, klik Salin , lalu simpan sertifikat.

      Anda memerlukan detail ini untuk menyelesaikan penyiapan di Office 365.

Biarkan konsol Google Admin tetap terbuka. Anda akan melanjutkan konfigurasi di konsol Admin setelah menyelesaikan langkah penyiapan di aplikasi.

Langkah 2: Siapkan Office 365 sebagai penyedia layanan SAML 2.0

  1. Buka jendela browser Samaran, buka halaman login Office 365, lalu login dengan akun administrator Office 365 Anda.
  2. Dengan menggunakan editor teks, buat variabel PowerShell dari data yang Anda salin di Langkah 1. Berikut nilai yang diperlukan untuk setiap variabel:
    Variabel Nilai
    $DomainName "your-company.com"
    $FederationBrandName "Google Cloud Identity" (atau nilai apa pun yang Anda pilih)
    $Authentication "Gabungan"
    $PassiveLogOnUrl
    $ActiveLogOnUri    		 "SSO URL" (dari Langkah 1)
    $SigningCertificate "Tempel sertifikat lengkap di sini" (dari Langkah 1)*
    $IssuerURI "Entity ID" (dari Langkah 1)
    $LogOffUri "https://accounts.google.com/logout"
    $PreferredAuthenticationProtocol "SAMLP"
    * Pastikan variabel $SigningCertifcate sebagai teks satu baris. Jika tidak, PowerShell akan menampilkan pesan error.
  3. Dengan menggunakan konsol PowerShell, jalankan perintah Update-MgDomain untuk mengonfigurasi domain Active Directory Anda untuk penggabungan. Untuk mengetahui langkah-langkahnya, buka dokumentasi Microsoft PowerShell.
  4. (Opsional) Untuk menguji setelan penggabungan, gunakan perintah PowerShell berikut:

    Get-MgDomainFederationConfiguration -DomainName perusahaan-anda.com | Format-List *

Catatan: Jika domain Anda sudah digabungkan dan Anda perlu mengubah penggabungan ke Google, jalankan perintah berikut menggunakan parameter yang sama seperti yang tercantum dalam tabel di atas:
Update-MgDomainFederationConfiguration

Langkah 3: Selesaikan konfigurasi SSO di konsol Admin

  1. Kembali ke tab browser konsol Admin.
  2. Klik Lanjutkan.
  3. Di halaman Detail penyedia layanan:
    1. Centang kotak Respons yang ditandatangani.
    2. Untuk Format ID Nama, pilih Persisten.
    3. Untuk ID Nama, pilih salah satu opsi:
      • Jika Anda membuat atribut khusus untuk menambahkan ImmutableID Office 365 ke profil pengguna Anda, pilih atribut khusus.
      • Jika Anda tidak membuat atribut ImmutableID khusus, pilih Informasi DasarlaluEmail utama.
  4. Klik Lanjutkan.
  5. Di halaman Pemetaan atribut, klik Pilih kolom dan petakan atribut direktori Google berikut ke atribut Office 365 yang sesuai. Atribut IDPEmail wajib diisi.
    Atribut Direktori Google Atribut Office 365
    Informasi Dasar > Email Utama IDPEmail*
  6. (Opsional) Untuk menyertakan pemetaan tambahan, klik Tambahkan Pemetaan dan pilih kolom yang perlu dipetakan.
  7. (Opsional) Guna memasukkan nama grup yang relevan untuk aplikasi ini:
    1. Untuk Keanggotaan grup (opsional), klik Telusuri grup, masukkan satu atau beberapa huruf dari nama grup, lalu pilih nama grup.
    2. Tambahkan grup lainnya sesuai kebutuhan (maksimum 75 grup).
    3. Untuk Atribut aplikasi, masukkan nama atribut grup yang sesuai dari penyedia layanan.

    Terlepas dari jumlah nama grup yang Anda masukkan, respons SAML hanya menyertakan grup tempat pengguna bergabung (secara langsung atau tidak langsung). Untuk mengetahui informasi selengkapnya, buka Tentang pemetaan keanggotaan grup.

  8. Klik Selesai.

Langkah 4: Aktifkan aplikasi untuk pengguna

Sebelum Anda memulai: Untuk mengaktifkan atau menonaktifkan layanan bagi pengguna tertentu, masukkan akun mereka ke suatu unit organisasi (untuk mengontrol akses berdasarkan departemen) atau tambahkan akun mereka ke suatu grup akses (untuk mengizinkan akses bagi pengguna di seluruh atau di dalam departemen).

  1. Di konsol Google Admin, buka Menu lalu AplikasilaluAplikasi seluler dan web.

    Anda harus login sebagai administrator super untuk melakukan tugas ini.

  2. Klik Office 365.
  3. Klik Akses pengguna.

  4. Untuk mengaktifkan atau menonaktifkan layanan bagi semua orang di organisasi Anda, klik Aktif untuk semua orang atau Nonaktif untuk semua orang, lalu klik Simpan.

  5. (Opsional) Guna mengaktifkan atau menonaktifkan layanan untuk unit organisasi:
    1. Di sebelah kiri, pilih unit organisasi.
    2. Untuk mengubah status Layanan, pilih Aktif atau Nonaktif.
    3. Pilih salah satu:
      • Jika status Layanan ditetapkan ke Diwariskan dan Anda ingin mempertahankan setelan yang telah diperbarui, meskipun jika setelan induknya berubah, klik Ganti.
      • Jika status Layanan ditetapkan ke Diganti, klik Warisi untuk kembali ke setelan yang sama dengan induknya, atau klik Simpan untuk menyimpan setelan baru, meskipun setelan induknya berubah.
        Pelajari lebih lanjut struktur organisasi.
  6. (Opsional) Untuk mengaktifkan layanan bagi sekelompok pengguna lintas atau di dalam unit organisasi, pilih grup akses. Untuk mengetahui detailnya, buka Menyesuaikan akses layanan menggunakan grup akses.
  7. Pastikan domain email akun pengguna Office 365 Anda cocok dengan domain primer Akun Google terkelola organisasi Anda.

Langkah 5: Pastikan SSO berfungsi

Office 365 mendukung SSO baik yang dimulai oleh penyedia identitas maupun penyedia layanan.

Memverifikasi SSO yang dimulai oleh penyedia identitas

  1. Di konsol Google Admin, buka Menu lalu AplikasilaluAplikasi seluler dan web.

    Anda harus login sebagai administrator super untuk melakukan tugas ini.

  2. Klik Office 365.
  3. Di bagian Office 365, klik Uji login SAML.

    Aplikasi akan terbuka di tab terpisah. Jika tidak terbuka, pecahkan masalah pesan error dan coba lagi. Untuk mengetahui detail terkait pemecahan masalah, buka Pesan error aplikasi SAML.

Memverifikasi SSO yang dimulai oleh penyedia layanan

  1. Tutup semua jendela browser.
  2. Buka halaman login Office 365, lalu login dengan akun administrator Office 365 Anda.
    Anda akan otomatis dialihkan ke halaman login Google.
  3. Pilih akun Anda dan masukkan sandi Anda.

Setelah kredensial Anda diautentikasi, aplikasi akan terbuka.

Langkah 6: Siapkan penyediaan pengguna

Sebagai administrator super, Anda dapat menyediakan pengguna di aplikasi secara otomatis. Untuk mengetahui detailnya, buka Mengonfigurasi penyediaan pengguna Office 365.


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.