App cloud Office 365

• Aggiungi il tuo dominio Workspace a Microsoft Office 365. Per istruzioni, vedi Aggiunta di un dominio a Microsoft 365.
• Installa PowerShell.

• Configura ImmutableID: Office 365 usa l'attributo ImmutableID per identificare in maniera univoca gli utenti. Affinché il servizio SSO tra Google e Office 365 possa funzionare, ogni utente di Office 365 deve disporre di un ImmutableID e l'attributo SAML Name ID inviato a Office 365 durante l'SSO deve essere lo stesso dell'ImmutableID.

  L'ImmutableID di un utente di Office 365 cambia in base al modo in cui viene creato l'utente. Ecco gli scenari più probabili:

  • Nessun utente ancora in Office 365: se configuri Google in modo da eseguire automaticamente il provisioning degli utenti, non devi configurare l'attributo ImmutableID. Per impostazione predefinita, viene mappato all'indirizzo email dell'utente, ovvero al nome principale utente (UPN). Vai al passaggio 1.

  • Se gli utenti sono stati creati nella Console di amministrazione di Office 365, l'ImmutableID dovrebbe essere vuoto. Per questi utenti, utilizza il comando di PowerShell Update-MgUser per impostare l'ImmutableID in Office 365 in modo che corrisponda all'UPN dell'utente:

    Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

    Puoi anche utilizzare Update-MgUser per eseguire l'aggiornamento collettivo di tutti gli utenti. Per la procedura, consulta la documentazione di PowerShell.

  • Se gli utenti sono stati creati mediante la sincronizzazione Microsoft Entra ID, l'ImmutableID è una versione codificata dell'objectGUID di Active Directory. Per questi utenti:
    1. Utilizza PowerShell per recuperare l'ImmutableID da Entra ID. Ad esempio, per recuperare l'ImmutableID per tutti gli utenti ed esportare in un file CSV:

       $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

    2. Crea un attributo personalizzato in Google, quindi completa il profilo di ciascun utente con il relativo ImmutableID di Office 365. Per i passaggi, vedi Aggiungere un nuovo attributo personalizzato e Aggiornare un profilo utente. Puoi anche automatizzare il processo utilizzando GAM (uno strumento a riga di comando open source) o le API della Console di amministrazione.

    Per saperne di più su ImmutableID, consulta la documentazione di Microsoft.

1. Nella Console di amministrazione Google, vai al Menu AppApp web e mobile.

   Vai ad App web e mobile

   Per questa attività, devi aver eseguito l'accesso come super amministratore.

2. Fai clic su Aggiungi appCerca app.
3. In Inserisci il nome dell'app, digita Office 365.
4. Nei risultati di ricerca, posiziona il puntatore su Microsoft Office 365 e fai clic su Seleziona.
5. Nella finestra Dettagli del provider di identità Google, in Opzione 2: copia l'URL SSO, l'ID entità e il certificato:
   1. Accanto a URL SSO, fai clic su Copia e salva l'URL.
   2. Accanto a ID entità, fai clic su Copia e salva l'ID entità.
   3. Accanto a Certificato, fai clic su Copia e salva il certificato.

      Questi dettagli sono necessari per completare la configurazione in Office 365.

Lascia aperta la Console di amministrazione Google. Potrai continuare con la configurazione nella Console di amministrazione dopo aver completato la procedura di configurazione nell'app.

1. Apri una finestra del browser in incognito, vai alla pagina di accesso di Office 365 e accedi con il tuo account amministratore Office 365.
2. Con un editor di testo, crea variabili di PowerShell dai dati che hai copiato nel passaggio 1. Ecco i valori necessari per ogni variabile:

   Variabile	Valore
   $DomainName	"your-company.com"
   $FederationBrandName	"Google Cloud Identity" (o qualsiasi valore di tua scelta)
   $Authentication	"Federato"
   $PassiveLogOnUrl $ActiveLogOnUri	"SSO URL" (URL SSO) (dal passaggio 1)
   $SigningCertificate	"Incolla qui il certificato completo" (dal passaggio 1)*
   $IssuerURI	"Entity ID" (ID entità) (dal passaggio 1)
   $LogOffUri	"https://accounts.google.com/logout"
   $PreferredAuthenticationProtocol	"SAMLP"

   * Assicurati che la variabile $SigningCertifcate sia su un'unica riga di testo altrimenti PowerShell restituirà un messaggio di errore.
3. Usando la console di PowerShell, esegui il comando Update-MgDomain per configurare il tuo dominio Active Directory per la federazione. Per i passaggi, consulta la documentazione di Microsoft PowerShell.
4. (Facoltativo) Per testare le impostazioni della federazione, usa il seguente comando di PowerShell:

   Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

Nota: se il tuo dominio è già federato e hai bisogno di cambiare la federazione a Google, esegui il seguente comando utilizzando gli stessi parametri elencati nella tabella precedente:
Update-MgDomainFederationConfiguration

1. Torna alla scheda del browser della Console di amministrazione.
2. Fai clic su Continua.
3. Nella pagina Dettagli del fornitore di servizi:
   1. Seleziona la casella Risposta firmata.
   2. Per Formato ID nome, seleziona Permanente.
   3. Per ID nome, scegli un'opzione:
      • Se hai creato un attributo personalizzato per aggiungere l'ImmutableID di Office 365 ai profili dei tuoi utenti, seleziona l'attributo personalizzato.
      • Se non hai creato un attributo ImmutableID personalizzato, seleziona Informazioni di baseEmail principale.
4. Fai clic su Continua.
5. Nella pagina Mappatura attributi, fai clic su Seleziona campo e mappa i seguenti attributi della directory Google agli attributi di Office 365 corrispondenti. L'attributo IDPEmail è obbligatorio.

   Attributo directory Google	Attributo Office 365
   Basic Information > Primary Email	IDPEmail*

6. (Facoltativo) Per aggiungere altre mappature, fai clic su Aggiungi mappatura e seleziona i campi che devi mappare.
7. (Facoltativo) Per inserire i nomi dei gruppi pertinenti per questa app:
   1. In (Facoltativo) Appartenenza al gruppo, fai clic su Cerca un gruppo, inserisci una o più lettere del nome del gruppo e seleziona il nome del gruppo.
   2. Se necessario, aggiungi altri gruppi (massimo 75).
   3. Per Attributo app, inserisci il nome dell'attributo dei gruppi corrispondente del fornitore di servizi.

   Indipendentemente dal numero di nomi di gruppi che inserisci, la risposta SAML include solo i gruppi a cui un utente appartiene direttamente o indirettamente. Per saperne di più, vai a Informazioni sulla mappatura dell'iscrizione al gruppo.

8. Fai clic su Fine.

1. Nella Console di amministrazione Google, vai al Menu AppApp web e mobile.

   Vai ad App web e mobile

   Per questa attività, devi aver eseguito l'accesso come super amministratore.

2. Fai clic su Office 365.
3. Fai clic su Accesso utenti.

4. Per attivare o disattivare un servizio per tutti gli utenti dell'organizzazione, fai clic su ON per tutti o OFF per tutti, quindi fai clic su Salva.

5. (Facoltativo) Per attivare o disattivare un servizio per un'unità organizzativa:

   1. A sinistra, seleziona l'unità organizzativa.
   2. Per cambiare lo stato del servizio, seleziona On o Off.
   3. Scegli un'opzione:
      • Se lo stato del servizio è impostato su Ereditato e vuoi mantenere l'impostazione aggiornata, anche se quella dell'unità organizzativa principale viene modificata, fai clic su Ignora.
      • Se lo stato del servizio è impostato su Ignorato, fai clic su Eredita per ripristinare la stessa impostazione dell'unità organizzativa principale oppure fai clic su Salva per mantenere la nuova configurazione, anche se cambia l'impostazione dell'unità organizzativa principale.
        Scopri di più sulla struttura organizzativa.
6. (Facoltativo) Per attivare un servizio per un insieme di utenti all'interno di una o tutte le unità organizzative, seleziona un gruppo di accesso. Per maggiori dettagli, vedi Personalizza l'accesso ai servizi utilizzando i gruppi di accesso.
7. Assicurati che i domini email degli account utente di Office 365 corrispondano al dominio principale dell'Account Google gestito della tua organizzazione.

Office 365 supporta il servizio SSO avviato sia dal provider di identità che dal fornitore di servizi.

Verificare l'SSO avviato dal provider di identità

1. Nella Console di amministrazione Google, vai al Menu AppApp web e mobile.

   Vai ad App web e mobile

   Per questa attività, devi aver eseguito l'accesso come super amministratore.

2. Fai clic su Office 365.
3. Nella sezione Office 365, fai clic su Verifica accesso SAML.

   L'app dovrebbe aprirsi in una scheda separata. In caso contrario, risolvi il problema correlato al messaggio di errore e riprova. Per informazioni dettagliate sulla risoluzione dei problemi, vedi Messaggi di errore delle app SAML.

Verificare l'SSO avviato dal fornitore di servizi

1. Chiudi tutte le finestre del browser.
2. Vai alla pagina di accesso di Office 365 e accedi con il tuo account amministratore Office 365.
   Dovrebbe aprirsi automaticamente la pagina Accedi con Google.
3. Seleziona il tuo account e inserisci la password.

Una volta autenticate le tue credenziali, l'app dovrebbe aprirsi.

In qualità di super amministratore, puoi eseguire automaticamente il provisioning degli utenti nell'app. Per maggiori dettagli, vedi Configurare il provisioning degli utenti di Office 365.